SOU 2017:66
Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning
Till statsrådet och chefen för Socialdepartementet
Genom beslut den 16 juni 2016 bemyndigade regeringen statsrådet Annika Strandhäll att tillkalla en särskild utredare med uppdrag att analysera konsekvenserna av EU:s s.k. dataskyddsförordning för behandlingen av personuppgifter inom Socialdepartementets verksamhetsområde och föreslå författningsändringar till följd av dataskyddsförordningen. Från och med samma dag förordnade Annika Strandhäll ordföranden i Arbetsdomstolen Sören Öman som särskild utredare.
Som sakkunniga i utredningen förordnades den 19 september 2016 departementssekreteraren Niclas Fogelström (Socialdepartementet), ämnesrådet Jimmy Järvenpää (Socialdepartementet), kanslirådet tidigare departementssekreteraren Caroline Nilsson (Socialdepartementet) och departementssekreteraren Annika Remaeus (Socialdepartementet). Som experter förordnades samma dag chefen Peter Andrén (Försäkringskassan), chefsjuristen Catarina Eklundh Ahlgren (Inspektionen för socialförsäkringen), chefsjuristen Anette Enberg (Myndigheten för familjerätt och föräldraskapsstöd), biträdande chefsjuristen Bo Granath (Folkhälsomyndigheten), juristen Ulrika Holfelt (Inspektionen för vård och omsorg), avdelningsdirektören Suzanne Isberg (Datainspektionen), juristen Ulrika Marusarz (Socialstyrelsen), stabschefen och chefsjuristen Karin Nylén (Myndigheten för vård- och omsorgsanalys) och juristen Anne Vilval (Pensionsmyndigheten).
Som sekreterare i utredningen har arbetat verksjuristen Hélène Runsten från och med den 8 augusti 2016 och hovrättsassessorn Jonna Wiborn från och med den 1 september 2016. Jur. stud. Ebba Hagelroth har kontrollerat hänvisningarna i betänkandet.
Utredningen (S 2016:05) har antagit namnet Socialdataskyddsutredningen.
Härmed får utredningen överlämna betänkandet Dataskydd inom
Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning.
Utredningsarbetet fortsätter enligt tilläggsdirektiven dir. 2017:67.
Stockholm i augusti 2017
Sören Öman
/Hélène Runsten
Jonna Wiborn
Sammanfattning
EU:s dataskyddsförordning blir tillämplig i Sverige den 25 maj 2018 och ersätter då personuppgiftslagen. Utredningen har inför det sett över registerförfattningarna inom Socialdepartementets verksamhetsområde. Utredningens målsättning, eller utgångspunkt, har varit att den behandling av personuppgifter som är laglig i dag ska kunna fortsätta. Den målsättningen har uppnåtts efter en ingående analys av både dataskyddsförordningen och registerförfattningarna. Utredningens förslag, som i huvudsak är av författningsteknisk karaktär, inskränker alltså inte nuvarande möjligheter att behandla personuppgifter, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Å andra sidan föreslås inte heller författningsstöd för sådan behandling som inte är laglig i dag.
Dataskyddsförordningen
EU har beslutat om en förordning – den s.k. dataskyddsförordningen – som utgör en ny generell reglering för behandling av personuppgifter inom EU. Dataskyddsförordningen ska börja tillämpas den 25 maj 2018 och vid samma tidpunkt kommer personuppgiftslagen att upphävas. Dataskyddsförordningen är direkt tillämplig och dess bestämmelser är tvingande. Nationell lagstiftning på området kommer därför endast att komplettera dataskyddsförordningen i den utsträckningen det är möjligt att göra undantag eller förtydliganden i förhållande till dataskyddsförordningen.
Dataskyddsutredningen har föreslagit en ny lag – dataskyddslagen – som, om förslaget leder till lagstiftning, kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen på en generell nivå.
Det har sedan över ett år tillbaka dessutom pågått ett omfattande arbete med att anpassa befintliga registerförfattningar till dataskyddsförordningen. Registerförfattningarna kommer att komplettera dataskyddsförordningen på verksamhetsspecifik nivå. Den föreslagna dataskyddslagen kommer att vara subsidiär i förhållande till registerförfattningarna och är tillämplig i verksamheter som omfattas av en särskild registerförfattning endast om inget annat följer av registerförfattningen eller föreskrifter som har meddelats med stöd av den.
Socialdataskyddsutredningen har haft i uppdrag att analysera vilka konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde samt föreslå behövliga och lämpliga anpassningar av författningar inom verksamhetsområdet till följd av den nya förordningen.
I det följande sammanfattas de viktigaste bedömningarna och förslagen i betänkandet.
Utgångspunkter för översynen
En utgångspunkt för utredningen har varit att de personuppgiftsansvariga ska kunna fortsätta att behandla personuppgifter på samma sätt som de får i dag. Det innebär att översynen har inriktats på att undersöka om behandling som i dag är laglig kommer att kunna ske när dataskyddsförordningen ska tillämpas.
Konsekvenser för verksamheter som inte har en registerförfattning
När personuppgiftslagen upphävs försvinner möjligheten att behandla personuppgifter med stöd av den s.k. missbruksregeln (5 a § personuppgiftslagen). Någon motsvarande regel finns inte i dataskyddsförordningen.
Offentliga myndigheter får enligt dataskyddsförordningen inte behandla personuppgifter med stöd av en intresseavvägning när de fullgör sina arbetsuppgifter, vilket lär innefatta de arbetsuppgifter de utför inom den myndighetsspecifika verksamheten. Möjligheterna för myndigheter att behandla personuppgifter med stöd av en intresseavvägning minskar därmed.
Det har inte framkommit att några myndigheter eller verksamheter inom Socialdepartementets verksamhetsområde som inte har en registerförfattning behöver kompletterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas.
Utredningen har dock genom tilläggsdirektiv fått i uppdrag att utreda behovet av en särskild författning med bestämmelser om behandling av personuppgifter för Myndigheten för vård- och omsorgsanalys. Det uppdraget ska redovisas senast den 15 januari 2018.
Nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen
Medlemsstaternas nationella lagstiftning får enligt artikel 6.2 och 6.3 i dataskyddsförordningen innehålla mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen för såväl myndigheter som enskilda när det gäller behandling av personuppgifter som är tillåten enligt artikel 6.1 c eller e. Det innebär att det är möjligt att i registerförfattningarna närmare reglera förutsättningarna för behandling när behandlingen är nödvändig
- för att fullgöra en rättslig förpliktelse,
- för att utföra en arbetsuppgift av allmänt intresse, eller
- för att utföra en arbetsuppgift som ett led i den personuppgiftsansvariges myndighetsutövning.
Därutöver hindrar dataskyddsförordningen inte att medlemsstaterna i nationell rätt inför mer restriktiva bestämmelser än enligt dataskyddsförordningen för sina egna myndigheters behandling av personuppgifter eller ålägger dem utökade skyldigheter.
Registerförfattningarnas tillämpningsområde
Nationell lagstiftning som kompletterar dataskyddsförordningen kan ha både ett vidare och ett snävare tillämpningsområde än dataskyddsförordningen. Bestämmelser om registerförfattningars tillämpningsområde behöver därför i regel inte ändras med anledning av dataskyddsförordningen. Patientdatalagen, lagen om behandling av per-
sonuppgifter inom socialtjänsten och den tillhörande förordningen om behandling av personuppgifter inom socialtjänsten omfattar dock viss behandling av personuppgifter som syftar till att verkställa straffrättsliga påföljder, såsom rättspsykiatrisk vård och ungdomsvård. Sådan behandling omfattas inte av dataskyddsförordningen utan av det nya dataskyddsdirektivet som i Sverige föreslås bli genomfört genom en ny brottsdatalag. Utredningen föreslår därför att lagen om behandling av personuppgifter inom socialtjänsten och den tillhörande förordningen inte ska gälla vid sådan behandling av personuppgifter som omfattas av den föreslagna brottsdatalagen. Patientdatalagen föreslås däremot gälla utöver den föreslagna brottsdatalagen vid behandling av personuppgifter inom rättspsykiatrisk vård.
Rättslig grund för behandling av personuppgifter
Ändamål
Behandling av personuppgifter är laglig enligt dataskyddsförordningen endast om och i den mån åtminstone ett av villkoren i artikel 6.1 i dataskyddsförordningen är uppfyllt. Villkoren i artikel 6.1 i dataskyddsförordningen är i huvudsak desamma som anges i artikel 7 i dataskyddsdirektivet och 10 § personuppgiftslagen.
I registerförfattningar anges ofta de ändamål för vilka personuppgifter får behandlas. Utredningen har konstaterat att de ändamål som anges i de registerförfattningar som setts över grundar sig på rättsliga förpliktelser eller arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning. Ändamålen har därmed stöd i dataskyddsförordningen och kan behållas.
Nya krav på den rättsliga grunden
Det har i och med dataskyddsförordningen tillkommit vissa nya krav på de rättsliga grunderna för behandling av personuppgifter. När det gäller behandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning måste grunden fastställas i nationell rätt eller
EU-rätt. Vidare måste syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig förpliktelse fastställas i den rättsliga grunden. I fråga om behandling för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning gäller i stället att syftet med behandlingen ska vara nödvändigt för ändamålet. Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter för att uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning måste slutligen också uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Myndighetsutövning måste alltid ha stöd i författning och rättsliga förpliktelser är till sin natur sådana förpliktelser som redan framgår av eller meddelas med stöd av gällande rätt. Arbetsuppgifter av allmänt intresse härrör från uppdrag och åligganden som framgår av olika verksamhetsorienterade författningar eller regeringsbeslut. Är den rättsliga grunden inte fastställd i annan författning, är den dessutom i vart fall fastställd genom registerförfattningens ändamålsbestämmelser. Utredningen bedömer därför att kravet på att grunden ska vara fastställd genomgående är uppfyllt.
Syftet med en behandling av personuppgifter med anledning av en rättslig förpliktelse kan enligt utredningens bedömning framgå av en registerförfattning eller av exempelvis den författning som reglerar själva verksamheten. För arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning får det förutsättas att tidigare bedömningar av lagligt stöd för behandling av personuppgifter även innefattat ett ställningstagande till att syftet med behandlingen för det aktuella ändamålet också är nödvändigt för ändamålet.
Även kravet på att den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas får anses vara uppfyllt genom tidigare ställningstaganden.
Samtycke
Samtycke utgör enligt både dataskyddsdirektivet och dataskyddsförordningen en rättslig grund för behandling av personuppgifter. Utredningen har funnit att bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan behållas.
Finalitetsprincipen
Utredningens utgångspunkt är att i den mån det är möjligt behålla de möjligheter att behandla personuppgifter som myndigheter och vissa enskilda aktörer har i dagsläget. Det krävs därför att det är tydligt att de uppräknade ändamålen i registerförfattningarna inte är uttömmande när så har gällt tidigare. Utredningen behåller därför i sina förslag bestämmelser i registerförfattningar med innebörden att personuppgifter, som behandlas för i författningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen.
Känsliga personuppgifter och uppgifter om lagöverträdelser
Nya kategorier av känsliga personuppgifter
Det har i dataskyddsförordningen tillkommit några nya kategorier av känsliga personuppgifter – genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Att nya kategorier lagts till de befintliga innebär att det kommer att vara fler uppgifter som kategoriseras som känsliga och som därmed omfattas av artikel 9 i dataskyddsförordningen. Eftersom huvudregeln enligt artikel 9.1 är att det är förbjudet att behandla känsliga personuppgifter, måste något av undantagen i artikel 9.2 vara tillämpligt för att behandling av sådana uppgifter ska vara tillåten.
Bestämmelser i särskilda registerförfattningar som tillåter att alla kategorier av känsliga personuppgifter enligt nuvarande definition får behandlas bör avse alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen. Bestämmelser som endast tillåter behandling av någon eller några av kategorierna av känsliga personuppgifter enligt nuvarande definition bör där-
emot som utgångspunkt inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter. Utredningen har dock i två fall, när det gäller patientdatalagen och läkemedelsförordningen, föreslagit förtydliganden som innebär att viss behandling av de nytillkomna kategorierna av känsliga personuppgifter ska vara tillåten även i fortsättningen. Detta eftersom det bedömts nödvändigt för en ändamålsenlig behandling av personuppgifter i de aktuella verksamheterna.
Tillåten behandling av känsliga personuppgifter
Utredningen bedömer att bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av ett viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet är förenliga med artikel 9.2 g i dataskyddsförordningen. I ett fall, när det gäller läkemedelsförordningen, har dock regleringen inte bedömts leva upp till det nya kravet på att det ska finnas bestämmelser om lämpliga skyddsåtgärder i den nationella lagstiftningen. Utredningen har därför föreslagit en begränsning som innebär att behandling av de där aktuella personuppgifterna endast får ske för angivna ändamål.
Viss behandling av känsliga personuppgifter – enligt lagen om blodsäkerhet, lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler, lagen om skydd mot internationella hot mot människors hälsa samt lagen om register över nationella vaccinationsprogram – som tidigare tillåtits med stöd av ett viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet har utredningen bedömt vara tillåten med stöd av det s.k. folkhälsoundantaget i artikel 9.2 i i dataskyddsförordningen.
Även bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter inom hälso- och sjukvården samt inom social omsorg, såsom socialtjänst, är förenliga med dataskyddsförordningen. Sådana bestämmelser bör dock kompletteras med en bestämmelse som påminner om det nya kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
Uppgifter om lagöverträdelser
Nuvarande bestämmelser i registerförfattningarna om uppgifter om lagöverträdelser omfattar, utöver vad som gäller enligt dataskyddsförordningen, även uppgifter om friande brottmålsdomar och administrativa frihetsberövanden och innebär oftast restriktioner för behandlingen. Att dessa uppgifter, som omfattas av motsvarande bestämmelse i dataskyddsdirektivet, inte omfattas av dataskyddsförordningens reglering gör det möjligt att ta bort sådana restriktioner. Det är dock enligt utredningens mening svårt att se varför myndigheter och enskilda skulle få behandla sådana kategorier av personuppgifter i större utsträckning än de hittills har bedömts ha behov av bara därför att dataskyddsförordningen gör det möjligt. Med stöd av möjligheten att införa nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bör även de begränsningar för uppgifter om lagöverträdelser som inte omfattas av artikel 10 i dataskyddsförordningen behållas.
Personnummer
Bestämmelser om att personnummer får registreras, t.ex. i en databas, eller att (bara) personnummer får användas som sökbegrepp vid vissa sökningar kan enligt utredningens mening inte i sig anses ställa upp några särskilda villkor för behandlingen av personnummer enligt artikel 87 i dataskyddsförordningen. Det behöver därför inte iakttas några sådana lämpliga skyddsåtgärder som krävs enligt samma artikel. Skulle sådana bestämmelser trots allt anses ställa upp särskilda villkor, är de bestämmelser som redan finns i registerförfattningarna att anse som lämpliga skyddsåtgärder.
Överföring till tredjeland
Dataskyddsförordningens bestämmelser om överföring till tredjeland är direkt tillämpliga och medför inte något behov av nationella bestämmelser som tillåter överföring av personuppgifter till tredjeland. En nationell bestämmelse om att överföring av personuppgifter till tredjeland i en viss situation är tillåten har dock en klargörande verkan och får anses vara en sådan mer specifik, eller särskild,
bestämmelse som det är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Bestämmelserna i registerförfattningarna som anger när överföring av personuppgifter till tredjeland är tillåten har bedömts förenliga med dataskyddsförordningen och behöver därför inte ändras.
Rättigheter och skyldigheter
Nya rättigheter och skyldigheter
Det är utredningens övergripande bedömning att de nya rättigheter för registrerade och de nya skyldigheter för personuppgiftsansvariga som dataskyddsförordningen medför normalt sett inte kan anses så betungande för de personuppgiftsansvariga att det med fog kan sägas vara nödvändigt och proportionerligt att begränsa dem ens vid behandling av personuppgifter som rör viktiga mål av generellt allmänt intresse. Utredningens utgångspunkt är därför att det inte bör finnas begränsningar i registerförfattningarna som innebär att de registrerade inte får mera rättigheter än i dag trots att nya rättigheter följer av dataskyddsförordningen.
Rätt att göra invändningar
Den registrerade ska, enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på allmänt intresse, myndighetsutövning eller en intresseavvägning.
Flera registerförfattningar innehåller bestämmelser som begränsar rätten att göra invändningar. Utredningen har i fråga om sådana bestämmelser gjort en prövning av om begränsningen är tillåten enligt den undantagsmöjlighet som anges i artikel 23.1 i dataskyddsförordningen i förhållande till varje enskild registerförfattning. Prövningarna har lett till slutsatsen att det även fortsättningsvis är tillåtet att begränsa rätten att göra invändningar på det sätt som skett.
Information till registrerade
Bestämmelser i registerförfattningar om att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av dataskyddsförordningen kan och bör behållas om skyldigheten avser myndigheter eller den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen bör tas bort. Bestämmelserna bör kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.
Rättelse
Dataskyddsförordningens bestämmelser om rättelse, radering och begränsning av behandling är direkt tillämpliga. Bestämmelser i registerförfattningar med hänvisningar till bestämmelserna i personuppgiftslagen om rättelse bör således upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.
Automatiserade beslut
Utredningen bedömer att artikel 22.1 i dataskyddsförordningen omfattar enbart beslut som grundas på automatiserad behandling
och inkluderar profilering. I den mån det inom Socialdepartemen-
tets verksamhetsområde förekommer sådana beslut, krävs att något av de undantag som anges i artikel 22.2 i dataskyddsförordningen är tillämpligt. Vanligare är dock att beslut fattas genom automatiserad behandling utan att det inkluderar profilering. Sådana beslut omfattas enligt utredningens tolkning inte av artikel 22 i dataskyddsförordningen, och dataskyddsförordningen ställer inte heller i övrigt några krav på att sådant beslutsfattande ska regleras särskilt.
Säkerhetsåtgärder
Bestämmelser om säkerhetsåtgärder/skyddsåtgärder som finns i registerförfattningar är enligt utredningens bedömning sådana mer specifika, eller särskilda, bestämmelser som det är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Myndigheter kan vidare genom nationell lag åläggas krav på säkerhetsåtgärder utan hinder av dataskyddsförordningen. Vid viss behandling av känsliga personuppgifter krävs det dessutom att skyddsåtgärder regleras i nationell rätt. Så är fallet även vid behandling av uppgifter om lagöverträdelser som inte utförs under kontroll av en myndighet.
Gallring
Bestämmelser i registerförfattningar om gallring och bevarande och bemyndiganden att meddela föreskrifter om bevarande kan behållas under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning eller därför att bestämmelserna endast avser myndigheters behandling av personuppgifter.
Formuleringar i registerförfattningarna om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål bör dock ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med formuleringen i dataskyddsförordningen. Enligt utredningens bedömning innebär omformuleringen inte någon skillnad i sak.
Tillsyn
Av Dataskyddsutredningens förslag till dataskyddslag framgår att tillsynsmyndighetens befogenheter enligt dataskyddsförordningen ska gälla även vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Det behövs därför inte några särskilda be-
stämmelser om tillsyn i de registerförfattningar som omfattas av översynen.
Sanktioner
Skadestånd
Bestämmelserna i dataskyddsförordningen om skadestånd är direkt tillämpliga även på sådan behandling av personuppgifter som omfattas av en registerförfattnings tillämpningsområde, under förutsättning att det rör sig om sådan behandling som också omfattas av dataskyddsförordningen. Bestämmelser i registerförfattningar med hänvisningar till bestämmelserna om skadestånd i personuppgiftslagen bör därför upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.
Sanktionsavgifter
I artikel 83 i dataskyddsförordningen finns en uttömmande uppräkning av när det är möjligt att utfärda sanktionsavgifter. Eftersom endast överträdelser av nationell lagstiftning som antagits på grundval av kapitel IX omnämns i artikeln, kan sanktionsavgifter påföras endast vid överträdelser av sådana nationella bestämmelser. Vid överträdelser av bestämmelser i de registerförfattningar som omfattas av utredningens översyn, som samtidigt innebär en överträdelse av dataskyddsförordningens bestämmelser, är det dock enligt utredningens bedömning möjligt att påföra administrativa sanktionsavgifter i enlighet med artikel 83 i dataskyddsförordningen. Utredningen bedömer att det inte finns något behov av bestämmelser om administrativa sanktionsavgifter i registerförfattningarna.
Överklagande
Dataskyddsutredningen har föreslagit att dataskyddslagen ska innehålla en bestämmelse om överklagande av personuppgiftsansvariga myndigheters beslut. Den bestämmelsen kommer att vara tillämplig även inom registerförfattningarnas tillämpningsområde, på samma
sätt som personuppgiftslagens bestämmelser är det i dag. Något skäl att reglera överklagandemöjligheten på annat sätt än vad Dataskyddsutredningen föreslagit har inte framkommit. Bestämmelser om överklagande i registerförfattningar som enbart avser beslut om behandling av personuppgifter bör därför upphävas. I de fall registerförfattningen även innehåller överklagandebestämmelser avseende andra beslut än sådana som berör behandling av personuppgifter bör det dock införas en upplysning om att det finns bestämmelser om överklagande i den föreslagna dataskyddslagen.
Uppgiftsskyldigheter
För ett utlämnande av behandlade personuppgifter gäller enligt utredningens bedömning i princip samma förutsättningar enligt dataskyddsförordningen och dataskyddsdirektivet. Utlämnandet måste ske med stöd av ett primärt eller sekundärt ändamål eller vara förenligt med finalitetsprincipen alternativt omfattas av ett tillåtet undantag från den principen. De bestämmelser om uppgiftsskyldighet som finns inom Socialdepartementets verksamhetsområde är därmed lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
Barns personuppgifter
Utredningen har tänkt på barnens rättigheter enligt barnkonventionen när förslagen skrivits. Det behövs inte några nya bestämmelser för att uppfylla det som krävs enligt dataskyddsförordningen i fråga om skyddet av barns personuppgifter.
Författningar som bör upphävas
Utredningen har kommit fram till att två av de författningar som ingått i översynen, förordningen om vårdnadsbidragsregister och förordningen med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister, är obsoleta,
överspelade. De författningarna bör därför inte anpassas till dataskyddsförordningen utan i stället upphävas.
Ikraftträdande och övergångsbestämmelser
Författningsändringar till följd av dataskyddsförordningen bör träda i kraft den 25 maj 2018, medan författningsändringar till följd av den föreslagna brottsdatalagen bör träda i kraft den 1 maj 2018. Utredningen föreslår att övergångsbestämmelser införs avseende bestämmelser om överklagande och skadestånd.
Konsekvenser
Utredningens förslag leder inte till att möjligheten att behandla personuppgifter förändras, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Skyddsåtgärden innebär ett förstärkt skydd av den personliga integriteten. I övrigt medför förslagen inga konsekvenser. Däremot får förstås den direkt tillämpliga dataskyddsförordningen konsekvenser, vilka är generella för alla verksamheter i Sverige och beskrivs översiktligt.
1. Författningsförslag
1.1. Förslag till lag om ändring i socialförsäkringsbalken
Härigenom föreskrivs i fråga om socialförsäkringsbalken
dels att 114 kap. 33 § ska upphöra att gälla,
dels att rubriken närmast före 114 kap. 33 § ska utgå,
dels att 114 kap. 1, 6, 10, 11, 12, 13, 15, 16, 27, 29, 30, 31 och 36 §§
och rubriken närmast före 114 kap. 6 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 6 a §, och närmast före
6 a § en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
114 kap.
1 §1
I detta kapitel finns allmänna bestämmelser i 2–5 §§. Vidare finns bestämmelser om
– personuppgiftslagen och personuppgiftsansvar i 6 §,
– förhållandet till annan dataskyddsreglering i 6 §,
– personuppgiftsansvar i 6 a §,
– ändamål för behandling av personuppgifter i 7–10 §§, – behandling av känsliga personuppgifter m.m. i 11–13 §§, – behandling av personuppgifter i socialförsäkringsdatabasen i 14–16 §§,
– tilldelning av behörighet i 17 §, – direktåtkomst i 18–23 §§, – utlämnande på medium för automatisk behandling i 24–26 a §§, – sökbegrepp i 27 och 28 §§,
1 Senaste lydelse 2012:935.
– överföring av personupp-
gifter till tredje land i 29 §,
– överföring av personupp-
gifter till tredjeland i 29 §,
– information i 30 §, – gallring i 31 §, – avgifter i 32 §,
– rättelse och skadestånd i 33 §,
– kontrollverksamhet i 34 §, – tystnadsplikt i 35 §, och – överklagande i 36 §.
Personuppgiftslagen och personuppgiftsansvar
Förhållandet till annan dataskyddsreglering
6 §
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom socialförsäkringens administration, om inte annat följer av detta kapitel eller föreskrifter som meddelas med stöd av kapitlet eller av personuppgiftslagen . Med socialförsäkringens administration avses i detta kapitel Försäkringskassan och Pensionsmyndigheten.
En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför.
Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt detta kapitel, om inte annat följer av detta kapitel eller föreskrifter som har meddelats med stöd av kapitlet.
Personuppgiftsansvar
6 a §
Med socialförsäkringens administration avses i detta kapitel administration hos Försäkringskassan och Pensionsmyndigheten.
En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför.
10 §
I fråga om behandling av personuppgifter för annat ändamål än vad som anges i 7–9 §§ gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .
Att personuppgifter som behandlas för ändamål som anges i 7 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
11 §
Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) (känsliga person-
uppgifter) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får vidare behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.
Sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679
(känsliga personuppgifter) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får vidare behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.
För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet.
Utöver vad som följer av första stycket första meningen och andra stycket får känsliga personuppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som
behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.
12 §
Uppgifter om lagöverträdelser m.m. som avses i 21 § person-
uppgiftslagen (1998:204)får be-
handlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöverträdelser
m.m. som avses i 21 § personuppgiftslagen får behandlas för
något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.
Uppgifter om lagöverträdelser som innefattar brott, domar i
brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) får behandlas om
uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöverträdelser får behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.
För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana uppgifter om lagöverträdelser m.m. som avses
i 21 § personuppgiftslagen be-
handlas som enligt 15 § får behandlas i socialförsäkringsdatabasen.
För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får uppgifter om lagöverträdelser behandlas som enligt 15 § får behandlas i socialförsäkringsdatabasen.
Utöver vad som följer av första stycket första meningen och andra stycket får sådana uppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana uppgifter om lagöverträdelser än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.
13 §
I 15 § finns särskilda bestämmelser om behandling i socialförsäkringsdatabasen av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen
(1998:204).
I 15 § finns särskilda bestämmelser om behandling i socialförsäkringsdatabasen av sådana känsliga personuppgifter som
avses i 11 § första stycket och sådana uppgifter om lagöverträ-
delser som avses i 12 § första
stycket.
15 §
För de ändamål som anges i 7–10 §§ får, med beaktande av de begränsningar som följer av 7 och 14 §§, identifierings- och adressuppgifter behandlas i socialförsäkringsdatabasen.
Känsliga personuppgifter eller
uppgifter om lagöverträdelser
m.m. som avses i 21 § person-uppgiftslagen (1998:204)får ut-
över vad som anges i 16 § behandlas i socialförsäkringsdatabasen bara om det särskilt anges i lag eller förordning. För sådan behandling gäller de begränsningar som följer av 11 och 12 §§. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen.
Sådana känsliga personupp-
gifter som avses i 11 § första
stycket eller sådana uppgifter om
lagöverträdelser som avses i 12 §
första stycket får, utöver vad som
anges i 16 §, behandlas i socialförsäkringsdatabasen bara om det särskilt anges i lag eller förordning. För sådan behandling gäller de begränsningar som följer av 11 och 12 §§. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen.
16 §
Uppgifter i en handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen även om de utgör känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som
Uppgifter i en handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen även om de utgör sådana känsliga personuppgifter som
avses i 11 § första stycket eller
avses i 21 § personuppgiftslagen
(1998:204). Sådana uppgifter i
en handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen, om uppgifterna är nödvändiga för ärendets handläggning.
sådana uppgifter om lagöverträ-
delser som avses i 12 § första
stycket. Sådana uppgifter i en
handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen, om uppgifterna är nödvändiga för ärendets handläggning.
27 §
Känsliga personuppgifter eller
uppgifter om lagöverträdelser
m.m. som avses i 21 § person-uppgiftslagen (1998:204) får inte
användas som sökbegrepp vid sökning i socialförsäkringsdatabasen.
Sådana känsliga personupp-
gifter som avses i 11 § första
stycket eller sådana uppgifter om
lagöverträdelser som avses i 12 §
första stycket får inte användas
som sökbegrepp vid sökning i socialförsäkringsdatabasen.
Vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.
Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sökbegrepp som får användas.
29 §
Överföring av personuppgifter
till tredje land på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater får ske utan hinder av 33 §
personuppgiftslagen (1998:204).
Personuppgifter får föras över
till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater.
30 §
Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i information
enligt 26 § personuppgiftslagen
Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i sådan information
som avses i artikel 15 i Europa-
(1998:204) om den registrerade
tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall ska
begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.
parlamentets och rådets förordning (EU) 2016/679 om den
registrerade tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess.
31 §
Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för historiska,
statistiska eller vetenskapliga ändamål.
Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för arkivända-
mål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
36 §
I fråga om överklagande av beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) tillämpas bestämmelserna i den lagen. Andra beslut enligt detta kapitel får inte överklagas.
Bestämmelser om överklagande finns i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Andra beslut enligt detta kapitel än sådana som får överklagas enligt de bestämmelser som avses i första stycket får inte överklagas.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.
1.2. Förslag till ändringar i förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen
Härigenom föreslås i fråga om förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen
dels att 5 och 17 §§ ska tas bort,
dels att rubrikerna närmast före 5 och 17 §§ ska tas bort,
dels att 2, 3, 7, 8, 15 och 16 §§ och rubriken närmast före 3 § ska
ha följande lydelse.
Tidigare föreslagen lydelse Utredningens förslag till lydelse
2 §
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig behandlingen.
Första stycket gäller inte om personuppgifter samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om den enskilde har lämnat sitt uttryckliga samtycke till behandlingen. Bestämmel-
serna i 12 § personuppgiftslagen (1998:204) om återkallelse av lämnat samtycke tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag.
Första stycket gäller inte om personuppgifter samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om den enskilde har lämnat sitt uttryckliga samtycke till behandlingen.
Förhållandet till
Förhållandet till
annan dataskyddsreglering
3 §
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom verksamheten vid inspektionen om inte annat följer
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso-
av denna lag eller föreskrifter som har meddelats med stöd av denna lag.
ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
7 §
Personuppgifter får behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 §
första stycket d och andra stycket personuppgiftslagen (1998:204) .
Personuppgifter får behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. Att personuppgifter
som behandlas för ändamål som anges i 6 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
8 §
Känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) och personuppgifter som avses i 21 § samma lag får
behandlas om uppgifterna har lämnats i ett tillsyns- eller granskningsärende eller annars är nödvändiga för handläggningen av ett sådant ärende.
Sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas om
uppgifterna har lämnats i ett
tillsyns- eller granskningsärende eller annars är nödvändiga för handläggningen av ett sådant ärende.
15 §
Information som ska lämnas enligt 26 § personuppgiftslagen (1998:204) behöver inte omfatta
en uppgift som har försetts med en beteckning så att den inte är direkt hänförlig till en enskild.
Sådan information som avses i artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 behöver inte omfatta
en uppgift som har försetts med en beteckning så att den inte är direkt hänförlig till en enskild.
16 §
Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för
historiska, statistiska eller vetenskapliga ändamål.
Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för
arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
1.3. Förslag till lag om ändring i lagen (1996:1156) om receptregister
Härigenom föreskrivs i fråga om lagen (1996:1156) om receptregister2
dels att 24 § ska upphöra att gälla,
dels att rubriken närmast före 24 § ska utgå,
dels att 3, 7 och 20 §§ och rubriken närmast före 3 § ska ha följande
lydelse.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till
Förhållandet till
annan dataskyddsreglering
3 §4
Personuppgiftslagen (1998:204) gäller för behandling av personuppgifter i receptregistret, om inte annat följer av denna lag eller föreskrifter som meddelas i anslutning till denna lag.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
2 Senaste lydelse av 24 § 2009:370. 3 Senaste lydelse 2009:370. 4 Senaste lydelse 2009:370.
7 §5
I fråga om behandling av personuppgifter i receptregistret för annat ändamål än vad som anges i 6 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .
Att personuppgifter som behandlas för ändamål som anges i 6 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
20 §6
E-hälsomyndigheten ska se till att den enskilde får information om personuppgiftsbehandlingen.
Informationen ska innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålen med registret,
3. vilka uppgifter registret får
innehålla,
4. de tystnadsplikts- och säker-
hetsbestämmelser som gäller för registret,
5. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) ,
6. rätten till rättelse av oriktiga eller missvisande uppgifter enligt 24 §,
7. rätten till skadestånd enligt 24 §,
8. de begränsningar i fråga
om sökbegrepp och bevarande av
uppgifter som gäller för registret,
och
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registrerade lämna information om
1. vilka uppgifter registret får
innehålla,
2. de tystnadsplikts- och säker-
hetsbestämmelser som gäller för registret,
3. rätten enligt artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag,
4. de begränsningar i fråga
om sökbegrepp som gäller för registret, och
5 Senaste lydelse 2009:370. 6 Senaste lydelse 2013:1021.
9. att registreringen inte är
frivillig med undantag för ändamål enligt 6 § första stycket 2 och 8.
5. att registreringen inte är
frivillig med undantag för ändamål enligt 6 § första stycket 2 och 8.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.4. Förslag till lag om ändring i lagen (1998:543) om hälsodataregister
Härigenom föreskrivs i fråga om lagen (1998:543) om hälsodataregister
dels att 11 § ska upphöra att gälla,
dels att rubriken närmast före 11 § ska utgå,
dels att 2 § och rubriken närmast före 2 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till
Förhållandet till
annan dataskyddsreglering
2 §
Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd härav, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för hälsodataregister.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.5. Förslag till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
Härigenom föreskrivs i fråga om lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
dels att 9 och 10 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 9 och 10 §§ ska utgå,
dels att 1, 3, 4, 7 och 7 a §§ och rubriken närmast före 4 § ska ha
följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §7
Denna lag tillämpas vid behandling av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier.
Denna lag tillämpas, om inte
annat anges i 3 §, vid behandling
av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier.
3 §
Lagen tillämpas inte vid behandling av personuppgifter hos domstolar. Den tillämpas inte
heller vid behandling av personuppgifter för forsknings- och
statistikändamål.
Lagen tillämpas inte vid behandling av personuppgifter
1. hos domstolar,
2. för forsknings- och stati-
stikändamål, eller
3. som utförs av behöriga myndigheter för syften som anges i 1 kap. 2 § brottsdatalagen (2018:xx).
7 Senaste lydelse 2003:136.
Förhållandet till
personuppgiftslagen m.m.
Förhållandet till
annan dataskyddsreglering
4 §
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom socialtjänsten, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen .
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
7 §
Socialtjänsten får behandla
1. person- och samordningsnummer,
2. känsliga personuppgifter som
avses i 13 § personuppgiftslagen (1998:204), samt
2. sådana särskilda kategorier
av personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter), samt
3. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Personuppgifter enligt första stycket får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten.
Enligt artikel 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 får känsliga
personuppgifter endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
7 a §
I sammanställningar av personuppgifter får det inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden.
I sammanställningar av personuppgifter får det inte tas in
sådana känsliga personuppgifter som avses i 7 § första stycket 2
eller uppgifter i övrigt om ömtåliga personliga förhållanden.
Undantag från första stycket gäller för
1. uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och om den bestämmelse som ett sådant beslut grundar sig på,
2. uppföljning, utvärdering och kvalitetssäkring,
3. tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg,
4. administration som bedrivs av Statens institutionsstyrelse centralt, och
5. verksamhet enligt lagen (2007:606) om utredningar avseende vissa dödsfall.
Uppgift som avslöjar medlemskap i fackförening får aldrig tas in.
1. Denna lag träder i kraft den 1 maj 2018 i fråga om 1 och 3 §§ och i övrigt den 25 maj 2018.
2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.
3. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.6. Förslag till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.
Härigenom föreskrivs i fråga om lagen (2002:297) om biobanker i hälso- och sjukvården m.m.
dels att 4 kap. 4 a § och 6 kap. 2, 3 och 7 §§ och rubriken närmast
före 6 kap. 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 6 kap. 7 a § av följande
lydelse.
Nuvarande lydelse Föreslagen lydelse
4 kap.
4 a §8
En journalhandling inom enskild hälso- och sjukvård som rör en viss patient ska lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till att journalhandlingen lämnas ut. I fråga om vissa känsliga personuppgifter finns föreskrifter i
personuppgiftslagen (1998:204) .
En journalhandling inom enskild hälso- och sjukvård som rör en viss patient ska lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till att journalhandlingen lämnas ut. I fråga om vissa känsliga personuppgifter finns föreskrifter i
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och forskningsdatalagen (2018:xx).
8 Senaste lydelse 2008:358.
Skadestånd m.m. Skadestånd
6 kap.
2 §9
Huvudmannen för biobanken
skall ersätta en enskild provgivare
för den skada eller kränkning av den personliga integriteten som ett förfarande med vävnadsprover i strid med denna lag har orsakat honom eller henne.
Huvudmannen för biobanken
ska ersätta en enskild provgivare
för den skada eller kränkning av den personliga integriteten som ett förfarande med vävnadsprover i strid med denna lag har orsakat honom eller henne.
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om huvudmannen för banken visar att felet inte berodde på honom eller henne.
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats med stöd av lagen.
3 §10
Inspektionen för vård och omsorg utövar tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs. Den myndighet som är tillsynsmyndighet enligt per-
sonuppgiftslagen (1998:204) ut-
övar dock tillsyn över den behandling som sker av personuppgifter.
Inspektionen för vård och omsorg utövar tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs. Den myndighet som är tillsynsmyndighet enligt lagen
(2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning utövar dock tillsyn
över den behandling som sker av personuppgifter.
Den som bedriver verksamhet som står under tillsyn är skyldig att på Inspektionen för vård och omsorgs begäran lämna ut handlingar, prover och annat material som rör verksamheten samt att
9 Ändringen innebär bl.a. att tredje stycket tas bort. 10 Senaste lydelse 2012:947.
lämna de upplysningar om verksamheten som inspektionen behöver för sin tillsyn.
Inspektionen för vård och omsorg får förelägga den som bedriver verksamheten att lämna ut vad som begärs. Ett beslut om föreläggande får förenas med vite.
7 §11
Beslut enligt 4 kap. 6 § första stycket får överklagas till Inspektionen för vård och omsorg. Inspektionens beslut enligt 4 kap. 6 § får inte överklagas.
Inspektionen för vård och omsorgs övriga beslut får överklagas till allmän förvaltningsdomstol.
En annan myndighets beslut om rättelse och om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten. Beslut som Inspektionen för vård och omsorg eller allmän förvaltningsdomstol meddelar enligt denna lag gäller omedelbart, om inte annat anges i beslutet.
7 a §
Bestämmelser om överklagande av myndigheters beslut om sådan behandling av personuppgifter som avses i artikel 2.1 i Europaparlamentets och rådets förordning (EU) 2016/679 finns i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
11 Senaste lydelse 2012:947. Ändringen innebär att tredje stycket tas bort.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter gäller fortfarande för överklagande av beslut om behandling av personuppgifter som har meddelats före ikraftträdandet.
3. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.7. Förslag till lag om ändring i lagen (2005:258) om läkemedelsförteckning
Härigenom föreskrivs i fråga om lagen (2005:258) om läkemedelsförteckning
dels att 8 och 13 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 8 och 13 §§ ska utgå,
dels att 2, 10 och 11 §§ och rubrikerna närmast före 2, 10 och
11 §§ ska ha följande lydelse,
dels att det ska införas en ny paragraf, 4 a §, och närmast före
4 a § en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Förhållande till personuppgiftslagen
Förhållandet till annan dataskyddsreglering
2 §
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter för läkemedelsförteckningen, om inget annat följer av denna lag.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
En registrerad har inte, utom i de fall som avses i 3 § andra stycket, rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.
Behandling av känsliga personuppgifter
4 a §
Enligt artikel 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i samma förordning (känsliga personuppgifter) endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
Information som skall lämnas självmant
Information som ska lämnas självmant
10 §12
E-hälsomyndigheten ska se till att den registrerade får information om läkemedelsförteckningen. Informationen ska innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålet med förteckningen,
3. vilken typ av uppgifter som
ingår i förteckningen,
4. de tystnadsplikts- och säker-
hetsbestämmelser som gäller för förteckningen,
5. rätten att ta del av uppgif-
ter enligt 11 §,
6. rätten till rättelse av oriktiga eller missvisande uppgifter,
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registrerade lämna information om
1. vilken typ av uppgifter som
ingår i förteckningen,
2. de tystnadsplikts- och säker-
hetsbestämmelser som gäller för förteckningen,
3. rätten att ta del av uppgif-
ter enligt 11 §,
12 Senaste lydelse 2013:621 (jfr 2013:1023).
7. rätten till skadestånd vid
behandling av personuppgifter i strid med denna lag,
8. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,
9. vad som gäller i fråga om bevarande och gallring, samt
10. att registreringen inte är
frivillig.
4. rätten till skadestånd vid
behandling av personuppgifter i strid med denna lag,
5. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, samt
6. att registreringen inte är
frivillig.
Information som skall lämnas efter ansökan
Information som ska lämnas efter ansökan
11 §
Den registrerade har rätt att när som helst och så fort som möjligt få sådan information som avses i 26 § personuppgifts-
lagen (1998:204).
Den registrerade har rätt att när som helst och så fort som möjligt få sådan information som avses i artikel 15 i Europa-
parlamentets och rådets förordning (EU) 2016/679.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.8. Förslag till lag om ändring i lagen (2006:351) om genetisk integritet m.m.
Härigenom föreskrivs i fråga om lagen (2006:351) om genetisk integritet m.m. att 1 kap. 4 § och rubriken närmast före 1 kap. 4 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till
Förhållandet till annan
dataskyddsreglering
1 kap.
4 §
Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd av denna, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid behandling av personuppgifter.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
Denna lag träder i kraft den 25 maj 2018.
1.9. Förslag till lag om ändring i lagen (2006:496) om blodsäkerhet
Härigenom föreskrivs i fråga om lagen (2006:496) om blodsäkerhet
dels att 21 § ska upphöra att gälla,
dels att 5 § ska ha följande lydelse,
dels att rubriken närmast före 4 § ska lyda ”Förhållandet till be-
stämmelser i annan lagstiftning”.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till bestämmelser i annan lag
Förhållandet till bestämmelser i annan lagstiftning
5 §
Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid behandling av personuppgifter.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.10. Förslag till lag om ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa
Härigenom föreskrivs i fråga om lagen (2006:1570) om skydd mot internationella hot mot människors hälsa att 12 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
12 §13
Om det bedöms nödvändigt för att skydda mot ett internationellt hot mot människors hälsa ska Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting lämna uppgifter till Världshälsoorganisationen och till berörda utländska myndigheter även om de är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).
Bestämmelser om skydd mot kränkning av en enskilds personliga integritet genom behandling av personuppgifter finns i person-
uppgiftslagen (1998:204). Folk-
hälsomyndigheten och andra berörda myndigheter, kommuner och landsting får oavsett bestäm-
melserna i 33 § personuppgiftslagenöverföra personuppgifter till
Världshälsoorganisationen och
tredje land för att fullgöra sin
uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis automatiserat, om det är nödvändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyldighet enligt denna lag.
Bestämmelser om skydd mot kränkning av en enskilds personliga integritet genom behandling av personuppgifter finns i Europa-
parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning. Folkhälsomyn-
digheten och andra berörda myndigheter, kommuner och landsting får överföra personuppgifter till Världshälsoorganisationen och
tredjeland för att fullgöra sin
13 Senaste lydelse 2014:1550.
uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis automatiserat, om det är nödvändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyldighet enligt denna lag.
Denna lag träder i kraft den 25 maj 2018.
1.11. Förslag till lag om ändring i lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler
Härigenom föreskrivs i fråga om lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler
dels att 26 § ska upphöra att gälla,
dels att 8 § ska ha följande lydelse,
dels att rubriken närmast före 6 § ska lyda ”Förhållandet till be-
stämmelser i annan lagstiftning”.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till bestämmelser i annan lag
Förhållandet till bestämmelser i annan lagstiftning
8 §
Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid behandling av personuppgifter.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.12. Förslag till lag om ändring i patientdatalagen (2008:355)
Härigenom föreskrivs i fråga om patientdatalagen (2008:355)
dels att 8 kap. 3 § och 10 kap. 1 § ska upphöra att gälla,
dels att rubrikerna närmast före 8 kap. 3 §, 10 kap. 1 § och
10 kap. 2 § ska utgå,
dels att 1 kap. 1 och 4 §§, 2 kap. 5, 7 och 8 §§, 7 kap. 3, 8 och
10 §§, 8 kap. 6 och 7 §§, 10 kap. 2 § och rubrikerna närmast före 1 kap. 4 § och 8 kap. 7 § ska ha följande lydelse,
dels att rubriken till 10 kap. ska lyda ”Överklagande”,
dels att det ska införas två nya paragrafer, 1 kap. 5 § och 2 kap.
7 a § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
1 §
Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.
Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Vid behandling av per-
sonuppgifter inom rättspsykiatrisk vård enligt lagen (1991:1129) om rättspsykiatrisk vård tillämpas dock inte […]. I lagen finns också
bestämmelser om skyldighet att föra patientjournal.
Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.
Förhållandet till
Förhållandet till
annan dataskyddsreglering
4 §
Personuppgiftslagen (1998:204) gäller vid sådan behandling av
personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria
att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av
denna lag eller föreskrifter som meddelats med stöd av denna lag.
flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid
sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid sådan behandling av personuppgifter som avses i första stycket, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.
5 §
Inom rättspsykiatrisk vård gäller, i stället för vad som anges i 1 kap. 4 §, brottsdatalagen (2018:xx) om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.
2 kap.
5 §
Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 §
första stycket d och andra stycket personuppgiftslagen (1998:204) .
Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Att personuppgifter
som behandlas för ändamål som anges i 4 § även får behandlas för
andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
7 §
En vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser m.m. som avses i 21 §
personuppgiftslagen (1998:204)får
endast behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en vårdgivare som inte är statlig myndighet, landsting eller kommun får under dessa förutsättningar behandla uppgifter om lagöverträdelser
m.m. som avses i 21 § personuppgiftslagen .
En vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser som innefattar brott,
domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) får endast
behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en vårdgivare som inte är statlig myndighet, landsting eller kommun får under dessa förutsättningar behandla uppgifter om lagöverträdelser.
7 a §
Enligt artikel 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i samma förordning (känsliga personuppgifter) endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
8 §
Känsliga personuppgifter som
avses i13 § personuppgiftslagen
(1998:204) eller uppgifter om
lagöverträdelser m.m. som avses i 21 § samma lag får inte använ-
Sådana känsliga personupp-
gifter som avses i 7 a § eller så-
dana uppgifter om lagöverträ-
delser som avses i 7 § får inte användas som sökbegrepp. Inte
das som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas som sökbegrepp.
heller får uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas som sökbegrepp.
Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter om
1. hälsa, eller 1. hälsa, inklusive genetiska och
biometriska uppgifter och uppgifter om sexuell läggning, eller
2. att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
Regeringen får meddela föreskrifter om att en vårdgivare, trots förbudet i första stycket, får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.
7 kap.
3 §
Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om
1. rätten att när som helst få
uppgifter om sig själv utplånade ur registret,
2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och
Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret.
3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.
Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, ska den lämnas så snart som möjligt därefter.
8 §
Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.
En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.
Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Uppgifter om hälsa får behandlas i nationella och regionala kvalitetsregister. Andra sådana känsliga personuppgifter som avses i 2 kap. 7 a § patientdatalagen får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det. Sådana uppgifter om lagöverträdelser som avses i 2 kap. 7 § får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det. Enligt artikel 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 får sådana känsliga personuppgifter som avses i 2 kap. 7 a § endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
10 §
Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för det ändamål som anges i 4 §.
En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statis-
tiska eller vetenskapliga ändamål.
En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för arkivändamål av
allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Om regeringen eller den myndighet regeringen bestämt har meddelat föreskrifter enligt 7 § andra stycket, får regeringen eller myndigheten också föreskriva att personuppgifter får bevaras för historiska, statistiska
eller vetenskapliga ändamål.
Om regeringen eller den myndighet regeringen bestämt har meddelat föreskrifter enligt 7 § andra stycket, får regeringen eller myndigheten också föreskriva att personuppgifter får bevaras för arkivändamål av all-
mänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
8 kap.
6 §
Den som är personuppgiftsansvarig enligt denna lag ska se till att den registrerade får information om personuppgiftsbehandlingen.
Informationen ska innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålet med behandlingen,
3. vilka kategorier av uppgifter som behandlas,
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registrerade lämna information om
4. den uppgiftsskyldighet som
kan följa av lag eller förordning,
5. de sekretess- och säkerhets-
bestämmelser som gäller för uppgifterna och behandlingen,
6. rätten enligt 4 kap. 4 § att i
vissa fall begära att uppgifter spärras,
7. rätten enligt 5 § att få infor-
mation om den direktåtkomst och elektroniska åtkomst som förekommit,
8. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) ,
9. rätten till rättelse och underrättelse av tredje man enligt 28 § personuppgiftslagen ,
10. rätten enligt 10 kap. 1 § till skadestånd vid behandling av personuppgifter i strid med denna lag,
11. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,
12. vad som gäller i fråga om bevarande och gallring, samt
13. huruvida personuppgiftsbehandlingen är frivillig eller inte.
1. den uppgiftsskyldighet som
kan följa av lag eller förordning,
2. de sekretess- och säkerhets-
bestämmelser som gäller för uppgifterna och behandlingen,
3. rätten enligt 4 kap. 4 § att i
vissa fall begära att uppgifter spärras,
4. rätten enligt 5 § att få infor-
mation om den direktåtkomst och elektroniska åtkomst som förekommit,
5. rätten enligt artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, samt
6. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling.
I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.
Andra rättigheter
enligt denna lag
Andra rättigheter
för den enskilde
7 §
I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.
I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.
Ytterligare föreskrifter om rättigheter för den enskilde finns i Europaparlamentets och rådets förordning (EU) 2016/679.
10 kap.
Skadestånd och överklagande
Överklagande
2 §14
Inspektionen för vård och omsorgs beslut om att avslå en ansökan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.
I fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket gäller i tillämpliga delar 6 kap.7–11 §§offentlighets- och sekretesslagen (2009:400).
Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § finns ytterligare bestämmelser om överklagande i 51–53 §§
personuppgiftslagen (1998:204).
Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § finns ytterligare bestämmelser om överklagande av myndigheters
beslut i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Övriga beslut enligt denna lag får inte överklagas.
14 Senaste lydelse 2012:954.
1. Denna lag träder i kraft den 1 maj 2018 i fråga om 1 kap. 1 och 5 §§ och rubriken närmast före 1 kap. 4 §, och i övrigt den 25 maj 2018.
2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.
3. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.13. Förslag till lag om ändring i apoteksdatalagen (2009:367)
Härigenom föreskrivs i fråga om apoteksdatalagen (2009:367)
dels att 15 § ska upphöra att gälla,
dels att rubrikerna närmast före 2 och 15 §§ ska utgå,
dels att 5, 9 och 16 §§ och rubriken närmast före 5 § ska ha följande
lydelse,
dels att rubriken närmast före 3 § ska sättas närmast före 2 §,
dels att det ska införas en ny paragraf, 9 a §, och närmast före
9 a § en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Förhållande till personuppgiftslagen
Förhållandet till annan dataskyddsreglering
5 §
Personuppgiftslagen (1998:204) gäller för öppenvårdsapotekens behandling av personuppgifter, om inte annat följer av denna lag eller föreskrifter som meddelas i anslutning till denna lag.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
9 §
I fråga om behandling av personuppgifter för annat ändamål än vad som anges i 8 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .
Att personuppgifter som behandlas för ändamål som anges i 8 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
Behandling av känsliga personuppgifter
9 a §
Enligt artikel 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i samma förordning (känsliga personuppgifter) endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
16 §
Tillståndshavaren ska se till att den enskilde får information om personuppgiftsbehandlingen.
Informationen ska innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålen med behandlingen,
3. den uppgiftsskyldighet som
kan följa av lag eller förordning,
4. de tystnadsplikts- och säker-
hetsbestämmelser som gäller för uppgifterna och behandlingen,
5. rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen (1998:204) ,
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registrerade lämna information om
1. den uppgiftsskyldighet som
kan följa av lag eller förordning,
2. de tystnadsplikts- och säker-
hetsbestämmelser som gäller för uppgifterna och behandlingen,
3. rätten enligt artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 och 8 kap.
6. rätten enligt 15 § till rättelse av oriktiga eller missvisande uppgifter,
7. rätten enligt 15 § till skadestånd vid behandling av personuppgifter i strid med denna lag,
8. vad som gäller i fråga om
sökbegrepp,
9. vad som gäller i fråga om bevarande, samt
10. huruvida personuppgiftsbehandlingen är frivillig eller inte.
1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och
4. vad som gäller i fråga om
sökbegrepp.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.14. Förslag till lag om ändring i lagen (2010:111) om införande av socialförsäkringsbalken
Härigenom föreskrivs i fråga om lagen (2010:111) om införande av socialförsäkringsbalken att 9 kap. 22 och 23 §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
9 kap.
22 §
Bestämmelserna i 114 kap. socialförsäkringsbalken tillämpas även i fråga om förmåner som avser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balken om förmåner enligt denna ska då avse förmåner enligt de upphävda författningarna. Bestämmelserna i 114 kap. 33 § balken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet ska även avse behandling enligt den upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration eller föreskrifter som har meddelats i anslutning till den lagen.
Bestämmelserna i 114 kap. socialförsäkringsbalken tillämpas även i fråga om förmåner som avser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balken om förmåner enligt denna ska då avse förmåner enligt de upphävda författningarna.
De upphävda bestämmelserna i
114 kap. 33 § balken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet ska även avse behandling enligt den upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration eller föreskrifter som har meddelats i anslutning till den lagen.
23 §
Bestämmelserna om skadestånd i 114 kap. 33 § socialförsäkringsbalken tillämpas endast om den omständighet som ett yrkande om skadestånd grundas
De upphävda bestämmelserna
om skadestånd i 114 kap. 33 § socialförsäkringsbalken tillämpas endast om den omständighet som ett yrkande om skadestånd
på har inträffat efter utgången av november 2003. I annat fall tillämpas de dessförinnan gällande bestämmelserna.
grundas på har inträffat efter utgången av november 2003, men
före den 25 maj 2018. Har omständigheten inträffat före utgången av november 2003, tillämpas de då gällande bestämmelserna.
Denna lag träder i kraft den 25 maj 2018.
1.15. Förslag till lag om ändring i alkohollagen (2010:1622)
Härigenom föreskrivs i fråga om alkohollagen (2010:1622) att 13 kap. 5 § ska upphöra att gälla.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.16. Förslag till lag om ändring i lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ
Härigenom föreskrivs i fråga om lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ
dels att 8 § ska upphöra att gälla,
dels att 4 § och rubriken närmast före 4 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till annan lag Förhållandet till annan
dataskyddsreglering
4 §
Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid behandling av personuppgifter.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.17. Förslag till lag om ändring i lagen (2012:453) om register över nationella vaccinationsprogram
Härigenom föreskrivs i fråga om lagen (2012:453) om register över nationella vaccinationsprogram
dels att 12 § ska upphöra att gälla,
dels att rubriken närmast före 12 § ska utgå,
dels att 3, 6 och 13 §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 §15
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i Folkhälsomyndighetens verksamhet när det gäller nationella vaccinationsprogram, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
6 §
Personuppgifter får behandlas för
1. framställning av statistik,
2. uppföljning, utvärdering och kvalitetssäkring av nationella vaccinationsprogram, samt
3. forskning och epidemiologiska undersökningar.
15 Senaste lydelse 2013:637.
Personuppgifter som behandlas för de ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första
stycket d och andra stycket personuppgiftslagen (1998:204) .
Personuppgifter som behandlas för de ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Att personuppgifter som
behandlas för ändamål som anges i första stycket även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
13 §16
Folkhälsomyndigheten ska se till att den enskilde får information om personuppgiftsbehandlingen.
Informationen ska innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålen med behandlingen,
3. den uppgiftsskyldighet som
kan följa av lag eller förordning,
4. de tystnadsplikts- och säker-
hetsbestämmelser som gäller för uppgifterna och behandlingen,
5. rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen (1998:204) ,
6. rätten enligt 12 § till rättelse av oriktiga eller missvisande uppgifter,
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registrerade lämna information om
1. den uppgiftsskyldighet som
kan följa av lag eller förordning,
2. de tystnadsplikts- och säker-
hetsbestämmelser som gäller för uppgifterna och behandlingen,
3. rätten enligt artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag,
16 Senaste lydelse 2013:637.
7. rätten enligt 12 § till skadestånd vid behandling av personuppgifter i strid med denna lag,
8. vad som gäller i fråga om
sökbegrepp,
9. vad som gäller i fråga om bevarande, samt
10. att registreringen inte är
frivillig.
4. vad som gäller i fråga om
sökbegrepp, samt
5. att registreringen inte är
frivillig.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.18. Förslag till lag om ändring i lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel
Härigenom föreskrivs i fråga om lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel
dels att 20 § ska upphöra att gälla,
dels att rubrikerna närmast före 3 och 20 §§ ska utgå,
dels att 4, 9 och 21 §§ ska ha följande lydelse,
dels att det ska införas en ny paragraf, 9 a §, och närmast före
4 och 9 a §§ nya rubriker av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till annan dataskyddsreglering
4 §
Personuppgiftslagen (1998:204) gäller för Läkemedelsverkets och E-hälsomyndighetens behandling av personuppgifter i verksamhet som rör ärenden om ansökan om licens för läkemedel, om inte annat följer av denna lag eller föreskrifter som meddelas i anslutning till denna lag.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
9 §
I fråga om behandling av personuppgifter för annat ändamål än vad som anges i 8 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .
Att personuppgifter som behandlas för ändamål som anges i 8 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
Behandling av känsliga personuppgifter
9 a §
Enligt artikel 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i samma förordning (känsliga personuppgifter) endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
21 §
Den personuppgiftsansvarige ska se till att den registrerade får information om personuppgiftsbehandlingen.
Informationen ska innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålen med behandlingen,
3. den uppgiftsskyldighet som
kan följa av lag eller förordning,
4. de sekretess- och säkerhets-
bestämmelser som gäller för uppgifterna och behandlingen,
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registrerade lämna information om
1. den uppgiftsskyldighet som
kan följa av lag eller förordning,
2. de sekretess- och säkerhets-
bestämmelser som gäller för uppgifterna och behandlingen,
5. rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen (1998:204) ,
6. rätten enligt 20 § till rättelse av oriktiga eller missvisande uppgifter och till skadestånd vid behandling av personuppgifter i strid med denna lag,
7. vad som gäller i fråga om
sökbegränsningar, och
8. vad som gäller i fråga om gallring.
3. rätten enligt artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och
4. vad som gäller i fråga om
sökbegränsningar.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.19. Förslag till förordning om ändring i förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter
Härigenom föreskrivs i fråga om förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter att 1 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §17
I denna förordning meddelas föreskrifter om att socialnämnderna skall lämna ut sådana personuppgifter som avses i person-
uppgiftslagen (1998:204) för sta-
tistiska ändamål.
I denna förordning meddelas föreskrifter om att socialnämnderna ska lämna ut sådana personuppgifter som avses i Europa-
parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
för statistiska ändamål.
Denna förordning träder i kraft den 25 maj 2018.
17 Senaste lydelse 2001:942.
1.20. Förslag till förordning om ändring i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten
Härigenom föreskrivs i fråga om förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten
dels att 4 § ska upphöra att gälla,
dels att 1, 2 och 12 §§ ska ha följande lydelse,
dels att det ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §18
Denna förordning reglerar behandlingen av personuppgifter inom socialtjänsten för Statens institutionsstyrelse, kommunala myndigheter, privat verksamhet, Inspektionen för vård och omsorg och Socialstyrelsen enligt lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.
Denna förordning reglerar,
om inte annat anges i 1 a §, be-
handlingen av personuppgifter inom socialtjänsten för Statens institutionsstyrelse, kommunala myndigheter, privat verksamhet, Inspektionen för vård och omsorg och Socialstyrelsen enligt lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.
1 a §
Denna förordning gäller inte vid behandling av personuppgifter som utförs av behöriga myndigheter för syften som anges i 1 kap. 2 § brottsdatalagen (2018:xx).
18 Senaste lydelse 2013:183.
2 §19
Grundläggande bestämmelser om behandling av personuppgifter finns i personuppgiftslagen (1998:204) .
Särskilda bestämmelser om behandling av personuppgifter inom socialtjänsten finns i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, i 12 kap. socialtjänstlagen (2001:453) och i lagen (1993:387) om stöd och service till vissa funktionshindrade.
12 §20
En kommunal myndighet får behandla personuppgifter för
1. handläggning av ärenden om bistånd och annat stöd samt genomförande av beslut om bistånd, stödinsatser, vård och behandling samt annan social service som följer av bestämmelserna i socialtjänstlagen (2001:453) och 2 kap. 7 § lagen (2009:47) om vissa kommunala befogenheter,
2. faderskapsutredningar, utredning om vårdnad av barn, adoptionsärenden samt annan verksamhet inom familjerätten som följer av bestämmelserna i föräldrabalken,
3. handläggning av ärenden och annan verksamhet som följer av bestämmelserna i lagen (1990:52) med särskilda bestämmelser om vård av unga och lagen (1988:870) om vård av missbrukare i vissa fall,
4. handläggning av ärenden om insatser och för särskilda uppgifter som följer av bestämmelserna i lagen (1993:387) om stöd och service till vissa funktionshindrade,
5. handläggning av ärenden om tillstånd till parkering för rörelsehindrade,
6. handläggning av ärenden om bistånd som lämnas av socialnämnd enligt lagstiftning om mottagande av asylsökande m.fl.,
7. handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar,
8. handläggning av ärenden och annan verksamhet inom socialtjänsten som utförs vid kommunal invandrarbyrå,
19 Senaste lydelse 2005:129. 20 Senaste lydelse 2010:42.
9. handläggning av ärenden som följer av bestämmelserna i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare och körkortsförordningen (1998:980), samt
10. tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.
Vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och som följer av bestämmelserna i körkortsförordningen får en kommunal myndighet inte behandla andra känsliga personuppgifter än uppgifter som rör hälsa.
Vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och som följer av bestämmelserna i körkortsförordningen får en kommunal myndighet inte behandla andra
sådana känsliga personuppgifter som avses i 7 § första stycket 2 lagen (2001:454) om behandling av personuppgifter inom socialtjänsten än uppgifter som rör
hälsa.
Denna förordning träder i kraft den 1 maj 2018 i fråga om 1 och 1 a §§ och i övrigt den 25 maj 2018.
1.21. Förslag till förordning om ändring i förordningen (2001:707) om patientregister hos Socialstyrelsen
Härigenom föreskrivs i fråga om förordningen (2001:707) om patientregister hos Socialstyrelsen att 7 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 §
Den information som Socialstyrelsen skall lämna de registrerade enligt 25 § första stycket c) personuppgiftslagen (1998:204) skall omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av oriktiga eller missvisande uppgifter,
5. innebörden och omfatt-
ningen av det sekretess- och säkerhetsskydd som gäller för registret,
6. vad som gäller ifråga om
sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,
7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) , samt
8. vad som gäller om bevarande och gallring av registret.
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om
1. innebörden och omfatt-
ningen av det sekretess- och säkerhetsskydd som gäller för registret, och
2. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling.
Socialstyrelsen skall på lämpligt sätt informera allmänheten om registret.
Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.
Denna förordning träder i kraft den 25 maj 2018.
1.22. Förslag till förordning om ändring i förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen
Härigenom föreskrivs i fråga om förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen att 7 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 §
Den information som Socialstyrelsen skall lämna de registrerade enligt 25 § första stycket c) personuppgiftslagen (1998:204) skall omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av oriktiga eller missvisande uppgifter,
5. innebörden och omfatt-
ningen av det sekretess- och säkerhetsskydd som gäller för registret,
6. vad som gäller ifråga om
sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,
7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) , samt
8. vad som gäller om bevarande och gallring av registret.
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om
1. innebörden och omfatt-
ningen av det sekretess- och säkerhetsskydd som gäller för registret, och
2. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling.
Socialstyrelsen skall på lämpligt sätt informera allmänheten om registret.
Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.
Denna förordning träder i kraft den 25 maj 2018.
1.23. Förslag till förordning om ändring i förordningen (2001:709) om cancerregister hos Socialstyrelsen
Härigenom föreskrivs i fråga om förordningen (2001:709) om cancerregister hos Socialstyrelsen att 7 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 §
Den information som Socialstyrelsen skall lämna de registrerade enligt 25 § första stycket c) personuppgiftslagen (1998:204) skall omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av oriktiga eller missvisande uppgifter,
5. innebörden och omfatt-
ningen av det sekretess- och säkerhetsskydd som gäller för registret,
6. vad som gäller ifråga om
sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,
7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) , samt
8. vad som gäller om bevarande och gallring av registret.
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om
1. innebörden och omfatt-
ningen av det sekretess- och säkerhetsskydd som gäller för registret, och
2. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling.
Socialstyrelsen skall på lämpligt sätt informera allmänheten om registret.
Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.
Denna förordning träder i kraft den 25 maj 2018.
1.24. Förslag till förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration
Härigenom föreslås i fråga om förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration21
dels att 3 c § ska upphöra att gälla,
dels att 8 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 §22
Försäkringskassan får meddela föreskrifter i fråga om
1. formerna för tilldelning av behörighet för åtkomst till socialförsäkringsdatabasen genom en särskild handling,
2. vilka uppgifter i socialförsäkringsdatabasen Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst till och formerna för direktåtkomsten,
4. vilka uppgifter i socialförsäkringsdatabasen Statens tjänstepensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får ha direktåtkomst till,
5. vilka uppgifter i socialförsäkringsdatabasen som får lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation,
6. vilka uppgifter i socialförsäkringsdatabasen som får lämnas ut på medium för automatiserad behandling till organ som driver försäkringsrörelse,
7. begränsningar av de sökbegrepp som får användas vid sökning i socialförsäkringsdatabasen,
8. fastställande av avgifter för utlämnade av uppgifter och handlingar från socialförsäkringsdatabasen, om inte utlämnandet är avgiftsfritt till följd av att det sker till en annan myndighet på grund av att det föreligger en sådan skyldighet i lag eller förordning, och
21 Senaste lydelse av 3 c § 2010:1723. 22 Senaste lydelse 2010:1723.
9. vilka särskilda åtgärder som Försäkringskassan och Pensionsmyndigheten ska vidta för att kontrollera efterlevnaden av bestämmelserna i 114 kap. socialförsäkringsbalken.
Om föreskrifterna enligt första stycket avser uppgifter som faller under Pensionsmyndighetens personuppgiftsansvar enligt 114 kap.
6 § andra stycket socialförsäk-
ringsbalken ska föreskrifterna beslutas i samråd med Pensionsmyndigheten.
Om föreskrifterna enligt första stycket avser uppgifter som faller under Pensionsmyndighetens personuppgiftsansvar enligt 114 kap.
6 a §socialförsäkringsbalken ska
föreskrifterna beslutas i samråd med Pensionsmyndigheten.
1. Denna förordning träder i kraft den 25 maj 2018.
2. Bestämmelsen i 3 c § gäller fortfarande när kommunalt vårdnadsbidrag har lämnats enligt den upphävda lagen (2008:307) om kommunalt vårdnadsbidrag.
1.25. Förslag till förordning om ändring i förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen
Härigenom föreskrivs i fråga om förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen att 6 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §
Den information som Socialstyrelsen skall lämna de registrerade enligt 25 § första stycket c personuppgiftslagen (1998:204) skall omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av oriktiga eller missvisande uppgifter,
5. innebörden och omfatt-
ningen av det sekretess- och säkerhetsskydd som gäller för registret,
6. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,
7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen , samt
8. vad som gäller om bevarande och gallring av registret.
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om
1. innebörden och omfatt-
ningen av det sekretess- och säkerhetsskydd som gäller för registret, och
2. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling.
Socialstyrelsen skall på lämpligt sätt informera allmänheten om registret.
Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.
Denna förordning träder i kraft den 25 maj 2018.
1.26. Förslag till förordning om ändring i förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården
Härigenom föreskrivs i fråga om förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården att 6 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §
Den information som Socialstyrelsen skall lämna de registrerade enligt 25 § första stycket c personuppgiftslagen (1998:204) skall omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av oriktiga eller missvisande uppgifter,
5. innebörden och omfatt-
ningen av det sekretess- och säkerhetsskydd som gäller för registret,
6. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,
7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) , samt
8. vad som gäller om bevarande och gallring av registret.
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om
1. innebörden och omfatt-
ningen av det sekretess- och säkerhetsskydd som gäller för registret, och
2. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling.
Socialstyrelsen skall på lämpligt sätt informera allmänheten om registret.
Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.
Denna förordning träder i kraft den 25 maj 2018.
1.27. Förslag till förordning om ändring i förordningen (2006:196) om register över hälso- och sjukvårdspersonal
Härigenom föreskrivs i fråga om förordningen (2006:196) om register över hälso- och sjukvårdspersonal
dels att 9 § ska upphöra att gälla,
dels att rubriken närmast före 9 § ska utgå,
dels att 2 och 8 §§ ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse
2 §
Personuppgiftslagen (1998:204) gäller utöver denna förordning vid behandlingen av personuppgifter i registret.
Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning, om inte annat följer av denna förordning.
8 §
Socialstyrelsen skall på lämpligt sätt informera den registrerade om registret. Informationen skall ge upplysning om vem som är personuppgiftsansvarig och redovisa ändamålet med registret och vilken typ av uppgifter som
registret får innehålla samt ge
upplysning om
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om
1. de sekretess- och säker-
hetsbestämmelser som gäller för registret,
2. rätten att få information och rättelse enligt personuppgiftslagen (1998:204) ,
1. vilken typ av uppgifter
som registret får innehålla,
2. de sekretess- och säker-
hetsbestämmelser som gäller för registret,
3. rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning,
4. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,
4. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, samt
5. om registreringen är frivillig eller inte.
1. Denna förordning träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.28. Förslag till förordning om ändring i förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen
Härigenom föreskrivs i fråga om förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen att 6 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §
Den information som Socialstyrelsen ska lämna de registrerade enligt 25 § första stycket c personuppgiftslagen (1998:204) ska omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av oriktiga eller missvisande uppgifter,
5. innebörden och omfatt-
ningen av det sekretess- och säkerhetsskydd som gäller för registret,
6. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,
7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen , samt
8. vad som gäller om bevarande och gallring av registret.
Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om
1. innebörden och omfatt-
ningen av det sekretess- och säkerhetsskydd som gäller för registret, samt
2. vad som gäller i fråga om
sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling.
Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.
Denna förordning träder i kraft den 25 maj 2018.
1.29. Förslag till förordning om ändring i förordningen (2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag
Härigenom föreskrivs i fråga om förordningen (2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag
dels att 7 § ska upphöra att gälla,
dels att rubriken närmast före 7 § ska utgå,
dels att 1, 3, 4 och 5 §§ och rubriken närmast före 3 § ska ha
följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §
Denna förordning gäller vid helt eller delvis automatiserad behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över vårdnadsbidrag enligt lagen (2008:307) om kommunalt vårdnadsbidrag.
Denna förordning gäller vid helt eller delvis automatiserad behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över vårdnadsbidrag enligt den
upphävda lagen (2008:307) om
kommunalt vårdnadsbidrag.
Förhållandet till lagen om
den officiella statistiken och personuppgiftslagen
Förhållandet till annan
lagstiftning
3 §
Bestämmelserna i 14 , 15 och 19 §§ lagen ( 2001:99 ) om den officiella statistiken gäller när Statistiska centralbyrån behandlar personuppgifter för att framställa statistik över kommunalt vårdnadsbidrag. Om inte annat följer
Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp-
av angivna bestämmelser eller denna förordning gäller personuppgiftslagen (1998:204) vid Statistiska centralbyråns behandling av personuppgifterna.
gifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Bestämmelserna i 14 , 15 och 19 §§ lagen ( 2001:99 ) om den officiella statistiken gäller när Statistiska centralbyrån behandlar personuppgifter för att framställa statistik över kommunalt vårdnadsbidrag.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning, om inte annat följer av angivna bestämmelser eller denna förordning.
4 §
Behandling av personuppgifter får ske inom ramen för ett uppdrag från regeringen som gäller framställning av statistik över det kommunala vårdnadsbidraget.
Personuppgifter som behandlas för det ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .
Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Att personuppgifter som behandlas för ändamål som anges i första stycket även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
5 §
Utöver vad som följer av 14 § lagen (2001:99) om den officiella statistiken får Statistiska centralbyrån behandla sådana personuppgifter som anges i 2 § förordningen (2009:1421) om skyldighet för kommuner att lämna statistiska uppgifter om kommunalt vårdnadsbidrag.
Utöver vad som följer av 14 § lagen (2001:99) om den officiella statistiken får Statistiska centralbyrån behandla sådana personuppgifter som anges i den
upphävda 2 § förordningen
(2009:1421) om skyldighet för kommuner att lämna statistiska uppgifter om kommunalt vårdnadsbidrag.
Endast sådana uppgifter får behandlas som behövs för de ändamål som anges i 4 §.
1. Denna förordning träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.30. Förslag till förordning om ändring i förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län
Härigenom föreskrivs i fråga om förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län
dels att 6 § ska upphöra att gälla,
dels att rubriken närmast före 6 § ska utgå.
1. Denna förordning träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.31. Förslag till förordning om ändring i förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet
Härigenom föreskrivs i fråga om förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet
dels att 9 § ska upphöra att gälla,
dels att rubriken närmast före 9 § ska utgå,
dels att 3 och 4 §§ och rubriken närmast före 3 § ska ha följande
lydelse.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till
Förhållandet till
annan dataskyddsreglering
3 §
Om inte annat följer av denna förordning, gäller personuppgiftslagen (1998:204) vid Tandvårds- och läkemedelsförmånsverkets behandling av personuppgifter.
Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning, om inte annat följer av denna förordning.
4 §
Tandvårds- och läkemedelsförmånsverket får behandla personuppgifter om det behövs för att:
1. fatta beslut om utformningen av det statliga tandvårdsstödet i fråga om ersättningsberättigande tandvårdsåtgärder, referenspriser för de ersättningsberättigande åtgärderna samt beloppsgränser och ersättningsgrader inom skyddet mot höga kostnader, och
2. genomföra uppföljning av utvecklingen på tandvårdsområdet. Personuppgifter som behandlas för de ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .
Personuppgifter som behandlas för de ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Att personuppgifter som behandlas för ändamål som anges i första stycket även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
1. Denna förordning träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
1.32. Förslag till förordning om ändring i förordningen (2013:413) om kosmetiska produkter
Härigenom föreskrivs i fråga om förordningen (2013:413) om kosmetiska produkter att 1 och 5 §§ och rubriken närmast före 5 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §
Denna förordning är meddelad
1. med stöd av 14 kap. 19 § 1 miljöbalken i fråga om 4 och 6 §§,
2. med stöd av 20 § person-
uppgiftslagen (1998:204) i fråga
om 5 §,
2. med stöd av 3 kap. 8 § lagen
(2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning i fråga om 5 §,
3. med stöd av 8 kap. 7 § regeringsformen i fråga om 8 §,
4. med stöd av 26 kap. 6 § miljöbalken i fråga om 13 och 15 §§,
5. i övrigt med stöd av 14 kap. 8 § miljöbalken.
Undantag från personuppgiftslagen
Behandling av personuppgifter
5 §
Läkemedelsverket får trots
13 § andra stycket personuppgiftslagen (1998:204) utföra de be-
handlingar av personuppgifter som rör hälsa och som är nödvändiga för att fullgöra de skyldigheter som föreskrivs i förordning (EG) nr 1223/2009 samt i övrigt utföra de behandlingar av personuppgifter som rör hälsa i den omfattning behandlingen omfattas av Läkemedelsverkets tillsynsverksamhet.
Läkemedelsverket får utföra de behandlingar av personuppgifter som rör hälsa och som är nödvändiga för att fullgöra de skyldigheter som föreskrivs i förordning (EG) nr 1223/2009 samt i övrigt utföra de behandlingar av personuppgifter som rör hälsa i den omfattning behandlingen omfattas av Läkemedelsverkets tillsynsverksamhet.
Läkemedelsverket är personuppgiftsansvarigt för behandling av personuppgifter som Läkemedelsverket utför för att fullgöra sådana uppgifter som avses i första stycket.
Denna förordning träder i kraft den 25 maj 2018.
1.33. Förslag till förordning om ändring i läkemedelsförordningen (2015:458)
Härigenom föreskrivs i fråga om läkemedelsförordningen (2015:458) att 3 kap. 13 § och rubriken närmast före 3 kap. 13 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Undantag från personuppgiftslagen
Behandling av personuppgifter
3 kap.
13 §
Läkemedelsverket och innehavare av ett godkännande eller en registrering för försäljning får trots bestämmelserna i 13 §
andra stycket personuppgiftslagen (1998:204)utföra de behand-
lingar av personuppgifter som rör hälsa och som är nödvändiga för att fullgöra de skyldigheter som föreskrivs i läkemedelslagen (2015:315) eller i denna förordning.
Läkemedelsverket och innehavare av ett godkännande eller en registrering för försäljning får utföra de behandlingar av personuppgifter som rör hälsa,
inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning, och som är nöd-
vändiga för att fullgöra de skyldigheter som föreskrivs i läkemedelslagen (2015:315) eller i denna förordning.
Läkemedelsverket är personuppgiftsansvarigt för behandling av personuppgifter som verket utför för att fullgöra en sådan skyldighet som avses i första stycket.
Personuppgifter som behandlas av annan än Läkemedelsverket med stöd av första stycket får inte behandlas för några andra ändamål än arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Vad som nu sagts hindrar inte att personuppgifterna behandlas med stöd av ett uttryckligt samtycke från den registrerade.
Läkemedelsverket är personuppgiftsansvarigt för behandling av personuppgifter som verket utför för att fullgöra en sådan skyldighet som avses i första stycket.
Denna förordning träder i kraft den 25 maj 2018.
1.34. Förslag till förordning om upphävande av förordningen (1994:565) om vårdnadsbidragsregister
Härigenom föreskrivs att förordningen (1994:565) om vårdnadsbidragsregister ska upphöra att gälla den 25 maj 2018.
1.35. Förslag till förordning om upphävande av förordningen (1998:156) med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister
Härigenom föreskrivs att förordningen (1998:156) med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister ska upphöra att gälla den 25 maj 2018.
2. Utredningsarbetet och betänkandet
2.1. Utredningsarbetet
Utredningens utredningsdirektiv (dir. 2016:52) finns intagna som bilaga till detta betänkande.
Utredningen har bedrivits på sedvanligt sätt med regelbundna sammanträden och andra kontakter med experter och sakkunniga. Sammanlagt har tre utredningssammanträden hållits. Därutöver har särskilda sammanträden hållits med bl.a. de experter som företräder myndigheter som i dag inte tillämpar en registerförfattning.
Utredningen har vidare gett myndigheter och andra intressenter som på olika sätt påverkas av de många författningar som omfattas av utredningens uppdrag tillfälle att lämna synpunkter. Syftet har varit att säkerställa att förutsättningarna för en ändamålsenlig behandling av personuppgifter inte försämras, om det går att undvika, och även i övrigt få de berörda aktörernas syn på de författningsändringar som utredningen föreslår.
Utredningen har haft kontakter med ett stort antal andra utredningar som har haft i uppdrag att på olika sätt anpassa svensk rätt till den nya EU-regleringen. Detta har i huvudsak skett genom regelbundna möten i den samordningsgrupp som bildats i syfte att försöka skapa enhetlighet när det gäller bl.a. tolkning av bestämmelserna i dataskyddsförordningen. I samordningsgruppen har även representanter för det arbete som bedrivs inom Regeringskansliet med att anpassa författningar till den nya EU-regleringen deltagit. Utredningen har i samordningsgruppen delat med sig av sina texter avseende generella överväganden.
Utöver möten i samordningsgruppen har utredningen haft samråd eller andra kontakter med företrädare för Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06), Forskningsdatautred-
ningen (U 2016:04), Utbildningsdatautredningen (U 2016:03), Utredningen om regleringen av biobanker (S 2016:04) och Totalförsvarsdatautredningen (Fö 2016:01).
2.2. Betänkandets disposition
Betänkandet är indelat i fyra delar, förutom detta kapitel och författningsförslagen samt sammanfattningen.
Den första delen, som omfattar kapitel 3–5, innehåller en allmän bakgrund. Kapitel 3 innehåller en kort beskrivning av gällande rätt. I kapitel 4 beskrivs innehållet i dataskyddsförordningen översiktligt. Kapitel 5 innehåller en kort beskrivning av annat pågående lagstiftningsarbete som har samband med utredningens uppdrag.
I betänkandets andra del, kapitel 6–9, har de generella överväganden som utredningen gjort samlats. I kapitel 6 redovisas några allmänna utgångspunkter för utredningens arbete. I kapitel 7 finns det en redogörelse för de generella konsekvenserna av att personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. I kapitel 8 redogör utredningen för sina slutsatser kring behovet av reglering för de myndigheter och verksamheter inom Socialdepartementets verksamhetsområde som i dag inte har en registerförfattning. Kapitel 9 innehåller de generella bedömningar som utredningen gjort när det gäller befintlig lagstiftning. Övervägandena i det kapitlet har sedan använts som en utgångspunkt vid översynen av de berörda författningarna.
Den tredje delen av betänkandet, som omfattar kapitel 10–14, består av de särskilda överväganden som utredningen har gjort beträffande de författningar som har ingått i översynen. Behovet av anpassning analyseras i separata avsnitt för varje författning. Dessa avsnitt är disponerade på det sättet att samtliga bestämmelser om behandling av personuppgifter i registerförfattningen gås igenom i huvudsak i den ordning de förekommer i respektive författning. Kapitel 10 innehåller överväganden kring de författningar som reglerar behandling av personuppgifter inom en hel verksamhet. I kapitel 11 återfinns övervägandena om författningar som reglerar ett visst register eller en viss informationssamling. Kapitel 12 innehåller bedömningar avseende författningar som inte enbart reglerar behandling av personuppgifter. Författningar som innehåller upp-
giftsskyldigheter berörs i kapitel 13. I kapitel 14 redogörs för författningar som utredningen bedömt inte behöver finnas kvar. Kapitelindelningen i denna del är gjord av pedagogiska skäl och respektive författning har placerats i det kapitel den bedömts höra bäst hemma.
Slutligen finns i betänkandets fjärde del, kapitel 15–17, de avslutande kapitlen. I kapitel 15 berörs ikraftträdande och övergångsbestämmelser. Kapitel 16 innehåller en beskrivning av konsekvenserna av utredningens förslag. En författningskommentar som innehåller hänvisningar till de avsnitt där respektive författningsförslag kommenteras finns i kapitel 17.
Som bilagor till betänkandet har fogats utredningens huvuddirektiv (dir. 2016:52) och dataskyddsförordningen.
BAKGRUND
3. Kort om gällande rätt
3.1. Europarådet
3.1.1. Europakonventionen
Artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonven-
tionen) avser rätt till skydd för privat- och familjeliv. Artikeln lyder
enligt följande:
1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.
2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
Artikel 8 är tillämplig på behandling av personuppgifter men omfattar inte all slags behandling av personuppgifter – frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder av det allmänna.
3.1.2. Dataskyddskonventionen
Europarådets ministerkommitté antog år 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Dataskyddskonventionen trädde i kraft den 1 oktober 1985 och Sverige anslöt sig till den före EU-medlemskapet. Även övriga medlemsstater i EU är anslutna till
dataskyddskonventionen. Dess syfte är att säkerställa den enskildes rätt till personlig integritet och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Tillämpningsområdet är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3).
Dataskyddskonventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande principerna för dataskydd. Konventionsstaterna ska vidta nödvändiga åtgärder i sin nationella lagstiftning för att ge principerna effekt (artikel 4). Det handlar bl.a. om att personuppgifter ska inhämtas och behandlas på ett korrekt sätt bara när det är lagligt och för särskilt angivna ändamål, att personuppgifterna ska vara relevanta med hänsyn till ändamålet och att personuppgifter ska vara riktiga och uppdaterade vid behov (artikel 5). Uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott får inte behandlas automatiserat, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter mot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister ska ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade (artikel 8).
De grundläggande principerna ger ett minimiskydd och bestämmelserna i kapitel II hindrar inte att personuppgifter ges ett mer omfattande skydd än det som föreskrivs i dataskyddskonventionen (artikel 11). En konventionsstat får dock, enligt artikel 12 i kapitel II, inte hindra gränsöverskridande överföring av personuppgifter till en annan konventionsstat bara av skäl som rör integritetsskydd. Avvikelser kan göras även från minimiskyddet enligt dataskyddskonventionen under förutsättning att avvikelserna anges i lag och är nödvändiga i ett demokratiskt samhälle för att bl.a. skydda den registrerades eller andra personers fri- och rättigheter (artikel 9).
Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehåller bestämmelser om hur man kan ansluta sig till konventionen och hur den kan ändras.
Dataskyddskonventionen är för närvarande föremål för en översyn.
3.1.3. Rekommendation om skyddet av hälsouppgifter
I anslutning till konventionen har Europarådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. Rekommendationerna är inte direkt bindande. En av rekommendationerna, Recommendation No. R (97) 5 of the Committe of Ministers to Member States on the protection of medical data, antogs 1997 i syfte att förtydliga vad som gäller för personuppgifter om hälsa (hälsouppgifter) enligt artikel 6 i dataskyddskonventionen. Rekommendationen ersatte en tidigare rekommendation avseende medicinska databanker, som hade antagits 1981. Den nya tekniken föranledde nya ställningstaganden.
Rekommendationen No. R (97) 5 är tillämplig på insamling och automatiserad behandling av hälsouppgifter. Verksamhet utanför hälso- och sjukvårdssektorn, som omfattas av lämpliga skyddsåtgärder i nationell rätt, omfattas dock inte av rekommendationen. (Princip 2)
Här följer en översiktlig redogörelse för innehållet i rekommendationen.
Hälsouppgifter får som huvudregel behandlas endast av sjukvårdspersonal med tystnadsplikt och i övrigt i enlighet med lämpliga säkerhetsåtgärder som ska framgå av nationell rätt. (Princip 3)
Hälsouppgifter ska som huvudregel samlas in från den registrerade och får behandlas enbart för vissa i rekommendationen angivna ändamål. Det ska också finnas stöd för behandlingen i lagstiftning. Ändamålen i rekommendationen avser dels allmänna intressen – folkhälsa, förhindrande av stor fara eller viss brottslighet samt andra allmänna intressen – och dels enskilda intressen. Hälsouppgifter får behandlas för förebyggande hälso- och sjukvård, diagnosticering och behandling av den registrerade eller anhörig med genetisk anknytning, för att skydda den registrerades eller tredje persons grundläggande intressen, för att uppfylla en kontraktuell skyldighet, för att fastställa, göra gällande eller försvara rättsliga anspråk eller med stöd av samtycke utom då nationell rätt föreskriver att samtycke inte kan lämnas. (Princip 4.1–3)
Ett samtycke till behandling av hälsouppgifter ska vara frivilligt, uttryckt och informerat (princip 6).
För genetiska uppgifter anges särskilt att om de samlats in för förebyggande hälso- och sjukvård, diagnosticering eller behandling av den registrerade eller för forskning, ska uppgifterna behandlas endast för dessa ändamål. Det kan dock finnas överordnade intressen som motiverar att genetiska uppgifter används även för andra ändamål; detta under förutsättning att lämpliga säkerhetsåtgärder föreskrivs i lagstiftning. Exempelvis kan genetiska uppgifter behandlas för forskningsändamål och för att fastställa släktskap inom brottsbekämpande verksamhet. (Princip 4.7–9)
Hälsouppgifter får under vissa förutsättningar lämnas ut för ungefär samma ändamål som de uppgifterna ursprungligen fick samlas in för. Utlämnande får ske endast till den som omfattas av sådan tystnadsplikt som gäller sjukvårdspersonal, eller motsvarande tystnadsplikt. Utlämnandet ska också ske med stöd i lagstiftning och utgöra en nödvändig åtgärd i ett demokratiskt samhälle. I vissa fall har den registrerade möjlighet att invända mot utlämnandet. (Princip 7)
Den registrerade ska få information om vilka hälsouppgifter som behandlas om honom eller henne, för vilka ändamål de behandlas, varifrån hälsouppgifterna samlats in, till vilka hälsouppgifterna kan komma att lämnas ut, möjligheten att ta tillbaka ett samtycke, vem som är ansvarig för hälsouppgifterna och möjligheten att ta del av och begära rättelse av hälsouppgifterna. Informationsskyldigheten begränsas dock av vissa angivna undantag. (Princip 5)
Den registrerade ska ha möjlighet att ta del av vilka hälsouppgifter som behandlas om honom eller henne. Begränsningar i rätten att få del av hälsouppgifterna kan göras i lagstiftning om det exempelvis är nödvändigt av skäl som berör allmän säkerhet, om den registrerade eller en anhörig med genetisk anknytning skulle åsamkas allvarlig skada genom att hälsouppgifterna lämnas ut, eller om uppgifterna endast behandlas för statistiska eller forskningsrelaterade skäl och det inte finns någon risk för integritetsintrång. (Princip 8.1 och 2)
Oväntade resultat till följd av en genetisk analys ska meddelas den registrerade om nationell rätt inte förbjuder det, om den registrerade själv frågat efter resultatet och informationen inte riskerar att skada den registrerade eller annan (princip 8.4).
Den registrerade ska också ha möjlighet att begära rättelse av felaktiga hälsouppgifter och, om begäran av rättelse avslås, kunna överklaga beslutet om avslag (princip 8.3).
Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att skydda personuppgifter mot oavsiktlig eller otillåten förstörelse, oavsiktlig förlust samt otillåten tillgång, ändring, utlämnande eller i övrigt otillåten behandling (princip 9). Hälsouppgifter får inte bevaras längre än vad som är nödvändigt för det ändamål för vilket uppgifterna samlats in (princip 10).
Principerna i rekommendationen gäller även överföring av hälsouppgifter till andra länder. Överföring till länder som inte tillhandahåller sådant skydd som dataskyddskonventionen och de aktuella rekommendationerna föreskriver, ska i regel inte förekomma. Överföring kan trots det ske om den registrerade har lämnat samtycke eller det framgår av nationell rätt att överföring ska ske och tillräckliga åtgärder har vidtagits för att tillförsäkra uppgifterna skydd. (Princip 11)
Hälsouppgifter som används för forskningsändamål ska, när det är möjligt, vara anonymiserade. Om anonymisering inte är möjlig, får hälsouppgifter behandlas om samtycke har lämnats, om stöd finns i nationell rätt, eller om användningen av hälsouppgifter i ett avgränsat forskningsprojekt med ett allmänt intresse har tillåtits av en i nationell rätt särskilt utsedd funktion. Det förutsätter dock bl.a. att den registrerade inte uttryckligen motsatt sig behandlingen och att intresset av forskningsprojektet motiverar behandlingen. (Princip 12)
3.1.4. Rekommendation om skyddet av personuppgifter som behandlas för ändamål rörande social trygghet
Europarådets ministerkommitté har också antagit en rekommendation som avser personuppgifter som behandlas inom ramen för de sociala trygghetssystemen, Recommendation No. R (86) 1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes. Rekommendationen antogs 1986 i syfte att ge principer och riktlinjer för behandling av personuppgifter för ändamål rörande social trygghet.
Rekommendationen är tillämplig på behandling av personuppgifter för ”social security purposes” (ändamål hänförliga till social
trygghet). Av definitionen av uttrycket ”social security purposes” framgår att det avser alla de arbetsuppgifter som utförs inom de sociala trygghetssystemen avseende följande förmåner: förmåner vid sjukdom och havandeskap, invaliditetsförmåner, åldersförmåner, efterlevandeförmåner, förmåner vid arbetsskada, förmåner vid dödsfall, arbetslöshetsförmåner och familjeförmåner (princip 1.2).
Här följer en översiktlig redogörelse för innehållet i rekommendationen.
Insamling och lagring av personuppgifter ska begränsas till vad som är nödvändigt för att arbetsuppgifter inom de sociala trygghetssystemen ska kunna utföras. Är personuppgifterna av känslig natur, får de samlas in om det finns stöd i nationell rätt. Personuppgifter som rör ras, politiska åsikter eller religiösa eller andra övertygelser får behandlas enbart om det är absolut nödvändigt för administrationen av en viss förmån. (Princip 3.1)
Personuppgifter ska som huvudregel samlas in från den registrerade men kan även samlas in från andra om det finns stöd för det i nationell rätt. Personuppgifter av känslig natur får samlas in från andra källor än den registrerade endast med stöd av samtycke eller i enlighet med lämpliga säkerhetsåtgärder som ska framgå av nationell rätt. (Princip 3.2 och 3)
Personuppgifter som samlats in för ett visst ändamål får behandlas även för andra ändamål hänförliga till social trygghet (princip 4.1). Utbyte av personuppgifter mellan olika organ inom det sociala trygghetssystemet får ske i den mån det behövs för att arbetsuppgifter ska kunna utföras (princip 4.2). Överföring av personuppgifter över nationsgränser och mellan olika organ inom det sociala trygghetssystemet får också ske om det är nödvändigt för att arbetsuppgifter ska kunna utföras i enlighet med internationella rättsakter (princip 8.1). Till andra organ får uppgifter lämnas ut enbart för ändamål som avser social trygghet eller med stöd av den registrerades samtycke (princip 4.3).
Användningen av nationella identifikationsnummer (personnummer eller liknande) ska omgärdas av lämpliga säkerhetsåtgärder fastställda i nationell rätt (princip 5.1). Lämpliga tekniska och organisatoriska åtgärder ska vidtas även i övrigt för att personuppgifter ska tillförsäkras säkerhet och sekretess (princip 7.1).
Om inte annat framgår av nationell rätt rörande hälsouppgifter eller personuppgifter inom forskning och statistik, får rätten till
insyn och möjligheten att begära rättelse inte begränsas förutom om det är nödvändigt för att förhindra bedrägeri eller utnyttjande av det sociala trygghetssystemet eller för skyddet av enskildas fri- och rättigheter. (Princip 6.1)
Personuppgifter får inte lagras under längre tid än vad som är motiverat för ändamålet eller vad som är behövligt med hänsyn till den registrerades intresse. Personuppgifter som endast ska användas för forskning eller statistik ska, om det är möjligt, anonymiseras. Om det inte är möjligt att använda sig av anonymisering, ska andra lämpliga säkerhetsåtgärder vidtas. (Princip 9)
3.2. Dataskyddsdirektivet
3.2.1. Inledning
Den allmänna regleringen om behandling av personuppgifter inom EU finns för närvarande i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan kallat dataskyddsdirektivet. Dataskyddsdirektivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Dataskyddsdirektivet är direkt bindande för medlemsstaterna i fråga om det resultat som ska uppnås. Medlemsstaterna bestämmer dock själva på vilket sätt dataskyddsdirektivet ska införlivas i den nationella lagstiftningen och de får, inom den ram som anges i dataskyddsdirektivet, närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får inte hindra det fria flödet av personuppgifter inom unionen.
Dataskyddskonventionens roll som grundläggande dokument för automatiserad behandling av personuppgifter inom EU har i praktiken övertagits av dataskyddsdirektivet. EU-domstolen1 har emellertid ansett att artikel 8 i Europakonventionen har betydelse
1 Här och i det följande används namnet EU-domstolen genomgående även när den domstolen meddelat det aktuella avgörandet under namnet EG-domstolen.
vid sidan av dataskyddsdirektivet vid bedömningen av nationella regler som tillåter behandling av personuppgifter.2
Dessutom finns en grundläggande bestämmelse om dataskydd i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02), rättighetsstadgan. I artikeln anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.
3.2.2. Tillämpningsområde
Dataskyddsdirektivet omfattar helt eller delvis automatiserad behandling av personuppgifter. Även manuell behandling av personuppgifter omfattas, om personuppgifterna ingår i eller kommer att ingå i ett register. Däremot omfattas inte behandling av personuppgifter på områden som faller utanför EU-rätten, t.ex. allmän säkerhet, försvar, medlemsstaternas säkerhet och medlemsstaternas verksamhet på straffrättens område. Dataskyddsdirektivet gäller inte heller för sådan behandling av personuppgifter som en fysisk person bedriver som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. (Artikel 3)
3.2.3. Grundläggande krav och principer
Dataskyddsdirektivet innehåller en rad grundläggande krav på behandlingen av personuppgifter. Det åligger den registeransvarige (i dataskyddsdirektivet används begreppet registeransvarig, som i sak motsvarar begreppet personuppgiftsansvarig) att säkerställa att kraven efterlevs (artikel 6.2). All behandling av personuppgifter måste vara laglig och korrekt. Personuppgifter får bara samlas in
2 EU-domstolens dom av den 20 maj 2003, Rechnungshof (C-465/00) mot Österreichischer Rundfunk m.fl. och Christa Neukomm (C-138/01) och Joseph Lauermann (C-139/01) mot Österreichischer Rundfunk, EU:C:2003:294.
för särskilda, uttryckligt angivna och berättigade ändamål och senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål (finalitetsprincipen). Personuppgifterna måste vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till ändamålet. Vidare ska personuppgifterna vara riktiga och aktuella och alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter vid behov utplånas eller rättas. Förvaring av personuppgifter ska ske på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt med hänsyn till ändamålet. (Artikel 6)
Personuppgifter får enligt dataskyddsdirektivet behandlas bara i vissa fall. Personuppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att skydda intressen som är av grundläggande betydelse för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas (intresseavvägning). (Artikel 7)
3.2.4. Känsliga personuppgifter
Vissa särskilda, i dataskyddsdirektivet angivna kategorier av uppgifter, får som huvudregel inte behandlas. Det gäller sådana uppgifter som avslöjar den registrerades ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv (artikel 8.1). Det finns dock undantag från denna huvudregel. Behandling av sådana personuppgifter får t.ex. ske om den registrerade lämnat sitt uttryckliga samtycke till behandlingen, om behandlingen är nödvändig för att fullgöra skyldigheter och rättigheter inom arbetsrätten eller om behandlingen är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke. Ideella verksamheter med politiskt, filosofiskt,
religiöst eller fackligt syfte kan behandla känsliga personuppgifter om sina medlemmar och personuppgifter kan också behandlas om uppgifterna på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. (Artikel 8.2) Inom hälso- och sjukvården kan känsliga personuppgifter behandlas om det är nödvändigt med hänsyn till vård, behandling, medicinska diagnoser eller administration eller när dessa uppgifter behandlas av någon som omfattas av krav på tystnadsplikt (artikel 8.3).
Medlemsstaterna kan i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag av hänsyn till ett viktigt allmänt intresse (artikel 8.4).
Behandling av uppgifter om lagöverträdelser måste ske under kontroll av en myndighet eller med stöd av särskild lagstiftning (artikel 8.5).
3.2.5. Rättigheter och skyldigheter
Enligt dataskyddsdirektivet ska den registeransvarige informera den registrerade när personuppgifter är föremål för behandling. Den registrerade ska också få en beskrivning av ändamålet med behandlingen samt få annan information som behövs för att den registrerade ska kunna tillvarata sina rättigheter. Information som den registrerade redan känner till behöver inte lämnas. Om personuppgifterna har samlats in från någon annan än den registrerade, behöver information inte lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. (Artikel 10 och 11)
Den registrerade har även rätt att på begäran få information om huruvida uppgifter som rör honom eller henne behandlas eller inte och information om ändamål, uppgiftskategorier och eventuella mottagare av personuppgifterna (artikel 12 a).
Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med dataskyddsdirektivet rättade, utplånade eller blockerade. Om en uppgift rättas ska den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behöver dock inte ske i de fall där en underrättelse
visar sig vara omöjlig eller förenad med en oproportionerligt stor ansträngning. (Artikel 12 b)
Medlemsstaterna får föreskriva begränsningar i fråga om bl.a. informationsskyldigheten och rätten att på begäran få tillgång till personuppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. allmän säkerhet, åtgärder mot brott eller överträdelser av etiska regler, viktiga ekonomiska eller finansiella intressen (inklusive monetära frågor, budgetfrågor och skattefrågor), en tillsyns-, inspektions- eller regleringsfunktion som har samband med myndighetsutövning i fall som nämnts ovan och skyddet av den registrerades eller andras fri- och rättigheter. (Artikel 13)
Den registrerade ska enligt dataskyddsdirektivet ha rätt att när som helst, av skäl som rör hans personliga situation, motsätta sig sådan behandling av sina personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning. Detta gäller dock endast om nationell lagstiftning inte föreskriver något annat. Den registeransvarige får inte längre behandla uppgifterna om den registrerades invändning är berättigad. (Artikel 14 a)
Den registrerade ska också ha rätt att slippa bli föremål för ett beslut som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma den registrerades personliga egenskaper. Denna rättighet gäller dock inte om beslutet fattas som ett led i ingåendet eller fullgörandet av ett avtal eller om beslutet tillåts i lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen. (Artikel 15)
Till skydd för den registrerade innehåller dataskyddsdirektivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder ska den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning (artikel 17).
3.2.6. Tillsynsmyndighet och anmälningsplikt
Enligt dataskyddsdirektivet ska varje medlemsstat se till att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av dataskyddsdirektivet. Ett relativt omfattande anmälningsförfarande till tillsynsmyndigheten vid behandling av personuppgifter är tänkt att ge tillsynsmyndigheten och allmänheten insyn i behandlingarna. Undantag från anmälningsplikten får dock föreskrivas under vissa förutsättningar. Bland annat krävs ingen anmälan om den registeransvarige i enlighet med nationell lagstiftning utser ett uppgiftsskyddsombud (personuppgiftsombud) som ser till att behandlingen av personuppgifter är lagenlig och dessutom upprättar ett register över de behandlingar som utförs av den registeransvarige. (Artikel 18–21)
3.2.7. När uppgifter behandlas i strid med lagstiftningen
Om personuppgifter inte behandlas i enlighet med den nationella lagstiftning som införs till följd av dataskyddsdirektivet, ska det enligt dataskyddsdirektivet finnas möjlighet att föra talan inför domstol. Det ska också finnas möjlighet att få ersättning av den registeransvarige för eventuell skada som uppstått till följd av en otillåten behandling. Medlemsstaterna ska besluta om sanktioner som ska användas vid överträdelse av dataskyddsbestämmelser. (Artikel 22–24)
3.2.8. Överföring till tredjeland
Dataskyddsdirektivet syftar till ett fritt flöde av personuppgifter mellan medlemsstaterna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför EU eller EES (tredjeland), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen. I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte
erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. (Artikel 25 och 26)
3.3. Personuppgiftslagen
3.3.1. Tillämpningsområdet
I Sverige har dataskyddsdirektivet genomförts genom personuppgiftslagen (1998:204) och ett antal andra författningar som kompletterar personuppgiftslagen eller innehåller särreglering i förhållande till personuppgiftslagen. Personuppgiftslagen trädde i kraft den 24 oktober 1998 och ersatte den tidigare gällande datalagen (1973:289).
Personuppgiftslagen är till skillnad från datalagen teknikoberoende i den meningen att den i fråga om automatiserad behandling inte begränsas till dataregister. All automatiserad behandling av personuppgifter omfattas av personuppgiftslagen, inklusive behandling av sådana personuppgifter som framgår av bild eller ljud. En personuppgift är enligt 3 § all slags information som direkt eller indirekt kan hänföras till en enskild person som är i livet.
Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks i samband med att deras personuppgifter behandlas (1 §). Tillämpningsområdet har dock begränsats genom en rad bestämmelser. Personuppgiftslagen är för det första subsidiär i förhållande till annan lagstiftning (2 §), vilket innebär att om det i en annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, ska de andra bestämmelserna gälla. Personuppgiftslagen omfattar inte heller sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Av förtydligande skäl anges att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen att tillämpa lagens regler (7 § första stycket). Motsvarande gäller när en tillämpning av personuppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen (8 § första stycket). Andra undantag i fråga
om personuppgiftslagens tillämpningsområde gäller behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 § andra stycket). Slutligen gäller vissa undantag från tillämpning av personuppgiftslagen som tar sikte på arkivering av handlingar (8 § andra stycket).
Personuppgiftslagen innehåller generella regler och omfattar såväl myndigheter som enskilda. Även verksamheter som faller utanför unionsrättens område omfattas. Det förutsattes vid lagens tillkomst att behov av undantag och preciseringar för speciella områden skulle tillgodoses genom särskild lagstiftning.3
3.3.2. Hanteringsregler
Personuppgiftslagen ställer inte något krav på tillstånd för inrättande och förande av personregister eller annan behandling av personuppgifter. I stället innehåller lagen en rad hanteringsregler för behandling av personuppgifter. Regleringen omfattar all användning av personuppgifter oavsett syfte, omfattning och art och oavsett om hanteringen kan betecknas som harmlös eller känslig från integritetssynpunkt. Paragraferna beskriver hur personuppgifter ska hanteras från det att de samlas in till dess att de utplånas.
Hanteringsreglerna omfattar bl.a. vissa grundläggande krav på behandlingen av personuppgifter, förutsättningar för när behandling över huvud taget är tillåten, förutsättningar för att få behandla känsliga personuppgifter, uppgifter om lagöverträdelser och personnummer samt krav på information till den registrerade.
De grundläggande kraven gäller för all strukturerad behandling av personuppgifter (9 §). Personuppgifter ska behandlas på ett korrekt sätt, i enlighet med god sed och bara om det är lagligt. Insamling av personuppgifter får ske enbart för särskilda, uttryckligt angivna och berättigade ändamål och de insamlade personuppgifterna får inte senare behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (finalitetsprincipen). Personuppgifter ska vara adekvata och relevanta i förhållande till ändamålet och behandlingen får inte avse fler personuppgifter än
vad som är nödvändigt. Uppgifterna ska också vara riktiga och, om det är nödvändigt, aktuella.
I personuppgiftslagen anges vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten (10 §). Personuppgifter får behandlas med samtycke eller om behandlingen är nödvändig för något av ett antal uppräknade syften. Är en behandling nödvändig för att ett avtal med den registrerade ska kunna fullgöras eller för att åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, så kan den vara tillåten. En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet, för att vitala intressen för den registrerade ska kunna skyddas eller för att en arbetsuppgift av allmänt intresse ska kunna utföras. Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen kan en behandling vara tillåten med stöd av en intresseavvägning.
Känsliga personuppgifter får som huvudregel inte behandlas (13 §). Med känsliga personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv. Vissa undantag görs från förbudet – när den enskilde uttryckligen samtyckt till behandlingen, om behandlingen är nödvändig bl.a. för att skydda vitala intressen hos den registrerade eller någon annan och den registrerade inte kan lämna sitt samtycke, inom hälso- och sjukvården samt för forsknings- och statistikändamål (15–19 §§). Enligt personuppgiftslagen får regeringen eller den myndighet som regeringen bestämmer medge ytterligare undantag från förbudet att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. Enligt 8 § personuppgiftsförordningen (1998:1191) får myndigheter, utöver vad som anges i 15–19 §§personuppgiftslagen, behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövan-
den (21 §). Uppgifter om personnummer och samordningsnummer får behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (22 §).
I personuppgiftslagen finns det bestämmelser som innebär en skyldighet för den personuppgiftsansvarige att självmant lämna viss information om behandlingen av personuppgifter till den registrerade. Informationen ska omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen, och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Det finns vissa undantag från bestämmelserna om informationsskyldighet. Information behöver t.ex. inte lämnas om sådant som den registrerade redan känner till. Den personuppgiftsansvarige är också skyldig att efter ansökan en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte samt viss information om behandlingen. (23–27 §§) Enligt 28 § personuppgiftslagen ska den personuppgiftsansvarige på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med lagen.
Personuppgiftslagen innehåller också vissa bestämmelser om säkerheten vid behandlingen av personuppgifter. Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. (30–32 §§)
Det är som huvudregel förbjudet att till tredjeland föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Personuppgiftslagen innehåller dock vissa undantag till detta förbud. (33–35 §§)
Den personuppgiftsansvarige är skyldig att anmäla all behandling av personuppgifter till tillsynsmyndigheten. Anmälningsskyldigheten gäller dock inte om den personuppgiftsansvarige utser ett personuppgiftsombud. (36–37 §§)
3.3.3. Ostrukturerat material
Hanteringsreglerna gäller för behandling av personuppgifter i strukturerat material som traditionella dataregister, databaser och ärende- och dokumenthanteringssystem. För behandling av personuppgifter i ostrukturerat material som löpande text i ordbehandlingsprogram, i e-post, på internet eller i enstaka ljud- eller bildupptagningar gäller i stället en förenklad reglering av missbruksmodell. Det innebär att sådan behandling av personuppgifter är undantagen från samtliga hanteringsregler i personuppgiftslagen som det har bedömts möjligt att göra undantag från inom ramen för dataskyddsdirektivet. I stället gäller att behandlingen inte får utföras om den innebär en kränkning av den registrerades personliga integritet (5 a §). Särregleringen för behandling av personuppgifter i ostrukturerat material brukar kallas för missbruksregeln.
3.4. Registerförfattningar inom Socialdepartementets verksamhetsområde
3.4.1. Ett stort antal författningar
Registerförfattningar gäller utöver eller i stället för personuppgiftslagen. Tanken är att författningarna ska ge berörda personuppgiftsansvariga ett mer anpassat regelverk när det finns behov av att avvika från eller komplettera det integritetsskydd som personuppgiftslagen ger.
Den 1 januari 2011 trädde en ny grundlagsbestämmelse, 2 kap. 6 § andra stycket regeringsformen (RF), i kraft. Enligt bestämmelsen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Det stärkta grundlagsskyddet innebär att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag (2 kap. 20 § RF) och under de förutsättningar som anges 2 kap. 21 och 22 §§ RF. Enligt övergångsbestämmelserna har äldre föreskrifter, som inneburit ett betydande intrång i den personliga integriteten, fortsatt att gälla till och med den 31 december 2015. Fram till dess har också ändringar kunnat göras i dessa föreskrifter.
Det är inte helt självklart att sådana bestämmelser som finns i registerförfattningar alltid måste anses utgöra sådan reglering som medför ett betydande intrång i den personliga integriteten. Informationshanteringsutredningen (Ju 2011:11) har i sitt betänkande argumenterat för att så inte är fallet.4 I den mån bestämmelserna tillåter ett sådant betydande intrång i den personliga integriteten som avses i grundlagsbestämmelsen, måste dock regleringen ske i lag.
Det kan i sammanhanget noteras att det länge har varit ett uttalat mål från regering och riksdag att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt i lag, dvs. inte av den generella dataskyddslagstiftningen.5
Behovet av en särskild författningsreglering kan uppstå av olika anledningar. När en nödvändig behandling av personuppgifter över huvud taget inte är tillåten enligt personuppgiftslagen, kan det exempelvis finnas skäl att ge ett uttryckligt stöd i en registerförfattning. Samma sak gäller när personuppgiftslagen visserligen reglerar ett visst förhållande men det finns anledning att avvika från eller precisera den regleringen. Ibland kan personuppgiftslagens bestämmelser ge upphov till tolkningsproblem, vilket kan ge anledning att göra förtydliganden i registerförfattning. Stora och känsliga uppgiftsmängder kan behöva omgärdas av särskilda begränsningar ur ett integritetsperspektiv och ibland kan det finnas anledning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar.6
Inom Socialdepartementets verksamhetsområde finns ett stort antal författningar som innehåller bestämmelser om behandling av personuppgifter av olika slag. Författningarna skiljer sig åt i fråga om såväl utformning och struktur som syfte. Vissa författningar har som övergripande funktion att utöver personuppgiftslagen särreglera behandling av personuppgifter inom vissa särskilda verksamheter eller myndigheter. Andra författningar avser att reglera register som ska/får föras och som ska/kan ha ett visst innehåll. Det finns också författningar vars främsta syfte inte är att reglera ett visst register eller annan behandling av personuppgifter, utan bara till en mindre del innehåller bestämmelser som rör behandling
4SOU 2015:39 s. 185 ff. 5 Se bland annat prop. 1990/91:60 s. 58, KU 1990/91:11 s. 11 och prop. 1997/98:44 s. 41. 6 För en beskrivning och kartläggning av registerförfattningar, se betänkandet Myndighetsdatalagen, SOU 2015:39 s. 71–72 och 83 ff.
av personuppgifter och i den delen utgör särreglering i förhållande till personuppgiftslagen. Vidare finns författningar som reglerar uppgiftsskyldigheter.
3.4.2. Lagstiftning som reglerar en verksamhet
Sådana författningar som i förhållande till personuppgiftslagen särreglerar behandling av personuppgifter inom vissa verksamheter eller myndigheter utgörs vanligtvis av lagar som kompletteras av förordningar med mer detaljerade bestämmelser. Det finns dock även fristående förordningar som har samma syfte.
Författningarna är ofta uppbyggda på liknande sätt och innehåller bestämmelser om tillämpningsområde, förhållandet till personuppgiftslagen, personuppgiftsansvar, primära ändamål för myndighetens egen användning av personuppgifter och sekundära ändamål för utlämnande av personuppgifter till externa mottagare, vilka personuppgifter som får behandlas, sökbegrepp, behörighetsbegränsningar, direktåtkomst och annat elektroniskt utlämnande, bevarande och gallring samt frågor om rättelse, skadestånd och överklagande. Alla författningar innehåller dock inte alla typer av bestämmelser utan författningarnas omfattning och detaljeringsgrad varierar.
Inom Socialdepartementets verksamhetsområde finns flera författningar som reglerar behandling av personuppgifter inom en viss verksamhet. I samtliga dessa författningar anges att personuppgiftslagen gäller om inget annat följer av den aktuella författningen eller av föreskrifter som meddelats i anslutning till denna. I några av författningarna anges också i förtydligande syfte att även annan lagstiftning kan gälla före personuppgiftslagen. I fråga om rättelse och skadestånd hänvisas genomgående till personuppgiftslagens bestämmelser. Vissa författningar, t.ex. 114 kap. socialförsäkringsbalken, gäller bara för myndigheter, medan andra, t.ex. patientdatalagen (2008:355), gäller både för myndigheter och enskilda.
I kapitel 10 går utredningen igenom de författningar som reglerar behandling av personuppgifter inom en viss verksamhet inom Socialdepartementets verksamhetsområde. Författningarna räknas upp nedan (i kronologisk ordning). Uppräkningen omfattar även några författningar som endast innehåller enstaka bestämmelser om behandling av personuppgifter som på olika sätt anknyter till någon
av de författningar som reglerar behandling av personuppgifter inom en viss verksamhet. Det rör sig om förordningen (1985:796) med vissa bemyndiganden för Socialstyrelsen att meddela föreskrifter m.m., förordningen (2008:363) om provtagning för hivinfektion, 112 kap. socialförsäkringsbalken och lagen (2010:111) om införande av socialförsäkringsbalken.
- Förordningen (1985:796) med vissa bemyndiganden för Socialstyrelsen att meddela föreskrifter m.m.
- Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och den anknytande förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten
- Patientdatalagen (2008:355) och den anknytande patientdataförordningen (2008:360)
- Förordningen (2008:363) om provtagning för hivinfektion
- Apoteksdatalagen (2009:367) och den anknytande apoteksdataförordningen (2009:624)
- Förordningen (2009:1422) om behandling av personuppgifter i
Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag
- 112 kap. socialförsäkringsbalken (2010:110)
- 114 kap. socialförsäkringsbalken (2010:110) och den anknytande förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration
- Lag (2010:111) om införande av socialförsäkringsbalken
- Förordningen (2011:306) om behandling av personuppgifter i
Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet
- Lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel och den anknytande förordningen (2016:533) om behandling av personuppgifter i ärenden om licens för läkemedel
- Den föreslagna lagen om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen
3.4.3. Lagstiftning som reglerar ett register eller en informationssamling
Flera av myndigheterna under Socialdepartementet administrerar register som innehåller stora mängder personuppgifter om många personer. Några exempel är Socialstyrelsen som ansvarar för de olika hälsodataregistren, E-hälsomyndigheten som för ett register över förskrivningar av läkemedel och andra varor för människor (receptregister) och Folkhälsomyndigheten som för register över nationella vaccinationsprogram. De författningar som specifikt reglerar behandlingen av personuppgifter i dessa och liknande register har ett tydligt fokus på dataskyddsreglering. Författningarna anger avvikande eller mer preciserade bestämmelser i förhållande till personuppgiftslagen och på så sätt framgår det tydligt vad myndigheten ska eller får göra vid förandet av ett register.
Det är vanligt att det i författningarna finns bestämmelser om förhållandet till personuppgiftslagen, betydelsen av den registrerades inställning till behandlingen, personuppgiftsansvar, registrets ändamål, personuppgifter som får behandlas, sökbegränsningar, direktåtkomst, utlämnande på medium för automatiserad behandling, uppgiftsskyldigheter, information som ska lämnas, behörighetstilldelning, gallring, rättelse och skadestånd.
Av majoriteten av författningarna framgår att personuppgiftslagen gäller om inget annat följer av den aktuella författningen eller av föreskrifter som meddelats i anslutning till författningen. I övriga författningar anges inte förhållandet till personuppgiftslagen. I de fall frågan om rättelse och skadestånd har tagits upp, hänvisas genomgående till personuppgiftslagens bestämmelser. I samtliga författningar anges en myndighet vara personuppgiftsanvarig för registret.
I kapitel 11 går utredningen igenom de författningar som reglerar ett visst register eller en informationssamling inom Socialdepartementets verksamhetsområde. Författningarna räknas upp nedan (i kronologisk ordning). Förordningen (1992:62) om bevarande av
registret rörande vissa alkoholbrott m.m. skiljer sig från övriga författningar genom att enbart reglera frågan om bevarande.
- Förordningen (1992:62) om bevarande av registret rörande vissa alkoholbrott m.m.
- Lagen (1996:1156) om receptregister och den anknytande förordningen (2009:625) om receptregister
- Lagen (1998:543) om hälsodataregister och följande anknytande förordningar: – Förordningen (2001:707) om patientregister hos Socialstyrelsen – Förordningen (2001:708) om medicinskt födelseregister hos
Socialstyrelsen – Förordningen (2001:709) om cancerregister hos Socialstyrelsen – Förordningen (2005:363) om läkemedelsregister hos Social-
styrelsen – Förordningen (2006:94) om register hos Socialstyrelsen över
insatser inom den kommunala hälso- och sjukvården – Förordningen (2008:194) om tandhälsoregister hos Social-
styrelsen – Förordningen (2011:116) om register hos Socialstyrelsen över
läkemedel som lämnats ut från apotek i Jämtlands län
3.4.4. Lagstiftning som bland annat reglerar behandling av personuppgifter
Utöver de mer traditionella registerförfattningarna finns många författningar vars främsta syfte inte är att reglera förandet av ett visst register eller annan behandling av personuppgifter men i an-
slutning till annan verksamhetsreglering också anger vad som gäller i fråga om viss behandling av personuppgifter.
Inom Socialdepartementets verksamhetsområde finns några olika kategorier av författningar som delvis innehåller reglering av behandling av personuppgifter. Det finns några författningar på socialtjänstområdet, som bl. a. innehåller bestämmelser om gallring av personuppgifter. Ett antal författningar som avser hantering av humanbiologiskt material reglerar även vad som gäller ur ett personuppgiftsperspektiv. Några lagar specificerar vad som gäller i fråga om överföring av personuppgifter till tredjeland medan det i andra lagar finns bestämmelser om register som ska föras. Vissa författningar innehåller bestämmelser om att uppgifter som ska lämnas ut ska eller får överföras elektroniskt. Det finns också exempel på bestämmelser om automatiserade beslut och undantag från förbudet att behandla känsliga personuppgifter. Vissa av de personuppgiftsrelaterade bestämmelserna riktar sig enbart till myndigheter, t.ex. bestämmelserna förordningen (2013:413) om kosmetiska produkter, medan andra gäller både för myndigheter och enskilda, t.ex. socialtjänstlagen (2001:453), lagen (2006:496) om blodsäkerhet och lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler. Tobakslagens bestämmelser riktar sig enbart till enskilda.
I kapitel 12 går utredningen igenom de författningar inom Socialdepartementets verksamhetsområde vars främsta syfte inte är att reglera behandling av personuppgifter men som ändå innehåller sådana bestämmelser. Nedan följer en uppräkning (i kronologisk ordning) av dessa författningar.
- Förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter
- Lagen (1991:1047) om sjuklön
- Lagen (1993:387) om stöd och service till vissa funktionshindrade och den anknytande förordningen (1993:1090) om stöd och service till vissa funktionshindrade
- Tobakslagen (1993:581)
- Bostadsbidragsförordningen (1993:739)
- Förordningen (1996:1036) om underhållsstöd
- Förordningen (1998:562) med vissa bemyndiganden för Försäkringskassan
- Förordningen (1998:1340) om inkomstgrundad ålderspension
- Socialtjänstlagen (2001:453) och den anknytande socialtjänstförordningen (2001:937)
- Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och den anknytande förordningen (2002:746) om biobanker i hälso- och sjukvården m.m.
- Lagen (2006:351) om genetisk integritet m.m.
- Lagen (2006:496) om blodsäkerhet och den anknytande förordningen (2006:497) om blodsäkerhet
- Lagen (2006:1570) om skydd mot internationella hot mot människors hälsa
- Förordningen (2008:193) om statligt tandvårdsstöd
- Lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler och den anknytande förordningen (2008:414) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler
- Lagen (2009:366) om handel med läkemedel och den anknytande förordningen (2009:659) om handel med läkemedel
- Förordningen (2010:425) om ersättning för kostnader för sjuklön
- Patientsäkerhetslagen (2010:659) och den anknytande patientsäkerhetsförordningen (2010:1369)
- Alkohollagen (2010:1622)
- Lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ och den anknytande förordningen (2012:346) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ
- Förordningen (2013:413) om kosmetiska produkter
- Läkemedelslagen (2015:315) och den anknytande läkemedelsförordningen (2015:458)
3.4.5. Lagstiftning som reglerar uppgiftsskyldigheter
Det finns inom Socialdepartementets verksamhetsområde ett antal författningar som föreskriver olika uppgiftsskyldigheter. Uppgiftsskyldigheterna härrör från myndigheternas stora behov av att utbyta och inhämta uppgifter från såväl andra myndigheter som enskilda.
I kapitel 13 tar utredningen upp författningar som innehåller uppgiftsskyldigheter men som i övrigt inte reglerar någon behandling av personuppgifter. Författningar som även innehåller bestämmelser om hur personuppgifter ska lämnas ut – t.ex. automatiserat eller via direktåtkomst – är sådan lagstiftning som avses i kap. 10–12.
4. Dataskyddsförordningen
4.1. Inledning
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och ersätter dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018. Det huvudsakliga syftet med dataskyddsförordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.
Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men det har även tillkommit några nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna, men både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag.
I det följande redogörs det först för skillnaderna mellan en EUförordning och ett EU-direktiv och sedan för bestämmelserna i dataskyddsförordningen.
4.2. Skillnaden mellan en EU-förordning och ett EU-direktiv
Det ordinarie lagstiftningsförfarandet inom EU går till på så sätt att Europaparlamentet och rådet på förslag av kommissionen gemensamt antar en EU-förordning, ett EU-direktiv eller ett beslut (artikel 289 fördraget om Europeiska unionen, EU-fördraget).
Enligt principen om EU-rättens företräde ska EU-rätt tillämpas framför svensk lag om olika rättsakter strider mot varandra. Principen om företräde för EU-rätten framgår av en förklaring (nr 17) som fogats till Lissabonfördragets slutakt, undertecknad den 13 december 2007. I förklaringen erinras om att fördragen och den rätt som antas av EU på grundval av fördragen har företräde framför nationell rätt på de villkor som fastställts i enlighet med EUdomstolens praxis. Den praxis som avses är huvudsakligen dom av den 15 juli 1964, Costa 6/64, EU:C:1964:66, i vilket en fördragsartikel erkändes företräde gentemot nationell lag samt dom av den 17 december 1970, Internationale Handelsgesellschaft 11/70, EU:C:1970:114, där företrädesprincipen utvecklades till att medföra att alla former av EU-rättsakter, även de allra lägsta, står över alla former av nationell lag. I dom av den 9 mars 1978, Simmenthal 106/77, EU:C:1978:49 utvecklades principen om företräde ytterligare på så sätt att EU-domstolen uttalade att fördragsbestämmelserna inte bara medför att varje motstridande föreskrift i den befintliga nationella lagstiftningen blir automatiskt otillämplig i och med att EU-rätten träder i kraft, utan att de även hindrar att nya nationella författningar antas med giltig verkan till den del de är oförenliga med EU-rätten.
En EU-förordning är bindande och direkt tillämplig i alla medlemsländer från och med det datum då den träder i kraft (artikel 288 andra stycket EU-fördraget). Det innebär att medlemsstaten inte behöver vidta några författningsåtgärder för att EU-förordningens regler ska ha allmän giltighet på statens territorium. Dessutom strider alla nationella genomförandebestämmelser som innebär ett hinder mot EU-förordningens direkta effekt, t.ex. genom att i nationell lagstiftning upprepa bara vissa bestämmelser i EU-förordningen eller låta bli att tala om att det är fråga om direkt tillämplig EU-rätt, mot fördraget, se dom av den 7 februari 1973, kommissionen mot
Italien 39/72, EU:C:1973:13, punkt 17, och dom av den 2 februari 1977, Amsterdam Bulb 50/76, EU:C:1977:13, punkt 7.
EU-direktiven har en annan karaktär än EU-förordningarna. De riktar sig till medlemsstaterna och alltså inte till enskilda. Ett EUdirektiv föreskriver ett resultat som ska uppnås inom ramen för medlemsstaternas nationella lagstiftning. Form och tillvägagångssätt för genomförandet är dock upp till medlemsstaterna att bestämma (artikel 288 tredje stycket EU-fördraget). Till skillnad från EU-förordningarna måste alltså EU-direktiven genomföras i nationell lagstiftning.
Om ett EU-direktiv innehåller s.k. minimibestämmelser, måste medlemsstaterna se till att minimiskyddet uppfylls, men det är också tillåtet att i nationell lagstiftning ha ett mer utsträckt skydd. Är det inte fråga om ett sådant minimidirektiv, får medlemsstaterna införa varken strängare eller mildare bestämmelser än vad som följer av EU-direktivet. Bestämmelserna i EU-direktivet kan dock i sig medge ett visst utrymme för nationella skillnader.
I anslutning till ett nytt EU-direktiv föreskrivs en tidsgräns inom vilken EU-direktivet ska vara helt genomfört av medlemsländerna. Detta kan ske genom nya nationella regler, ändring av befintliga regler eller genom att befintliga regler som överensstämmer med direktivet fortsätter att gälla.
4.3. Dataskyddsförordningens innehåll
4.3.1. Materiell och territoriell avgränsning
Dataskyddsförordningen är – precis som dataskyddsdirektivet – tillämplig på helt eller delvis automatiserad behandling av personuppgifter och på manuell behandling av personuppgifter, om uppgifterna ingår i eller kommer att ingå i ett register. Vissa behandlingar av personuppgifter är dock uttryckligen undantagna från tillämpningsområdet. Det rör sig om behandling som sker inom verksamhet som inte omfattas av EU-rätten (t.ex. försvar och nationell säkerhet), behandling som sker inom EU:s gemensamma utrikes- och säkerhetspolitik, behandling som utförs av en fysisk person och som är av rent privat natur samt behandling som sker inom brottsbekämpande verksamhet (artikel 2).
Behandlingar av personuppgifter som utförs inom brottsbekämpande verksamhet omfattas i stället av ett särskilt EU-direktiv, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan kallat det nya dataskyddsdirektivet. Det nya dataskyddsdirektivet ska genomföras i nationell lagstiftning senast den 6 maj 2018.
För att dataskyddsförordningen ska vara tillämplig krävs att de personuppgiftsansvariga är etablerade i EU/EES eller att de behandlar personuppgifter i samband med att de erbjuder varor och tjänster till personer i EU/EES eller behandlar personuppgifter i samband med övervakning av människors beteende inom EU/EES (artikel 3).
4.3.2. Definitioner
Dataskyddsförordningen innehåller i artikel 4 en rad definitioner av olika begrepp som används i dataskyddsförordningen. Här anges några av definitionerna.
Personuppgifter är varje upplysning som avser en identifierad
eller identifierbar fysisk person (kallad registrerad). Som identifikatorer anges förutom namn, identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer även en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Behandling (av personuppgifter) är en åtgärd eller kombination
av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Profilering är varje form av automatisk behandling av person-
uppgifter som består i att dessa personuppgifter används för att
bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
Register är en strukturerad samling av personuppgifter som är
tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
Personuppgiftsansvarig är en fysisk eller juridisk person, offentlig
myndighet, institution eller annat organ som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen lagts fast i medlemsstaternas nationella rätt, får den nationella rätten också peka ut vem som är personuppgiftsansvarig.
Personuppgiftsbiträde är en fysisk eller juridisk person, offentlig
myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Samtycke är varje slag av frivillig, specifik, informerad och otve-
tydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
Personuppgiftsincident är en säkerhetsincident som leder till oav-
siktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Genetiska uppgifter är alla personuppgifter som rör nedärvda
eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.
Biometriska uppgifter är personuppgifter som erhållits genom en
särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter.
Uppgifter om hälsa är personuppgifter som rör en fysisk persons
fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.
4.3.3. Grundläggande principer
För all behandling av personuppgifter enligt dataskyddsförordningen gäller samma övergripande principer som enligt dataskyddsdirektivet (artikel 5). Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för på förhand bestämda och berättigade ändamål, som tydligt angivits. Personuppgifterna ska vara korrekta – alla rimliga åtgärder ska vidtas för att felaktiga uppgifter rättas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandlingen ska ske på ett säkert sätt och inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Personuppgifter kan dock under vissa förutsättningar lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statiska ändamål.
Personuppgifter som samlats in för ett visst ändamål får som huvudregel inte behandlas för något annat ändamål som strider mot det ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering. (Artikel 5.1 b och 6.4) Av skäl 50 till dataskyddsförordningen framgår att vid sådan vidarebehandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta är en nyhet i förhållande till dataskyddsdirektivet.
4.3.4. Laglig behandling av personuppgifter
För att en behandling av personuppgifter över huvud taget ska vara tillåten, krävs på samma sätt som enligt dataskyddsdirektivet att det finns en laglig grund för behandlingen (artikel 6). Minst ett av ett antal i dataskyddsförordningen angivna villkor måste vara uppfyllt. Det första alternativa villkoret är att den registrerade har lämnat sitt samtycke till behandlingen. Behandling kan också ske om den är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse, för att skydda intressen som är av grundläggande betydelse för en fysisk person, för att utföra en (arbets)uppgift av allmänt intresse eller som ett led i myndighetsutövning. Personuppgifter kan slutli-
gen behandlas med stöd av en intresseavvägning. En nyhet är dock att behandling av personuppgifter som utförs av offentliga myndigheter när de fullgör sina uppgifter inte får ske med stöd av en intresseavvägning.
Om behandling av personuppgifter ska ske med stöd av samtycke från den registrerade, krävs att samtycket är frivilligt. Det ska också vara tydligt vad samtycket avser och det ska ha föregåtts av information från den personuppgiftsansvarige om vad samtycket innebär. Samtycket kan lämnas skriftligt, muntligt eller genom konkludent handlande och kan när som helst tas tillbaka. (Artikel 7)
Grunden för sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c) eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) måste fastställas i nationell rätt eller EU-rätt (artikel 6.3). Det innebär att det inte – till skillnad från vad som tidigare gällt enligt dataskyddsdirektivet och personuppgiftslagen – kommer att vara möjligt att endast stödja sig på den generella regleringen i dataskyddsförordningen vid sådan behandling. Dataskyddsutredningen har analyserat om det med anledning av detta krav behöver införas generella nationella bestämmelser till stöd för åtminstone den offentliga sektorns behandling av personuppgifter. Enligt Dataskyddsutredningens bedömning innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av dataskyddsförordningens ikraftträdande. Däremot är förekomsten av reglering avgörande för i vilken utsträckning personuppgiftsansvariga kan behandla personuppgifter på den grunden att det är nödvändigt för att uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten utgör således ett villkor som måste vara uppfyllt för att de rättsliga grunder som anges artikel 6.1 c och e ska vara tillämpliga. Förpliktelser och arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning som inte är rättsligt förankrade i enlighet med unionsrätten eller i medlemsstatens nationella rätt kan därmed inte åberopas som rättsliga grunder för behandling av personuppgifter.1
Ytterligare ett krav när det gäller behandling med stöd av den rättsliga grunden i artikel 6.1 c är att syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig förpliktelse ska fastställas i den rättsliga grunden. I fråga om behandling enligt artikel 6.1 e gäller i stället att syftet med behandlingen ska vara nödvändigt för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.
Det finns också möjlighet att i nationell rätt mer detaljerat reglera olika krav på sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2). I artikel 6.3 anges dessutom att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Denna möjlighet ger utrymme för s.k. registerlagstiftning för bl.a. myndigheter.
4.3.5. Känsliga personuppgifter och uppgifter om lagöverträdelser
Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjudna. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Av dessa kategorier av uppgifter är genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning nya i förhållande till dataskyddsdirektivet. Samtliga angivna kategorier av uppgifter brukar med ett samlingsnamn kallas känsliga personuppgifter.
Från huvudregeln att känsliga personuppgifter inte får behandlas finns flera undantag angivna (artikel 9.2). Känsliga personuppgifter kan t.ex. behandlas med stöd av samtycke eller för att uppgifterna på ett tydligt sätt har offentliggjorts av den registrerade. De kan också behandlas för att skyldigheter och rättigheter ska kunna tillvaratas inom arbetsrätten i den omfattning detta är tillåtet enligt unionsrätten, nationell rätt eller kollektivavtal. Samma sak
gäller på områdena social trygghet och socialt skydd, vilket är nytt i förhållande till dataskyddsdirektivet. Behandling av känsliga personuppgifter är vidare tillåten om den är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke. Ett annat undantag avser behandling som är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller är en del av domstolarnas dömande verksamhet. Ideella verksamheter med politiskt, filosofiskt, religiöst eller fackligt syfte får behandla känsliga personuppgifter om sina medlemmar. Om behandlingen sker på grundval av EU-rätten eller medlemsstaternas nationella rätt, kan känsliga personuppgifter också behandlas i anslutning till hälso- och sjukvård, yrkesmedicin och social omsorg under förutsättning att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt, av hänsyn till ett viktigt allmänt intresse, av skäl av allmänt intresse på folkhälsoområdet och för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Villkoret att nödvändig behandling av känsliga personuppgifter inom hälso- och sjukvård ska ske på grundval av EU-rätt eller nationell lagstiftning är nytt i förhållande till dataskyddsdirektivet. Det har inte heller, såsom dataskyddsdirektivet tolkats i Sverige, tidigare funnits något krav på att känsliga personuppgifter inom hälso- och sjukvården ska behandlas under ansvar av någon som omfattas av tystnadsplikt. Vidare har undantagen för allmänt intresse på folkhälsoområdet och för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål inte tidigare uttryckligen framgått av dataskyddsdirektivet.
Medlemsstaterna har möjlighet att komplettera dataskyddsförordningen med ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa (artikel 9.4).
Behandling av uppgifter om lagöverträdelser måste ske under kontroll av en myndighet eller med stöd av särskild lagstiftning. Till skillnad från vad som gäller enligt dataskyddsdirektivet omfattas inte friande brottmålsdomar av denna begränsning. Det finns inte heller någon reglering avseende administrativa frihetsberövanden. (Artikel 10)
4.3.6. Den registrerades rättigheter
Dataskyddsförordningen föreskriver ett antal rättigheter för den registrerade – och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rätt att få omfattande information från den personuppgiftsansvarige. Informationen ska avse allt från den personuppgiftsansvariges kontaktuppgifter och vilka rättigheter den registrerade har till uppgifter om hur personuppgifterna kommer att användas. Information som den registrerade redan känner till behöver inte lämnas. Om personuppgifterna har samlats in från någon annan än den registrerade, behöver information inte heller lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan, om erhållande eller utlämnande av personuppgifter är rättsligt reglerat eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt. (Artikel 12–14)
Den informationsskyldighet som framgår av dataskyddsförordningen är betydligt mer omfattande än den som föreskrivs i dataskyddsdirektivet. Nytt i förhållande till dataskyddsdirektivet är bl.a. att om den personuppgiftsansvarige avser att behandla personuppgifterna för ett annat syfte än det för vilket de samlades in, ska den registrerade få information om detta nya syfte samt övrig relevant information. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid, rätten att återkalla ett samtycke och rätten att inge klagomål är andra exempel på information som tillkommit. Regleringen av vid vilken tidpunkt information ska lämnas om behandling av uppgifter som har samlats in från någon annan än den registrerade har också ändrats. Huvudregeln enligt dataskyddsdirektivet, att informationen ska lämnas vid tiden för registreringen, har ändrats på så sätt att information i stället ska lämnas inom en rimlig tid från erhållandet av uppgifterna. Det finns också möjlighet att informera först i samband med den första kommunikationen med den registrerade. (Artikel 13 och 14)
Vidare ställer dataskyddsförordningen i artikel 12.1 nya krav på att informationen som lämnas ska vara koncis, klar och tydlig, begriplig och lättillgänglig.
Den registrerade kan också begära registerutdrag med information om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få fel-
aktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artikel 16–18). Rätten till radering eller rätten att bli bortglömd följer av artikel 17 och är betydligt mer detaljerat reglerad än rätten till utplåning enligt dataskyddsdirektivet. Det finns vissa undantag till bestämmelsen. Bland annat gäller den inte för behandling som sker med stöd av grunderna i artikel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning). Det finns också undantag för bl.a. arkivändamål.
Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuell rättelse, radering av personuppgifter eller begränsning av behandling och den registrerade ska också kunna få information om dessa mottagare (artikel 19).
Personuppgifter som den registrerade tillhandahållit den personuppgiftsansvarige, ska på begäran lämnas ut i ett strukturerat, allmänt använt och maskinläsbart format i syfte att kunna överlämnas till en annan personuppgiftsansvarig, s.k. dataportabilitet, men bara om behandlingen grundar sig på samtycke eller avtal (artikel 20). Denna rätt gäller inte i fråga om en behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.
Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning. Möjligheten att genom invändningar förhindra behandling av personuppgifter är utökad i förhållande till dataskyddsdirektivet. Om den registrerade invänder mot behandling av personuppgifter får den personuppgiftsansvarige inte längre behandla uppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att invända mot behandling av hans eller hennes personuppgifter. Detta gäller om
inte behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. (Artikel 21) Dataskyddsförordningen möjliggör i likhet med dataskyddsdirektivet nationella undantag från rätten att invända mot behandling, men endast under de förutsättningar som anges i artikel 23.1 (se nedan). Det innebär att medlemsstaterna inte längre kan begränsa rätten att invända mot behandling genom generella bestämmelser. För att kunna införa eventuella nationella begränsningar krävs det stället att en prövning görs mot artikel 23.1.
En ytterligare rättighet för den registrerade är att slippa bli föremål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22). Denna rättighet gäller dock inte om beslutet är nödvändigt för att ingå eller fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige, om beslutet tillåts enligt EU-rätt eller nationell rätt som också fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen eller om beslutet grundar sig på den registrerades uttryckliga samtycke.
Dataskyddsförordningen lämnar ett förhållandevis stort handlingsutrymme till medlemsstaterna att under vissa förutsättningar göra undantag från och modifiera ovan angivna rättigheter och skyldigheter. Enligt artikel 23.1 kan medlemsstaterna genom bestämmelser i sin lagstiftning begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 12–22 och 34, samt artikel 5 i den mån dessa bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. En sådan begränsning måste vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa olika uppräknade intressen, bl.a. nationell säkerhet, förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott, viktiga mål av generellt allmänt intresse (däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet), förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken, en tillsyns-, inspektions- eller regleringsfunktion som har samband med myndighetsutövning i fall som nämnts ovan och skydd av den registrerade eller andras rättigheter och friheter.
Om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, får det i EU-rätten eller i medlemsstaternas nationella rätt föreskrivas om undantag från vissa av den registrerades
rättigheter. Det rör sig om rätten till registerutdrag, rättelse, begränsning av behandling och invändning mot behandling. Undantag får göras om det krävs för att uppnå ändamålet med behandlingen. Om personuppgifter behandlas för arkivändamål av allmänt intresse, får undantag även göras från kravet på dataportabilitet och kravet på att den personuppgiftsansvarige ska underrätta mottagare av personuppgifter om eventuella rättelser, raderingar eller begränsningar av behandling som skett. (Artikel 89)
4.3.7. Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter
Den personuppgiftsansvarige ansvarar för att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24 och 25). Gemensamt personuppgiftsansvariga ska fastställa sina respektive ansvarsområden om dessa inte fastställs genom rättslig reglering (artikel 26).
Om den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, ska hanteringen regleras genom avtal eller motsvarande rättsakt. Personuppgiftsbiträdet får endast behandla personuppgifter på instruktion från den personuppgiftsansvarige, såvida en skyldighet att behandla uppgifter inte framgår av EU-rätten eller nationell rätt. (Artikel 28 och 29)
Varje personuppgiftsansvarig och varje personuppgiftsbiträde ska var för sig skriftligen upprätta ett register över behandling som utförts under dess ansvar (artikel 30). Detta register lär inte behöva uppfylla definitionen i artikel 4, men registret ska innehålla kontaktuppgifter, upplysning om ändamål med behandlingen, en beskrivning av kategorier av registrerade och kategorier av personuppgifter, upplysning om eventuella mottagare av uppgifterna, eventuell överföring till tredjeland, tidsfrister för radering och en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder. Det är följaktligen inte längre dataskyddsombudets arbetsuppgift att upprätta en förteckning över behandlingar (jämför artikel 39 och personuppgiftsombudets tidigare uppgifter enligt artikel 18 i dataskyddsdirektivet).
Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till eventuella risker (artikel 32). Detta innefattar bl.a. att se till att personer som får tillgång till personuppgifter med anledning av sitt arbete endast behandlar dessa på instruktion från den personuppgiftsansvarige, under förutsättning att EU-rätten eller nationell rätt inte ålägger personen att behandla uppgifterna.
En nyhet i dataskyddsförordningen är att personuppgiftsincidenter inom 72 timmar ska anmälas till tillsynsmyndigheten. Den personuppgiftsansvarige är också skyldig att dokumentera alla personuppgiftsincidenter. (Artikel 33) Även den registrerade ska i vissa fall få information om personuppgiftsincidenten om den sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 34).
För att minska risker med behandling av personuppgifter innehåller dataskyddsförordningen dessutom bestämmelser om konsekvensbedömningar och förhandssamråd med tillsynsmyndigheten, som ska tillämpas om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 35 och 36).
4.3.8. Dataskyddsombud
Myndigheter och andra offentliga organ, dock inte domstolarna i deras dömande verksamhet, måste enligt dataskyddsförordningen utnämna dataskyddsombud (artikel 37). Kravet på att ha ett dataskyddsombud omfattar i vissa fall även andra personuppgiftsansvariga och personuppgiftsbiträden. Ett dataskyddsombud ska i dessa fall utnämnas om en kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Ett dataskyddsombud ska också utnämnas om en kärnverksamhet består av behandling i stor omfattning av känsliga personuppgifter och uppgifter om lagöverträdelser. Att det i vissa fall krävs att ett dataskyddsombud utses är en nyhet.
Ett dataskyddsombud ska utses på grundval av yrkesmässiga kvalifikationer, sakkunskap och förmåga att utföra arbetsuppgifterna. Arbetsuppgifterna ska utföras självständigt, utan instruktioner
från den personuppgiftsansvarige, och med möjlighet att i god tid delta i alla frågor som rör dataskydd. Som en följd av detta ska dataskyddsombudet också, när det gäller dennes genomförande av sina arbetsuppgifter, vara bundet av regler om sekretess eller konfidentialitet. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner för att ha utfört sina arbetsuppgifter. Rapporteringen ska ske direkt till den högsta förvaltningsnivån. (Artikel 38)
Dataskyddsombudet ska informera och ge råd till berörda samt övervaka efterlevnaden av dataskyddsbestämmelser. Dataskyddsombudet ska också samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt vid förhandssamråd och andra kontakter. Även registrerade ska kunna kontakta dataskyddsombudet. (Artikel 39)
4.3.9. Överföring av personuppgifter till tredjeland
Personuppgifter får överföras till tredjeland eller en internationell organisation endast under vissa förutsättningar. En sådan förutsättning är om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet eller den internationella organisationen säkerställer en adekvat skyddsnivå (artikel 45). I avsaknad av ett beslut från kommissionen får personuppgifter överföras till tredjeland eller en internationell organisation efter att lämpliga skyddsåtgärder vidtagits och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga (artikel 46). Därutöver anges i dataskyddsförordningen ett antal förhållanden som kan grunda rätt till överföring till tredjeland i särskilda situationer (artikel 49).
4.3.10. Tillsynsmyndigheter
Varje medlemsstat ska ha en tillsynsmyndighet som övervakar tillämpningen av dataskyddsförordningen (artikel 51). Tillsynsmyndigheten och dess ledamöter ska vara oberoende (artikel 52–54) och behörigheten att utföra uppgifter ska vara begränsad till vad som framgår av dataskyddsförordningen (artikel 55–57). I form av utredningsbefogenheter kan tillsynsmyndigheten bl.a. kräva information som behövs för att myndigheten ska kunna fullgöra sina uppgifter, genomföra undersökningar och få tillgång till lokaler.
Tillsynmyndigheten har också korrigerande befogenheter som bl.a. består av att utfärda varningar, reprimander, förelägganden, införa förbud mot behandling och påföra administrativa sanktionsavgifter. Dessutom kan tillsynsmyndigheter utfärda tillstånd och ge råd (artikel 58).
Tillsynsmyndigheter ska samarbeta med varandra, utbyta relevant information och ge varandra bistånd (artikel 60 och 61). Vid behov ska de genomföra gemensamma insatser (artikel 62).
4.3.11. När uppgifter behandlas i strid med dataskyddsförordningen
En registrerad som anser att behandling av personuppgifter avseende honom eller henne strider mot dataskyddsförordningen, ska – till skillnad från vad som tidigare varit möjligt enligt dataskyddsdirektivet – kunna lämna klagomål till tillsynsmyndigheten och få ett överklagbart beslut (artikel 77 och 78). Den registrerade ska också kunna väcka talan i domstol mot den personuppgiftsansvarige eller personuppgiftsbiträdet (artikel 79).
Den som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till skadestånd (artikel 82). Ett skadeståndsanspråk kan, i likhet med vad som gäller enligt dataskyddsdirektivet, riktas mot den personuppgiftsansvarige. Under vissa förutsättningar kan dock skadeståndsanspråk begäras även av ett personuppgiftsbiträde, vilket är nytt i förhållande till vad som gällt tidigare.
Tillsynsmyndigheten ska enligt en annan nyhet i dataskyddsförordningen kunna påföra s.k. administrativa sanktionsavgifter (artikel 83). Två olika kategorier av överträdelser – uppdelade utifrån bestämmelser som föreskriver rättigheter och skyldigheter – föranleder två olika maxbelopp (artikel 83.4 och 83.5). Medlemsstaterna får själva bestämma i vilken utsträckning myndigheter ska kunna påföras administrativa sanktionsavgifter.
Medlemsstaterna ska vidare fastställa regler om andra sanktioner för överträdelser av dataskyddsförordningen, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter (artikel 84).
4.3.12. Konkurrens med andra rättigheter
Medlemsstaterna ska i lag förena rätten till integritet i enlighet med dataskyddsförordningen med yttrande- och informationsfriheten (artikel 85.1). För behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska medlemsstaterna fastställa undantag eller avvikelser från stora delar av dataskyddsförordningen om det är nödvändigt för att förena rätten till integritet med yttrande- och informationsfriheten (artikel 85.2).
Personuppgifter i allmänna handlingar får lämnas ut av myndigheter i enlighet med nationell rätt (artikel 86).
4.3.13. Övrigt
Hur ett nationellt identifikationsnummer (personnummer) får behandlas, får medlemsstaterna själva bestämma med beaktande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen (artikel 87).
För behandling av personuppgifter i anställningsförhållanden, får medlemsstaterna i lag eller kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av anställdas rättigheter och friheter (artikel 88).
Dataskyddsförordningen innehåller också bl.a. bestämmelser om uppförandekoder och certifiering (artikel 40–43) och om tillsynsmyndigheternas respektive Europeiska dataskyddsstyrelsens ställning, arbetsuppgifter och samarbete sinsemellan (artikel 51–76).
5. Pågående översynsarbete
5.1. Dataskyddsutredningen
Dataskyddsutredningen1 har haft i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till.2 I maj 2017 överlämnade utredningen betänkandet ”Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning”3, som bl.a. innehåller förslag till en ny lag – dataskyddslagen – med anknytande förordning som ska ersätta personuppgiftslagen och personuppgiftsförordningen. I uppdraget har inte ingått att se över någon sektorsspecifik reglering om behandling av personuppgifter och inte heller att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär.
Dataskyddslagen föreslås i tillämpliga delar, utöver dataskyddsförordningens tillämpningsområde, även gälla behandling av personuppgifter som utförs som ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av EU:s gemensamma utrikes- och säkerhetspolitik. Lagen förslås vara subsidiär i förhållande till andra lagar och förordningar och ska inte heller tillämpas i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet. Ett undantag från vissa av dataskyddsförordningens bestämmelser föreslås dessutom gälla för sådan behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Den föreslagna dataskyddslagen innehåller bestämmelser som förtydligar hur rättsliga förpliktelser och arbetsuppgifter av allmänt
1 Ju 2016:04. 2 Dir. 2016:15. 3SOU 2017:39.
intresse eller som ett led i myndighetsutövning fastställs i enlighet med svensk rätt.
Eftersom vissa undantag från dataskyddsförordningens förbud att behandla känsliga personuppgifter förutsätter stöd i nationell rätt, föreslås dataskyddslagen innehålla sådant stöd när det gäller nödvändig behandling av personuppgifter på arbetsrättens område, inom hälso- och sjukvård, i social omsorg, i arkivverksamhet och i statistisk verksamhet. Därutöver föreslås ett undantag för viss behandling av känsliga personuppgifter hos myndigheter. Stödet för behandling av känsliga personuppgifter föreslås förenas med olika restriktioner. För att andra än myndigheter ska få behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel, föreslås ett krav på uttryckligt stöd i lag eller förordning eller i föreskrifter eller förvaltningsbeslut från Datainspektionen. Uppgifter om personnummer eller samordningsnummer föreslås även fortsättningsvis få behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål får enligt Dataskyddsutredningens förslag inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen rörande statistikuppgifter gäller, till skillnad från vad som gäller i fråga om arkiverade uppgifter, även för myndigheter.
Dataskyddslagen föreslås inte innehålla någon straff- eller vitesbestämmelse, men den administrativa sanktionsavgift som tillsynsmyndigheten enligt dataskyddsförordningen kan ta ut av ett företag eller andra enskilda som bryter mot dataskyddsregleringen, föreslås också kunna tas ut av en myndighet. Datainspektionen föreslås vara tillsynsmyndighet. Tillsynsmyndighetens befogenheter enligt dataskyddsförordningen föreslås gälla vid tillsyn över efterlevnaden av bestämmelserna i alla författningar som kompletterar dataskyddsförordningen.
Rätten till skadestånd enligt dataskyddsförordningen föreslås, utöver vid överträdelser av dataskyddsförordningens bestämmelser, gälla vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.
Dataskyddslagen föreslås också innehålla bl.a. vissa begränsningar i fråga om rätten till information och registerutdrag, bestämmelser om Datainspektionens klagomålshantering, bestämmelser om överklagande och en tystnadsplikt för dataskyddsombud inom den privata sektorn.
Dataskyddslagen föreslås träda i kraft den 25 maj 2018. Personuppgiftslagen är dock tänkt att även fortsättningsvis gälla i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den lagen. Äldre föreskrifter föreslås också fortfarande gälla för ärenden hos Datainspektionen som har inletts men inte avgjorts före ikraftträdandet, för överklagande av beslut som har meddelats med stöd av äldre föreskrifter, för överträdelser som har skett före ikraftträdandet och i fråga om skadestånd för skada som har orsakats före ikraftträdandet.
5.2. Utredningen om 2016 års dataskyddsdirektiv
Utredningen om 2016 års dataskyddsdirektiv4 har till uppdrag5 att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt och har i april 2017 lämnat ett delbetänkande med förslag till en brottsdatalag.6
Brottsdatalagen är tänkt att tillämpas vid behandling av personuppgifter som utförs av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Lagen ska också gälla för behandling av personuppgifter vid upprätthållande av allmän ordning och säkerhet. Myndigheter som har sådana arbetsuppgifter betecknas behöriga myndigheter. Det som blir avgörande för om lagen är tillämplig är alltså dels om det är en behörig myndighet som behandlar personuppgifterna, dels syftet med behandlingen. Dataskyddsförordningen är inte tillämplig på sådan behandling av personuppgifter som omfattas av brottsdatalagen. Alla myndigheter som kommer att tillämpa brottsdatalagen kommer även att tillämpa dataskyddsförordningen i de delar av verksamheten som inte omfattas av brottsdatalagens tillämpningsområde. Brotts-
4 Ju 2016:06. 5 Dir. 2016:21. 6SOU 2017:29.
datalagen föreslås vara generellt tillämplig – men subsidiär – inom sitt tillämpningsområde. Registerförfattningar som omfattar samma tillämpningsområde kommer att gälla utöver brottsdatalagen.
Personuppgifter föreslås få behandlas med stöd av den rättsliga grunden att behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en sådan arbetsuppgift som gör lagen tillämplig. Arbetsuppgiften ska framgå av en bindande unionsrättsakt, en lag, en förordning eller ett särskilt beslut av regeringen. Personuppgifter föreslås också få behandlas om behandlingen krävs för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
Känsliga personuppgifter rörande en viss person föreslås få behandlas om uppgifter om personen redan behandlas och det är absolut nödvändigt för ändamålet med behandlingen. Biometriska uppgifter som används i identifieringssyfte och genetiska uppgifter föreslås dock få behandlas enbart om det är särskilt föreskrivet. Sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter ska vara förbjudna. För att det inte ska vara möjligt att med stöd av offentlighetsprincipen få tillgång till en sådan sammanställning, föreslås en särskild sekretessregel som innebär att absolut sekretess gäller för uppgifter i sådana sammanställningar.
Brottsdatalagen föreslås också innehålla bestämmelser om bl.a. definitioner, grundläggande krav på behandling, längsta tid för behandling, automatiserade beslut, personuppgiftsansvarigas skyldigheter i fråga om bl.a. säkerhet och anmälan om personuppgiftsincidenter, enskildas rättigheter i form av bl.a. information och rättelse, tillsynsmyndighetens befogenheter, administrativa sanktionsavgifter, skadestånd, rättsmedel och överföring till tredjeland.
Brottsdatalagen föreslås träda i kraft den 1 maj 2018.
5.3. Övrigt översynsarbete med anledning av dataskyddsförordningen
Utöver de utredningar som nämnts ovan har ytterligare ett antal olika utredningar haft i uppdrag – och vissa arbetar fortfarande med – att anpassa svensk rätt till EU:s dataskyddsreform. Det rör sig bl.a. om Utredningen om kameraövervakning – brottsbekämpning
och integritetsskydd7, Utredningen om dataskydd vid Rättsmedicinalverket8, Utbildningsdatautredningen9, Forskningsdatautredningen10och Utredningen om regleringen av biobanker11.
Det bedrivs dessutom ett omfattande arbete internt inom Regeringskansliet med att anpassa författningar till dataskyddsförordningen.
5.4. Förslaget till myndighetsdatalag
Regeringen gav i oktober 2011 en särskild utredare i uppdrag att se över den s.k. registerlagstiftningen – de sektors- eller myndighetsspecifika lagar och förordningar som kompletterar personuppgiftslagen och innehåller bestämmelser om statliga och kommunala myndigheters behandling av personuppgifter. Utredningen, som antog namnet Informationshanteringsutredningen, lämnade sitt slutbetänkande i april 2015 (SOU 2015:39), dvs. innan man inom EU kom överens om dataskyddsförordningen.
Uppdraget hade sin bakgrund i att det i olika sammanhang framförts kritik mot registerlagstiftningen för att vara ett svåröverblickbart och splittrat rättsområde med bristande enhetlighet i fråga om struktur och normtekniska lösningar. Lagstiftningen ansågs till viss del inte heller vara tillräckligt anpassad till annan lagstiftning av central betydelse för myndigheternas informationshantering, såsom tryckfrihetsförordningens bestämmelser om allmänna handlingar och offentlighets- och sekretesslagen (2009:400).
Informationshanteringsutredningen har inte gjort några omprövningar av tidigare avvägningar mellan effektivitetssträvanden och skyddet för enskildas personliga integritet utan har fokuserat på att förtydliga gällande rätt genom att föreslå en ny lag – myndighetsdatalagen. Den föreslagna lagen liknar befintliga registerförfattningar men innehåller bestämmelser som är tänkta att gälla generellt för alla statliga och kommunala myndigheters behandling av personuppgifter, frånsett den brottsbekämpande sektorn.
7 Ju 2015:14, tilläggsdir. 2016:54, SOU 2017:55. 8 Ju 2016:18, dir. 2016:75. 9 U 2016:03, dir. 2016:63, SOU 2017:49. 10 U 2016:04, dir. 2016:65, delbetänkande SOU 2017:50. 11 S 2016:04, dir. 2016:41, delbetänkande SOU 2017:40.
Den föreslagna lagen är utformad som en renodlad generell dataskyddsreglering som bara tar sikte på frågor om skydd för personuppgifter som uppstår i myndigheternas elektroniska informationshantering. Behov av sektors- eller myndighetsspecifika särregler, som har sin grund i speciella omständigheter som rör just den aktuella myndigheten eller verksamheten, bedöms kunna tas in i en kompletterande förordning. Lagen ska även kunna kompletteras med bilagor. På detta sätt är det tänkt att skapa ett sammanhållet ramverk med enhetligt utformad reglering både vad avser förhållanden som kan regleras generellt och förhållanden där fortsatta särregler behöver finnas. Informationshanteringsutredningen utesluter dock inte att det i vissa fall kan bedömas vara mer lämpligt med särreglering i separat författning som gäller utöver den nya lagen.
GENERELLA ÖVERVÄGANDEN
6. Allmänna utgångspunkter
6.1. Behandling som i dag är laglig ska kunna fortsätta men författningsstöd för annat bör inte införas nu
Utredningens bedömning: Utgångspunkten bör vara att be-
handling av personuppgifter som i dag är laglig ska kunna fortsätta. Författningsstöd för behandling av personuppgifter som inte är laglig i dag bör inte införas nu.
Avvägningar och bedömningar som redan gjorts bör godtas och inte göras om.
Utredningsuppdraget är omfattande och utredningstiden kort. Det gör att det inte är möjligt att på alla de olika områden som uppdraget omfattar göra ingående avvägningar mellan integritetsskyddet och andra intressen. Det i sin tur innebär att utredningen i stor utsträckning måste stödja sig på de avvägningar som redan gjorts.
Datainspektionens expert i utredningen har framfört i huvudsak följande. Utredningen bör göra en kartläggning av nuläget avseende sådan behandling av personuppgifter som sker i verksamheter som omfattas av de författningar som ingår i utredningens översyn. Kartläggningen bör avse bl.a. teknisk utveckling, digitalisering, nya samarbetsformer och det ökade antalet aktörer inom exempelvis hälso- och sjukvården och socialtjänsten. Resultatet av kartläggningen kan sedan utgöra underlag för en ny konsekvensbedömning där en analys av om utvecklingen lett till nya risker för den personliga integriteten kan ingå. Regleringen bör sedan anpassas efter en analys av hur dessa eventuella nya risker kan minimeras. En fördel med detta tillvägagångssätt skulle vara att utredningens bedömningar kan utgöra en del av den konsekvensbedömning den personuppgiftsansvarige i
vissa fall är skyldig att göra enligt artikel 35 i dataskyddsförordningen.
Utredningen är medveten om att det har skett en viss utveckling, bl.a. på det tekniska området, sedan flertalet av författningarna tillkom och instämmer i att det inom i vart fall vissa områden hade varit bra med en sådan översyn som förespråkas. Utredningstiden medger dock inte en så omfattande översyn. Det kan inte heller anses ingå i utredningens uppdrag att göra andra anpassningar av författningarna än sådana som föranleds av dataskyddsförordningen. Tidigare gjorda avvägningar måste därför vara utgångspunkten för utredningens bedömningar.
Dessa avvägningar har, när det gäller områden som täcks av registerförfattningar, gjorts efter ingående analyser av respektive område och med mindre tidspress än vad utredningen är utsatt för. Avvägningarna har också varit föremål för remiss- och riksdagsbehandling och, oftast, granskning av Lagrådet.
Även på de områden som inte täcks av en registerförfattning kan det sägas att det redan har gjorts en tyst avvägning som innebär att de möjligheter till behandling av personuppgifter som finns enligt personuppgiftslagen är både tillräckliga för verksamheten och inte för långtgående för integritetsskyddet. I vissa fall finns det också utredningsförslag som inte (ännu) har genomförts, t.ex. SOU 2014:67 om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen, som nämns i utredningsdirektiven, och SOU 2007:48 och SOU 2015:84, båda om författningsreglering av donationsregistret.
Det är inte några ofullkomligheter i lagstiftningen, eller ifrågasatta integritetskränkningar, som har föranlett utredningsuppdraget utan enbart den kommande nya EU-regleringen av behandling av personuppgifter. En utgångspunkt enligt utredningsdirektiven är också att de befintliga förutsättningarna för en ändamålsenlig behandling inte ska försämras.
Av dessa skäl anser utredningen att en utgångspunkt vid översynen bör vara att behandling som, enligt utredningens bedömning, i dag är laglig ska kunna fortsätta. Det innebär att översynen av respektive område i första hand inriktas på att undersöka om dataskyddsförordningen innebär att något som i dag är lagligt inte kommer att kunna ske med befintlig författningsreglering. Om så är fallet, blir nästa steg att undersöka om dataskyddsförordningen
medger att det finns ett nationellt författningsstöd för det som är lagligt i dag och, om det är så, utforma förslag till ett sådant författningsstöd som helst ska utformas enhetligt i förhållande till andra registerförfattningar.
Redan av utredningsdirektiven framgår att den korta utredningstiden gör att möjligheterna att utreda och föreslå materiella ändringar är begränsade. Utredningen anser därför att en utgångspunkt vid översynen bör vara att lämpligheten av att införa författningsstöd för mera eller annat än det som enligt utredningens bedömning är lagligt i dag inte ska utredas. Översynen ska alltså begränsas till att analysera vilket författningsstöd som kan behövas för att det som är lagligt i dag ska kunna fortsätta.
Frågan om det med hänsyn till artikel 6.3 i dataskyddsförordningen behövs ett generellt författningsstöd för myndigheters och andra organs behandling av personuppgifter och hur ett sådant generellt stöd ska utformas kan dock inte anses omfattad av utredningsdirektiven, eftersom frågan inte nämns där. Frågan har dessutom ingått i Dataskyddsutredningens uppdrag.1 Mot den bakgrunden är uppdraget enligt utredningsdirektiven att undersöka om det till följd av personuppgiftslagens upphävande och regleringen i dataskyddsförordningen behövs kompletterande föreskrifter för vissa myndigheter och verksamheter som i dag saknar särskilda registerförfattningar och lämna behövliga och lämpliga författningsförslag något svårförståeligt. Uppdraget innefattar i vart fall, enligt vad som uttryckligen anges i utredningsdirektiven, att lämna förslag till de anpassningar till följd av dataskyddsförordningen som behövs av de författningsförslag som lämnats i SOU 2014:67 om behandlingen av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen, som i dag inte har någon registerförfattning. Uppdraget får därutöver anses innebära att det ska undersökas om det i dag inom området förekommer någon typ av behandling av personuppgifter med stöd av personuppgiftslagen, t.ex. missbruksregeln i 5 a § eller en intresseavvägning enligt 10 § f, eller personuppgiftsförordningen som, när personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas, behöver ett författningsstöd för att kunna fortsätta och som är mer eller mindre unik och därför inte rimligen bör omfattas av en generell reglering. Sådant
1 Dir. 2016:15 och SOU 2017:39.
som många personuppgiftsansvariga, inom flera departementsområden, behöver göra regleras nämligen bättre generellt, t.ex. i den reglering som Dataskyddsutredningen har haft i uppdrag att utreda, än i en mängd registerförfattningar. Om det inom området förekommer att myndigheter utan registerförfattning behandlar känsliga personuppgifter i löpande text vid elektronisk korrespondens eller ärendehandläggning, är det t.ex. inte något som är så unikt för området att det motiverar en särskild reglering. Det kan inte anses ankomma på utredningen att bedöma vilka arbetsuppgifter i sak myndigheter får eller bör utföra eller att föreslå författningsreglering av myndigheters arbetsuppgifter.
6.2. Författningsreglering som motsvarar bestämmelser i dataskyddsförordningen bör behållas om det blir tydligare
Utredningens bedömning: Befintlig författningsreglering, som
innebär begränsningar i förhållande till vad som vore tillåtet enligt dataskyddsförordningen, ska behållas i sak i så stor utsträckning som möjligt. Regleringen bör göras så enhetlig som möjligt. Författningsreglering som motsvarar bestämmelser i dataskyddsförordningen kan och bör, i den utsträckning det är möjligt enligt vad som anges i skäl 8 till dataskyddsförordningen, behållas eller införas när det skapar tydlighet.
Det är enligt utredningsdirektiven viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning, vilket t.ex. innebär att termer, uttryck och struktur samt hänvisningar till dataskyddsförordningen är enhetliga. Detta ska utredningen beakta. Motsvarande formulering, och anvisningar om att arbetet i andra utredningar ska beaktas, finns i utredningsdirektiven för flera av de övriga utredningar som har sett över registerförfattningar inför att dataskyddsförordningen ska börja tillämpas.
Ett enhetligt ramverk för myndigheters behandling av personuppgifter har nyligen utretts och ett förslag till en generell myndighetsdatalag, som de befintliga registerförfattningarna skulle kunna
anpassas till, ligger på regeringens bord.2 Det är emellertid osäkert vad som händer med det förslaget, som lämnades innan det stod klart att man inom EU skulle kunna enas om en dataskyddsförordning. Utredningsdirektiven innehåller inga anvisningar om att befintliga registerförfattningar ska anpassas till förslaget till myndighetsdatalag.
Utredningsdirektiven får anses innebära att utredningen har att efter samråd med övriga utredningar försöka göra den författningsreglering som behöver ändras eller införas så enhetlig som möjligt. Något försök till anpassning till den struktur som förslaget till myndighetsdatalag innebär bör dock inte göras. Utredningsdirektiven får anses ge möjlighet att utforma befintlig reglering, som kan och bör vara kvar i sak, så att den blir enhetlig mellan olika registerförfattningar, om utredningstiden medger det och nödvändigt samråd med övriga utredningar kan ske.
Det har lagts ned stora lagstiftningsresurser på registerförfattningarna. Det finns hos tillämparna erfarenhet av och kunskap om registerförfattningarna. Tillämparna har ibland också utformat instruktioner till sin personal och informationsmaterial för registrerade samt personuppgiftsbiträdesavtal utifrån den befintliga författningsregleringen.
Som tidigare sagts är möjligheterna att utreda materiella ändringar begränsade. Det – och hänsyn till det stora arbete som lagts ned på registerförfattningarna – gör att utredningen anser att utgångspunkten bör vara att befintlig författningsreglering, som innebär begränsningar i förhållande till vad som vore tillåtet enligt dataskyddsförordningen, ska behållas i sak i så stor utsträckning som möjligt. Det innebär att översynen bör inriktas på att analysera om de befintliga bestämmelserna i sak kan behållas med hänsyn till dataskyddsförordningen. Är så fallet, bör de efter samråd med övriga utredningar om möjligt göras mera enhetliga. Önskemålet om enhetlighet bör dock inte få gå utöver det materiella innehållet. Innehåller en registerförfattning en unik begränsning, som kan behållas med hänsyn till dataskyddsförordningen, bör den begränsningen således finnas kvar i sak, trots att regleringen som helhet hade blivit mera enhetlig utan den. Går det inte säkert att fastslå att t.ex. en viss formulering är avsedd att innebära en begränsning i
förhållande till vad som gäller enligt formuleringar i andra registerförfattningar, bör dock önskemålet om enhetlighet få ta överhanden, dvs. avvikande formuleringar som inte säkert har en viss innebörd justeras så att regleringen blir mera enhetlig.
Även om utredningsdirektiven anvisar enhetlighet, kan de inte anses innebära ett uppdrag att rensa ut befintliga bestämmelser i registerförfattningarna som motsvarar bestämmelser i dataskyddsförordningen; något mera enhetligt än bestämmelser i en EU-förordning finns ju inte. Av skäl 8 till dataskyddsförordningen framgår dessutom att om dataskyddsförordningen föreskriver förtydliganden eller begränsningar av bestämmelserna i dataskyddsförordningen genom den nationella rätten kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av dataskyddsförordningen i nationell rätt. Det kan däremot, som anges i avsnitt 4.2, i andra situationer än den som berörs i skäl 8 anses strida mot EU-rätten att i nationell lagstiftning upprepa bara vissa bestämmelser i en EUförordning eller låta bli att tala om att det är fråga om direkt tillämplig EU-rätt. Utredningen anser mot bakgrund av det utrymme som medlemsstaterna ges genom skäl 8 och det arbete som redan är nedlagt på registerförfattningarna, att utgångspunkten bör vara att befintlig författningsreglering som motsvarar bestämmelser i dataskyddsförordningen ska behållas i den utsträckning det behövs för att uppnå tydlighet och igenkänning hos tillämparna. En bedömning av om det är förenligt med EU-rätten att behålla en sådan bestämmelse måste dock göras i varje enskilt fall.
Det är däremot utredningens bedömning att det inte bör införas fler bestämmelser som motsvarar bestämmelser i dataskyddsförordningen än de som redan finns i registerförfattningarna. Registerförfattningarna skulle då komma att bli alltför omfattande. Det kan dessutom bli missvisande för tillämparen att endast återge vissa bestämmelser i dataskyddsförordningen när även övriga bestämmelser i dataskyddsförordningen gäller. I något enskilt fall kan det dock vara motiverat, för att förtydliga, att ta in en bestämmelse som upplyser om innehållet i en specifik bestämmelse i dataskyddsförordningen. Detta för att göra tillämparen uppmärksam på att regleringen i registerförfattningen inom ett visst område inte är uttömmande.
7. Konsekvenserna av att dataskyddsförordningen börjar tillämpas
7.1. Inledning
Utredaren ska enligt utredningsdirektiven undersöka vilka konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde.
Dataskyddsförordningen kommer från och med den 25 maj 2018 att gälla direkt i Sverige. Personuppgiftslagen kommer att upphävas vid samma tillfälle. Dataskyddsförordningens bestämmelser är tvingande och nationell lagstiftning på området kommer därför bara att komplettera dataskyddsförordningen i den utsträckningen det är möjligt att göra undantag eller förtydliganden i förhållande till dataskyddsförordningen. Svenska bestämmelser som strider mot dataskyddsförordningen får inte längre tillämpas. Samtliga verksamheter, som omfattas av dataskyddsförordningen, kommer således att behöva tillämpa dataskyddsförordningen, oavsett om verksamheten också omfattas av tillämpningsområdet för en registerförfattning.
Dataskyddsutredningen har föreslagit en lag med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen.1 Denna lag kommer, om förslaget leder till lagstiftning, att innehålla bestämmelser som kompletterar dataskyddsförordningen på en generell nivå. De verksamheter, vars behandling av personuppgifter inte omfattas av någon särskild registerförfattning men av tillämpningsområdet för dataskyddsförordningen, kommer alltså att tillämpa dataskyddsförordningen och den föreslagna dataskydds-
lagen i stället för personuppgiftslagen. Bestämmelserna i den föreslagna dataskyddslagen kommer i viss utsträckning även att tillämpas i verksamheter som omfattas av en särskild registerförfattning.
Som framgår av avsnitt 4.3 innebär dataskyddsförordningen vissa nyheter i förhållande till nu gällande dataskyddsreglering. Att dataskyddsförordningen ska börja tillämpas får därmed konsekvenser för all behandling av personuppgifter som omfattas av dess tillämpningsområde. Det är, med hänsyn till utredningens omfattande uppdrag och korta utredningstid, inte möjligt att inom ramen för detta uppdrag göra någon djupgående analys av vilka konsekvenser dataskyddsförordningen får för var och en av de många olika verksamheter som finns inom Socialdepartementets verksamhetsområde. De huvudsakliga konsekvenserna av att dataskyddsförordningen ska börja tillämpas kommer dock att beröras i detta avsnitt. De konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde är desamma som för övriga departements verksamhetsområden.
7.2. Personuppgifter kommer inte att kunna behandlas med stöd av missbruksregeln
Behandling av personuppgifter i ostrukturerat material, t.ex. löpande text i ordbehandlingsprogram, i e-post eller på internet är, som anges i avsnitt 3.3.3, tillåten enligt den s.k. missbruksregeln i 5 a § personuppgiftslagen så länge behandlingen inte innebär en kränkning av den registrerades personliga integritet. Missbruksregeln kommer inte att finnas kvar när dataskyddsförordningen ska börja tillämpas.2 Bestämmelserna i dataskyddsförordningen ska i stället tillämpas i sin helhet på all automatiserad behandling av personuppgifter.
Att missbruksregeln försvinner innebär att det beträffande sådan behandling av personuppgifter som i dag är tillåten enbart på grund av att den sker i ostrukturerat material, måste göras en ny bedömning i förhållande till dataskyddsförordningens bestämmelser. Det behöver till en början fastställas ändamål för behandlingen
och bedömas om det finns stöd för behandlingen i någon av de rättsliga grunderna i artikel 6 i dataskyddsförordningen. Om någon av de rättsliga grunderna är tillämplig, ska övriga bestämmelser i dataskyddsförordningen iakttas vid den fortsatta behandlingen.
7.3. Möjligheterna för myndigheter att behandla personuppgifter med stöd av en intresseavvägning minskar
Som anges i avsnitt 4.3.4 innebär regleringen i artikel 6.1 andra stycket i dataskyddsförordningen att det inte längre kommer att vara tillåtet för offentliga myndigheter att behandla personuppgifter som ett led i fullgörandet av sina uppgifter med stöd av en intresseavvägning.
Detta betyder att om någon myndighet i dag för sin myndighetsverksamhet behandlar personuppgifter med stöd av en intresseavvägning enligt 10 § f personuppgiftslagen, behöver en bedömning göras av om behandlingen i stället kan ske med stöd av någon annan av grunderna i artikel 6.1 i dataskyddsförordningen. Om det inte finns någon annan tillämplig grund för behandlingen, är den alltså inte tillåten. En myndighets behandling av personuppgifter inom kärnverksamheten som bedömts tillåten efter en intresseavvägning torde dock ofta även vara nödvändig för att utföra en arbetsuppgift av allmänt intresse och därmed tillåten med stöd av artikel 6.1 e i dataskyddsförordningen.3
Behandling av personuppgifter som en myndighet utför utanför den myndighetsspecifika verksamheten med stöd av en intresseavvägning, t.ex. inom personal- eller ekonomiadministration, verkar inte omfattas av begränsningen i artikel 6.1 andra stycket i dataskyddsförordningen.
3 Se Informationshanteringens bedömning i SOU 2015:39 s. 256 där det också ges exempel på några situationer då myndigheters behandling av personuppgifter bedömts tillåten efter en intresseavvägning.
7.4. Rättslig grund för behandling av personuppgifter
Av avsnitt 4.3.4 framgår att det tillkommit nya krav för några av de rättsliga grunderna för behandling av personuppgifter. När det gäller behandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c i dataskyddsförordningen) eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e i dataskyddsförordningen) måste grunden fastställas i nationell rätt eller EU-rätt. Vidare måste syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig förpliktelse fastställas i den rättsliga grunden. I fråga om behandling enligt artikel 6.1 e i dataskyddsförordningen gäller i stället att syftet med behandlingen ska vara nödvändigt för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.
Dessa nya villkor måste alltså vara uppfyllda för att de rättsliga grunder som anges artikel 6.1 c och e i dataskyddsförordningen ska vara tillämpliga. Förpliktelser och arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning som inte är rättsligt förankrade kan därmed inte längre åberopas som rättsliga grunder för behandling av personuppgifter. Dataskyddsutredningen har gjort en analys av vad dessa nytillkomna krav innebär.4
Som anges i avsnitt 4.3.3 krävs enligt skäl 50 till dataskyddsförordningen inte längre någon separat rättslig grund vid sådan vidarebehandling som inte hindras av finalitetsprincipen. I stället räcker det med den rättsliga grund med stöd av vilken personuppgifter samlades in. Det kommer således att vara tillräckligt att bedöma om en vidarebehandling är oförenlig med de ändamål för vilka personuppgifterna ursprungligen samlades in. Någon bedömning av vilken rättslig grund vidarebehandlingen har behöver däremot inte göras. För en mer ingående analys av innebörden av finalitetsprincipen hänvisas till Dataskyddsutredningens betänkande.5
7.5. Känsliga personuppgifter
Som anges i avsnitt 4.3.5 har det i dataskyddsförordningen tillkommit några nya kategorier av känsliga personuppgifter, nämligen genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Flera av de uppgifter som ryms inom de nya kategorierna är redan i dag att betrakta som känsliga personuppgifter, eftersom de omfattas av de nuvarande kategorierna. Till exempel kan genetiska uppgifter avslöja såväl hälsotillstånd som etnisk tillhörighet varför sådana uppgifter redan i dag anses vara känsliga personuppgifter.6 Även de andra nytillkomna kategorierna av känsliga personuppgifter kan i vissa fall också utgöra uppgifter om hälsa (se avsnitt 10.1.11 och 12.8.4). Uppgifter om sexuell läggning lär enligt utredningens bedömning i de flesta fall också vara uppgifter som rör sexualliv. De olika kategorierna av känsliga personuppgifter överlappar alltså i viss mån varandra. Att nya kategorier lagts till innebär dock att det kommer att vara fler uppgifter som kategoriseras som känsliga och som därmed omfattas av dataskyddsförordningens reglering i artikel 9. Eftersom huvudregeln enligt artikel 9.1 är att det är förbjudet att behandla känsliga personuppgifter, måste något av undantagen i artikel 9.2 vara tillämpligt för att behandling av sådana uppgifter ska vara tillåten.
En verksamhet som har behov av att behandla känsliga personuppgifter måste alltså ha stöd för sådan behandling i artikel 9.2 i dataskyddsförordningen. Dataskyddsutredningen har också föreslagit vissa kompletterande bestämmelser. För en redogörelse av vilka konsekvenser dataskyddsförordningen medför för möjligheterna att behandla känsliga personuppgifter hänvisas därför till Dataskyddsutredningens betänkande.7
För verksamhet som omfattas av en särskild registerförfattning kommer precis som i dag möjligheterna att behandla känsliga personuppgifter att regleras i den författningen.
7.6. Färre uppgifter omfattas av de begränsningar som gäller för uppgifter om lagöverträdelser m.m.
De särskilda regler i personuppgiftslagen som i dag gäller uppgifter om lagöverträdelser omfattar även uppgifter om friande brottmålsdomar och administrativa frihetsberövanden. Att dessa uppgifter inte omfattas av dataskyddsförordningens reglering, vilket framgår av avsnitt 4.3.5, innebär en utökad möjlighet för andra än myndigheter att behandla sådana uppgifter.
Eftersom dataskyddsförordningen inte innehåller någon begränsning i fråga om myndigheters behandling av uppgifter om lagöverträdelser, kommer myndigheter att ha samma möjligheter som i dag att behandla sådana uppgifter. För myndigheter som omfattas av särskilda registerförfattningar kan det dock i dessa författningar finnas bestämmelser som begränsar möjligheterna att behandla uppgifter om lagöverträdelser.
7.7. Utökade rättigheter för den registrerade
Bestämmelserna i dataskyddsförordningen innebär att den registrerades rättigheter utökas och att personuppgiftsansvarigas skyldigheter utökas i motsvarande mån. Informationsskyldigheten i dataskyddsförordningen är t.ex., som framgår av avsnitt 4.3.6, betydligt mer omfattande än vad som gäller enligt dataskyddsdirektivet och personuppgiftslagen. Den registrerade har rätt att få mer information än vad som gäller i dag och det har tillkommit nya situationer när information måste lämnas. Information ska t.ex. lämnas vid vidarebehandling av personuppgifter för annat syfte än det för vilket uppgifterna samlades in och i vissa fall vid personuppgiftsincidenter. Ett krav på att informationen ska lämnas i klar och tydlig form har också tillkommit. Vidare har det skett en viss förskjutning av tidpunkten för när information ska lämnas i fråga om behandling av uppgifter som har samlats in från någon annan än den registrerade.
Som också anges i avsnitt 4.3.6 är rätten att bli bortglömd betydligt mer utförligt reglerad än rätten till utplåning enligt personuppgiftslagen och dataskyddsdirektivet. Vissa undantag finns dock som gör att rätten att bli bortglömd inte gäller för behandling som
sker med stöd av grunderna i artikel 6.1 c och e i dataskyddsförordningen (rättslig förpliktelse och arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning) eller om behandlingen är nödvändig för arkivändamål av allmänt intresse. Det har också tillkommit en rätt att få ofullständiga personuppgifter kompletterade och en skyldighet att i vissa situationer begränsa behandlingen.
Rätten till dataportabilitet är en nyhet i dataskyddsförordningen. Rätten innebär att en verksamhet som omfattas av bestämmelsen är skyldig att tillhandahålla den registrerade uppgifterna i ett strukturerat, allmänt använt och maskinläsbart format. Eftersom rätten till dataportabilitet endast gäller om behandlingen grundar sig på samtycke eller avtal får den sannolikt inte någon större betydelse för verksamhet inom Socialdepartementets verksamhetsområde.
Den registrerades rätt att göra invändningar mot behandling är, som anges i avsnitt 4.3.6, utökad i dataskyddsförordningen på det sättet att det inte längre är den registrerade som ska ha berättigade skäl för sin invändning, utan i stället den personuppgiftsansvarige som ska kunna redogöra för varför behandlingen ska få äga rum. Eftersom bestämmelsen i 12 § personuppgiftslagen, som anger att en registrerad med vissa undantag inte har rätt att motsätta sig en behandling av personuppgifter som är tillåten enligt lagen, kommer att upphävas och någon motsvarande bestämmelse inte föreslås av Dataskyddsutredningen8, kommer den registrerades rätt att göra invändningar att omfatta betydligt fler behandlingar än i dag. Rätten gäller dock endast behandling som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning. Det finns också undantag från rätten att göra invändningar som avser behandling för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Den utökade rätten att göra invändningar innebär alltså att den personuppgiftsansvarige i fler fall än i dag kommer att behöva pröva invändningar från den registrerade och i förekommande fall avbryta behandlingen av den registrerades personuppgifter.
I registerförfattningar kan det, liksom i dag, finnas bestämmelser som begränsar den registrerades möjlighet att göra invändningar.
7.8. Personuppgiftsincidenter ska anmälas
Som anges i avsnitt 4.3.7 innehåller dataskyddsförordningen en ny skyldighet för personuppgiftsansvariga att dokumentera och anmäla personuppgiftsincidenter. Denna nya skyldighet kan komma att innebära att det i verksamheten behövs nya rutiner, särskilt eftersom tidsfristen för anmälan endast är 72 timmar.
7.9. Konsekvensbedömning
Som också framgår av avsnitt 4.3.7 kommer den personuppgiftsansvarige enligt artikel 35 i dataskyddsförordningen att vara skyldig att göra en konsekvensbedömning före en behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. I vissa fall måste även förhandssamråd ske med tillsynsmyndigheten.
Detta är en ny skyldighet för den personuppgiftsansvarige. Skyldigheten har störst betydelse när verksamheten inte omfattas av särskild registerlagstiftning. En konsekvensbedömning enligt artikel 35.10 i dataskyddsförordningen behöver nämligen som regel inte göras vid behandling som utförs med stöd av artikel 6.1 c eller e i dataskyddsförordningen (rättslig förpliktelse, allmänt intresse eller myndighetsutövning) när en konsekvensutredning redan har genomförts vid antagandet av den reglering som utgör den rättsliga grunden för behandlingen.
7.10. Skyldighet att utse dataskyddsombud
En annan nyhet i dataskyddsförordningen är, som framgår av avsnitt 4.3.8, kravet på att vissa organisationer ska utse ett dataskyddsombud. Kravet medför att de myndigheter och andra organisationer som omfattas av kravet – med iakttagande av dataskyddsförordningens bestämmelser om kvalifikationer och ställning – måste utse ett dataskyddsombud som ska agera självständigt.
Som framgår av avsnitt 4.3.7 är det inte dataskyddsombudet utan den personuppgiftsansvarige och personuppgiftsbiträdet som ska upprätta en förteckning över behandlingar av personuppgifter.
Skyldigheten att anmäla behandlingar till tillsynsmyndigheten försvinner.
7.11. Sanktioner
Som framgår av avsnitt 4.3.11 föreskriver dataskyddsförordningen sanktioner i form av skadestånd och administrativa sanktionsavgifter. Rätten till skadestånd finns föreskriven även i dataskyddsdirektivet och personuppgiftslagen, men en nyhet i dataskyddsförordningen är att även personuppgiftsbiträden kan bli skadeståndsskyldiga. Möjligheten att utfärda administrativa sanktionsavgifter vid överträdelser av dataskyddsförordningen är helt ny.
Bestämmelsen om administrativa sanktionsavgifter är direkt tillämplig och gäller både personuppgiftsansvariga och personuppgiftsbiträden. Medlemsstaterna får dock själva avgöra om och i vilken utsträckning tillsynsmyndighetens möjlighet att påföra administrativa sanktionsavgifter ska omfatta myndigheter. Enligt Dataskyddsutredningens förslag ska ett beslut om sanktionsavgifter få riktas även mot statliga och kommunala myndigheter.9
Personuppgiftslagen innehåller, utöver bestämmelser om skadestånd, även en straffbestämmelse (49 §) och en möjlighet för Datainspektionen att utfärda vite (44–46 §§). Medlemsstaterna ska enligt artikel 84 i dataskyddsförordningen fastställa regler om andra sanktioner för överträdelser av dataskyddsförordningen, särskilt sådana som inte är föremål för administrativa sanktionsavgifter. Dataskyddsutredningen har dock bedömt att det inte finns behov av bestämmelser om straff eller vite.10 Ytterligare en nyhet är därmed att dessa bestämmelser försvinner.
8. Verksamheter som inte har en registerförfattning
Utredningens bedömning: Det har inte framkommit att några
myndigheter eller verksamheter inom Socialdepartementets verksamhetsområde som inte har en registerförfattning behöver kompletterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas.
Några av de myndigheter och verksamheter som hör till Socialdepartementets verksamhetsområde har i dag inte en registerförfattning. I utredningsdirektiven anges att det exempelvis gäller Myndigheten för vård- och omsorgsanalys, Inspektionen för socialförsäkringen, Myndigheten för familjerätt och föräldraskapsstöd och Folkhälsomyndigheten. Dessa myndigheter ska i dag tillämpa personuppgiftslagen vid sin behandling av personuppgifter.
När personuppgiftslagen upphävs kommer myndigheter och verksamheter som inte omfattas av någon registerförfattning i stället att tillämpa dataskyddsförordningen och den föreslagna dataskyddslagen. Utredningen ska enligt utredningsdirektiven undersöka om det till följd av personuppgiftslagens upphävande och regleringen i dataskyddsförordningen behövs kompletterade föreskrifter för vissa myndigheter och verksamheter som i dag saknar särskilda registerförfattningar och i förekommande fall lämna författningsförslag. Som anges i avsnitt 6.1 får detta anses innebära att utredningen ska undersöka om det i dag förekommer någon typ av behandling av personuppgifter med stöd av personuppgiftslagen, t.ex. missbruksregeln i 5 a § eller en intresseavvägning enligt 10 § f personuppgiftslagen, alternativt personuppgiftsförordningen som behöver författningsstöd för att kunna fortsätta. Det är dock endast reglering av sådan behandling av personuppgifter som är mer eller mindre unik
för en viss verksamhet och som därför inte rimligen bör omfattas av en generell reglering som får anses ingå i utredningens uppdrag. Sådan behandling som behöver utföras av flera myndigheter, som hör under flera departement, bör däremot inte specialregleras utan i stället omfattas av den generella regleringen i dataskyddslagen. Som också framgår av avsnitt 6.1 kommer författningsstöd för annat än det som enligt utredningens bedömning är lagligt i dag inte att utredas.
I syfte att undersöka om det behövs kompletterande föreskrifter för de verksamheter som inte har en registerförfattning har utredningen haft särskilda möten med experterna från de myndigheter som omnämns i utredningsdirektiven, dvs. Myndigheten för vård- och omsorgsanalys, Inspektionen för socialförsäkringen, Myndigheten för familjerätt och föräldraskapsstöd och Folkhälsomyndigheten. Det har inte framkommit att dessa myndigheter utför någon myndighetsspecifik behandling av personuppgifter som är tillåten i dag men som behöver författningsregleras för att vara tillåten när personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. De behandlingar som dessa myndigheter har redogjort för är i stället i de flesta fall sådana som till sin natur är gemensamma för många myndigheter och organisationer. Det är därför inte motiverat att reglera behandlingen särskilt utan denna bör i stället omfattas av den generella regleringen.
Det bör betonas att utredningen inte har bedömt om det är nödvändigt eller lämpligt av annan anledning än den kommande förändringen på grund av EU-regleringen med en författningsreglering av behandlingen av personuppgifter hos de nämnda myndigheterna. Genom tilläggsdirektiv1 har dock utredningen även fått i uppdrag att utreda behovet av en särskild författning med bestämmelser om behandling av personuppgifter för Myndigheten för vård- och omsorgsanalys. Ett betänkande avseende detta uppdrag ska lämnas senast den 15 januari 2018.
Det har inte heller i övrigt framkommit att någon verksamhet eller myndighet inom Socialdepartementets verksamhetsområde behöver kompletterande föreskrifter till följd av personuppgiftslagens upphävande och regleringen i dataskyddsförordningen.
1 Dir. 2017:67.
9. Allmänt om befintliga bestämmelser
9.1. Inledning
I utredningsdirektiven anges inte särskilt många utgångspunkter för översynen av de befintliga registerförfattningarna inom Socialdepartementets verksamhetsområde. Förslagen ska, självklart, stämma överens med EU-rätten. Det gäller att, också det självklart, i den mån det finns utrymme hitta lämpliga avvägningar mellan skyddet för den personliga integriteten och de behov som finns av att behandla personuppgifter. Uttryck, struktur och hänvisningar till dataskyddsförordningen ska vara enhetliga. De befintliga förutsättningarna för en ändamålsenlig behandling ska dock inte försämras.
I detta avsnitt görs generella överväganden som sedan används som en slags mall vid översynen av de enskilda författningarna.
9.2. Det är tillåtet att begränsa myndigheters möjligheter till behandling och utöka deras skyldigheter
Utredningens bedömning: Det är tillåtet att begränsa myndig-
heters möjligheter till behandling av personuppgifter och utöka deras skyldigheter i förhållande till dataskyddsförordningen. Bestämmelser i registerförfattningar med den innebörden kan och bör därför behållas.
Dataskyddsförordningen är direkt tillämplig och innebär i vissa fall en rätt att behandla personuppgifter (t.ex. när det finns ett giltigt samtycke eller behandlingen är nödvändig för att fullgöra ett avtal,
artikel 6.1 a och b) eller en rätt att slippa göra vissa saker (se t.ex. artikel 11.1) som man inte kan avvika från i nationell rätt. Dataskyddsförordningen innebär i dessa fall alltså att det är otillåtet att inskränka rätten att behandla personuppgifter eller ålägga skyldigheter vid behandling utöver vad som följer av dataskyddsförordningen. Detta gäller helt klart i fråga om enskildas behandling av personuppgifter. När det gäller det allmännas, dvs. myndigheters, behandling av personuppgifter gör utredningen följande bedömning.
Dataskyddsförordningen innebär inte en skyldighet att behandla personuppgifter i de fall det är tillåtet annat än när det föreskrivs en sådan skyldighet, t.ex. när det gäller uppfyllandet av den registrerades rättigheter exempelvis avseende registerutdrag. Dataskyddsförordningen innebär inte heller ett förbud mot att en personuppgiftsansvarig väljer att gå utöver sina skyldigheter enligt dataskyddsförordningen och t.ex. lämna registrerade mera information än som krävs. I den utsträckning personuppgiftsansvariga har en sådan valrätt enligt dataskyddsförordningen, är det utredningens bedömning att medlemsstaterna utan hinder av dataskyddsförordningen genom nationell rätt kan disponera över den valrätten för sina egna myndigheter. Det gäller i Sverige såväl statliga som kommunala myndigheter. Däremot är det förstås inte tillåtet att i nationell rätt föreskriva att myndigheter får göra eller slipper göra något annat än när detta är tillåtet enligt dataskyddsförordningen.
Eftersom det alltså är tillåtet att begränsa myndigheters möjligheter till behandling av personuppgifter och utöka deras skyldigheter i förhållande till vad som gäller enligt dataskyddsförordningen, kan och bör bestämmelser i registerförfattningar med den innebörden behållas.
9.3. Nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen
Utredningens bedömning: När den rättsliga grunden för behand-
lingen är att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, kan och bör bestämmelser i registerförfattningar som begränsar myndigheters och enskildas möjligheter till behandling av personuppgifter och utökar deras skyldigheter i förhållande till dataskyddsförordningen behållas.
Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, dvs. behandling som avses i artikel 6.1 c och e i dataskyddsförordningen.
Den rättsliga grund för behandlingen som enligt artikel 6.3 i dataskyddsförordningen i dessa fall ska fastställas i den nationella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Som exempel på sådana bestämmelser anges allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Enligt skäl 45 till dataskyddsförordningen ska man dessutom kunna precisera kraven för att fastställa vem den personuppgiftsansvarige är. Medlemsstaternas nationella rätt bör, enligt det skälet, också reglera frågan huruvida en personuppgiftsansvarig som utför en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig
lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.
Den rättsliga regleringen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Medlemsstaternas nationella lagstiftning får alltså enligt artikel 6.2 och 6.3 i dataskyddsförordningen innehålla mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Dataskyddsförordningen hindrar inte att medlemsstaterna i nationell rätt inför mer restriktiva bestämmelser än enligt dataskyddsförordningen för sina egna myndigheters behandling av personuppgifter (se avsnitt 9.2). Även behandling som utförs av privata subjekt kan regleras i mer specifika bestämmelser så länge behandlingen stödjer sig på någon av de rättsliga grunderna fullgörande av rättslig förpliktelse eller utförande av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Det innebär att det är möjligt att såväl begränsa enskildas möjligheter till behandling av personuppgifter som att utöka deras skyldigheter i samband med behandlingen.
Den nationella lagstiftningen ska som nämnts uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Det får förutsättas att lagstiftaren i samband med tidigare författningsarbeten har gjort en proportionalitetsbedömning och bedömt att lagstiftningen syftar till att uppfylla ett mål av allmänt intresse. Kraven på bestämmelserna enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen får därmed anses redan vara uppfyllda.
Det lär även i övrigt finnas vissa gränser för vilka begränsningar som kan införas på nationell nivå. De specifika bestämmelserna enligt artikel 6.2 och 6.3 i dataskyddsförordningen lär t.ex. inte få innebära att det i praktiken blir omöjligt att genomföra behandling som är nödvändig för att enskilda ska kunna fullgöra en rättslig förpliktelse. Det är utredningens bedömning att det i registerförfattningarna inte finns några bestämmelser som ens närmar sig gränsen för det otillåtna.
9.4. Registerförfattningarnas syfte
Utredningens bedömning: Bestämmelser om registerförfatt-
ningars syfte påverkas inte av dataskyddsförordningen.
Dataskyddsförordningen syftar enligt artikel 1 till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samtidigt anges att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. Dataskyddsförordningen ska enligt skäl 10 säkerställa en enhetlig och hög skyddsnivå och undanröja hinder för flödet av personuppgifter inom EU. Medlemsstaterna tillåts dock att behålla eller införa nationell reglering för att närmare fastställa hur dataskyddsförordningens bestämmelser ska tillämpas när det gäller behandling som sker med stöd av de rättsliga grunderna fullgörande av en rättslig förpliktelse och utförande av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning som anges i artikel 6.1 c och e.
I registerförfattningar förekommer ibland bestämmelser som anger det övergripande syftet med lagen. Sådana bestämmelser är ofta utformade på ett sätt som uttrycker den avvägning lagstiftaren gjort mellan intresset av skydd för den personliga integriteten och intresset av att den aktuella verksamheten ska kunna bedrivas på ett ändamålsenligt och effektivt sätt. Bestämmelser om syftet med en lag innehåller oftast inte någon materiell reglering utan utgör i stället en sorts förklaring till vad som är målet med lagens bestämmelser.
Dataskyddsförordningen innehåller inte några bestämmelser som tar sikte på vilket syfte som anges för nationella bestämmelser som kompletterar förordningen. Eftersom bestämmelser om syftet med en viss lagstiftning sällan har någon materiell betydelse, finns det inte något som hindrar att den typen av bestämmelser behålls i den nationella lagstiftningen.
9.5. Registerförfattningarnas tillämpningsområde
Utredningens bedömning: Bestämmelser i registerförfattningar
om inom vilken verksamhet samt på vilka typer av behandlingar och uppgifter författningen ska tillämpas påverkas inte av dataskyddsförordningen och bör inte ändras.
Om registerförfattningen omfattar verksamhet som faller under tillämpningsområdet för det nya dataskyddsdirektivet, krävs det dock särskilda överväganden.
Av artikel 2.1 i dataskyddsförordningen framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Ett register är enligt definitionen i artikel 4.6 i dataskyddsförordningen en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Med personuppgifter avses enligt artikel 4.1 i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift, onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Tillämpningsområdet anges i dataskyddsdirektivet i relevanta delar på samma sätt som i dataskyddsförordningen.
I 5 § personuppgiftslagen används inte begreppet register, utan en modifierad formulering av dataskyddsdirektivets definition av ett register, nämligen en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Enligt 3 § personuppgiftslagen avses med personuppgifter all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Formuleringarna i personuppgiftslagen är avsedda att motsvara vad som gäller enligt dataskyddsdirektivet.
Registerförfattningarna omfattar i allmänhet samma typer av behandlingar och personuppgifter som dataskyddsdirektivet, personuppgiftslagen och dataskyddsförordningen. Ibland är tillämpningsområdet inskränkt till att avse bara viss typ av behandling, t.ex. automatiserad, eller typ av personuppgift och ibland är tillämpningsområdet utvidgat till att avse ytterligare uppgifter, t.ex. uppgifter om avlidna eller juridiska personer. Registerförfattningar reglerar vidare bara behandling inom en viss i författningen angiven verksamhet.
Dataskyddsförordningen hindrar inte att medlemsstaterna fritt bestämmer tillämpningsområdet för nationell lagstiftning. Frågor som ligger utanför dataskyddsförordningens tillämpningsområde kan således regleras i en författning som kompletterar dataskyddsförordningen och en sådan författning behöver inte reglera alla typer av behandlingar eller personuppgifter som dataskyddsförordningen reglerar. Det innebär att den nationella registerlagstiftningen för den verksamhet som regleras kan ha ett vidare eller snävare tillämpningsområde än dataskyddsförordningen och t.ex. omfatta sådan manuell behandling som inte omfattas av dataskyddsförordningen samt uppgifter om avlidna personer. Att medlemsstaterna får fastställa bestämmelser för behandlingen av personuppgifter avseende avlidna personer framgår dessutom av skäl 27 till dataskyddsförordningen. De registerförfattningar som i dag gäller för uppgifter om avlidna personer eller juridiska personer kan således även fortsättningsvis tillämpas på sådana uppgifter. Utredningens slutsats är alltså att bestämmelser i registerförfattningar som reglerar vilka typer av behandlingar och uppgifter författningen ska tillämpas på inte behöver ändras med anledning av dataskyddsförordningen. Även bestämmelser som styr vilken verksamhet författningen ska tillämpas på kan som regel behållas.
Om författningen omfattar behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, kan dock en förändring av tillämpningsområdet krävas. Dataskyddsförordningen ska nämligen enligt artikel 2.2 d inte tillämpas på sådan behandling av personuppgifter. Sådan behandling omfattas i stället av det nya dataskyddsdirektivet. Det innebär att det finns myndigheter som kommer att behöva
tillämpa regleringen i dataskyddsförordningen, jämte den kompletterande nationella lagstiftningen, för behandling av personuppgifter i en del av verksamheten och den nationella reglering som genomför det nya dataskyddsdirektivet för behandling av personuppgifter i en annan del av verksamheten. Det gäller framför allt myndigheterna inom rättskedjan men även andra myndigheter kan ha uppdrag som i någon del innebär brottsbekämpning, lagföring eller verkställighet av straffrättsliga påföljder. Inom Socialdepartementets verksamhetsområde aktualiseras denna gränsdragning i samband med rättspsykiatrisk vård och viss vård inom socialtjänsten som innebär att straffrättsliga påföljder verkställs. Hur denna gränsdragningsfråga bör hanteras redogör utredningen för i de avsnitt där de berörda författningarna analyseras, se avsnitt 10.1.1, 10.9.1 och 10.10.1.
9.6. Registerförfattningarnas förhållande till annan dataskyddsreglering
Utredningens förslag: Registerförfattningarna ska innehålla en
upplysning om att författningarna kompletterar dataskyddsförordningen.
Dataskyddslagen bör gälla, om inte annat följer av registerförfattningen eller föreskrifter som har meddelats med stöd av den. Det bör det upplysas om.
Om registerförfattningen vid viss behandling kompletteras av brottsdatalagen, ska det i registerförfattningen upplysas om det.
I registerförfattningarna finns det ofta en bestämmelse som anger hur författningen förhåller sig till personuppgiftslagen. I samband med att dataskyddsförordningen och den föreslagna dataskyddslagen börjar tillämpas kommer personuppgiftslagen att upphävas.
Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Registerförfattningarna kommer endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen, när det är tillåtet. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör en bestämmelse med en upplysning om att dataskyddsförordningen gäller tas in i registerförfattningarna.
Hänvisningen till dataskyddsförordningen ska vara dynamisk och gälla oavsett lydelse. Lagrådet har uttalat att en konsekvensanalys bör göras vid valet av hänvisningsteknik och redovisas för var och en av de hänvisningar som görs.1 Eftersom dataskyddsförordningen är direkt tillämplig och syftet med hänvisningen i det här fallet endast är att upplysa om att dataskyddsförordningen gäller, framstår det som lämpligast att tillämpa en dynamisk hänvisning.
Den föreslagna dataskyddslagen är tänkt att, på samma sätt som personuppgiftslagen, vara subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter2. Registerförfattningarna är normalt inte subsidiära i förhållande till annan lagstiftning. På Socialdepartementets verksamhetsområde finns det ingen registerförfattning som gäller i stället för personuppgiftslagen, utan författningarna gäller så att säga utöver den lagen och innehåller bara de särbestämmelser som ansetts nödvändiga på det aktuella området. Den regleringstekniken – att registerförfattningen gäller utöver den generella nationella regleringen av behandling av personuppgifter – kan och bör behållas. Eftersom dataskyddslagen som nämnts är tänkt att vara subsidiär, liksom personuppgiftslagen är i dag, behövs ingen materiell bestämmelse för att uppnå detta. Registerförfattningarna innehåller dock, som också nämnts, ändå ofta en bestämmelse om förhållandet till personuppgiftslagen, normalt en upplysning om att personuppgiftslagen gäller om inte annat följer av registerförfattningen eller föreskrifter som har meddelats med stöd av författningen. I linje med de bedömningar som gjorts när sådana bestämmelser införts, anser utredningen att det är nyttigt att uttryckligen upplysa om inte bara att registerförfattningen kompletterar dataskyddsförordningen utan också att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen. Registerförfattningarna bör därför innehålla en sådan upplysning.
När dataskyddslagen är tillämplig, är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Det innebär att eventuella förordningsbestämmelser om undantag från dataskyddslagens tillämplighet gäller.
1Prop. 2015/16:156 s. 34. 2SOU 2017:39 s. 83–85.
En bestämmelse om förhållandet till dataskyddsförordningen och dataskyddslagen kan lämpligen utformas enligt följande mönster.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
Bestämmelser om förhållandet till personuppgiftslagen finns även i vissa författningar som i huvudsak innehåller reglering av en viss verksamhet men som i anslutning till den regleringen också anger vad som gäller i fråga om viss behandling av personuppgifter. Även sådana bestämmelser bör ändras i enlighet med vad som anges ovan. En upplysningsbestämmelse om förhållandet till dataskyddsförordningen och dataskyddslagen bör utformas på det sätt som anges ovan. Eftersom den typen av författningar även reglerar annat än behandling av personuppgifter, bör det dock läggas till att lagen i dessa fall kompletterar dataskyddsförordningen endast vid behandling av personuppgifter.
Vid behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, gäller som nämnts (avsnitt 9.5) inte dataskyddsförordningen utan det nya dataskyddsdirektivet. Utredningen om 2016 års dataskyddsdirektiv har föreslagit en brottsdatalag för att genomföra det nya dataskyddsdirektivet.3 Brottsdatalagen ska dock enligt den föreslagna 1 kap. 5 § inte gälla om det finns avvikande bestämmelser i annan lag eller förordning. En registerförfattning som gäller för behandling som omfattas av det nya dataskyddsdirektivet kommer alltså att kompletteras av brottsdatalagen i stället för dataskyddsförordningen och dataskyddslagen. Detta bör det också upplysas om i registerförfattningen. Det är inom Socialdepartementets
verksamhetsområde aktuellt bara i fråga om patientdatalagen, se avsnitt 10.1.3.
Det förekommer vidare behandling av personuppgifter som inte omfattas av vare sig dataskyddsförordningen eller det nya dataskyddsdirektivet. Ett exempel är behandling av personuppgifter inom hälso- och sjukvård i vissa delar av Försvarsmaktens verksamhet. Dataskyddsutredningen har emellertid föreslagit att sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och som därmed enligt artikel 2.2 a i dataskyddsförordningen inte heller omfattas av dataskyddsförordningen ändå ska regleras av dataskyddsförordningen och dataskyddslagen, om det inte finns avvikande bestämmelser i annan författning.4 Om en registerförfattning reglerar behandling av personuppgifter som inte omfattas av vare sig dataskyddsförordningen eller det nya dataskyddsdirektivet, kommer registerförfattningen således att kompletteras av dataskyddsförordningen, på grund av bestämmelsen i dataskyddslagen, och dataskyddslagen.
9.7. Personuppgiftsansvar
Utredningens bedömning: Bestämmelser i registerförfattningar
om vem som är personuppgiftsansvarig kan och bör behållas. Även bestämmelser om personuppgiftsansvar som i praktiken utesluter vissa från möjligheten att behandla personuppgifter kan och bör behållas, om behandlingen enligt artikel 6.1 e dataskyddsförordningen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Av definitionen i artikel 4 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella
rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Motsvarande gäller enligt artikel 2 d i dataskyddsdirektivet.
Det är således lika tillåtet enligt dataskyddsförordningen att i nationell lagstiftning peka ut vem som är personuppgiftsansvarig som enligt dataskyddsdirektivet. Om den personuppgiftsansvarige finns angiven i befintlig lagstiftning, får det förutsättas att även ändamål och medel för behandlingen av personuppgifter har bestämts i nationell rätt.
Enligt skäl 45 till dataskyddsförordningen bör medlemsstaternas nationella rätt reglera frågan huruvida en personuppgiftsansvarig som utför en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation. Med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen och det skälet bör enligt utredningens bedömning även bestämmelser, som i praktiken förbjuder andra än den eller de som utpekats som personuppgiftsansvarig att utföra viss behandling av personuppgifter, behållas. Det gäller när behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e), men inte när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c).
Utredningens slutsats är att bestämmelser i registerförfattningar om vem som är personuppgiftsansvarig kan och bör behållas. Innebär bestämmelsen i praktiken att vissa utesluts från möjligheten att behandla personuppgifter, måste det dock undersökas om behandlingen grundas på artikel 6.1 e i dataskyddsförordningen, i vilket fall bestämmelsen är tillåten och bör behållas.
9.8. Begreppet allmänt intresse
9.8.1. Bestämmelser om allmänt intresse i dataskyddsförordningen och dataskyddsdirektivet
Begreppet allmänt intresse återkommer på flera ställen i dataskyddsförordningen. Personuppgifter får enligt artikel 6.1 e i dataskyddsförordningen behandlas om behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Ett viktigt allmänt intresse motiverar enligt artikel 9.2 g i dataskyddsförordningen också undantag från förbudet att behandla känsliga personuppgifter. Vidare kan det enligt artikel 23.1 e i dataskyddsförordningen vara tillåtet att införa begränsningar av vissa skyldigheter och rättigheter enligt dataskyddsförordningen, om det sker för viktiga mål av generellt allmänt intresse. Viktiga skäl som rör allmänintresset kan enligt artikel 49.1 d i dataskyddsförordningen även motivera en överföring av personuppgifter till tredjeland.
I dataskyddsdirektivet används begreppet allmänt intresse på i huvudsak samma sätt som enligt dataskyddsförordningen (artikel 7 e, artikel 8.4 och artikel 26.1 d).
Vad som är ett allmänt intresse är dock inte definierat i vare sig dataskyddsdirektivet eller dataskyddsförordningen. Innebörden av begreppet allmänt intresse har ännu inte heller närmare utvecklats av EU-domstolen i mål om behandling av personuppgifter, men EU-domstolen har ansett att bestämmelserna i dataskyddsdirektivet om rättslig förpliktelse, allmänt intresse och myndighetsutövning är tillräckligt precisa för att ha s.k. direkt effekt.5
I dataskyddsdirektivets skäl 34 anges folkhälsa och socialskydd – inklusive sjukförsäkringssystemet, vetenskaplig forskning och offentlig statistik – som viktiga allmänna intressen som motiverar undantag från förbudet att behandla känsliga personuppgifter:
När det av hänsyn till viktiga allmänna intressen är nödvändigt, måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik. Dock
5 EU-domstolens dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. C-465/00, C-138/01 och C-139/01, EU:C:2003:294.
åligger det medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv.
Motsvarande skrivning finns inte i dataskyddsförordningen. Däremot framgår av skäl 45 till dataskyddsförordningen att hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster inbegrips i allmänintresset.
Datalagskommittén har som exempel på arbetsuppgifter som kan vara av allmänt intresse nämnt arkivering, forskning, framställning av statistik, etablerade idrottsorganisationers registrering av vilka personer som har vunnit svenska mästerskap eller innehar svenskt rekord i erkända sportgrenar och registrering som sker av personer som har fått allmänt erkända utmärkelser, t.ex. Nobelpris.6 Datainspektionen har bl.a. ansett att förbättrande av kvaliteten inom hälso- och sjukvården innebär en verksamhet av allmänt intresse.7
I andra lagförarbeten har det ansetts vara ett viktigt allmänt intresse t.ex. att Rättsmedicinalverket kan upprätthålla och förbättra kvaliteten och enhetligheten i sitt arbete med uppföljning, utvärdering och kvalitetssäkring8, att socialtjänsten ska kunna utföra sina arbetsuppgifter på ett tillfredsställande sätt9 och att Inspektionen för socialförsäkringen får behandla känsliga personuppgifter vid sin tillsyn och granskning10.
Dataskyddsutredningen har bedömt att det med hänsyn till svensk förvaltningstradition är rimligt att anta att alla arbetsuppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. Även obligatoriska arbetsuppgifter som utförs av kommuner och landsting, till följd av deras åligganden enligt lag eller förordning, bedöms av Dataskyddsutredningen vara av allmänt intresse i dataskyddsförordningens mening.11
Ett viktigt allmänt intresse motiverar som nämnts undantag från förbudet att behandla känsliga personuppgifter. I artikel 9.2 g i
6SOU 1997:39 s. 361. 7 Nationella kvalitetsregister, Datainspektionens rapport 2002:1 s. 9. 8Prop. 1998/99:72 s. 38. 9Prop. 2000/01:80 s. 144. 10SOU 2014:67 s. 112. 11SOU 2017:39 s. 124.
dataskyddsförordningen anges att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Motsvarande undantag från förbudet att behandla känsliga personuppgifter finns i artikel 8.4 i dataskyddsdirektivet, varav framgår att undantag får göras i nationell rätt av hänsyn till ett viktigt allmänt intresse, förutsatt att sådana undantag förses med lämpliga skyddsåtgärder. Med stöd av undantaget har det i 19 § personuppgiftslagen införts en möjlighet att behandla känsliga personuppgifter för forsknings- och statistikändamål. I 20 § personuppgiftslagen har regeringen eller den myndighet som regeringen bestämmer fått bemyndigande att föreskriva ytterligare undantag om det behövs med hänsyn till ett viktigt allmänt intresse. Bemyndigandet har bl.a. utnyttjats genom att det har införts en bestämmelse i 8 § personuppgiftsförordningen om att känsliga personuppgifter får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I övrigt har möjligheten till undantag utnyttjats i olika registerförfattningar, som medger behandling av känsliga personuppgifter.
Informationshanteringsutredningen ansåg i sitt betänkande med förslag till myndighetsdatalag att bestämmelsen i 8 § personuppgiftsförordningen kunde utsträckas till att omfatta även annan myndighetsverksamhet än ärendehandläggning, så länge det rör sig om behandling av känsliga personuppgifter i löpande text. Sådan behandling ansågs alltså vara ett viktigt allmänt intresse. Det ansågs däremot inte möjligt att motivera att det med hänsyn till ett viktigt allmänt intresse finns ett behov hos alla myndigheter att i verksamhet som inte utgör handläggning av ärenden bygga upp datoriserade uppgiftssamlingar, exempelvis i form av regelrätta register eller databaser, där känsliga personuppgifter får registreras i strukturerad form.12
Dataskyddsutredningen har mot bakgrund av den remisskritik som uttalats mot Informationshanteringsutredningens förslag haft som utgångspunkt att någon större utvidgning av myndigheternas möjligheter att behandla känsliga personuppgifter inte bör införas genom den föreslagna dataskyddslagen.13 Enligt 3 kap. 3 § förslaget till dataskyddslag får känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, eller i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.14
Enligt artikel 23.1 e i dataskyddsförordningen kan det vara tillåtet att i EU-rätten eller nationell rätt införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för vissa skyldigheter och rättigheter enligt dataskyddsförordningen, om det sker för ”viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet”. Frågan är om den omständigheten att det i artikel 23.1 e talas om ett generellt allmänt intresse innebär något annat än begreppet allmänt intresse som anges i artikel 6.1 e i dataskyddsförordningen. Sannolikt är avsikten att tillägget generellt innebär att det krävs ett något mindre specifikt allmänt intresse än enligt artikel 6.1 e i dataskyddsförordningen. I avsaknad av ytterligare tolkningsdata går det dock inte att dra några säkra slutsatser om vad som avses.
I fråga om överföring av personuppgifter till tredjeland, kan viktiga skäl som rör allmänintresset enligt artikel 49.1 d i dataskyddsförordningen motivera en överföring även om det inte finns beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder. I skäl 112 till dataskyddsförordningen tas internationella utbyten av uppgifter mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårds-
13SOU 2017:39 s. 175. 14SOU 2017:39.
myndigheter upp som uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till viktiga allmänintressen.
9.8.2. Att bedriva verksamhet som ska finnas i enlighet med internationella rättighetsstadgor är ett viktigt allmänt intresse
Utredningens bedömning: Att bedriva verksamhet som ska finnas
i enlighet med internationella rättighetsstadgor – bl.a. hälso- och sjukvård, socialförsäkring och pensioner samt sociala förmåner som tillhandahålls inom socialtjänsten – är sådana allmänna intressen som avses i artikel 6.1 e, 9.2 g, 23.1 e och 49.1 d i dataskyddsförordningen.
I Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02), rättighetsstadgan, anges rättigheter, friheter och principer som medlemsstaterna ska respektera, iaktta och främja vid tillämpning av EU-rätten. Enligt artikel 33 ska skyddet av familjen på det rättsliga, ekonomiska och sociala planet säkerställas. Enligt artikel 34.1 erkänner och respekterar unionen rätten till tillgång till social trygghet och sociala förmåner som garanterar skydd i sådana fall som moderskap, sjukdom, olyckor i arbetet, omsorgsbehov eller ålderdom samt vid arbetslöshet i enlighet med närmare bestämmelser i unionsrätten samt nationell lagstiftning och praxis. Vidare har var och en enligt artikel 35 rätt till tillgång till förebyggande hälsovård och till medicinsk vård på de villkor som fastställs i nationell lagstiftning och praxis. En hög nivå av skydd för människors hälsa ska säkerställas vid utformning och genomförande av all unionspolitik och alla unionsåtgärder.
Även i Europarådets sociala stadga anges mål som de stater som ratificerat stadgan, däribland samtliga medlemsstater i EU, har åtagit sig att med alla lämpliga medel försöka förverkliga. Det gäller bl.a. att var och en har rätt till respekt för sitt familjeliv (artikel 7) och att rätten att bilda familj ska garanteras i nationell rätt (artikel 9). Var och en har också rätt att komma i åtnjutande av alla åtgärder som kan bidra till att ge honom eller henne bästa möjliga hälsotillstånd, vilket inkluderar att så långt som möjligt undanröja orsakerna till ohälsa, att lämna råd och upplysningar för befrämjande av
god hälsa och uppmuntran till personligt ansvarstagande i hälsofrågor samt att så långt som möjligt förebygga uppkomsten av epidemier, folksjukdomar och andra sjukdomar samt olycksfall (artikel 11). Ett annat mål är att alla arbetstagare och deras anhöriga ska ha rätt till social trygghet, vilket ska uppnås genom ett socialt trygghetssystem (artikel 12). Den som saknar tillräckliga resurser och som inte heller kan få medel för sin försörjning från ett socialförsäkringssystem har rätt till nödvändig social hjälp och vid sjukdom den vård deras tillstånd kräver (artikel 13). Var och en har rätt att få tillgång till sociala tjänster och för detta syfte ska särskilda organ inrättas (artikel 14). Varje äldre person har rätt till socialt skydd (artikel 23) och var och en har rätt till skydd mot fattigdom och social utslagning (artikel 30).
De rättigheter, friheter, principer och mål som anges i rättighetsstadgan och i Europarådets sociala stadga har tagits med på grund av deras grundläggande och allmängiltiga karaktär. Samtliga medlemsstater i EU har åtagit sig att respektera, iaktta och främja dessa rättigheter, friheter, principer och mål, som mot bakgrund av detta måste anses vara av viktigt allmänt intresse respektive av generellt allmänt intresse. Såväl hälso- och sjukvård som socialförsäkringen och det sociala trygghetssystemet med bl.a. försörjningsstöd och stöd till funktionshindrade bör därmed anses utgöra allmänna intressen.
Det krävs en omfattande administration för att vidta åtgärder i syfte att tillhandahålla de rättigheter som föreskrivs i de internationella rättighetsstadgorna. Att de ansvariga institutionerna kan administrera sin verksamhet på ett ändamålsenligt sätt är en förutsättning bl.a. för att det ska gå att tillhandahålla en säker och trygg hälso- och sjukvård och för att de sociala trygghetssystemen ska kunna fungera. Även den administration som krävs för att tillhandahålla förmåner, vård och andra rättigheter, får därmed anses ligga inom ramen för vad som är ett allmänt intresse och viktigt allmänt intresse.
Med stöd av regleringen i internationella rättighetsstadgor, som omfattar alla medlemsstater i EU, anser utredningen således att bedrivandet av verksamhet med hälso- och sjukvård, socialförsäkring och pensioner samt sociala förmåner som tillhandahålls inom socialtjänsten, inklusive den administration dessa verksamheter kräver, är sådana allmänna intressen som avses i artikel 6.1 e, som
gör behandlingen tillåten, artikel 9.2 g, som gör behandling av även känsliga personuppgifter tillåten, artikel 23.1 g, som kan motivera en begränsning av de registrerades rättigheter, och artikel 49.1 d, som kan motivera en överföring av personuppgifter till tredjeland.
9.8.3. Redan gjorda bedömningar av allmänt intresse har alltjämt giltighet
Utredningens bedömning: Behandling av personuppgifter som
har tillåtits i en registerförfattning på den grunden att den ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 7 e i dataskyddsdirektivet, får också anses nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Bestämmelser om detta kan och bör behållas.
Registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet reglerar behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen och nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. Bestämmelser om detta kan och bör behållas.
Det finns inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Dataskyddsutredningen har tvärtom ansett att mycket talar för att begreppet allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft.15
Utredningens förslag och analys bör som redan nämnts (avsnitt 6.1) bygga på de bedömningar och avvägningar som redan gjorts i samband med att registerförfattningarna införts. Det gäller även om bedömningarna inte alltid framgår uttryckligen av förarbetena. Det som enligt dataskyddsdirektivet har ansetts utgöra ett allmänt intresse respektive viktigt allmänt intresse, får därför också anses utgöra ett allmänt intresse respektive viktigt allmänt
intresse enligt dataskyddsförordningen. Detta innebär att när behandling av personuppgifter har tillåtits i en registerförfattning med stöd av artikel 7 e i dataskyddsdirektivet på den grunden att den ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, får behandlingen också anses nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Om behandling av känsliga personuppgifter har tillåtits i en registerförfattning med stöd av artikel 8.4 i dataskyddsdirektivet, har det redan bedömts att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen är därmed också nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 7 e i dataskyddsdirektivet. Det innebär att behandling av känsliga personuppgifter som har stöd i artikel 8.4 i dataskyddsdirektivet också, under förutsättning av proportionalitet och bestämmelser om skyddsåtgärder (se avsnitt 9.11.3), har stöd i både artikel 9.2 g och 6.1 e i dataskyddsförordningen.
Även om det inte anges något uttryckligt om det rättsliga stödet i förarbetena till en registerförfattning, är det ofta tydligt att den aktuella behandlingen inte kan stödja sig på annat än artikel 7 e respektive 8.4 i dataskyddsdirektivet.
9.9. Principer för behandling av personuppgifter
Utredningens bedömning: Artikel 5 i dataskyddsförordningen,
som slår fast grundläggande principer för behandling av personuppgifter, är tvingande och gäller t.ex. även när det av en registerförfattning framgår att personuppgifter får behandlas för ett visst ändamål. Detta innebär ingen skillnad i förhållande till vad som gäller enligt personuppgiftslagen.
I artikel 5 i dataskyddsförordningen finns ett antal principer som gäller för all behandling av personuppgifter. Det rör sig om principen om laglighet, korrekthet och öppenhet (a), principen om ändamålsbegränsning (b), principen om uppgiftsminimering (c), principen om korrekthet (d), principen om lagringsminimering (e) och principen om integritet och konfidentialitet (f). En närmare redogörelse av principernas innebörd finns i avsnitt 4.3.3. Principerna motsvarar i stort sett de principer som framgår av artikel 6 i dataskyddsdirektivet
och de grundläggande krav på behandling av personuppgifter som gäller enligt 9 § personuppgiftslagen.
Dataskyddsförordningen är direkt tillämplig och tvingande i de delar den inte tillåter nationell reglering. Enligt artikel 23 i dataskyddsförordningen är det under vissa förutsättningar möjligt att införa en nationell lagstiftningsåtgärd som begränsar tillämpningsområdet för artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. Om någon begränsning inte har införts i den nationella lagstiftningen, ska dock artikel 5 tillämpas även när en registerförfattning är tillämplig.
Att artikel 5 i dataskyddsförordningen gäller vid sidan av regleringen i en registerförfattning innebär ingen förändring i förhållande till vad som gäller i dag. Även om personuppgiftslagen är subsidiär i förhållande till registerförfattningarna, har utgångspunkten för de allra flesta registerförfattningar varit att 9 § personuppgiftslagen huvudsakligen ska tillämpas.16 Att det av en registerförfattning framgår att personuppgifter får behandlas för ett visst ändamål, innebär således inte att t.ex. irrelevanta eller onödigt många personuppgifter får behandlas för ändamålet. Oavsett om ändamålet för behandling av personuppgifter har fastställts i författning eller inte är det alltid den personuppgiftsansvarige som enligt artikel 5.2 i dataskyddsförordningen ansvarar för och ska kunna visa att principerna i artikel 5 efterlevs.
I fråga om finalitetsprincipen (9 § första stycket d och andra stycket personuppgiftslagen) finns i registerförfattningar ofta en uttrycklig hänvisning till personuppgiftslagen. Denna hänvisning bör dock, i enlighet med vad som framgår av avsnitt 9.10.3, ses som ett förtydligande och inte som en materiell regel.
16 Se t.ex. prop. 2002/03:135 s. 131, prop. 2007/08:126 s. 63 och prop. 2008/09:145 s. 343.
9.10. Rättslig grund för behandling av personuppgifter
9.10.1. Laglig behandling av personuppgifter vid rättslig förpliktelse, allmänt intresse och myndighetsutövning
Utredningens bedömning: Ändamålsbestämmelser i register-
författningar som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning har stöd i dataskyddsförordningen. Någon ytterligare analys av vilket stöd redan befintliga ändamål har krävs inte för att konstatera att behandlingen är laglig och har nödvändigt författningsstöd. Ändamålsbestämmelser i registerförfattningar som tillåter behandling av personuppgifter kan och bör behållas.
Ändamål och grund för behandling av personuppgifter
Behandling av personuppgifter är laglig enligt dataskyddsförordningen endast om och i den mån åtminstone ett av villkoren i artikel 6.1. i dataskyddsförordningen är uppfyllt. Det första alternativa villkoret är att den registrerade har lämnat sitt samtycke till behandlingen (a). Behandling av personuppgifter kan också ske om den är nödvändig för att fullgöra ett avtal (b) eller en rättslig förpliktelse (c), för att skydda intressen som är av grundläggande betydelse för en fysisk person (d) eller för att utföra en (arbets)uppgift av allmänt intresse eller som ett led i myndighetsutövning (e). Personuppgifter kan slutligen behandlas med stöd av en intresseavvägning (f).
Motsvarande krav på att behandlingen ska vara nödvändig finns i artikel 7 i dataskyddsdirektivet. EU-domstolen har uttalat att begreppet nödvändigt i dataskyddsdirektivet har en unionsrättslig innebörd. Kravet på nödvändighet enligt dataskyddsdirektivet har inte ansetts innebära att det ska vara omöjligt att utföra en uppgift om inte personuppgifter behandlas. Trots att en uppgift skulle kunna utföras utan att personuppgifter behandlas på visst sätt kan behandlingen anses nödvändig om den innebär effektivitetsvinster.17
17 Dom av den 16 december 2008, Huber C-524/06, EU:C:2008:724, och SOU 2017:39 s. 105–106.
Villkoren i artikel 6.1 i dataskyddsförordningen är i huvudsak desamma som anges i artikel 7 i dataskyddsdirektivet och 10 § personuppgiftslagen. En skillnad är dock att myndigheter enligt dataskyddsförordningen inte får behandla personuppgifter med stöd av en intresseavvägning när de fullgör sina uppgifter.
I registerförfattningar anges ofta ändamål för vilka personuppgifter får behandlas. Behandling av personuppgifter för dessa ändamål måste vara förenlig med den grundläggande dataskyddslagstiftningen och det får därför förutsättas att man under författningsarbetet har funnit stöd för behandling av personuppgifter enligt ändamålen i artikel 7 i dataskyddsdirektivet. Bortsett från eventuella ändamål som stödjer sig på intresseavvägningar i myndigheters verksamhet, har ändamålen nu motsvarande stöd i dataskyddsförordningen. De ändamål som anges i registerförfattningarna har ofta stöd i någon av grunderna rättslig förpliktelse, allmänt intresse eller myndighetsutövning. Grunderna är ibland överlappande på så sätt att ett ändamål kan ha stöd i mer än en grund. Exempelvis kan en rättslig förpliktelse att föra ett visst register även anses utgöra en arbetsuppgift av allmänt intresse. Någon ytterligare analys av vilket stöd redan befintliga ändamål, som grundar sig på en rättslig förpliktelse, allmänt intresse eller myndighetsutövning (artikel 7 c och e i dataskyddsdirektivet), har i dataskyddsförordningen, krävs därför inte för att konstatera att behandlingen är laglig enligt dataskyddsförordningen. Det gör att sådana ändamålsbestämmelser kan och bör behållas.
Eftersom befintliga ändamålsbestämmelser i registerförfattningar som tillåter behandling av personuppgifter således inte behöver ändras, blir det inte aktuellt att göra en analys i förhållande till bestämmelserna i 2 kap. 6 § andra stycket och 20 och 21 §§regeringsformen om möjligheterna att med stöd av lag göra betydande intrång i den personliga integriteten.
Grunden för behandlingen ska fastställas rättsligt
Den grund för behandling av personuppgifter som avses i artikel 6.1 c (rättslig förpliktelse) och e (allmänt intresse och myndighetsutövning) i dataskyddsförordningen ska enligt artikel 6.3 fastställas i enlighet med EU-rätten eller den nationella rätt som den
personuppgiftsansvarige omfattas av. Dataskyddsutredningen har konstaterat att detta innebär ett krav på att rättsliga förpliktelser och arbetsuppgifter av allmänt intresse och som ett led i myndighetsutövning ska vara rättsligt förankrade i unionsrätten eller i medlemsstatens nationella rätt för att de ska kunna åberopas som rättsliga grunder för behandling av personuppgifter. Någon särskild reglering med anledning av att dataskyddsförordningen ska börja tillämpas bedöms dock inte krävas. Inte heller behöver den rättsliga grunden vara fastställd i eller i enlighet med en av riksdagen beslutad lag. Grunden måste dock vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt.18 Av skäl 41 till dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid EU-domstolen och Europadomstolen.
Myndighetsutövning mot enskild måste alltid ha stöd i författning (8 kap. 2 § 2 och 3 § regeringsformen). Grunden för behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift som ett led i den personuppgiftsansvariges myndighetsutövning mot enskild är således redan fastställd i nationell rätt. Rättsliga förpliktelser är till sin natur sådana förpliktelser som redan framgår av eller meddelas med stöd av gällande rätt. I vissa fall kan den rättsliga förpliktelsen framgå av registerförfattningen, t.ex. bestämmelser om att ett visst register ska föras, att personuppgifter ska gallras, att uppgifter ska lämnas ut eller att patientjournaler ska föras. När behandling som tillåts enligt registerförfattning grundas på en rättslig förpliktelse eller myndighetsutövning får det förutsättas att författningsstödet för förpliktelsen respektive myndighetsutövningen identifierats när behandlingen tilläts. Det gör att utredningen kan utgå från att nödvändiga författningsbestämmelser finns när behandling har tillåtits i en registerförfattning med stöd av artikel 7 c eller, såvitt gäller myndighetsutövning, artikel 7 e i dataskyddsdirektivet.
Ändamålsbestämmelser i registerförfattningar inom Socialdepartementets verksamhetsområde grundar sig ofta på arbetsuppgifter av allmänt intresse (artikel 7 e i dataskyddsdirektivet). Arbetsuppgifterna härrör mestadels från uppdrag och åligganden som framgår av olika verksamhetsorienterade författningar, t.ex. hälso- och sjuk-
vårdslagen (2017:30), läkemedelslagen (2015:315), socialtjänstlagen (2001:453), socialförsäkringsbalken och myndigheters instruktioner. Arbetsuppgifterna kan också anges i regeringsbeslut såsom regleringsbrev och andra regeringsuppdrag. Den rättsliga grunden för behandling av personuppgifter för arbetsuppgifter av allmänt intresse är således i de allra flesta fall fastställd genom någon annan rättsakt än registerförfattningen. Skulle så inte vara fallet, är den rättsliga grunden i vart fall fastställd genom registerförfattningens ändamålsbestämmelse. Något ytterligare rättsligt fastställande behövs inte enligt artikel 6.3 i dataskyddsförordningen.
Syftet med behandlingen vid rättslig förpliktelse ska vara fastställt
I fråga om rättsliga förpliktelser enligt artikel 6.1 c i dataskyddsförordningen krävs enligt artikel 6.3 i dataskyddsförordningen att syftet med behandlingen är fastställt i den rättsliga grunden. Det framgår inte av dataskyddsförordningen att syftet ska vara fastställt i en registerförfattning som reglerar behandling av personuppgifter utan syftet kan enligt utredningens bedömning även finnas i exempelvis den författning som reglerar själva verksamheten. Den rättsliga förpliktelsen och syftet med behandlingen behöver inte heller framgå av samma författning. Oavsett hur detta har reglerats, får enligt utredningens bedömning det som krävs enligt artikel 6.3 i dataskyddsförordningen anses uppfyllt.
Syftet med behandlingen ska vara nödvändigt för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning
För behandling av personuppgifter för att utföra arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e i dataskyddsförordningen finns det inget krav på att syftet med behandlingen av personuppgifter ska framgå av den rättsliga grunden; i stället ska syftet enligt artikel 6.3 vara nödvändigt för att utföra arbetsuppgiften av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Som konstaterats tidigare i detta avsnitt bör tidigare gjorda bedömningar av att en behandling av personuppgifter har lagligt stöd i artikel 7 i dataskyddsdirektivet godtas. Det får förutsättas att bedömningarna även innefattat ett ställningstagande till att syftet med behandling av personuppgifter för ändamålet är nödvändigt för att utföra den arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning som utgör grund för behandlingen. Eftersom ett sådant ställningstagande behövs för att det ur ett integritetsperspektiv ska kunna bedömas vara motiverat att över huvud taget behandla personuppgifterna, är det rimligt att förutsätta att ett sådant ställningstagande redan finns. Några nya bedömningar av syftet med behandlingen krävs därför inte.
Det sagda gäller också sådana bestämmelser i registerförfattningar om s.k. sekundära ändamål som tillåter utlämnande generellt till andra aktörer med stöd av bestämmelser i andra författningar om att uppgifter får lämnas ut, t.ex. bestämmelser om att uppgifter får lämnas ut utan hinder av sekretess eller att uppgifter får lämnas ut elektroniskt. Införandet av dessa bestämmelser har föregåtts av avvägningar mellan effektivitet och integritet och syftet med sådana utlämnanden får därför förutsättas vara nödvändigt för att utföra arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning.
Proportionalitet och mål av allmänt intresse
Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter enligt artikel 6.1 c och e i dataskyddsförordningen måste enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen också uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Det får förutsättas att de ändamål som fastställts i befintliga registerförfattningar med stöd av artikel 7 c och e i dataskyddsdirektivet i samband med tidigare författningsarbeten har bedömts relevanta och proportionerliga i förhållande till det integritetsintrång de kan innebära och att det finns mål av allmänt intresse. Kraven på bestämmelserna enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen får därmed anses redan vara uppfyllda.
9.10.2. Samtycke som rättslig grund
Utredningens bedömning: Bestämmelser i registerförfattningar
som tilldelar den registrerades samtycke betydelse kan och bör behållas.
Om bestämmelsen omfattar enskildas behandling av personuppgifter som inte grundar sig på artikel 6.1 c eller e i dataskyddsförordningen, krävs dock särskilda överväganden.
Samtycke utgör enligt både dataskyddsdirektivet och dataskyddsförordningen en rättslig grund för behandling av personuppgifter. Av artikel 6.1 a i dataskyddsförordningen och artikel 7 a i dataskyddsdirektivet följer att behandling är laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Samtycke definieras i artikel 4.11 i dataskyddsförordningen som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Definitionen motsvarar i allt väsentligt den som finns i artikel 2 h i dataskyddsdirektivet.
I artikel 7 och 8 i dataskyddsförordningen finns vissa ytterligare bestämmelser om samtycke som rättslig grund för behandling av personuppgifter, som inte har någon uttrycklig motsvarighet i dataskyddsdirektivet och personuppgiftslagen. Av skäl 43 till dataskyddsförordningen framgår att samtycke inte bör utgöra giltig rättslig grund i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Någon motsvarande skrivning fanns inte i skälen till dataskyddsdirektivet. Det kan alltså inte uteslutas att kraven på samtycke i vissa situationer när samtycke utgör den rättsliga grunden för behandling av personuppgifter har skärpts något i förhållande till vad som anses gälla i dag, jämför skäl 171 till dataskyddsförordningen som innehåller skrivningar som verkar förutsätta att ett samtycke enligt dataskyddsdirektivet inte alltid uppfyller villkoren i dataskyddsförordningen.
Artikel 29-gruppen har dock i ett yttrande gjort vissa uttalanden avseende dataskyddsdirektivets krav på att samtycke ska ha lämnats frivilligt. I yttrandet anges att typen av registeransvarig kan vara avgörande för valet av rättslig grund för behandling av personuppgifter. Detta gäller framför allt registeransvariga inom den offentliga sektorn, där behandlingen av personuppgifter normalt är knuten till fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse. Att använda samtycke som rättslig grund i dessa fall är inte lämpligt. Detta är särskilt tydligt när det gäller hur personuppgifter behandlas av offentliga myndigheter som har officiella maktbefogenheter, t.ex. rättsvårdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiära och rättsliga aktiviteter. I samma yttrande anges att ett samtycke som i en vårdsituation getts under hot om att medicinsk vård annars inte kommer att ges, eller att medicinsk vård av lägre kvalitet kommer att ges, inte kan betraktas som frivilligt. 19
Även enligt Datainspektionen kan det starkt ifrågasättas om kravet på att samtycket lämnats frivilligt är uppfyllt om myndigheter skulle kräva samtycke till behandling av personuppgifter som en förutsättning för att tillhandahålla samhälleliga tjänster. I de fall där den enskilde inte har någon verklig valmöjlighet måste den personuppgiftsansvarige stödja behandlingen av personuppgifter på någon annan grund.20 Samtycke kan dock enligt ovan nämnda yttrande från Artikel 29-gruppen i undantagsfall vara en giltig grund för stater när de behandlar personuppgifter, men en noggrann kontroll bör göras för att se om samtycket faktiskt är tillräckligt frivilligt.
Avvägningar angående huruvida det är lämpligt för en myndighet eller någon annan aktör att grunda en behandling av personuppgifter i ett särskilt fall på ett giltigt samtycke bör således redan ha gjorts av lagstiftaren i de fall det finns bestämmelser om samtycke i registerförfattningar. Mot bakgrund av att kravet på frivillighet gäller även enligt dataskyddsdirektivet och de ovan redovisade uttalandena från Artikel 29-gruppen är det utredningens bedömning att någon ytterligare analys av lämpligheten av att grunda en behandling på ett giltigt samtycke inte behöver göras i de fall sådana bestämmelser finns i registerförfattningarna.
19 Yttrande 15/2011 om definitionen av begreppet ”samtycke” s. 13–14 och 16–17. 20 Samtycke enligt personuppgiftslagen – Datainspektionen informerar s. 6.
Bestämmelsen i artikel 6.1 a i dataskyddsförordningen om att behandling är laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål är direkt tillämplig och inte försedd med någon möjlighet till nationell begränsning. Det är därför inte tillåtet att förbjuda enskilda att behandla personuppgifter med stöd av ett giltigt samtycke från den registrerade annat än när det gäller känsliga personuppgifter (artikel 9.2 a) och personuppgifter om lagöverträdelser (artikel 10). Detta motsvarar vad som gäller i dag.
Däremot kan myndigheter trots dataskyddsförordningen förbjudas att använda möjligheten att behandla personuppgifter med stöd av samtycke (se avsnitt 9.2). Så har ofta skett genom en registerförfattning med ändamålsbestämmelser. Ändamålsbestämmelserna ersätter nämligen normalt de rättsliga grunderna enligt 10 § personuppgiftslagen; personuppgifter får inom registerförfattningens tillämpningsområde behandlas bara för de angivna ändamålen (och ibland även sådana ändamål som inte är oförenliga med de angivna ändamålen, se avsnitt 9.10.3 om finalitetsprincipen) oberoende av den registrerades samtycke. Den ordningen kan alltså behållas.
I vissa registerförfattningar förekommer det att myndigheter och enskilda uttryckligen tillåts att med stöd av samtycke behandla personuppgifter för andra ändamål eller i andra fall än de i författningen angivna. Även sådana bestämmelser kan behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a i dataskyddsförordningen och skäl 8 till dataskyddsförordningen om att det är tillåtet att införliva delar av dataskyddsförordningen i nationell rätt. Eftersom det anses att den registrerades samtycke inte ger rätt att behandla personuppgifter i strid mot de grundläggande kraven på behandling (i artikel 5 i dataskyddsförordningen), gäller dock att bestämmelsen inte kan ge stöd för att t.ex. behandla sådana personuppgifter som inte är korrekta i förhållande till de ändamål som anges i författningen eller som samtycket avser (artikel 5.1 d).
Det förekommer även bestämmelser i registerförfattningar om att en behandling för vissa ändamål bara får utföras med den registrerades samtycke trots att den behandling som författningen reglerar stödjer sig på en annan rättslig grund än samtycke, t.ex. en arbetsuppgift av allmänt intresse. En sådan begränsning är tillåten för myndigheter, se avsnitt 9.2. Om de angivna ändamålen för den behandling av personuppgifter som regleras i registerförfattningen
är sådana som avses i artikel 6.1 c eller e i dataskyddsförordningen (rättslig förpliktelse eller arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning), får bestämmelserna anses tillåtna såsom preciseringar även för enskilda enligt artikel 6.2 och 6.3 i dataskyddsförordningen (se avsnitt 9.3).
Om det däremot i någon registerförfattning finns bestämmelser som omfattar enskildas behandling av personuppgifter och den grundläggande behandlingen av personuppgifterna inte grundar sig på artikel 6.1 c eller e i dataskyddsförordningen kan en sådan bestämmelse inte anses tillåten med hänvisning till de ovan angivna skälen. För det fall det finns sådana bestämmelser krävs det i stället särskilda överväganden för att bedöma om dessa kan behållas.
Bestämmelser som innebär krav på samtycke för en viss åtgärd, t.ex. direktåtkomst, när den behandling som författningen reglerar stödjer sig på en annan rättslig grund kan enligt utredningens bedömning i vissa fall utgöra en integritetshöjande åtgärd, dvs. en slags skyddsåtgärd. Utredningen berör den typen av bestämmelser i avsnitt 9.16.2.
9.10.3. Finalitetsprincipen
Utredningens bedömning: Bestämmelser i registerförfattningar
med innebörden att personuppgifter, som behandlas för i författningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen kan och bör behållas i sak.
I registerförfattningar förekommer hänvisningar till 9 § första stycket d personuppgiftslagen, den s.k. finalitetsprincipen – att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. Den uttryckliga hänvisningen till finalitetsprincipen tillkom första gången efter att Lagrådet anfört att uppbyggnaden och utformningen av ändamålsbestämmelserna i förslaget till lag om behandling av personuppgifter inom socialförsäkringens administration gav intryck av att de angivna ändamålen var uttömmande. Att det fanns en avsikt att även andra efterkommande behandlingar skulle få företas förutsatt att det inte kunde anses oförenligt med de ursprungliga ändamålen
ansågs inte framgå av den föreslagna lagtexten. Regeringen föreslog då ett förtydligande – en hänvisning till 9 § första stycket d och andra stycket personuppgiftslagen. Mot bakgrund av att motsvarande förtydligande vid den tiden saknades i andra registerförfattningar, betonade regeringen att det inte var fråga om en materiell regel, utan endast ett förtydligande.21
Finalitetsprincipen finns uttryckt i artikel 5.1 b och 6.4 i dataskyddsförordningen. Av artikel 5.1 b i dataskyddsförordningen framgår att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in, samt att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. I enlighet med den bedömning utredningen gör i avsnitt 9.16.1 utgör artikel 89.1 i dataskyddsförordningen en precisering av principen om uppgiftsminimering i artikel 5.1 och de allmänna bestämmelserna om säkerhetsåtgärder i dataskyddsförordningen, vilka är direkt tillämpliga. Skyldigheten för den personuppgiftsansvarige att iaktta principen om uppgiftsminimering och vidta säkerhetsåtgärder regleras även i dataskyddsdirektivet. Det är därför utredningens bedömning att regleringen i artikel 5.1 b i dataskyddsförordningen motsvarar den som finns i artikel 6.1 b i dataskyddsdirektivet (för bedömning avseende ändrad formulering av ändamålen se avsnitt 9.17.2).
I artikel 6.4 i dataskyddsförordningen anges vilken bedömning den personuppgiftsansvarige ska göra för att fastställa om en vidarebehandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. I artikeln anges vad den personuppgiftsansvarige ska beakta om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1 i dataskyddsförordningen. Den personuppgiftsansvarige ska beakta kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personupp-
gifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige, personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 i dataskyddsförordningen eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10 i dataskyddsförordningen, eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen samt förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.
Av skäl 50 till dataskyddsförordningen framgår att vid behandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta är en nyhet i förhållande till dataskyddsdirektivet.
Finalitetsprincipen kommer således att finnas kvar även med dataskyddsförordningen. Eftersom utredningen avser att i den mån det är möjligt behålla de möjligheter att behandla personuppgifter som myndigheter och vissa enskilda aktörer har i dagsläget, krävs att det är tydligt att de uppräknade ändamålen, när så har gällt tidigare, inte är uttömmande. Bestämmelser i registerförfattningar med innebörden att personuppgifter, som behandlas för i författningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen kan och bör därför behållas. Det bör dock noteras att artikel 13.3 och 14.4 i dataskyddsförordningen i regel innebär att de registrerade på förhand måste informeras om tilltänkt återanvändning av deras personuppgifter.
En bestämmelse som klargör att de i registerförfattningen angivna ändamålen inte är uttömmande utan att också sådan behandling som inte strider mot finalitetsprincipen är tillåten kan lämpligen utformas enligt följande.
Att personuppgifter som behandlas för ändamål som anges i XX § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
Mot bakgrund av den bedömning utredningen har gjort ovan saknas det skäl att i bestämmelsen hänvisa till artikel 89.1 i dataskyddsförordningen. Den personuppgiftsansvarige måste dock naturligtvis beakta såväl den bestämmelsen som de övriga bestämmel-
serna om uppgiftsminimering och säkerhet som utredningen berört ovan när denne utför behandling av personuppgifter.
9.11. Känsliga personuppgifter
9.11.1. Förbud mot att behandla känsliga personuppgifter och möjligheterna till undantag
Utredningens bedömning: Det är möjligt att bara delvis tillåta
behandling av känsliga personuppgifter som omfattas av något av undantagen i artikel 9.2 i dataskyddsförordningen som kräver stöd i nationell rätt.
Av artikel 9.1 i dataskyddsförordningen framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. De angivna kategorierna av personuppgifter benämns i artikeln som särskilda kategorier av uppgifter. Dataskyddsutredningen konstaterar dock att begreppet känsliga personuppgifter, som används i personuppgiftslagen, är tydligare och dessutom inarbetat på såväl nationell nivå som EU-nivå.22 Eftersom Dataskyddsutredningen använder sig av begreppet känsliga personuppgifter i den generella regleringen, kommer även utredningen att använda sig av begreppet.
Motsvarande förbud att behandla känsliga personuppgifter finns i artikel 8.1 i dataskyddsdirektivet, som dock innehåller något färre kategorier av personuppgifter – genetiska uppgifter, biometriska uppgifter för att entydligt identifiera en fysisk person samt uppgifter om sexuell läggning har tillkommit som nya kategorier i dataskyddsförordningen. Dataskyddsdirektivets förbud har kommit till uttryck i 13 § personuppgiftslagen, som innehåller en uppräkning av samma kategorier som i dataskyddsdirektivet.
Förbudet att behandla känsliga personuppgifter bottnar i artikel 6 i Europarådets dataskyddskonvention (nr 108), som förbjuder automatiserad behandling av uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott, om inte den nationella lagen ger ett ändamålsenligt skydd.
Huvudregeln är alltså enligt artikel 9.1 i dataskyddsförordningen att behandling av känsliga personuppgifter är förbjuden. Huvudregeln kompletteras med ett antal undantag i artikel 9.2, som anger när behandling av känsliga personuppgifter trots allt kan tillåtas. Vissa av undantagen är direkt tillämpliga medan andra kräver viss reglering i den nationella lagstiftningen för att behandling av känsliga personuppgifter ska få ske, se avsnitt 9.11.4 och 9.11.5.
Känsliga personuppgifter kan behandlas med stöd av samtycke (a) och för att skyldigheter och rättigheter ska kunna tillvaratas inom arbetsrätten och på områdena social trygghet och socialt skydd i den omfattning detta är tillåtet enligt unionsrätten, nationell rätt eller kollektivavtal (b). Det är också tillåtet att behandla känsliga personuppgifter om behandlingen är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke (c). Ideella verksamheter med politiskt, filosofiskt, religiöst eller fackligt syfte får behandla känsliga personuppgifter om sina medlemmar och vissa andra personer (d). Vidare får känsliga personuppgifter behandlas om behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade (e). Ytterligare ett undantag avser behandling som är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller är en del av domstolarnas dömande verksamhet (f). Behandling av känsliga personuppgifter får ske av hänsyn till ett, på grundval av EU-rätten eller nationell rätt, viktigt allmänt intresse (g). Behandling av känsliga personuppgifter får också ske i anslutning till hälso- och sjukvård, yrkesmedicin och social omsorg, på grundval av EU-rätten eller medlemsstaternas nationella rätt under förutsättning att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt (h och artikel 9.3). Även ett allmänt intresse på folkhälsoområdet, på grundval av EUrätten eller nationell rätt, ger rätt att behandla känsliga personuppgifter (i). Slutligen får känsliga personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (j). Medlemsstaterna får be-
hålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa (9.4).
En fråga är om möjligheterna att i nationell rätt göra undantag från förbudet att behandla känsliga personuppgifter måste utnyttjas fullt ut i den nationella rätten för att kunna användas. I artikel 9.4 anges att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, men endast för behandling av vissa kategorier av känsliga personuppgifter, nämligen genetiska eller biometriska uppgifter eller uppgifter om hälsa. Detta skulle kunna tyda på att det inte är tillåtet att behålla ytterligare villkor för övriga kategorier av känsliga personuppgifter. En sådan tolkning synes dock inte rimlig. Dataskyddsförordningens huvudregel om förbud mot behandling av känsliga personuppgifter har tillkommit eftersom dessa uppgifter anses vara särskilt skyddsvärda. Att det då endast ska vara möjligt att ha en nationell reglering som antingen helt förbjuder behandling av sådana uppgifter eller tillåter all behandling som kan tillåtas enligt någon av de möjligheter till nationellt grundade undantag som finns i artikel 9.2 a–j synes inte förenligt med intresset av att skydda den personliga integriteten. När det gäller behandling som sker med stöd av någon av de rättsliga grunderna fullgörande av rättslig förpliktelse och utförande av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning framgår det dessutom av artikel 6.2 och 6.3 att medlemsstaterna får ha särskilda bestämmelser om bl.a. vilken typ av uppgifter som ska behandlas (se avsnitt 9.3). Det är därför utredningens bedömning att det är möjligt att bara delvis tillåta behandling av känsliga personuppgifter som omfattas av något av undantagen som kräver nationell lagstiftning. Det innebär att det är möjligt att behålla sökbegränsningar och andra skyddsåtgärder som avser känsliga personuppgifter och att tillåta behandling av bara vissa kategorier av känsliga personuppgifter.
Möjligheterna att göra undantag från förbudet mot behandling av känsliga personuppgifter motsvarar i stora delar regleringen i dataskyddsdirektivet. Vissa skillnader finns dock. Att undantaget i artikel 9.2 b i dataskyddsförordningen som gäller arbetsrätt även omfattar rättigheter på områdena social trygghet och socialt skydd är en nyhet i förhållande till artikel 8.2 b i dataskyddsdirektivet. Undantaget för behandling som är nödvändig av hänsyn till ett
viktigt allmänt intresse i artikel 8.4 i dataskyddsdirektivet har i artikel 9.2 g i dataskyddsförordningen försetts med ytterligare krav som måste vara uppfyllda för att behandlingen ska vara tillåten. Tillämpningsområdet för hälso- och sjukvårdsundantaget i artikel 8.3 i dataskyddsdirektivet har i artikel 9.2 h i dataskyddsförordningen utökats något samtidigt som ett krav på att uppgifterna behandlas av eller under ansvar av någon som omfattas av tystnadsplikt har införts. Undantaget i artikel 9.2 i i dataskyddsförordningen som tar sikte på folkhälsoområdet är nytt. Vad dessa skillnader innebär återkommer utredningen till nedan. Ytterligare en nyhet är undantaget för arkivändamål, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i artikel 9.2 j i dataskyddsförordningen.
9.11.2. Undantag vid fullgörande av skyldigheter och rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd
I artikel 9.2 b i dataskyddsförordningen anges att känsliga personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs. Områdena social trygghet respektive socialt skydd är nya i förhållande till dataskyddsdirektivet, och det framgår inte av artikeln eller av skälen till dataskyddsförordningen vad områdena är avsedda att omfatta. Begreppet social trygghet antyder att socialförsäkringen är tänkt att vara en del av området. Dataskyddsutredningen gör dock bedömningen att avsikten sannolikt är att reglera behandling som är nödvändig för att arbetsgivare och arbetsgivar- eller arbetstagarorganisationer ska kunna erbjuda eller förmedla pensioner och försäkringar med anknytning till den registrerades anställning eller yrkesliv, såsom tjänstepensioner och olika typer av gruppförsäkringar. Denna bedömning görs mot bakgrund av det sammanhang där begreppen social trygghet och socialt skydd före-
kommer – att artikeln i övrigt avser skyldigheter och rättigheter inom arbetsrätten.23 Utredningen har inte anledning att göra en annan bedömning än den Dataskyddsutredningen gjort.
9.11.3. Undantag för viktiga allmänna intressen
Utredningens bedömning: Bestämmelser i registerförfattningar
som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet är förenliga med artikel 9.2 g i dataskyddsförordningen och kan och bör behållas.
I artikel 9.2 g i dataskyddsförordningen anges att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Motsvarande bestämmelse finns i artikel 8.4 i dataskyddsdirektivet, varav framgår att medlemsstaterna får besluta om undantag från förbudet att behandla känsliga personuppgifter under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse.
En reglering av ett undantag med stöd av artikel 9.2 g i dataskyddsförordningen kan ske i registerförfattningar, vilket ger möjlighet att göra lämpliga avvägningar på varje område. Dataskyddsutredningen har dessutom bedömt att det utöver detaljerad reglering i registerförfattningar är möjligt att införa en generell reglering som ger myndigheter möjlighet att behandla känsliga personuppgifter även när det inte finns särskilt stöd i en registerlagstiftning. Enligt 3 kap. 3 § förslaget till dataskyddslag ska känsliga personuppgifter få behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, om uppgifterna har lämnats till myn-
digheten och behandlingen krävs enligt lag, eller i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. I syfte att begränsa de integritetsrisker som den generella bestämmelsen kommer att medföra, föreslår Dataskyddsutredningen i 3 kap. 4 § samma lagförslag också ett förbud för myndigheter att använda sökbegrepp som avslöjar känsliga personuppgifter vid behandling som sker enbart med stöd av 3 kap. 3 §.24
Viktigt allmänt intresse
Det finns i enlighet med vad som konstaterats i avsnitt 9.8.3 inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Detta innebär att när behandling av känsliga personuppgifter tillåtits i en registerförfattning med stöd av artikel 8.4 i dataskyddsdirektivet – och inte med stöd av artikel 8.2 eller 8.3 i dataskyddsdirektivet – har det redan, även om övervägandena inte alltid framgår uttryckligen av förarbetena, bedömts att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och därmed också nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 7 e i dataskyddsdirektivet. Därför bör det utan vidare prövning av utredningen anses att den i registerförfattningen reglerade behandlingen kan stödjas på artikel 6.1 e i dataskyddsförordningen och, under förutsättning av proportionalitet och bestämmelser om skyddsåtgärder (se nedan), i enlighet med artikel 9.2 g innefatta känsliga personuppgifter i samma utsträckning som i dag.
Proportionerlig i förhållande till syftet
Den behandling av känsliga personuppgifter som kan tillåtas av hänsyn till ett viktigt allmänt intresse måste enligt artikel 9.2 g i dataskyddsförordningen stå i proportion till det eftersträvade syftet. Något uttryckligt krav på proportionalitet finns inte i dataskyddsdirektivet. Det framgår inte av dataskyddsförordningen hur proportionalitetsbedömningen ska gå till.
24SOU 2017:39.
Det får förutsättas att det har gjorts en proportionalitetsbedömning när undantag från förbudet att behandla känsliga personuppgifter har gjorts i särskilda registerförfattningar med stöd av artikel 8.4 i dataskyddsdirektivet. Det är därför utredningens bedömning att bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet utan vidare prövning uppfyller det proportionalitetskrav som gäller enligt dataskyddsförordningen.
Förenlig med det väsentliga innehållet i rätten till dataskydd
Den behandling av känsliga personuppgifter som kan tillåtas av hänsyn till ett viktigt allmänt intresse måste enligt artikel 9.2 g i dataskyddsförordningen vara förenlig med det väsentliga innehållet i rätten till dataskydd. Något uttryckligt motsvarande krav finns inte i dataskyddsdirektivet. Det framgår inte av dataskyddsförordningen vad kravet närmare innebär.
Utgångspunkten vid införandet av registerförfattningar har generellt varit att i författningarna bara göra de undantag i förhållande den generella dataskyddsregleringen i personuppgiftslagen, och därmed också dataskyddsdirektivet, som ansetts nödvändiga på det aktuella området. Vid införandet av registerförfattningar har också åtagandena enligt Europarådets dataskyddskonvention behövt iakttas. Det är därför utredningens bedömning att registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet utan vidare prövning uppfyller det nya uttryckliga kravet på att vara förenliga med det väsentliga innehållet i rätten till dataskydd.
Lämpliga skyddsåtgärder
Ett undantag med stöd av artikel 9.2 g i dataskyddsförordningen förutsätter en reglering i nationell rätt. Regleringen ska omfatta bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Någon exemplifiering av utformningen av sådana åtgärder, som säkerställer den registrerades grundläggande rättigheter och intressen, finns
inte i dataskyddsförordningen. Vad lämpliga och särskilda skyddsåtgärder kan bestå i framgår av avsnitt 9.16.2.
Enligt artikel 8.4 i dataskyddsdirektivet krävs ”lämpliga skyddsåtgärder” för att göra undantag från förbudet att behandla känsliga personuppgifter.
Det finns inget som tyder på att kravet i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen skulle innebära något annat än kravet på lämpliga skyddsåtgärder i dataskyddsdirektivet. En nyhet i dataskyddsförordningen är dock att det krävs att det finns bestämmelser om sådana åtgärder i medlemsstatens nationella rätt.
Registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet innehåller regelmässigt olika uttryckliga bestämmelser om det som bedömts vara lämpliga skyddsåtgärder enligt dataskyddsdirektivet. Det kan vara fråga om bestämmelser om sökbegränsningar, restriktioner för elektronisk åtkomst, behörighetstilldelning och loggkontroll, restriktioner för vad som får vara mer allmänt tillgängligt i den aktuella organisationen osv.
Det är mot den bakgrunden utredningens bedömning att registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet utan vidare prövning uppfyller kravet i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Bestämmelser som tillåter behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse finns också i författningar som i huvudsak innehåller reglering av en viss verksamhet men som i anlutning till den regleringen också anger vad som gäller i fråga om viss behandling av personuppgifter. När det gäller sådana författningar är det inte lika självklart att det regelmässigt finns uttryckliga bestämmelser om skyddsåtgärder. En bedömning av om sådana bestämmelser finns måste därför göras i dessa fall.
9.11.4. Undantag för hälso- och sjukvård samt social omsorg
Utredningens bedömning: Bestämmelser i registerförfattningar
som tillåter behandling av känsliga personuppgifter inom hälso- och sjukvård samt inom social omsorg är förenliga med dataskyddsförordningen och kan och bör behållas.
Dessa registerförfattningar bör kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
Behandling av känsliga personuppgifter får enligt artikel 9.2 h i dataskyddsförordningen ske om den är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller den nationella rätten eller enligt avtal med yrkesverksamma på hälsoområdet.
Motsvarande bestämmelse finns i artikel 8.3 i dataskyddsdirektivet. Där anges att känsliga personuppgifter får behandlas när behandlingen är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård.
De verksamheter som avses
Några ytterligare verksamhetstyper – förebyggande yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, social omsorg och förvaltning av social omsorg och av deras system – har alltså lagts till i undantaget för hälso- och sjukvård m.m. i dataskyddsförordningen, i jämförelse med regleringen i dataskyddsdirektivet. Detta är en utvidgning jämfört med dataskyddsdirektivet.
En nyhet är alltså att social omsorg lagts till. Vad som avses med social omsorg framgår inte av dataskyddsförordningen. Dataskyddsutredningen anger att det sannolikt är uppgifter som utförs av
socialtjänsten som omfattas av begreppet.25 Utredningen instämmer i den bedömningen och anser att social omsorg innefattar sådan verksamhet som avses i 2 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.
Begreppet vård eller behandling har ersatts med begreppet tillhandahållande av hälso- och sjukvård. Skälen till dataskyddsförordningen ger inte någon ledning i frågan om någon ändring i sak är avsedd. Enligt utredningens bedömning får begreppet tillhandahållande av hälso- och sjukvård anses innefatta det som avses med vård eller behandling enligt dataskyddsdirektivet.
Begreppet administration av hälso- och sjukvård har ersatts med förvaltning av hälso- och sjukvårdstjänster och deras system. I skäl 53 till dataskyddsförordningen finns det en uppräkning av vad som ska anses innefattas i detta begrepp:
[…] behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs av allmänt intresse på folkhälsoområdet.
Mot bakgrund av den ganska omfattande uppräkningen synes i vart fall det som innefattades i begreppet administration av hälso- och sjukvård omfattas.
Eftersom uppräkningen av verksamheter inte har inskränkts utan utökats i förhållande till dataskyddsdirektivets reglering, är tidigare bedömningar av vilka verksamheter det är tillåtet att göra undantag för fortfarande relevanta. I förarbeten angående läkemedelslagstiftningen har det ansetts rimligt att inte ge bestämmelsen i 18 § första stycket personuppgiftslagen, som innehåller samma uppräkning som i dataskyddsdirektivet, en alltför snäv räckvidd varvid det har angetts att även aktiviteter med bäring på hälso- och
sjukvård utanför det primära vårdområdet måste kunna inbegripas.26Det har vidare i litteraturen ansetts att uppräkningen av syften i 18 § första stycket personuppgiftslagen i praktiken torde täcka nästan all behandling av personuppgifter som förekommer inom hälso- och sjukvårdsområdet.27 I förarbetena till lagen om receptregister, som förs bl.a. för ändamålet att registrera underlag för tillämpningen av bestämmelserna om läkemedelsförmåner, har det dock ansetts osäkert om 18 § personuppgiftslagen ger tillräckligt stöd för den behandling som avses i den lagen.28
Formuleringen i dataskyddsdirektivet om att behandlingen ska vara nödvändig med hänsyn till de i artikeln uppräknade verksamheterna har i dataskyddsförordningen ersatts med att behandlingen ska vara nödvändig av skäl som hör samman med dessa verksamheter. Av skäl 53 till dataskyddsförordningen framgår att avsikten är att harmonisera villkoren för behandling av uppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen utförs för vissa hälsorelaterade syften. Den ändrade formuleringen tydliggör att behandlingen måste ske för ändamål som hör samman med någon av dessa verksamheter.
Stöd i lagstiftningen
Artikel 9.2 h i dataskyddsförordningen verkar enligt ordalagen inte förutsätta någon nationell reglering förutom själva grundvalen för den aktuella verksamheten, vilket förefaller naturligt eftersom det i alla medlemsstater ju, i enlighet med bl.a. rättighetsstadgan (se avsnitt 9.8.2), bedrivs hälso- och sjukvård och social omsorg och då sådan verksamhet till sin natur gör det nödvändigt att behandla känsliga personuppgifter på ett sätt som omfattas av dataskyddsförordningen. Ordalydelsen i artikel 9.2 h i dataskyddsförordningen förefaller alltså inte kräva att undantaget i sig måste föreskrivas i nationell rätt. I Sverige finns det redan författningar som reglerar hälso- och sjukvårdsverksamhet, bl.a. hälso- och sjukvårdslagen (2017:30) och patientsäkerhetslagen (2010:659). Verksamhet inom
26Prop. 2005/06:70 s. 144. 27 Öman & Lindblom, Personuppgiftslagen (15 september 2016, Zeteo), kommentaren till 18 § under rubriken Behandling för hälso- och sjukvårdsändamål – första stycket. 28Prop. 2008/09:145 s. 305.
området social omsorg regleras bl.a. av socialtjänstlagen (2001:453). Den reglering som redan finns av hälso- och sjukvårdsverksamhet och verksamhet inom social omsorg synes uppfylla kraven enligt ordalagen i artikel 9.2 h i dataskyddsförordningen på att själva sakverksamheten – hälso- och sjukvården och den sociala omsorgen – ska ha sin grundval i nationell rätt. Även om det skulle anses att artikel 9.2 h kräver att det finns nationella bestämmelser som tillåter själva behandlingen av känsliga personuppgifter inom hälso- och sjukvården och den sociala omsorgen29, är också det kravet redan uppfyllt genom befintlig reglering. Registerförfattningarna på de berörda områdena innehåller nämligen uttryckliga bestämmelser om att känsliga personuppgifter, eller alla slags personuppgifter inklusive känsliga, får behandlas under vissa förutsättningar.
Bedrivandet av hälso- och sjukvård och social omsorg får utan vidare anses vara en arbetsuppgift av allmänt intresse (se avsnitt 9.8.2), som i vissa fall också är förknippad med rättsliga förpliktelser. De bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter inom hälso- och sjukvården och inom social omsorg får enligt utredningens bedömning därför anses, om inte nödvändiga så ändå, tillåtna som nationella preciseringar med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de enbart avser en myndighets behandling av personuppgifter (se avsnitt 9.2 och 9.3).
Tystnadsplikt krävs
En ytterligare förutsättning för att behandling av känsliga personuppgifter på hälso- och sjukvårdsområdet samt inom social omsorg ska vara tillåten är att uppgifterna enligt artikel 9.3 i dataskyddsförordningen behandlas av eller under ansvar av en yrkesutövare eller annan person som omfattas av tystnadsplikt. Detta är, i vart fall i förhållande till den svenska versionen av dataskyddsdirektivet, en inskränkning jämfört med vad som gäller i dag.30 Dataskydds-
29 Jämför SOU 2017:39 s. 162–165 och skäl 52 till dataskyddsförordningen. 30 Det har dock framförts synpunkter på att den svenska versionen av direktivet är felöversatt, se SOU 2006:82 s. 175 och Elisabeth Rynning i Förvaltningsrättslig tidskrift 2003 s. 112. Av den engelska versionen framgår att kravet på tystnadsplikt gäller utöver att behandlingen ska ske för de angivna syftena.
direktivet anger i stället den omständigheten att uppgifterna behandlas av någon som omfattas av tystnadsplikt som en självständig grund för behandling av känsliga personuppgifter.
Syftet med artikel 9.3 i dataskyddsförordningen får antas vara att de personer i bl.a. hälso- och sjukvårdsverksamhet som tar del av – dvs. behandlar – känsliga personuppgifter ska ha tystnadsplikt enligt t.ex. nationell rätt, eller i vart fall arbeta under någon som har sådan tystnadsplikt. Den fysiska personen behöver inte själv vara personuppgiftsansvarig. Däremot måste den personuppgiftsansvarige se till att en person som omfattas av tystnadsplikt är den som antingen själv behandlar uppgifterna eller åtminstone ansvarar för behandlingen.
Bestämmelser om tystnadsplikt för personer verksamma inom hälso- och sjukvården finns redan i t.ex. 25 kap. offentlighets- och sekretesslagen (2009:400) och patientsäkerhetslagen (2010:659). Tystnadsplikten enligt patientsäkerhetslagen omfattar hela hälso- och sjukvårdspersonalen enligt den vida definitionen i 1 kap. 4 § patientsäkerhetslagen. För författningsreglerad social omsorg i offentlig och privat regi gäller sekretess enligt 26 kap. offentlighets- och sekretesslagen, 15 kap. socialtjänstlagen (2001:453) och 29 § lagen (1993:387) om stöd och service till vissa funktionshindrade. Det finns således redan tystnadsplikt enligt författning. Det kan inte anses ankomma på utredningen att föreslå nya bestämmelser om tystnadsplikt.
Kravet i artikel 9.3 i dataskyddsförordningen på tystnadsplikt enligt bl.a. nationell rätt är direkt tillämpligt. Någon ytterligare författningsbestämmelse behövs därför inte med anledning av dataskyddsförordningen. Utredningen anser emellertid att den nationella regleringen blir tydligare om kravet framgår också av berörda registerförfattningar. Bestämmelser som påminner om det kravet bör därför tas in i registerförfattningar för hälso- och sjukvårdsområdet och socialtjänsten som tillåter behandling av känsliga personuppgifter med stöd av undantaget i artikel 9.2 h i dataskyddsförordningen. Hänvisningen till artikel 9.3 i dataskyddsförordningen bör vara av dynamisk karaktär, dvs. avse vid var tid gällande lydelse av bestämmelsen, eftersom det rör sig om en ren upplysning om att en annan, direkt tillämplig, bestämmelse gäller.
9.11.5. Undantag för folkhälsoområdet
Enligt artikel 9.2 i i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet. Det ska då ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.
Dataskyddsdirektivet innehåller inte någon bestämmelse som särskilt tar sikte på folkhälsoområdet. Behandling av känsliga personuppgifter på folkhälsoområdet sker i dag med stöd av bestämmelser som har sin grund i artikel 8.4 (allmänt intresse) eller artikel 8.3 (hälso- och sjukvård) i dataskyddsdirektivet.
I artikel 9.2 i i dataskyddsförordningen ges exempel på behandling som är nödvändig av skäl av allmänt intresse på folkhälsoområdet. Det kan enligt artikeln röra sig om behov av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller att säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter. Av skäl 54 till dataskyddsförordningen framgår att begreppet folkhälsa bör tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008, nämligen så att det avser alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.
Artikel 9.2 i i dataskyddsförordningen innehåller ett krav på att behandlingen av personuppgifter ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt. Ordalydelsen i artikel 9.2 i i dataskyddsförordningen förefaller, i likhet med vad utredningen anfört i avsnitt 9.11.4 angående hälso- och sjukvårdsundantaget, inte kräva att undantaget i sig föreskrivs i nationell rätt. Enligt utredningens bedömning synes kravet på att behandlingen av personuppgifter ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt vara uppfyllt om själva sakverksamheten – den verksamhet som motiverar behandling av personuppgifter – regleras i nationell rätt. I vart fall måste, enligt utredningens bedömning, en reglering i registerförfattning av när själva behand-
lingen av känsliga personuppgifter får ske på folkhälsoområdet uppfylla kravet på grundval i nationell rätt. Därutöver ska det i den nationella rätten ha fastställts lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, särskilt tystnadsplikt. Vad lämpliga och specifika skyddsåtgärder kan bestå i framgår av avsnitt 9.16.2. Oavsett hur kravet på att behandlingen ska ske på grundval av nationell rätt ska tolkas bedömer utredningen att det inte är oförenligt med dataskyddsförordningen att reglera ett undantag som grundar sig på artikel 9.2 i i dataskyddsförordningen i nationell lagstiftning.31 Bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av folkhälsoundantaget får enligt utredningens bedömning nämligen anses, om inte nödvändiga så ändå, tillåtna som nationella preciseringar enligt artikel 6.2 och 6.3 i dataskyddsförordningen, under förutsättning att den behandling av personuppgifter som regleras i registerförfattningen sker med stöd av artikel 6.1 c eller e i dataskyddsförordningen, eller därför att de enbart avser en myndighets behandling av personuppgifter (se avsnitt 9.2 och 9.3).
9.11.6. Fler uppgifter blir känsliga personuppgifter
Utredningens bedömning: Bestämmelser i särskilda register-
författningar som tillåter att alla kategorier av känsliga personuppgifter enligt nuvarande definition får behandlas bör avse alla kategorier av känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen. Bestämmelser som endast tillåter behandling av någon eller några av kategorierna av känsliga personuppgifter enligt nuvarande definition bör däremot som utgångspunkt inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten, bör någon eller några av de nya kategorierna få behandlas.
Bestämmelser i särskilda registerförfattningar om s.k. skyddsåtgärder med restriktioner för behandling av känsliga person-
31 Jämför SOU 2017:39 s. 162–165 och 188 samt skäl 52 till dataskyddsförordningen.
uppgifter enligt nuvarande definition bör som utgångspunkt utvidgas till att avse också de nya kategorierna av känsliga personuppgifter. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten att skyddsåtgärderna inte omfattar någon av de nya kategorierna av uppgifter, bör den kategorin undantas.
Dataskyddsförordningen innebär att fler kategorier av uppgifter än enligt dataskyddsdirektivet blir att betrakta som känsliga personuppgifter, som det enligt huvudregeln är förbjudet att behandla. Genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning har tillkommit som nya kategorier i dataskyddsförordningen. Som anges i avsnitt 7.5 är det dock utredningens bedömning att flera av de uppgifter som ryms inom de nya kategorierna redan i dag är att betrakta som känsliga personuppgifter, eftersom de ryms inom någon av de nuvarande kategorierna. Kategorierna av känsliga personuppgifter kommer därmed i viss mån att överlappa varandra. Tillägget av nya kategorier medför dock en begränsning av möjligheterna att behandla personuppgifter i jämförelse med vad som gäller enligt dataskyddsdirektivet för sådana uppgifter som inte redan omfattas av någon av de befintliga kategorierna av känsliga personuppgifter. De personuppgifter som ryms inom de nya kategorierna kommer, liksom övriga kategorier av känsliga personuppgifter, endast att få behandlas under de förutsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförordningen.
Bestämmelser som tillåter behandling av känsliga personuppgifter
Är enligt registerförfattningen behandling av samtliga kategorier av känsliga personuppgifter, enligt nuvarande definition, tillåten, bör enligt utredningens mening behandling också av de nya kategorierna tillåtas utan vidare utredning om behovet. Har det vid införandet av registerförfattningen gjorts bedömningen att alla slags personuppgifter (utom möjligen uppgifter om lagöverträdelser) får behandlas om det är nödvändigt med hänsyn till ändamålen, bör nämligen den bedömningen godtas.
I de fall en registerförfattning tillåter behandling endast av någon eller några av kategorierna av känsliga personuppgifter, bör däremot utgångspunkten vara att behandling av de nya kategorierna inte ska tillåtas. Om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten, bör dock även någon eller några av de nya kategorierna av uppgifter få behandlas. En bedömning av om det är nödvändigt att behandla de nya kategorierna av känsliga personuppgifter behöver alltså göras i förhållande till den verksamhet som är aktuell. I några av de författningar som ingår i utredningens översyn finns det bestämmelser som innebär att, i fråga om känsliga personuppgifter, endast uppgifter som rör hälsa får behandlas. Som anges ovan kan de nya kategorierna av känsliga personuppgifter i vissa fall även utgöra uppgifter om hälsa. Om utredningen kommer fram till att det i en verksamhet är nödvändigt att behandla de nytillkomna kategorierna, behöver därför en bedömning också göras av om det är tillräckligt att i bestämmelsen förtydliga att även sådana nya kategorier som samtidigt utgör en uppgift om hälsa får behandlas.
Bestämmelser om skyddsåtgärder för känsliga personuppgifter
De skyddsåtgärder som förekommer i registerförfattningarna är ibland begränsade till att avse behandling av känsliga personuppgifter eller vissa av de nuvarande kategorierna av känsliga personuppgifter, t.ex. i fråga om sökbegränsningar. Enligt utredningens bedömning bör utgångspunkten vara att även de nya kategorierna av känsliga personuppgifter ska omfattas av dessa skyddsåtgärder. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten att befintliga skyddsåtgärder inte omfattar någon av de nya kategorierna av uppgifter, bör den kategorin undantas. En bedömning av om det är nödvändigt behöver alltså göras i förhållande den verksamhet som är aktuell. Om utredningen kommer fram till att det i en verksamhet är nödvändigt att befintliga skyddsåtgärder inte omfattar några av de nytillkomna kategorierna, behöver en bedömning också göras av om det är tillräckligt att i bestämmelsen, på samma sätt som beskrivits ovan, förtydliga att bara sådana nya kategorier som samtidigt utgör en uppgift om hälsa omfattas.
Hänvisa till definitionen i dataskyddsförordningen
För att definiera vilka kategorier av personuppgifter som är att anse som känsliga personuppgifter, bör en hänvisning göras till artikel 9.1 i dataskyddsförordningen. En sådan hänvisning bör vara av dynamisk karaktär, dvs. avse vid var tid gällande lydelse av bestämmelsen, eftersom terminologin som används i den nationella reglering som kompletterar dataskyddsförordningen lämpligen bör följa den begreppsutveckling som sker inom unionen, även vid en eventuell ändring av uttryckliga definitioner i dataskyddsförordningen.
9.12. Uppgifter om lagöverträdelser
Utredningens bedömning: Bestämmelser i registerförfattningar
som tillåter enskilda att behandla uppgifter om lagöverträdelser kan och bör behållas. Myndigheters möjligheter att behandla sådana uppgifter påverkas inte av dataskyddsförordningen.
Bestämmelser i registerförfattningar som begränsar möjligheten att behandla uppgifter om lagöverträdelser enligt nuvarande definition kan och bör behållas. Omfattar bestämmelsen enskildas behandling, måste det dock först konstateras att behandlingen grundar sig på artikel 6.1 c eller e i dataskyddsförordningen. I annat fall är det endast tillåtet att begränsa behandling av sådana uppgifter om lagöverträdelser som omfattas av den nya definitionen i artikel 10 i dataskyddsförordningen.
Av artikel 10 i dataskyddsförordningen framgår att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Det framgår också att ett fullständigt register över brottmålsdomar endast får föras under kontroll av en myndighet.
Bestämmelsen i dataskyddsförordningen skiljer sig något från artikel 8.5 i dataskyddsdirektivet. Enligt dataskyddsdirektivet får behandling av uppgifter om lagöverträdelser, brottmålsdomar eller
säkerhetsåtgärder utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Dataskyddsdirektivets reglering omfattar således även uppgifter om friande brottmålsdomar. I fråga om register över fällande domar i brottmål är regleringen densamma. Därutöver anges i dataskyddsdirektivet att medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet. I dataskyddsförordningen saknas denna skrivning.
Bestämmelsen i dataskyddsdirektivet har kommit till uttryck i 21 § personuppgiftslagen. Där anges att det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Ändringen från brottmålsdomar till fällande domar i brottmål innebär en begränsning av bestämmelsens tillämpningsområde till att omfatta enbart fällande brottmålsdomar. Det utökar möjligheterna för andra än myndigheter att behandla uppgifter om brottmålsdomar, men påverkar inte myndigheternas möjligheter.
Vad gäller ändringen från lagöverträdelser till överträdelser gör Dataskyddsutredningen bedömningen att någon förändring i sak inte har varit avsedd genom det justerade ordvalet.32 Utredningen gör samma bedömning. Dataskyddsförordningens bestämmelse medför således inte någon förändring av möjligheterna att behandla personuppgifter om lagöverträdelser i förhållande till vad som gällt enligt dataskyddsdirektivet.
Dataskyddsutredningen har föreslagit en ny bestämmelse i 3 kap. 10 § förslaget till dataskyddslag som innebär att den myndighet som regeringen bestämmer i enskilda fall får besluta att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får behandlas av andra än myndigheter. Regeringen eller den myndighet som regeringen bestämmer föreslås också enligt 3 kap. 12 § förslaget till dataskyddslag få meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter. Sådana föreskrifter finns
i förslaget till den anknytande förordningen, där också Datainspektionen föreslås vara den myndighet som såväl i enskilda fall som genom generella föreskrifter får besluta om vilka andra än myndigheter som får behandla de aktuella personuppgifterna.33 De personuppgifter som omfattas av bestämmelserna skiljer sig något från vad som omfattas av personuppgiftslagens reglering på grund av den ändrade regleringen i dataskyddsförordningen. Användningen av begreppet fällande domar i brottmål innebär att friande brottmålsdomar inte omfattas av förbudet. Regleringen innebär också att det inte kommer att finnas något förbud mot behandling av personuppgifter om administrativa frihetsberövanden motsvarande det som i dag finns i 21 § personuppgiftslagen. Dataskyddsutredningen har konstaterat att det inte är helt klart i vilken utsträckning uppgifter som rör misstankar om brott omfattas av artikel 10 i dataskyddsförordningen.34
Personuppgifter om lagöverträdelser får således behandlas av en myndighet under förutsättning att det finns lagligt stöd för behandlingen enligt artikel 6.1 i dataskyddsförordningen. Det krävs inga särskilda ställningstaganden för myndigheters behandling av sådana personuppgifter utöver de ställningstaganden som har gjorts i avsnitt 9.10 om rättslig grund för behandling av personuppgifter. Några särskilda analyser av myndigheters behandling av uppgifter om lagöverträdelser i förhållande till dataskyddsförordningen är således inte nödvändig.
Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder utan kontroll av en myndighet kan enligt artikel 10 i dataskyddsförordningen tillåtas i den nationella rätten om lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett krav på lämpliga och specifika skyddsåtgärder finns också i artikel 8.5 i dataskyddsdirektivet. Kraven på skyddsåtgärder får enligt utredningens bedömning anses innebära detsamma i dataskyddsförordningen och dataskyddsdirektivet. För att andra personuppgiftsansvariga än myndigheter fortsättningsvis ska få behandla sådana uppgifter som anges i artikel 10 gäller således samma förutsättningar som i dag. Någon ny analys av tillämpliga skyddsåtgärder
33SOU 2017:39. 34SOU 2017:39 s. 193.
krävs därför inte. Bestämmelser som tillåter enskilda att behandla uppgifter om lagöverträdelser kan och bör därför behållas.
Registerförfattningar innehåller inte så sällan, såsom lämpliga och specifika skyddsåtgärder i de fall enskildas behandling omfattas, bestämmelser som begränsar möjligheterna att behandla sådana uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen. Det kan t.ex. röra sig om sökbegränsningar. Dessa begränsningar omfattar alltså även uppgifter om friande domar i brottmål och administrativa frihetsberövanden. Trots att det för myndigheters behandling inte finns något motsvarande krav på skyddsåtgärder omfattas även dessa av begränsningarna i de fall registerförfattningen tillämpas på såväl myndigheters som enskildas behandling.
Det är enligt utredningens mening svårt att se varför myndigheter och enskilda skulle få behandla sådana kategorier av personuppgifter som de hittills inte har bedömts ha behov av att behandla bara därför att dataskyddsförordningen gör det möjligt. Dataskyddsförordningen hindrar inte heller att medlemsstaterna i nationell rätt har mer restriktiva bestämmelser än enligt dataskyddsförordningen för sina egna myndigheters behandling av personuppgifter (se avsnitt 9.2). Även behandling som utförs av privata subjekt kan regleras i mer specifika bestämmelser så länge behandlingen stödjer sig på någon av de rättsliga grunderna fullgörande av rättslig förpliktelse eller utförande av arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (se avsnitt 9.3). Det är därför under dessa förutsättningar tillåtet att behålla begränsningarna för de personuppgifter som avses i 21 § personuppgiftslagen men som inte omfattas av artikel 10 i dataskyddsförordningen. Av samma skäl kan även bestämmelser om skyddsåtgärder behållas. Begränsningar av enskildas behandling av personuppgifter, som omfattas av artikel 10 i dataskyddsförordningen, är dessutom tillåtna i form av skyddsåtgärder enligt samma artikel.
Bestämmelser i registerförfattningar som begränsar möjligheten att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden kan och bör därför behållas, trots att definitionen av uppgifter om lagöverträdelser i registerförfattningarna inte blir enhetlig med den som finns i dataskyddsförordningen och den föreslagna dataskyddslagen. Omfattar bestämmelsen enskildas behandling, måste det dock först konstateras att behand-
lingen har en sådan rättslig grund att det är tillåtet med mer specifika bestämmelser. Om så inte är fallet, får begränsningarna inte gälla för uppgifter om friande domar i brottmål eller administrativa frihetsberövanden, eftersom sådana uppgifter inte omfattas av dataskyddsförordningens krav på begränsningar.
9.13. Personnummer
Utredningens bedömning: Bestämmelser om personnummer och
samordningsnummer i registerförfattningar kan och bör behållas.
Av artikel 8.7 i dataskyddsdirektivet framgår att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. I Sverige gäller enligt 22 § personuppgiftslagen att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl.
Dataskyddsförordningen ställer inget krav på att medlemsstaterna ska bestämma under vilka förutsättningar nationella identifikationsnummer (personnummer) får behandlas. I stället anges i artikel 87 i dataskyddsförordningen att medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. I ett tillägg anges, till skillnad från vad som gäller enligt dataskyddsdirektivet, att sådana uppgifter i sådana fall endast ska användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen.
Dataskyddsutredningen har i sitt förslag till dataskyddslag föreslagit en bestämmelse med samma innehåll som 22 § personuppgiftslagen. Dataskyddsutredningen har dessutom föreslagit att regeringen ska få meddela ytterligare föreskrifter om i vilka fall behandling av person- och samordningsnummer är tillåten. Sådana föreskrifter kan meddelas i sektorsspecifika författningar.35
Registerförfattningar innehåller normalt inte några särskilda villkor om när personnummer får eller inte får behandlas. Ibland kan det av en registerförfattning dock uttryckligen framgå att personnummer får registreras, t.ex. i en databas, eller att (bara) personnummer får användas som sökbegrepp vid vissa sökningar. Dessa typer av bestämmelser kan enligt utredningens mening inte i sig anses ställa upp några särskilda villkor om behandlingen av personnummer. I sådant fall behöver det inte iakttas några lämpliga skyddsåtgärder enligt artikel 87 i dataskyddsförordningen. Skulle sådana bestämmelser trots allt anses ställa upp särskilda villkor och skulle artikel 87 i dataskyddsförordningen då innebära krav på nationell rätt om iakttagande av lämpliga skyddsåtgärder, är de bestämmelser som redan finns i den aktuella registerförfattningen att anse som lämpliga skyddsåtgärder (se avsnitt 9.16.2).
9.14. Överföring till tredjeland
Utredningens bedömning: Bestämmelser i registerförfattningar
som tillåter överföring av personuppgifter till tredjeland behöver inte ändras, om det finns stöd för överföringen i dataskyddsförordningen.
Som allmän princip gäller enligt artikel 44 i dataskyddsförordningen att överföring av personuppgifter till ett tredjeland eller en internationell organisation bara får ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i dataskyddsförordningen, uppfyller villkoren i artikel 45–49.
Av artikel 25.1 i dataskyddsdirektivet, som är utformad som en huvudregel, framgår att medlemsstaterna ska föreskriva att överföringen av personuppgifter till tredjeland endast får ske om ifrågavarande tredjeland säkerställer en adekvat skyddsnivå. Någon motsvarande generell bestämmelse som tillåter överföring till tredjeland vid adekvat skyddsnivå i det landet finns inte i dataskyddsförordningen. Kravet på adekvat skyddsnivå har kommit till uttryck i 33 § personuppgiftslagen. Enligt den paragrafen är det förbjudet att till tredjeland föra över personuppgifter, om landet inte har en adekvat nivå för skyddet av personuppgifterna.
Av artikel 45 i dataskyddsförordningen framgår att personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. Artikeln förutsätter alltså ett beslut från kommissionen. Motsvarande bestämmelse finns i artikel 25.6 i dataskyddsdirektivet.
I avsaknad av ett beslut från kommissionen får en personuppgiftsansvarig eller ett personuppgiftsbiträde enligt artikel 46 i dataskyddsförordningen endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga. Lämpliga skyddsåtgärder får bl.a. ta formen av bindande företagsbestämmelser, för vilka förutsättningarna anges i artikel 47 i dataskyddsförordningen. Motsvarande undantag finns i artikel 26.2 i dataskyddsdirektivet.
Artikel 48 i dataskyddsförordningen slår fast att domstolsbeslut eller beslut från myndigheter i tredjeland om krav på att lämna ut personuppgifter får erkännas eller genomföras endast om det grundar sig på en internationell överenskommelse, som gäller mellan det begärande tredjelandet och unionen eller en medlemsstat. Någon motsvarande bestämmelse finns inte i dataskyddsdirektivet.
Om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45 eller vidtagna lämpliga skyddsåtgärder enligt artikel 46, får personuppgifter överföras till ett tredjeland eller en internationell organisation endast om minst ett av flera – i artikel 49 i dataskyddsförordningen angivna – villkor är uppfyllt. Personuppgifter får överföras om överföringen sker med stöd av samtycke från den registrerade (a), om överföringen är nödvändig för att fullgöra ett avtal mellan den personuppgiftsansvarige och den registrerade eller en annan fysisk eller juridisk person som agerar i den registrerades intresse (b och c), om överföringen är nödvändig av viktiga skäl som rör allmänintresset (d), om överföringen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk (e), om överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke (f), eller om överföringen görs från ett register som enligt unionsrätten eller med-
lemsstaternas nationella rätt är avsett att ge allmänheten information (g). Motsvarande villkor anges i artikel 26.1 i dataskyddsdirektivet, och i 34 § personuppgiftslagen finns några av villkoren uppräknade som undantag till huvudregeln i 33 § att personuppgifter inte får överföras till tredjeland utan adekvat skyddsnivå.
Bestämmelsen i 34 § personuppgiftslagen omfattar inte undantag som motiveras av viktiga allmänna intressen. Av artikel 26.1 d i dataskyddsdirektivet följer dock att om överföringen är nödvändig eller bindande enligt författning kan skäl som rör viktiga allmänna intressen utgöra grund för överföring av personuppgifter till tredjeland. Undantag som grundar sig på viktiga allmänna intressen – eller i övrigt i andra fall än som avses i 34 § personuppgiftslagen – måste alltså framgå av annan författning än personuppgiftslagen, eftersom förbudet mot överföring i 33 § personuppgiftslagen annars gäller. Av detta skäl finns det ibland bestämmelser i registerförfattningar som tillåter överföring av personuppgifter till tredjeland. I 35 § andra stycket personuppgiftslagen bemyndigas också regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse.
Av artikel 49.3 i dataskyddsförordningen framgår att åtgärder som vidtas av offentliga myndigheter som ett led i myndighetsutövning inte får vidtas med stöd av samtycke eller för att överföringen är nödvändig för att fullgöra ett avtal mellan den personuppgiftsansvarige och den registrerade eller en annan fysisk eller juridisk person som agerar i den registrerades intresse. Detta är nytt i förhållande till dataskyddsdirektivet. Nytt är också kravet på att allmänintresset, om överföringen sker för att den är nödvändig av viktiga skäl som rör allmänintresset, enligt artikel 49.4 i dataskyddsförordningen ska vara erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av.
I artikel 49.5 i dataskyddsförordningen ges möjlighet att i unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation, om beslut om adekvat skyddsnivå saknas.
Om en överföring inte har stöd i artikel 45 eller 46 och inget av undantagen i artikel 49.1 första stycket i dataskyddsförordningen är tillämpligt, får en överföring till ett tredjeland eller en interna-
tionell organisation enligt artikel 49.1 andra stycket äga rum endast om överföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nödvändig för ändamål som rör den personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter.
Dataskyddsförordningens bestämmelser om överföring till tredjeland är direkt tillämpliga och medför inte något behov av nationella bestämmelser som tillåter överföring av personuppgifter till tredjeland. En bestämmelse om att överföring av personuppgifter till tredjeland i en viss situation är tillåten har dock en klargörande verkan och får anses vara en sådan mer specifik, eller särskild, bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Bestämmelser i registerförfattningar som anger när överföring av personuppgifter till tredjeland är tillåten behöver därför inte ändras under förutsättning att de i sak inte strider mot dataskyddsförordningen.
Enligt artikel 96 i dataskyddsförordningen ska de internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som ingicks av medlemsstaterna före den 24 maj 2016 och som är förenliga med unionsrätten i dess lydelse innan detta datum, fortsätta att gälla tills de ändras, ersätts eller återkallas. Det innebär att det inte med anledning av dataskyddsförordningen krävs någon anpassning av författningar om tillämpning av konventioner om t.ex. social trygghet, även om författningarna reglerar överföring av personuppgifter till tredjeland.
9.15. Den registrerades rättigheter
9.15.1. Utökade rättigheter för registrerade
Utredningens bedömning: Bestämmelser i registerförfattningar
om att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av dataskyddsförordningen kan och bör behållas om skyldigheten avser myndigheter eller den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen bör tas bort. Bestämmelserna bör kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.
Bestämmelser i registerförfattningar som hänvisar till personuppgiftslagens bestämmelser om rättelse bör upphävas.
Information som ska lämnas självmant
Regleringen i dataskyddsförordningen
Av artikel 13.1 i dataskyddsförordningen följer att om personuppgifter samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna viss information om den personuppgiftsansvarige, dataskyddsombudet, ändamål och rättslig grund för behandlingen, de intressen som en eventuell behandling som sker med stöd av en intresseavvägning enligt artikel 6.1 f baseras på, mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna samt uppgifter om överföring till tredjeland eller en internationell organisation. Vidare följer av artikel 13.2 i dataskyddsförordningen att information ska lämnas om lagringstid, uppgift om den registrerades rätt till tillgång, rättelse, radering, begränsning av behandling, invändning mot behandling och dataportabilitet, rätten att – om behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a – återkalla samtycket utan att detta påverkar lagligheten av behandling som skett innan samtycket återkallades, rätten att inge klagomål till
en tillsynsmyndighet, uppgift om huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och följderna av att uppgifterna inte lämnas samt uppgift om automatiserat beslutsfattande, inbegripet profilering. Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de samlades in, ska den personuppgiftsansvarige enligt artikel 13.3 i dataskyddsförordningen före den behandlingen ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2. Punkterna 1, 2 och 3 ska enligt artikel 13.4 i dataskyddsförordningen inte tillämpas om den registrerade redan förfogar över informationen.
Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Utöver den information som anges i artikel 13 ska även information om de kategorier av personuppgifter som behandlingen gäller lämnas. I stället för information om skyldigheten att tillhandahålla personuppgifterna gäller att information ska lämnas om varifrån uppgifterna kommer. När det gäller den tidpunkt inom vilken informationen ska lämnas anges i artikel 14.3 i dataskyddsförordningen att den personuppgiftsansvarige ska lämna informationen inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas. Det finns också möjlighet att lämna information först vid tidpunkten för den första kommunikationen med den registrerade eller först när personuppgifterna lämnas ut för första gången. Information behöver inte lämnas om den registrerade redan har tillgång till informationen. Information behöver inte heller lämnas om det visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller i den mån informationsskyldigheten sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga skyddsåtgärder. Om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, behöver information inte heller lämnas.
Information ska inte heller lämnas om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.
Av artikel 12.1 i dataskyddsförordningen följer att den personuppgiftsansvarige ska tillhandahålla informationen i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det, får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.
Regleringen i den föreslagna dataskyddslagen
Dataskyddsutredningen har föreslagit att ett undantag från skyldigheten att lämna information enligt artikel 13 och 14 i dataskyddsförordningen ska införas i 5 kap. 1 § dataskyddslagen. Undantaget innebär att skyldigheten att lämna information inte gäller uppgifter som inte får lämnas ut till den registrerade enligt lag, författning eller beslut som meddelats med stöd av författning. En personuppgiftsansvarig som inte är en myndighet ska i motsvarande fall som avses i offentlighets- och sekretesslagen få vägra att lämna ut uppgifter. Bestämmelsen motsvarar det undantag som i dag finns i 27 § personuppgiftslagen. Sekretess och tystnadsplikt föreslås alltså precis som i dag gå före informationsplikten.36
Skillnader i förhållande till regleringen i dataskyddsdirektivet och personuppgiftslagen
Dataskyddsförordningens bestämmelser om information är mer utförliga än de som finns i artikel 10 och 11 i dataskyddsdirektivet. Den registrerade har således en rätt att få mer information än vad som gäller enligt dataskyddsdirektivet. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid,
rätten att återkalla ett samtycke och rätten att inge klagomål är exempel på information som tillkommit. En annan nyhet är att den personuppgiftsansvarige är skyldig att informera innan denne ytterligare behandlar personuppgifterna för ett annat syfte än det för vilket de samlades in.
Regleringen av vid vilken tidpunkt information ska lämnas om behandling av uppgifter som har samlats in från någon annan än den registrerade har också ändrats. Huvudregeln enligt dataskyddsdirektivet är att informationen ska lämnas vid tiden för registreringen, medan dataskyddsförordningen föreskriver att det ska ske inom en rimlig tid från erhållandet av uppgifterna. Enligt dataskyddsförordningen finns det också möjlighet att informera först i samband med den första kommunikationen med den registrerade.
Bestämmelsen i artikel 12.1 i dataskyddsförordningen om i vilken form information ska lämnas saknar motsvarighet i dataskyddsdirektivet. Bestämmelsen innebär att den registrerades rättigheter utökas.
Bestämmelser i registerförfattningar om att information utöver vad som följer av dataskyddsförordningen ska lämnas självmant
Det förekommer att det i registerförfattningar finns bestämmelser som preciserar personuppgiftslagens reglering av vilken information den personuppgiftsansvarige självmant på ett eller annat sätt ska lämna till den registrerade. Bestämmelserna har införts för att det ska bli tydligare vilken information som ska lämnas.37
Sådana bestämmelser i registerförfattningar som innebär att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av dataskyddsförordningen kan behållas om skyldigheten avser myndigheter (se avsnitt 9.2) eller den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (se avsnitt 9.3). Utredningen anser därför att sådana bestämmelser bör behållas. Om bestämmelserna kräver att informationen ska innehålla sådana upplysningar som ska lämnas
37 Se t.ex. prop. 2008/09:145 s. 363 och prop. 2007/08:126 s. 208.
enligt dataskyddsförordningens bestämmelser om information, bör dock dessa krav tas bort. Att bestämmelserna rensas på informationskrav innebär inte någon skillnad i sak, eftersom samma krav gäller enligt dataskyddsförordningen. För att bestämmelserna om information i registerförfattningarna inte ska leda till den felaktiga slutsatsen att de reglerar all den information som behöver lämnas självmant, bör bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen. Hänvisningen till dataskyddsförordningens bestämmelser om information bör vara av dynamisk karaktär, dvs. avse vid var tid gällande lydelse av bestämmelserna, eftersom det bara gäller en upplysning och dataskyddsförordningen är direkt tillämplig.
Information som ska lämnas på begäran (registerutdrag)
Regleringen i dataskyddsförordningen
Den registrerades rätt till tillgång regleras i artikel 15 i dataskyddsförordningen. Den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna. Den registrerade har också rätt till viss information om ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller, mottagarna eller de kategorier av mottagare till vilka personuppgifterna lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer, lagringstid, rätten till rättelse, radering, begränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet, varifrån uppgifterna kommer samt automatiserat beslutsfattande, inbegripet profilering.
Den personuppgiftsansvarige ska enligt artikel 15.3 i dataskyddsförordningen förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift. Om den registrerade gör begäran i elektronisk form, ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat. Av skäl 63 till dataskyddsförordningen framgår att den registrerade bör kunna utöva sin rätt att få tillgång med rimliga intervall.
Enligt artikel 12.1 i dataskyddsförordningen ska informationen tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det, får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt. I artikel 12 i dataskyddsförordningen finns även vissa andra krav som den personuppgiftsansvarige har att iaktta, bl.a. avseende den tid inom vilken information ska lämnas till den registrerade. Där finns också en bestämmelse om att den personuppgiftsansvarige har möjlighet att ta ut en avgift eller vägra att tillmötesgå en begäran enligt artikel 15 i dataskyddsförordningen, om denna är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art.
Regleringen i den föreslagna dataskyddslagen
Dataskyddsutredningens förslag till undantag för uppgifter som på grund av sekretess och tystnadsplikt inte får lämnas ut till den registrerade föreslås omfatta även information som ska lämnas på begäran enligt artikel 15 i dataskyddsförordningen. Regleringen kommer alltså, om förlaget genomförs, att motsvara vad som gäller enligt 27 § personuppgiftslagen. 38
Dataskyddsutredningen har även föreslagit att rätten till tillgång i artikel 15 i dataskyddsförordningen inte ska gälla personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande. Undantaget ska inte gälla om uppgifterna har lämnats ut till tredje part eller om de behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål. Undantaget ska inte heller gälla personuppgifter i löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.39 Varken Dataskyddsutredningen eller Forskningsdatautredningen har föreslagit något undantag avseende uppgifter som behandlas enbart för
38SOU 2017:39 s. 204–206. 39SOU 2017:39 s. 206–207.
forskningsändamål.40 Bestämmelsen motsvarar i övrigt 26 § tredje stycket personuppgiftslagen.
Skillnader i förhållande till regleringen i dataskyddsdirektivet och personuppgiftslagen
Den registrerades rätt till tillgång till personuppgifter om sig själv regleras i artikel 12 i dataskyddsdirektivet som har genomförts genom 26 § personuppgiftslagen. Dessa bestämmelser innehåller inte lika omfattande krav som dataskyddsförordningen. I förhållande till dataskyddsdirektivet och personuppgiftslagen innebär dataskyddsförordningens reglering en utökad rätt till information om lagringstid, rätten till rättelse, radering, begränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet samt vissa uppgifter vid överföring till tredjeland.
Bestämmelserna om när uppgifterna ska lämnas skiljer sig också något åt. I dataskyddsförordningen anges den maximala tidsperiod som kan accepteras innan det krävs en åtgärd av den personuppgiftsansvarige, medan det av dataskyddsdirektivet endast framgår att informationen ska ges utan större tidsutdräkt. I personuppgiftslagen anges att information ska ges inom en månad från det att ansökan gjordes eller senast inom fyra månader, om det finns särskilda skäl.
Hur ofta informationen ska lämnas anges på samma sätt i såväl dataskyddsdirektivet som i dataskyddsförordningen, dvs. med rimliga intervall. I personuppgiftslagen har dock införts en skyldighet att lämna information gratis bara en gång per kalenderår. Lagstiftaren har alltså ansett att en gång per kalenderår utgör ett rimligt intervall enligt dataskyddsdirektivet. Eftersom personuppgiftslagens bestämmelse kommer att upphöra att gälla i samband med att dataskyddsförordningen börjar tillämpas, är det dataskyddsförordningens bestämmelse om rimliga intervall som ska tillämpas i fortsättningen.
Bestämmelserna i dataskyddsförordningen om i vilken form informationen ska lämnas samt vilka åtgärder som kan vidtas vid en begäran som är ogrundad eller orimlig är nya. Personuppgiftslagen innehåller å sin sida vissa formkrav på ansökan om registerutdrag
40 Jämför SOU 2017:39 s. 207 och SOU 2017:50 s. 222-224.
som inte finns i dataskyddsdirektivet eller dataskyddsförordningen – att ansökan ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. I dataskyddsförordningen finns däremot en ny möjlighet att begära ytterligare information som är nödvändig för att bekräfta den registrerades identitet.
Rätten till rättelse, radering och begränsning av behandling
Den registrerade har enligt artikel 16–19 i dataskyddsförordningen rätt till rättelse, radering och begränsning av behandling.
Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att få felaktiga personuppgifter som rör honom eller henne rättade. Det finns också en möjlighet att få ofullständiga personuppgifter kompletterade, bl.a. genom att tillhandahålla ett kompletterande yttrande. Rätten till komplettering är ny i förhållande till dataskyddsdirektivet.
Rätten till radering, också kallad rätten att bli bortglömd, följer av artikel 17 i dataskyddsförordningen. Det finns inte någon definition av begreppet radering i dataskyddsförordningen. Det finns inte heller något skrivet i skälen till dataskyddsförordningen om vad som avses med begreppet. Begreppet får enligt vanligt språkbruk anses innebära samma sak som begreppet utplåning som används i dataskyddsdirektivet. Rätten till radering är dock betydligt mer detaljerat reglerad än rätten till utplåning enligt dataskyddsdirektivet. Rättigheten är inte obegränsad. Enligt artikel 17.3 b i dataskyddsförordningen gäller den t.ex. inte när behandling av personuppgifter är nödvändig för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt, eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.
Enligt artikel 18 i dataskyddsförordningen har den registrerade rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas, vilket har ersatt den åtgärd som enligt dataskyddsdirektivet benämns som blockering. Den registrerade har rätt att kräva att behandlingen begränsas om han eller hon bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta (artikel 18.1 a). Begränsning kan också krävas om be-
handlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning (artikel 18.1 b). Om den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen, kan den registrerade kräva att behandlingen begränsas om han eller hon behöver uppgifterna för att kunna fastställa, göra gällande eller försvara rättsliga anspråk (artikel 18.1 c). Slutligen kan begränsning krävas om den registrerade har invänt mot behandling i enlighet med artikel 21.1 i dataskyddsförordningen i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18.1 d). Av artikel 18.2 i dataskyddsförordningen följer att om behandlingen har begränsats i enlighet med artikel 18.1 i dataskyddsförordningen får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Vidare anges i artikel 18.3 i dataskyddsförordningen att en registrerad som har fått behandling begränsad ska underrättas av den personuppgiftsansvarige innan begränsningen av behandlingen upphör. Bestämmelserna innebär i förhållande till dataskyddsdirektivet bl.a. en ny skyldighet att på begäran bevara personuppgifter och en skyldighet att begränsa behandlingen medan det utreds om det är korrekt att behandla uppgifterna.
Slutligen, enligt artikel 19 i dataskyddsförordningen, ska den personuppgiftsansvarige underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuell rättelse eller radering av personuppgifter eller begränsning av behandling som skett i enlighet med artikel 16, 17.1 och 18 i dataskyddsförordningen, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Det motsvarar i huvudsak vad som gäller enligt dataskyddsdirektivet. Den personuppgiftsansvarige ska på den registrerades begäran dessutom informera den registrerade om dessa mottagare. Detta är en nyhet i förhållande till dataskyddsdirektivet.
I artikel 12 i dataskyddsförordningen finns det bestämmelser om bl.a. tidsfrister för att informera den registrerade om vad som hänt med anledning av en begäran om en åtgärd.
Dataskyddsdirektivets reglering av dessa rättigheter är inte alls lika omfattande. I artikel 12 b i dataskyddsdirektivet anges endast att medlemsstaterna ska säkerställa att varje registrerad har rätt att i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga. Enligt artikel 12 c i dataskyddsdirektivet ska varje registrerad vidare ha rätt att få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b, om inte detta visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.
Dataskyddsdirektivets bestämmelser har kommit till uttryck i 28 § personuppgiftslagen som anger att personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen, på begäran av den registrerade snarast ska rättas, blockeras eller utplånas.
Registerförfattningar, utom sådana som reglerar registrering som medför rättsverkningar, innehåller sällan några särskilt utformade bestämmelser om rättelse utan hänvisar i stället till personuppgiftslagens bestämmelser. När registerförfattningarna hänvisar till personuppgiftslagens bestämmelser om rättelse avses även åtgärderna blockering och utplåning. Skälet till att det i registerförfattningar ofta finns en hänvisning till personuppgiftslagens bestämmelser om rättelse är att bestämmelserna annars inte skulle vara tillämpliga. Detta eftersom 28 § personuppgiftslagen enligt sin ordalydelse endast gäller personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av personuppgiftslagen. För att bestämmelserna ska vara tillämpliga även när personuppgifter behandlats i strid med registerförfattningar, krävs därför att de anges gälla på motsvarande sätt vid behandling av personuppgifter enligt den aktuella författningen.
Bestämmelser i registerförfattningar med hänvisningar till personuppgiftslagens bestämmelser om rättelse kan inte behållas när personuppgiftslagen upphävs. Eftersom dataskyddsförordningens bestämmelser om rättelse, radering och begränsning av behandling är direkt tillämpliga och inte specifikt begränsade till behandling i strid med dataskyddsförordningen, behövs det ingen hänvisning till dessa bestämmelser. Bestämmelser i registerförfattningar med hän-
visningar till personuppgiftslagens bestämmelser om rättelse bör således upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.
Rätten att göra invändningar
Den registrerade ska, enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (allmänt intresse respektive myndighetsutövning) eller f (intresseavvägning). Den personuppgiftsansvarige får då inte längre behandla personuppgifterna om denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter eller friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
I dataskyddsdirektivet regleras rätten att göra invändningar i artikel 14 a. Av bestämmelsen framgår att medlemsstaterna ska tillförsäkra den registrerade en rätt att, i de fall behandlingen sker med stöd av grunderna allmänt intresse, myndighetsutövning eller intresseavvägning när som helst av avgörande och berättigade skäl som rör den registrerades personliga situation, motsätta sig behandling av personuppgifter som rör honom eller henne. Regleringen i dataskyddsförordningen skiljer sig alltså från den i dataskyddsdirektivet på så sätt att det inte längre är den registrerade som ska ha berättigade skäl, utan i stället den personuppgiftsansvarige som ska kunna redogöra för varför behandlingen ska få äga rum.
En annan betydande skillnad mellan dataskyddsförordningen och dataskyddsdirektivet är möjligheten att i nationell rätt reglera undantag från rätten att motsätta sig behandlingen. Enligt dataskyddsdirektivet gäller rätten att motsätta sig behandling utom när den nationella lagstiftningen föreskriver något annat. Några särskilda villkor för att införa sådana begränsningar i nationell rätt ställs inte upp. Medlemsstaterna har, såsom vi tolkat dataskyddsdirektivet i Sverige, därför enkelt kunnat reglera bort rättigheten i nationell rätt. Datalagskommittén såg inte tillräckliga skäl för att föreslå en generell rätt att motsätta sig behandling av personuppgifter; i stället har i personuppgiftslagen införts en mycket begrän-
sad möjlighet för den registrerade att göra invändningar. Av 12 § andra stycket personuppgiftslagen följer att en registrerad bara kan motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen om behandlingen avser ändamål som rör direkt marknadsföring eller om behandlingen sker med stöd av samtycke. Om behandlingen sker med stöd av samtycke, är det dessutom enbart behandling av ytterligare personuppgifter efter att samtycket tagits tillbaka, som den registrerade slipper. Även en del registerförfattningar innehåller bestämmelser om att den registrerade inte har möjlighet att motsätta sig sådan behandling som är tillåten enligt författningen.
Dataskyddsförordningen möjliggör i likhet med dataskyddsdirektivet nationella undantag från rätten att invända mot behandling, men endast under de förutsättningar som anges i artikel 23.1 (se avsnitt 9.15.2). Medlemsstaterna kan således inte längre genom generella bestämmelser begränsa rätten att invända mot behandling. Eventuella nationella begränsningar måste i stället utgå från avvägningar i fråga om nödvändighet och proportionalitet samt grunda sig på något av de mål som anges i artikel 23.1 i dataskyddsförordningen.
Automatiserat och individuellt beslutsfattande
I artikel 22 i dataskyddsförordningen finns det bestämmelser om automatiserat beslutsfattande. Huvudregeln enligt artikel 22.1 i dataskyddsförordningen är att den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Enligt skäl 71 till dataskyddsförordningen kan det röra sig om t.ex. ”ett automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt”. Profilering definieras i artikel 4.4 i dataskyddsförordningen som ”varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation,
hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar”.
I dataskyddsdirektivet finns motsvarande bestämmelser om automatiserade beslut; där kallade databehandlade beslut. Av artikel 15.1 i dataskyddsdirektivet framgår att medlemsstaterna ska ge varje person rätten att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande.
Det framgår inte tydligt om det finns en skillnad i tillämpningsområdet mellan artikel 22.1 i dataskyddsförordningen och artikel 15.1 i dataskyddsdirektivet. Artikel 15.1 i dataskyddsdirektivet omfattar enbart beslut som grundas på profilering medan formuleringen ”beslut som enbart grundas på automatiserad behandling, inbegripet profilering,” i artikel 22.1 i dataskyddsförordningen kan tolkas som att artikeln omfattar även andra beslut än sådana som grundas enbart på profilering. Även skäl 71 till dataskyddsförordningen är otydligt i fråga om vad som avses. I den uppräkning av rättigheter som kan begränsas enligt artikel 23 i dataskyddsförordningen som finns i skäl 73 nämns däremot endast profileringsbaserade beslut. Detta tyder på att det bara är beslut grundade enbart på profilering som avses i artikel 22.1 i dataskyddsförordningen. Även kommissionens förslag till dataskyddsförordning (artikel 20) gällde endast åtgärder på grundval av profilering och frågans hantering därefter antyder inte att någon förändring i förhållande till dataskyddsdirektivet är avsedd. Utredningen utgår därför från att artikel 22.1 i dataskyddsförordningen omfattar bara sådana beslut som grundas enbart på automatiserad behandling som inkluderar profilering.
Från huvudregeln att den registrerade ska ha rätt att inte bli föremål för automatiserat beslutsfattande finns enligt artikel 22.2 i dataskyddsförordningen flera undantag. Artikel 22.1 i dataskyddsförordningen ska inte tillämpas om beslutet är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige, om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för
den registrerades rättigheter, friheter och berättigade intressen, eller om beslutet grundar sig på den registrerades uttryckliga samtycke. I de fall det är tillåtet att fatta automatiserade beslut med anledning av ett avtal eller med stöd av samtycke, ska den personuppgiftsansvarige enligt artikel 22.3 i dataskyddsförordningen genomföra lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och rättsliga intressen, åtminstone rätten till personlig kontakt med den personuppgiftsansvarige för att kunna uttrycka sin åsikt och bestrida beslutet. Beslut får enligt artikel 22.4 i dataskyddsförordningen grunda sig på känsliga personuppgifter endast om behandlingen sker med stöd av artikel 9.2 a (samtycke) eller g (viktigt allmänt intresse) och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits.
Lämpliga skyddsåtgärder bör enligt skäl 71 till dataskyddsförordningen inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Vidare anges i skäl 71 ytterligare åtgärder för att skydda den registrerade:
I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder som får sådana effekter.
Även i dataskyddsdirektivet finns undantag från huvudregeln. En person får enligt artikel 15.2 i dataskyddsdirektivet trots allt bli föremål för ett sådant beslut som avses i artikel 15.1 om beslutet fattas som ett led i ingåendet eller fullgörandet av ett avtal eller tillåts i lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen. I fråga om avtal krävs också att den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller att det vidtas lämpliga åtgärder för att skydda hans
berättigade intressen, exempelvis möjligheten för honom att göra sin uppfattning gällande.
Att ett beslut enligt dataskyddsförordningen kan fattas automatiserat med stöd av samtycke från den registrerade är således en nyhet i förhållande till dataskyddsdirektivet. Begränsningen i fråga om känsliga personuppgifter är också ny i förhållande till dataskyddsdirektivet.
Dataskyddsdirektivets bestämmelser har kommit till uttryck i 29 § personuppgiftslagen, där det anges att om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, ska den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person. Var och en som varit föremål för ett sådant beslut har enligt paragrafens andra stycke rätt att på ansökan få information från den personuppgiftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet.
I den mån det inom Socialdepartementets verksamhetsområde förekommer beslut som grundas enbart på automatiserad behandling och inkluderar profilering, krävs det att något av de undantag som anges i artikel 22.2 i dataskyddsförordningen är tillämpligt. Vanligare är dock att beslut fattas genom automatiserad behandling utan att det inkluderar profilering. Sådana beslut omfattas enligt utredningens tolkning inte av artikel 22 i dataskyddsförordningen och dataskyddsförordningen ställer inte heller i övrigt några krav på att sådant beslutsfattande regleras särskilt. Då krävs endast att behandlingen av personuppgifter som sådan är tillåten enligt gällande dataskyddslagstiftning.
9.15.2. Begränsningar av rättigheter
Utredningens bedömning: En begränsning av de nya rättighet-
erna för registrerade bör övervägas bara om en ny rättighet kan anses alldeles särskilt betungande för en specifik verksamhet.
Bestämmelser i registerförfattningar om begränsningar av andra rättigheter för registrerade än rätten att göra invändningar kan och bör behållas.
Bestämmelser i registerförfattningar om begränsningar av den registrerades rätt att göra invändningar enligt artikel 21 i dataskyddsförordningen kan och bör behållas om de efter en prövning i varje enskilt fall bedöms tillåtna enligt artikel 23.1.
Möjlighet till undantag
Enligt artikel 23.1 i dataskyddsförordningen ska det vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artikel 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa olika uppräknade intressen.
De uppräknade intressena i artikel 23.1 i dataskyddsförordningen innefattar bl.a.
- unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet (e),
- förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken (g),
- en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i artikel 23.1 a–e och g (h), och
- skydd av den registrerade eller andras rättigheter och friheter (i).
En begränsning enligt artikel 23.1 i dataskyddsförordningen måste dock uppfylla vissa krav. Enligt artikel 23.2 i dataskyddsförordningen ska en lagstiftningsåtgärd som begränsar rättigheter och skyldigheter som följer av dataskyddsförordningen innehålla specifika bestämmelser åtminstone, när så är relevant, avseende ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, riskerna för de registrerades rättigheter och friheter, och de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen. Det framstår som något oklart vad de sista två kraven egentligen avser. När är det relevant med specifika bestämmelser om riskerna för de registrerades rättigheter och friheter och ska de innehålla en uppräkning av dessa risker eller något annat? Kravet på bestämmelser om information om begränsningen lär knappast ha någon relevans när själva begränsningen innebär att den registrerade inte automatiskt får information när behandlingen inleds.
En liknande bestämmelse om möjlighet till begränsning av omfattningen av skyldigheter och rättigheter finns i artikel 13 i dataskyddsdirektivet. I den bestämmelsen anges i och för sig inte något om att begränsningen ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna eller att åtgärden ska vara proportionell i ett demokratiskt samhälle. Det får dock förutsättas att begränsningar av den personuppgiftsansvariges skyldigheter inte heller enligt dataskyddsdirektivet får göras i strid mot grundläggande rättigheter och friheter eller vara oproportionella. Europakonventionen nämns också i skäl 1 till dataskyddsdirektivet. Av Europarådets dataskyddskonvention följer vidare att lagstadgade begränsningar måste vara en nödvändig åtgärd i ett demokratiskt samhälle.
En större skillnad mellan dataskyddsförordningen och dataskyddsdirektivet är att uppräkningen av de intressen som en begränsning måste syfta till att säkerställa har utökats i dataskyddsförordningen. Dessutom har vissa av de befintliga intressena formulerats om. Artikel 13.1 e i dataskyddsdirektivet omfattar endast viktiga ekonomiska eller finansiella intressen, medan artikel 23.1 e i dataskyddsförordningen även tar upp andra viktiga mål av generellt allmänt intresse. Uppräkningen i den punkten är inte heller längre uttömmande utan även andra mål kan omfattas. Samtidigt har ordalydelsen i punkten e ändrats från att en begränsning ska vara nödvändig med hänsyn till ett viktigt (ekonomiskt eller finansiellt) intresse till ett viktigt mål av generellt allmänt intresse. I avsaknad av ytterligare tolkningsdata går det, som anges i avsnitt 9.8.1, inte att dra några säkra slutsatser om detta innebär att det krävs något annat än vad som följer av begreppet allmänt intresse som används i t.ex. artikel 6.1 e i dataskyddsförordningen. Utredningen bedömer att utrymmet för begränsningar enligt artikel 23.1 e i dataskyddsförordningen i vart fall är större än enligt motsvarande reglering i dataskyddsdirektivet, eftersom bestämmelsen inte längre enbart omfattar ekonomiska och finansiella intressen.
I artikel 23.1 g i dataskyddsförordningen har, i förhållande till dataskyddsdirektivet när det gäller överträdelser av etiska regler, förhindrande och utredning av överträdelser lagts till medan undersökning tagits bort. Det är utredningens bedömning att begreppen utredning och undersökning har samma innebörd. Tillägget av förhindrande av överträdelser innebär en utökning i förhållande till dataskyddsdirektivet.
När det gäller tillsyns-, inspektions- eller regleringsfunktioner som nämns i artikel 23.1 h i dataskyddsförordningen har dataskyddsdirektivets formulering att bestämmelsen gäller även om funktionen är av övergående karaktär bytts ut mot formuleringen även i enstaka fall. Utredningen bedömer, i avsaknad av klargörande skäl, att någon ändring i sak inte är avsedd.
Formuleringen i artikel 23.1 i i dataskyddsförordningen är densamma som i dataskyddsdirektivet.
Möjligheterna att begränsa den registrerades rättigheter, när det gäller de intressen som är aktuella inom Socialdepartementets verksamhetsområde, är alltså desamma för vissa av punkterna medan de
för andra punkter är något utökade jämfört med vad som gäller enligt dataskyddsdirektivet.
Kravet i dataskyddsförordningen på att lagstiftningsåtgärder med begränsningar ska, när det är relevant, innehålla specifika bestämmelser i vissa uppräknade avseenden saknar motsvarighet i dataskyddsdirektivet.
Dataskyddsutredningen har, som framgått av avsnitt 9.15.1, föreslagit vissa generella undantag avseende rätten till information och rätten till tillgång till personuppgifter. Regeringen ska dessutom enligt förslaget till 5 kap. 3 § dataskyddslagen få meddela närmare föreskrifter om ytterligare begränsningar av vissa rättigheter och skyldigheter enligt artikel 23 i dataskyddsförordningen.41
Allmänna utgångspunkter för undantag
Som framgått får den registrerade vissa nya rättigheter med dataskyddsförordningen. De nya rättigheterna för registrerade förhindrar inte den behandling som får ske enligt registerförfattningarna. Däremot uppställs nya administrativa krav på de personuppgiftsansvariga. Det är utredningens övergripande bedömning att dessa nya krav normalt sett inte kan anses så betungande att det med fog kan sägas vara nödvändigt och proportionerligt att begränsa dem ens vid behandling av personuppgifter som rör viktiga mål av generellt allmänt intresse. Utredningens utgångspunkt är därför att det inte bör finnas begränsningar i registerförfattningarna som innebär att de registrerade inte får mera rättigheter än i dag trots att nya rättigheter följer av dataskyddsförordningen. När det gäller dataskyddsförordningens reglering av information, tillgång, rättelse, radering och begränsning av behandling har det inte framkommit att det skulle innebära några beaktansvärda svårigheter för personuppgiftsansvariga att uppfylla de fåtaliga nyheter som dataskyddsförordningen innebär. Dataskyddsförordningens reglering bör därför som utgångspunkt gälla. Om däremot ett nytt krav kan anses alldeles särskilt betungande för en specifik verksamhet, bör en begränsning av de nya rättigheterna övervägas.
41SOU 2017:39.
Det förekommer bestämmelser i registerförfattningar som begränsar de rättigheter som registrerade har i dag enligt dataskyddsdirektivet och personuppgiftslagen. Det kan gälla t.ex. en begränsning av rätten till registerutdrag eller en bestämmelse om att behandling som är tillåten enligt författningen får utföras även om den registrerade motsätter sig den, dvs. en begränsning av rätten att göra invändningar. Utredningen börjar med att bedöma andra befintliga begränsningar än sådana som begränsar rätten att göra invändningar.
De krav på själva begränsningen – syftet med begränsningen, nödvändig och proportionell åtgärd och respekt för andemeningen i de grundläggande rättigheterna – som gäller enligt dataskyddsförordningen är som framgått i vart fall inte snävare än enligt dataskyddsdirektivet. De bedömningar som gjorts när begränsningarna infördes bör godtas. Det är därför utredningens bedömning att de bestämmelser i registerförfattningar som begränsar registrerades rättigheter i förhållande till de som finns enligt dataskyddsförordningen, utom såvitt avser rätten till invändningar, i och för sig är tillåtna.
När det gäller begränsningar i registerförfattningar av rätten att göra invändningar gör utredningen följande överväganden. Det har ansetts att en begränsning av rätten att göra invändningar enligt dataskyddsdirektivet bara förutsätter att det finns en författningsbestämmelse om det. Bestämmelser i registerförfattningar om en sådan begränsning har därför normalt inte föregåtts av en sådan prövning som den som måste göras enligt artikel 23.1 i dataskyddsförordningen. Det innebär att utredningen i fråga om sådana bestämmelser bör göra en sådan prövning. Det behöver förstås bara göras i de fall det enligt artikel 21 i dataskyddsförordningen finns en rätt till invändningar, dvs. när den reglerade behandlingen grundar sig på att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller klarar en intresseavvägning.
Det kan tilläggas att det är utredningens uppfattning att registerförfattningar, som innehåller en begränsning av den registrerades rätt att göra invändningar, normalt reglerar behandling av personuppgifter som rör sådana viktiga mål av generellt allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen.
Ett nytt krav för begränsningar enligt dataskyddsförordningen (artikel 23.2) är att lagstiftningsåtgärden, när det är relevant, också ska innehålla specifika bestämmelser i vissa uppräknade avseenden, nämligen ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, riskerna för de registrerades rättigheter och friheter, och de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.
Registerförfattningar med begränsningar innehåller regelmässigt också bestämmelser i de allra flesta avseenden som räknas upp i artikel 23.2 i dataskyddsförordningen. Sådana registerförfattningar har införts efter noggranna överväganden av vilka bestämmelser, utöver de som finns i personuppgiftslagen, som är relevanta i sammanhanget. Det är därför utredningens bedömning att det nya kravet på specifika bestämmelser utan vidare analys från utredningens sida kan anses uppfyllt i fråga om befintliga begränsningar.
9.16. Säkerhetsåtgärder
9.16.1. Den generella regleringen om säkerhetsåtgärder/skyddsåtgärder
Av artikel 6.1 c i dataskyddsdirektivet framgår att behandlade personuppgifter ska vara adekvata och relevanta och att de inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas. Artikeln har kommit till uttryck i 9 § e och f personuppgiftslagen. Samma princip finns i artikel 5.1 c i dataskyddsförordningen (principen om uppgiftsminimering). Där anges att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
En annan grundläggande princip enligt dataskyddsförordningen är att den personuppgiftsansvarige enligt artikel 5.1 f ska vidta åtgärder som säkerställer lämplig säkerhet för personuppgifterna,
inbegripet bl.a. skydd mot obehörig eller otillåten behandling, med användning av lämpliga tekniska eller organisatoriska åtgärder (principen om integritet och konfidentialitet).
En allmän bestämmelse om den personuppgiftsansvariges ansvar finns i artikel 24 i dataskyddsförordningen. Av den följer att den personuppgiftsansvarige, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Dessa åtgärder ska ses över och uppdateras vid behov. Vidare anges att om det står i proportion till behandlingen, ska åtgärderna omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.
En precisering av det nämnda ansvaret finns i artikel 25 i dataskyddsförordningen som handlar om inbyggt dataskydd och dataskydd som standard. Enligt den artikeln ska den personuppgiftsansvarige, med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering. Åtgärderna ska vara utformade för ett effektivt genomförande av dataskyddsprinciper, såsom uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas. Åtgärderna ska vidtas både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen.
Enligt artikel 29 i dataskyddsförordningen gäller att personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.
Vidare finns i artikel 32 i dataskyddsförordningen en bestämmelse som preciserar de säkerhetsåtgärder som bör vidtas enligt artikel 25 i dataskyddsförordningen. De åtgärder som ska vidtas ska, när det är lämpligt, inbegripa pseudonymisering och krypter-
ing av personuppgifter, förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Anslutning till en godkänd uppförandekod som avses i artikel 40 i dataskyddsförordningen eller en godkänd certifieringsmekanism som avses i artikel 42 i dataskyddsförordningen får användas för att visa att kraven följs. Åtgärder ska vidare vidtas för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det. Skyldigheterna enligt artikel 32 i dataskyddsförordningen gäller inte bara den personuppgiftsansvarige utan även personuppgiftsbiträdet.
Även enligt dataskyddsdirektivet gäller att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. Enligt artikel 17 i dataskyddsdirektivet ska sådana åtgärder vidtas för att skydda personuppgifter mot bl.a. otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk. Av artikel 16 i dataskyddsdirektivet framgår att den som får tillgång till personuppgifter med anledning av sitt arbete, får behandla uppgifterna endast enligt instruktion från den registeransvarige, om han inte är skyldig att göra det enligt lag. Bestämmelserna har kommit till uttryck i 30 och 31 §§personuppgiftslagen.
Att integritet och konfidentialitet finns med bland de allmänna principerna i artikel 5 i dataskyddsförordningen är en nyhet i förhållande till dataskyddsdirektivet. Bestämmelserna om säkerhet i dataskyddsdirektivet har liknande innehåll som de i dataskyddsförordningen men är mer allmänt hållna. Exempelvis räknas de
säkerhetsåtgärder som bör övervägas inte upp i dataskyddsdirektivet. En annan nyhet i dataskyddsförordningen är att även personuppgiftsbiträden har ett uttryckligt ansvar för att säkerhetsåtgärder vidtas.
Av artikel 89.1 i dataskyddsförordningen framgår att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Åtgärderna får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska ändamålen uppfyllas på det sättet. Artikel 89.1 i dataskyddsförordningen kan alltså sägas precisera de mer allmänna bestämmelserna om skyddsåtgärder som nämnts ovan, bl.a. genom att ange att den personuppgiftsansvarige i första hand ska överväga om det är möjligt att behandla sådana uppgifter som inte medger identifiering av de registrerade. Enligt utredningens bedömning får detta dock anses följa redan av den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen samt de allmänna bestämmelserna om säkerhet.
I dataskyddsdirektivet är formuleringen angående skyddsåtgärder för historiska, statistiska eller vetenskapliga ändamål något annorlunda. I artikel 6.1 b i dataskyddsdirektivet anges att senare behandling för historiska, statistiska eller vetenskapliga ändamål förutsätter att medlemsstaterna beslutar om lämpliga skyddsåtgärder. Skyldigheten för den personuppgiftsansvarige att iaktta principen om uppgiftsminimering och vidta säkerhetsåtgärder följer dock av de allmänna bestämmelserna i dataskyddsdirektivet. Det är därför utredningens bedömning att regleringen i dataskyddsförordningen motsvarar den som finns i dataskyddsdirektivet (för bedömning avseende ändrad formulering av ändamålen se avsnitt 9.17.2).
Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör, kan mer specifika krav fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen (se avsnitt 9.3). Myndigheter kan vidare
utan hinder av dataskyddsförordningen åläggas krav på säkerhetsåtgärder (se avsnitt 9.2).
För behandling av känsliga personuppgifter med stöd av artikel 9.1 g, i eller j i dataskyddsförordningen gäller att nationell lagstiftning ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Motsvarande krav gäller enligt artikel 10 i dataskyddsförordningen för nationell lagstiftning som tillåter behandling av uppgifter om lagöverträdelser utan kontroll av en myndighet (se avsnitt 9.12). Även i artikel 87 i dataskyddsförordningen talas det om lämpliga skyddsåtgärder i fråga om behandling av ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering (se avsnitt 9.13). Nationell lagstiftning om skyddsåtgärder kan vidare vara nödvändig för att en begränsning av den registrerades rättigheter ska få göras (se avsnitt 9.15.2). Olika skyddsåtgärder är således inte bara något som kan framgå av nationell rätt, utan även något som i vissa fall måste fastställas i nationell rätt.
9.16.2. Bestämmelser om säkerhetsåtgärder i registerförfattningar
Utredningens bedömning: Bestämmelser i registerförfattningar
om säkerhetsåtgärder behöver inte ändras. I fråga om enskildas behandling gäller det under förutsättning att den ursprungliga behandlingen grundar sig på artikel 6.1 c eller e i dataskyddsförordningen eller om behandlingen av uppgifterna grundar sig på artikel 9.2 g, i eller j eller artikel 10 i dataskyddsförordningen.
I registerförfattningar finns det ofta bestämmelser om vad som kan betecknas som säkerhetsåtgärder (eller skyddsåtgärder).
Här kan följande nämnas som exempel:
- Bestämmelser om en databas som reglerar vilka personuppgifter som får göras mera allmänt tillgängliga i den aktuella verksamheten.
- Bestämmelser om tilldelning och begränsning av behörighet samt loggkontroll.
- Bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske.
- Bestämmelser om sökbegränsningar.
- Bestämmelser om kryptering och pseudonymisering.
- Bestämmelser om samtycke som krav för en viss åtgärd.
En databas som används gemensamt i verksamheten
För vissa verksamheter har man valt att i registerförfattning knyta särskilda regler till viss behandling av personuppgifter som anses särskilt integritetskänslig. Exempelvis bedöms sådan behandling av personuppgifter, som innebär att fler än ett fåtal personer har såväl tillgång till som möjlighet att bearbeta eller förfoga över uppgifterna på annat sätt, typiskt sett mer integritetskänslig än vad som är fallet när endast någon enstaka person förfogar över uppgifterna.42För att avgränsa vilka personuppgifter som berörs, används ofta ett databasbegrepp. Begreppet används i juridisk mening och ansluter inte nödvändigtvis till tekniska avgränsningar eller behörighetstilldelningar.
En avgränsning av vilka personuppgifter som får behandlas i en viss databas är ett förtydligande och en tillämpning av vad som gäller enligt den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Samma princip, uttryckt på i sak samma sätt, finns i artikel 6.1 b i dataskyddsdirektivet.
Behörighetsbegränsningar och loggkontroll
Bestämmelser i registerförfattningar om begränsningar av användares åtkomst till personuppgifter samt om uppföljning av åtkomsten är tänkta att innebära en konkretisering av personuppgiftslagens bestämmelser om säkerhet. Genom att användare endast får tillgång till sådana personuppgifter som han eller hon exempelvis har behov av i sitt arbete, kan risken för otillåten behandling av personuppgifter förbyggas eller åtminstone minskas. Loggkontroller
42Prop. 2002/03:135 s. 47 ff.
medger uppföljning av användarnas behandling av personuppgifter och syftar till att upptäcka situationer då personuppgifter behandlats på ett otillåtet sätt.
Styrning av tilldelning och begränsning av behörigheter är sådana tekniska och organisatoriska åtgärder som den personuppgiftsansvarige ska vidta på eget initiativ enligt dataskyddsförordningen. Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör, kan mer specifika krav även fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.
Logguppföljning medför i sig vissa särskilda integritetsrisker som bör beaktas. Om uppföljning sker av anställdas åtgärder i ett ärendehanteringssystem, kan exempelvis personuppgifter avseende såväl enskilda, vars uppgifter finns i ett ärende, som de anställda komma att behandlas. Det får förutsättas att en bedömning av dessa integritetsrisker i förhållande till eventuella integritetsvinster har gjorts innan befintliga bestämmelser om logguppföljning har införts i registerförfattningar.
Direktåtkomst och utlämnande på medium för automatiserad behandling
Utlämnande genom direktåtkomst och utlämnande på medium för automatiserad behandling utgör olika former av behandling av personuppgifter och regleras ofta i registerförfattningar. I dataskyddsförordningen, dataskyddsdirektivet och personuppgiftslagen finns det inga särskilda bestämmelser som direkt rör dessa former av behandling/utlämnande43 utan det krävs – i likhet med vad som gäller för all behandling av personuppgifter – att behandlingen uppfyller tillämpliga grundläggande krav i artikel 5 i dataskyddsförordningen och har lagligt stöd enligt artikel 6 i dataskyddsförordningen. Det krävs också att säkerhetsåtgärder enligt artikel 24.1 och 32 i dataskyddsförordningen är vidtagna. Om utlämnandet avser känsliga personuppgifter eller uppgifter om lagöverträdelser,
43 I skäl 31 till dataskyddsförordningen finns det dock vissa uttalanden om offentliga myndigheters begäranden om att uppgifter ska lämnas ut och om att register kopplas samman, som inte verkar ha direkt stöd i artiklarna i dataskyddsförordningen. Jämför eSam, Elektroniskt informationsutbyte – en vägledning för utlämnande i elektroniskt form, s. 22 f.
krävs i tillämpliga fall stöd enligt artikel 9 respektive artikel 10 i dataskyddsförordningen. Motsvarande gäller enligt dataskyddsdirektivet.
Om utlämnandet i sig är tillåtet enligt dataskyddsförordningen, får det således ske på vilket sätt som helst så länge föreskrivna säkerhetsåtgärder vidtas. Artikel 24.1 och 32 i dataskyddsförordningen om säkerhetsåtgärder, som har sin motsvarighet i artikel 16 och 17 i dataskyddsdirektivet, kommer att vara direkt tillämpliga.
Sökbegränsningar
Varken dataskyddsförordningen, dataskyddsdirektivet eller personuppgiftslagen innehåller några bestämmelser som särskilt tar sikte på sökning. Sökning och sammanställning av personuppgifter är dock en form av behandling av personuppgifter som omfattas av dataskyddsregleringen. Det innebär bl.a. att en sökning måste vara förenlig med angivna ändamål för att vara tillåten.
I många registerförfattningar finns sökbegränsningar som framför allt tar sikte på användningen av känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp. Anledningen är att användningen av dessa uppgifter som sökbegrepp kan leda till att det går att skapa mycket integritetskänsliga sammanställningar med personer som har vissa egenskaper. Sökbegränsningarna inskränker också allmänhetens möjligheter att ta del av sammanställningen (2 kap. 3 § tredje stycket tryckfrihetsförordningen). Att förbjuda användning av t.ex. känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp utgör en säkerhetsåtgärd/skyddsåtgärd i dataskyddsförordningens mening.
Kryptering och pseudonymisering
Kryptering och pseudonymisering är åtgärder som tillgodoser principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen eftersom sådana åtgärder innebär att den personuppgiftsansvarige inte behandlar fler direkt identifierande personuppgifter än vad som är nödvändigt för ändamålet med behandlingen. Krav på kryptering och pseudonymisering uppfyller också villkoren i principen om integritet och konfidentialitet i artikel 5.1 f i data-
skyddsförordningen som anger att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna med användning av lämpliga tekniska och organisatoriska åtgärder. Kryptering och pseudonymisering utgör sådana säkerhetsåtgärder som nämns i artikel 32 i dataskyddsförordningen och som ska vidtas i den mån det är lämpligt.
Samtycke
Det förekommer bestämmelser i registerförfattningar om att en viss åtgärd, t.ex. direktåtkomst eller utlämnande på medium för automatiserad behandling, med personuppgifter som behandlas med stöd av annan rättslig grund än samtycke bara får utföras med den registrerades samtycke. En sådan bestämmelse kan enligt utredningen anses utgöra en integritetshöjande åtgärd, dvs. en slags skyddsåtgärd.44 Eftersom registerförfattningarna inom Socialdepartementets verksamhetsområde gäller utöver personuppgiftslagen, måste samtycket uppfylla det som anges i definitionen av samtycke i 3 § personuppgiftslagen, som genomför definitionen av samtycke i artikel 2 h i dataskyddsdirektivet.
Enligt definitionen i artikel 4.11 i dataskyddsförordningen ska samtycket vara frivilligt, specifikt, informerat och utgöra en otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar den aktuella behandlingen av personuppgifter som rör honom eller henne. Definitionen av samtycke i artikel 4.11 i dataskyddsförordningen motsvarar i allt väsentligt den som finns i artikel 2 h i dataskyddsdirektivet. Eftersom själva definitionen av vad som utgör ett giltigt samtycke inte har ändrats i sak i dataskyddsförordningen, bedömer utredningen att någon ytterligare analys av lämpligheten av att uppställa ett krav på samtycke för att en viss åtgärd, såsom direktåtkomst eller annat elektroniskt utlämnande, ska få utföras inte behöver göras i de fall sådana bestämmelser finns i befintliga registerförfattningar. Dataskyddsförordningens definition av samtycke föranleder således inte i sig att denna typ av integritetshöjande åtgärder behöver ändras.
44 Jämför Ds 2016:44 s. 224 ff.
I artikel 7 och artikel 8 i dataskyddsförordningen, om barns samtycke avseende informationssamhällets tjänster, finns vissa kompletterande bestämmelser om samtycke, som inte har någon uttrycklig motsvarighet i dataskyddsdirektivet och personuppgiftslagen. Dessutom har frågan om samtycke utvecklats i skäl 43 till dataskyddsförordningen på ett sätt som saknar motsvarighet i dataskyddsdirektivet. Det kan alltså inte uteslutas att kraven på samtycke i vissa situationer har skärpts något i förhållande till vad som anses gälla i dag. När registerförfattningarna, sedan dataskyddsförordningen börjat tillämpas, kommer att komplettera dataskyddsförordningen i stället för att gälla utöver personuppgiftslagen, kommer regleringen av samtycke som finns i dataskyddsförordningen att gälla även för de samtycken i registerförfattningarna som utgör integritetshöjande åtgärder.
Det finns dock inte något krav enligt dataskyddsförordningen på att sådana samtycken som i registerförfattningar har föreskrivits såsom en integritetshöjande åtgärd och inte som en rättslig grund för att över huvud taget få behandla personuppgifter ska omfattas av de eventuellt skärpta kraven på samtycke. Utredningen har därför övervägt att använda ett annat begrepp, exempelvis godkännande, för ett sådant samtycke som utgör en form av skyddsåtgärd. På så sätt skulle inte de eventuellt skärpta kraven i dataskyddsförordningen gälla för samtycken som utgör integritetshöjande åtgärder. Utredningen ser dock flera nackdelar med att införa ett nytt begrepp. Samtycke är ett inarbetat begrepp och används för att uttrycka integritetshöjande åtgärder i flera andra registerförfattningar än de som utredningen har sett över.45 Om samtycke ersätts med något annat begrepp, blir det otydligt om bestämmelsen om återkallelse av samtycke i artikel 7.3 i dataskyddsförordningen gäller. I lagen om biobanker i hälso- och sjukvården m.m. finns hänvisningar till andra bestämmelser om samtycke, varför en ändring av samtyckesbegreppet inte bedöms vara lämplig i den författningen. Sammantaget gör utredningen därför bedömningen att det, i vart fall inte inom ramen för den översyn som nu görs, är lämpligt att ersätta begreppet samtycke, när det avser en integritetshöjande
45 Bestämmelser om samtycke som krav för en viss åtgärd finns bl.a. i 10 § studiestödsdatalagen (2009:287), 9 § förordningen (1998:1234) om det statliga personadressregistret och 6 § lagen (2006:24) om nationella toppdomäner för Sverige på Internet.
åtgärd, med något annat begrepp. Det innebär att de eventuellt skärpta kraven på samtycke enligt dataskyddsförordningen gäller även när samtycket används som en integritetshöjande åtgärd. Det bedöms dock inte hindra sådana åtgärder som behöver utföras, eftersom åtgärderna redan i dag är beroende av den registrerades inställning till dem. Därför bör det inte heller komma i fråga att ta bort bestämmelser om samtycke såsom en integritetshöjande åtgärd.
Överväganden
De bestämmelser om de nämnda säkerhetsåtgärderna/skyddsåtgärderna som finns i registerförfattningar är enligt utredningens bedömning sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen (se avsnitt 9.3). Myndigheter kan vidare genom nationell lag åläggas säkerhetsåtgärder utan hinder av dataskyddsförordningen (se avsnitt 9.2). Vid behandling av känsliga personuppgifter som grundar sig på artikel 9.2 g (viktigt allmänt intresse), i (allmänt intresse på folkhälsoområdet) och j (arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål) i dataskyddsförordningen krävs det skyddsåtgärder enligt nationell rätt. Så är fallet även vid behandling av uppgifter om lagöverträdelser som inte utförs under kontroll av en myndighet. Bestämmelserna om sökbegränsningar eller andra säkerhetsåtgärder i registerförfattningar kan således vara inte bara tillåtna utan också nödvändiga såsom skyddsåtgärder vid behandling av känsliga personuppgifter och uppgifter om lagöverträdelser eller vid begränsning av den registrerades rättigheter enligt artikel 23 i dataskyddsförordningen.
Det är således utredningens slutsats att bestämmelser i registerförfattningar om de nämnda säkerhetsåtgärderna/skyddsåtgärderna inte behöver ändras med anledning av dataskyddsförordningen. I fråga om enskildas behandling gäller det under förutsättning att den ursprungliga behandlingen grundar sig på artikel 6.1 c och e (se
avsnitt 9.3) eller om behandlingen av uppgifterna grundar sig på artikel 9 g, i eller j eller artikel 10 i dataskyddsförordningen.
9.17. Gallring och bevarande
9.17.1. Den generella regleringen om gallring och bevarande
Principen om lagringsminimering i artikel 5.1 e i dataskyddsförordningen innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får dock lagras under längre perioder i den mån personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter.
För känsliga personuppgifter gäller specifikt enligt artikel 9.2 j i dataskyddsförordningen att sådana uppgifter får behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Av artikel 89.1 i dataskyddsförordningen framgår att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger
eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.
Om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, får det enligt artikel 89.2 och 3 i dataskyddsförordningen föreskrivas om undantag från vissa av den registrerades rättigheter. Det rör sig om rätten till registerutdrag, rättelse, begränsning av behandling och invändning mot behandling. Undantag får göras om det krävs för att uppnå ändamålet med behandlingen. Om personuppgifter behandlas för arkivändamål av allmänt intresse, får undantag även göras från kravet på dataportabilitet och kravet på att den personuppgiftsansvarige ska underrätta mottagare av personuppgifter om eventuella rättelser, raderingar eller begränsningar av behandling som skett.
Regleringen i dataskyddsförordningen av vad som gäller för gallring och bevarande skiljer sig något från den som framgår av dataskyddsdirektivet. Dataskyddsdirektivets reglering är inte lika utförlig och innehåller inget särskilt undantag för behandling av känsliga personuppgifter. Formuleringarna i dataskyddsförordningen och dataskyddsdirektivet är inte heller desamma. Enligt artikel 6.1 e i dataskyddsdirektivet ska medlemsstaterna föreskriva att personuppgifter förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna ska enligt artikeln också vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.
Dataskyddsdirektivets bestämmelse har kommit till uttryck i 9 § första stycket i samt tredje och fjärde styckena personuppgiftslagen. Där framgår att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifter får dock bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid, men inte längre än vad som behövs för dessa ändamål. För att uppfylla dataskyddsdirektivets krav på skyddsåtgärder anges att personuppgifter som behandlas för dessa ändamål bara får användas för att vidta åtgärder i fråga om den regi-
strerade om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.46
Enligt 8 § andra stycket personuppgiftslagen hindrar bestämmelserna i personuppgiftslagen inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Det inkluderar även eventuella känsliga personuppgifter. Bestämmelserna i 9 § första stycket i samt tredje och fjärde stycket personuppgiftslagen gäller därför inte vid en myndighets arkivering av allmänna handlingar utan har främst betydelse för enskilda arkiv. Gallring av allmänna handlingar styrs i stället av bestämmelser i arkivlagen (1990:782) samt i registerförfattningar, vars bestämmelser gäller före arkivlagen och arkivförordningen (1991:446). Detta framgår av 10 § arkivlagen och 14 § arkivförordningen. Regleringen kompletteras av myndighetsföreskrifter och myndighetsbeslut om gallring eller bevarande.
Dataskyddsutredningen har konstaterat att vidarebehandling av personuppgifter för arkivändamål av allmänt intresse är tillåten enligt artikel 5.1 b i dataskyddsförordningen. För att även känsliga personuppgifter ska få behandlas för arkivändamål har Dataskyddsutredningen föreslagit en undantagsbestämmelse som grundar sig på artikel 9.2 j i dataskyddsförordningen. Enligt 3 kap. 6 § förslaget till dataskyddslag ska känsliga personuppgifter få behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv. Eftersom det följer av direkt tillämpliga bestämmelser i dataskyddsförordningen att sådan behandling som inte avser känsliga personuppgifter är tillåten, innebär den föreslagna bestämmelsen enligt Dataskyddsutredningen att dataskyddsförordningen och dataskyddslagen inte hindrar att allmänna handlingar arkiveras och bevaras eller att arkivmaterial tas om hand av en arkivmyndighet. Det blir därmed inte någon saklig skillnad för myndigheter i förhållande till vad som gäller enligt 8 § personuppgiftslagen.47
Enligt 4 kap. 1 § förslaget till dataskyddslag ska personuppgifter som behandlas enbart för arkivändamål av allmänt intresse inte få användas för att vidta åtgärder i fråga om den registrerade, annat än
46Prop. 1997/98:44 s. 63. 47SOU 2017:39 s. 215–216 och 220–222.
om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.48 Liksom enligt motsvarande bestämmelse i personuppgiftslagen ska begränsningen inte gälla för en myndighets användning av personuppgifter i allmänna handlingar.
9.17.2. Överväganden
Utredningens bedömning: Bestämmelser i registerförfattningar
om gallring och bevarande och bemyndiganden att meddela föreskrifter om bevarande behöver inte ändras i sak. Detta gäller under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen eller därför att bestämmelserna endast avser myndigheters behandling av personuppgifter.
Formuleringar i registerförfattningarna om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål bör ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Huvudregeln enligt artikel 5.1 e i dataskyddsförordningen är att personuppgifter inte får lagras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Samma princip gäller enligt artikel 6.1 e dataskyddsdirektivet. Huvudregeln har således inte ändrats.
Bestämmelser i registerförfattningar som innebär att personuppgifter ska eller får bevaras under viss tid alternativt gallras efter en viss tid eller när de inte längre är nödvändiga för de ändamål för vilka de behandlas, är enligt utredningens bedömning sådana nationella bestämmelser om lagringstid som är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen när behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i
48SOU 2017:39.
dataskyddsförordningen. Tidigare bedömningar av vilka tidsperioder som är nödvändiga för ändamålet behöver inte göras om med anledning av dataskyddsförordningen.
Om registerförfattningar innehåller bemyndiganden som ger regeringen eller den myndighet som regeringen bestämmer rätt att meddela föreskrifter om att uppgifter får bevaras för en viss tid och för ett visst ändamål, berörs inte dessa av dataskyddsförordningen, eftersom de inte i sig föreskriver bevarande. Däremot kan bemyndigandet förstås bara användas på ett sådant sätt som är tillåtet enligt dataskyddsförordningen.
Särskilda regler gäller enligt artikel 5.1 e i dataskyddsförordningen om personuppgifter enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Den nuvarande formuleringen i dataskyddsdirektivet och personuppgiftslagen om historiska, statistiska eller vetenskapliga ändamål har i dataskyddsförordningen ändrats till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Enligt utredningens bedömning innebär omformuleringen inte någon ändring i sak.
Om personuppgifter behandlas enbart för ovan angivna ändamål, får de lagras under längre perioder under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter. I artikel 89.1 i dataskyddsförordningen anges att skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas (att personuppgifterna är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas). Vidare framgår av samma artikel att personuppgifter ska avidentifieras i den mån det är möjligt. Även enligt dataskyddsdirektivet ska medlemsstaterna vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål. Kravet på skyddsåtgärder är således inte nytt och principerna om uppgiftsminimering respektive avidentifiering finns även i dataskyddsdirektivet. Om registerförfattningar innehåller bestämmelser rörande behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål, får det mot bakgrund av detta förutsättas att
tillräckliga skyddsåtgärder redan framgår av registerförfattningarna eller de föreskrifter som medger bevarandet.
Av artikel 9.2 j i dataskyddsförordningen framgår att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Bestämmelsen är ny i förhållande till dataskyddsdirektivet och innebär att behandling av känsliga personuppgifter för nämnda ändamål förutsätter stöd i nationell rätt och bestämmelser om skyddsåtgärder. Som anges i avsnitt 9.17.1 har Dataskyddsutredningen med stöd av den bestämmelsen föreslagit att ett undantag avseende arkiverade personuppgifter ska införas i dataskyddslagen.
I registerförfattningar finns det ibland bemyndiganden att meddela föreskrifter om bevarande av känsliga personuppgifter för dessa ändamål. Dessa bemyndiganden brukar avse att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Oavsett vad kravet på grundval i lagstiftningen i artikel 9.2 j i dataskyddsförordningen innebär kan sådana bemyndiganden kvarstå oförändrade. När föreskrifter om bevarande meddelas med stöd av bemyndigandena, måste det givetvis ses till att föreskrifterna, i enlighet med artikel 9.2 j i dataskyddsförordningen, står i proportion till det eftersträvade syftet och är förenliga med det väsentliga innehållet i rätten till dataskydd samt, om så krävs, innehåller bestämmelser om skyddsåtgärder utöver de som kan vara tillämpliga enligt registerförfattningen.
Bestämmelser i registerförfattningar om gallring och bemyndiganden att meddela föreskrifter om bevarande för historiska, statistiska eller vetenskapliga ändamål behöver alltså inte ändras i sak under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen.
Mot bakgrund av tolkningen att den ändrade formuleringen av historiska, statistiska eller vetenskapliga ändamål inte medför någon ändring i sak samt behovet av att fortsätta att anknyta till formuleringen i den generella dataskyddsregleringen, är det bäst att anpassa formuleringarna i registerförfattningarna till den som används i dataskyddsförordningen.
9.18. Tillsyn
Utredningens bedömning: Det finns inget behov av bestäm-
melser om tillsyn i registerförfattningar.
I artikel 28 i dataskyddsdirektivet finns det bestämmelser om tillsynsmyndighet för att övervaka tillämpningen av de bestämmelser som medlemsstaterna antagit till följd av dataskyddsdirektivet. Datainspektionen är enligt 2 a § förordningen (2007:975) med instruktion för Datainspektionen tillsynsmyndighet enligt artikel 28 i dataskyddsdirektivet. Av 43 § personuppgiftslagen framgår att tillsynsmyndigheten har rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Enligt 44–46 §§personuppgiftslagen får tillsynsmyndigheten under vissa förutsättningar använda sig av vite i anslutning till tillsyn. Enligt 2 § personuppgiftsförordningen är Datainspektionen tillsynsmyndighet enligt personuppgiftslagen. Registerförfattningarna inom Socialdepartementets verksamhetsområde innehåller inte bestämmelser om tillsyn.
Dataskyddsförordningen innehåller mer detaljerat reglerade befogenheter för tillsynsmyndigheten än dataskyddsdirektivet och personuppgiftslagen. Tillsynsmyndighetens utredningsbefogenheter anges i artikel 58.1 i dataskyddsförordningen och motsvarar de befogenheter som föreskrivs i personuppgiftslagen. De s.k. korrigerande befogenheterna, som framgår av artikel 58.2 i dataskyddsförordningen, har dock utökats i förhållande till vad som gäller enligt personuppgiftslagen. Bestämmelsen innebär att tillsynsmyndigheten bl.a. kan utfärda varningar, reprimander och olika förelägg-
anden. Tillsynsmyndigheten kan också påföra administrativa sanktionsavgifter, se avsnitt 9.19.2.
Dataskyddsutredningen har utrett konsekvenserna av dataskyddsförordningens bestämmelser om tillsyn och föreslagit kompletterande bestämmelser. Av 6 kap. 1 § förslaget till dataskyddslag följer att tillsynsmyndighetens befogenheter enligt dataskyddsförordningen ska gälla även vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.49 Därför behöver bestämmelsernas konsekvenser inom Socialdepartementets verksamhetsområde inte analyseras. Det behövs inte heller särskilda bestämmelser om tillsyn i de registerförfattningar som omfattas av översynen.
9.19. Sanktioner
9.19.1. Skadestånd
Utredningens bedömning: Bestämmelser i registerförfattningar
som hänvisar till personuppgiftslagens bestämmelser om skadestånd bör upphävas.
I stället för särskilt utformade bestämmelser om skadestånd innehåller registerförfattningar ofta hänvisningar till personuppgiftslagens bestämmelser om skadestånd.
Av 48 § personuppgiftslagen framgår att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Bestämmelsen är utformad i enlighet med artikel 23 i dataskyddsdirektivet.
I dataskyddsförordningen finns bestämmelser om ansvar och rätt till ersättning i artikel 82. Enligt artikel 82.1 i dataskyddsförordningen ska varje person som lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ha rätt
till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. En nyhet är alltså att även ett personuppgiftsbiträde kan bli skadeståndsskyldigt gentemot den registrerade. Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot dataskyddsförordningen. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.
Begreppet skada bör enligt skäl 146 till dataskyddsförordningen tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar dataskyddsförordningens mål. Vidare anges i samma skäl att behandling som strider mot dataskyddsförordningen omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med dataskyddsförordningen och medlemsstaternas nationella rätt med närmare specifikation av dataskyddsförordningens bestämmelser. Dataskyddsutredningen förtydligar detta genom att i 8 kap. 1 § förslaget till dataskyddslag ange att rätten till ersättning enligt artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.50
Den personuppgiftsansvarige eller personuppgiftsbiträdet ska enligt artikel 82.3 i dataskyddsförordningen undgå ansvar om de visar att de inte på något sätt är ansvariga för den händelse som orsakade skadan. Det finns i artikel 82.4 och 5 i dataskyddsförordningen bestämmelser om att skadeståndsansvaret är solidariskt om mer än en personuppgiftsansvarig eller ett personuppgiftsbiträde har medverkat vid samma behandling samt i artikel 82.6 i dataskyddsförordningen en bestämmelse om vilken domstol som är behörig att pröva en tvist om rätten till ersättning.
Skälet till att det i registerförfattningar som regel finns en hänvisning till personuppgiftslagens bestämmelser om skadestånd är att bestämmelserna annars inte skulle vara tillämpliga. Enligt 48 § personuppgiftslagen är skadeståndsskyldigheten kopplad till en behandling av personuppgifter i strid med denna lag, dvs. person-
50SOU 2017:39.
uppgiftslagen. För att bestämmelsen ska vara tillämplig även vid behandling i strid med registerförfattningar, krävs att den anges gälla på motsvarande sätt vid behandling av personuppgifter enligt den aktuella författningen. Till skillnad från vad som gäller enligt personuppgiftslagen är dataskyddsförordningen, inom sitt tillämpningsområde, direkt tillämplig även på sådan behandling av personuppgifter som omfattas av en registerförfattnings tillämpningsområde och det behövs av den anledningen ingen hänvisning till dess bestämmelser. Dessutom föreslås som nämnts att det i dataskyddslagen ska finnas en hänvisning till dataskyddsförordningens skadeståndsbestämmelse, som omfattar alla författningar som kompletterar dataskyddsförordningen. Den hänvisningen/upplysningen kan inte anses avse annat än skada som uppkommer vid sådan behandling av personuppgifter som omfattas av dataskyddsförordningen. I den utsträckning en författning har bestämmelser om både sådan behandling och annat, blir således inte överträdelser av dessa andra bestämmelser förknippade med skadeståndsskyldighet enligt dataskyddsregleringen.
Några registerförfattningar inom Socialdepartementets verksamhetsområde – patientdatalagen och 114 kap. socialförsäkringsbalken samt förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen – omfattar i tillämpliga delar behandling av uppgifter om avlidna personer, som inte omfattas av dataskyddsförordningen (se skäl 27 till dataskyddsförordningen) eller den föreslagna dataskyddslagen. Bestämmelserna om skadestånd i dessa författningar är dock inte tillämpliga vid behandling av uppgifter om avlidna personer, och dataskyddsregleringens skadeståndsbestämmelser kommer som framgått inte heller att gälla vid sådan behandling när dataskyddsförordningen börjar tillämpas.
Dataskyddsutredningen föreslår i 1 kap. 2 § förslaget till dataskyddslag att dataskyddsförordningen i tillämpliga delar ska gälla även vid sådan behandling av personuppgifter som inte omfattas av dataskyddsförordningen, dvs. verksamhet som inte omfattas av unionsrätten och verksamhet som utförs inom ramen för den gemensamma utrikes- och säkerhetspolitiken.51 Den bestämmelsen, jämte hänvisningen till bestämmelsen om skadestånd i dataskydds-
51SOU 2017:39.
förordningen, får anses innebära att även brott mot bestämmelser i en registerförfattning om sådan behandling av personuppgifter som faller utanför dataskyddsförordningens tillämpningsområde men som genom den föreslagna bestämmelsen i dataskyddslagen ändå ska omfattas av dataskyddsförordningen, kan föranleda skadestånd.
Överträdelser av bestämmelser som avser sådan behandling som i och för sig omfattas av dataskyddsförordningen, men där rättigheterna går utöver vad som krävs enligt dataskyddsförordningen, kan också föranleda rätt till skadestånd enligt artikel 82 i dataskyddsförordningen. Det handlar t.ex. om överträdelser av bestämmelser om information, där kraven på den information som ska lämnas går utöver vad som krävs enligt dataskyddsförordningen.
Det saknas sammantaget skäl att i registerförfattningar särskilt reglera vad som gäller i fråga om skadestånd vid behandling av personuppgifter. Bestämmelser i registerförfattningar med hänvisningar till personuppgiftslagens bestämmelser om skadestånd bör därför upphävas.
Av avsnitt 10.1.1 framgår att det krävs ytterligare överväganden om tillämpliga bestämmelser vid behandling av personuppgifter inom rättspsykiatrisk vård, som inte omfattas av dataskyddsförordningen men som föreslås i viss utsträckning regleras av patientdatalagen.
9.19.2. Administrativa sanktionsavgifter
Utredningens bedömning: Dataskyddsförordningen föranleder
inget behov av nya bestämmelser om administrativa sanktionsavgifter i registerförfattningar.
Tillsynsmyndigheten kan som en av sina befogenheter enligt artikel 58.1–3 i dataskyddsförordningen påföra personuppgiftsansvariga och personuppgiftsbiträden administrativa sanktionsavgifter i enlighet med artikel 83 vid överträdelser av olika bestämmelser i dataskyddsförordningen. Detta är en ny möjlighet som införs i och med att dataskyddsförordningen ska börja tillämpas.
I 6 kap. 1 § förslaget till dataskyddslag föreslår Dataskyddsutredningen att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1–3 i dataskyddsförordningen även ska gälla vid tillsyn
över efterlevnaden av bestämmelserna i den föreslagna lagen och andra författningar som kompletterar dataskyddsförordningen.52Tillsynsmyndigheten kommer alltså att på det sätt som krävs enligt dataskyddsförordningen kunna utfärda administrativa sanktionsavgifter vid överträdelser av dataskyddsförordningen även inom registerförfattningarnas tillämpningsområden utan att det behövs särskilda bestämmelser om det i dessa författningar.
Enligt artikel 83.2 i dataskyddsförordningen ska administrativa sanktionsavgifter, beroende av omständigheterna i det enskilda fallet, påföras utöver eller i stället för sådana åtgärder som tillsynsmyndigheten i övrigt kan vidta i form av varningar, reprimander, förlägganden, förbud etc. Olika faktorer, däribland överträdelsens karaktär, svårighetsgrad, varaktighet, omfattning och syfte, ska beaktas både vid beslut om huruvida administrativa sanktionsavgifter ska påföras och när avgifternas belopp ska fastställas.
Överträdelser av bestämmelser i dataskyddsförordningen som kan föranleda administrativa sanktionsavgifter är kategoriserade utifrån olika svårighetsgrad. För vissa mindre allvarliga överträdelser gäller ett maxbelopp på 10 000 000 euro eller 2 procent av den globala årsomsättningen om det gäller ett företag. För allvarligare överträdelser föreskrivs i stället ett maxbelopp på 20 000 000 euro eller 4 procent av den globala årsomsättningen.
Det lägre maxbeloppet gäller i enlighet med artikel 83.4 i dataskyddsförordningen för överträdelser av följande bestämmelser:
- Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt artiklarna 8, 11, 25–39, 42 och 43.
- Certifieringsorganets skyldigheter enligt artiklarna 42 och 43.
- Övervakningsorganets skyldigheter enligt artikel 41.4.
Det högre maxbeloppet gäller i enlighet med artikel 84.5 för överträdelser av följande bestämmelser:
- De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9.
- Registrerades rättigheter enligt artiklarna 12–22.
52SOU 2017:39.
- Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation enligt artiklarna 44–49.
- Alla skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX.
- Underlåtenhet att rätta sig efter ett föreläggande eller en tillfällig eller permanent begränsning av behandling av uppgifter eller ett beslut om att avbryta uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 58.2 eller underlåtelse att ge tillgång till uppgifter i strid med artikel 58.1.
Uppräkningen i artikel 83 i dataskyddsförordningen är uttömmande. Eftersom endast överträdelser av nationell lagstiftning som antagits på grundval av kapitel IX omnämns i artikeln, kan sanktionsavgifter enligt samma artikel, i enlighet med vad Dataskyddsutredningen konstaterat, påföras endast vid överträdelser av sådana nationella bestämmelser.53 En överträdelse av en bestämmelse i nationell lagstiftning som samtidigt innebär en överträdelse av dataskyddsförordningens bestämmelser bör dock enligt utredningens bedömning omfattas av möjligheten att påföra administrativa sanktionsavgifter i enlighet med artikel 83 i dataskyddsförordningen.
Vid överträdelse av flera olika bestämmelser får den administrativa sanktionsavgiftens totala belopp enligt artikel 83.3 i dataskyddsförordningen inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.
Medlemsstaterna har i artikel 83.7 i dataskyddsförordningen getts möjlighet att själva avgöra om och i vilken utsträckning administrativa sanktionsavgifter ska kunna påföras offentliga myndigheter och organ som är inrättade i medlemsstaten. Dataskyddsutredningen har mot bakgrund av detta föreslagit att ett beslut om sanktionsavgifter ska få riktas även mot statliga och kommunala myndigheter.54 Utredningen godtar, på Socialdepartementets verksamhetsområde, Dataskyddsutredningens bedömning att även myndigheter bör kunna utsättas för administrativa sanktionsavgifter.
Medlemsstaterna ska dessutom enligt artikel 84 i dataskyddsförordningen fastställa regler om andra sanktioner för överträdelser
53SOU 2017:39 s. 377. 54SOU 2017:39 s. 287.
av dataskyddsförordningen, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83. Dataskyddsutredningen gör tolkningen att detta innebär att det åligger medlemsstaterna att täppa till eventuella luckor om sanktioner saknas enligt förordningen.55 Eftersom artikel 10, som avser möjligheterna att behandla uppgifter om lagöverträdelser, inte omnämns i artikel 83 i dataskyddsförordningen, har Dataskyddsutredningen med stöd av artikel 84 föreslagit att tillsynsmyndigheten ska kunna påföra administrativa sanktionsavgifter enligt artikel 83 även vid överträdelser av artikel 10. Avgiftens storlek ska enligt förslaget bestämmas inom ramen för det högre maxbelopp som gäller för överträdelser av bl.a. bestämmelserna om känsliga personuppgifter.56
Skyldigheten att fastställa regler om sanktioner för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83 i dataskyddsförordningen medför att det kan finnas ett behov av att fastställa sanktionsbestämmelser även i registerförfattningar. Skyldigheten omfattar dock endast överträdelser av dataskyddsförordningen. Om en registerförfattning reglerar en skyldighet att exempelvis lämna mer information än vad som krävs enligt dataskyddsförordningen, medför artikel 84 i dataskyddsförordningen ingen skyldighet att fastställa regler om sanktioner för överträdelser av den utökade informationsskyldigheten. Vid överträdelser av bestämmelser i de registerförfattningar som omfattas av utredningens översyn, som samtidigt innebär en överträdelse av dataskyddsförordningens bestämmelser, är det dock som nämnts utredningens bedömning att det är möjligt att påföra administrativa sanktionsavgifter i enlighet med artikel 83 i dataskyddsförordningen.
Dataskyddsförordningen föranleder sammantaget inget behov av nya bestämmelser om administrativa sanktionsavgifter i registerförfattningar.
55 SOU 2017 :39 s. 292. 56SOU 2017:39 s. 294–295.
9.19.3. Straff och vite
Utredningens bedömning: Det finns inget behov av nya be-
stämmelser i registerförfattningar med anledning av att personuppgiftslagens bestämmelser om straff och vite upphävs.
Personuppgiftslagens bestämmelser om straff (49 §) och vite (44–46 §§) upphör att gälla i och med att personuppgiftslagen upphävs när dataskyddsförordningen ska börja tillämpas. Några särskilda bestämmelser om straff och vite finns inte i registerförfattningar. Dataskyddsutredningen har gjort bedömningen att något straff inte ska ådömas den som bryter mot dataskyddsförordningen samt att någon möjlighet för tillsynsmyndigheten att förena sina förelägganden med vite inte behöver införas.57 Utredningen bedömer att Dataskyddsutredningens ställningstaganden är giltiga även för Socialdepartementets verksamhetsområde och godtar således dem. Det finns därmed inget behov av nya bestämmelser i registerförfattningar med anledning av att personuppgiftslagens bestämmelser om straff och vite upphävs.
9.20. Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig
Utredningens bedömning: Bestämmelser om överklagande i
registerförfattningar som enbart avser beslut om behandling av personuppgifter bör upphävas. Överklagandebestämmelser som utöver beslut om behandling av personuppgifter även avser andra beslut, bör ändras på så sätt att bestämmelser om överklagande av beslut om behandling av personuppgifter ersätts med en upplysning om att det finns bestämmelser om överklagande i den föreslagna dataskyddslagen.
Bestämmelser om överklagande av vissa beslut som har fattats av en myndighet i egenskap av personuppgiftsansvarig finns i 52 § personuppgiftslagen. Där anges att en myndighets beslut om information
enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information som ska lämnas med anledning av ett automatiserat beslut enligt 29 § andra stycket och om upplysningar enligt 42 § får överklagas hos allmän förvaltningsdomstol. Andra beslut fattade av den personuppgiftsansvarige får enligt 53 § personuppgiftslagen inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten.
Bestämmelsen i 52 § personuppgiftslagen har inte sin grund i dataskyddsdirektivet utan i allmänna förvaltningsrättsliga principer om att beslut som direkt berör en enskild person ska kunna överklagas.58 Eftersom registerförfattningarna gäller utöver personuppgiftslagen, är personuppgiftslagens överklagandebestämmelser tillämpliga om det inte finns avvikande bestämmelser i registerförfattningarna.
Överklagandebestämmelsen i personuppgiftslagen trädde i kraft den 1 januari 2007. Registerförfattningar som tillkommit före denna tidpunkt innehåller ofta egna överklagandebestämmelser. De överklagandebestämmelser som finns i de författningar utredningen sett över anger att beslut om rättelse och avslag på ansökan om information enligt 26 § personuppgiftslagen får överklagas till allmän förvaltningsdomstol. I förarbetena till överklagandebestämmelsen i personuppgiftslagen konstaterades att det genom införandet av en bestämmelse om överklagande i personuppgiftslagen inte längre är nödvändigt att ta in överklagandebestämmelser i särskilda registerförfattningar som hänvisar till personuppgiftslagen. Det framhölls också att det vid en översyn av registerförfattningar kan finnas anledning att uppmärksamma frågan om överklagande.59 Så länge sådana särskilda bestämmelser inte upphävts gäller de dock i första hand eftersom särbestämmelser i annan författning gäller framför personuppgiftslagen enligt 2 § personuppgiftslagen.
De flesta författningar som tillkommit efter att överklagandebestämmelserna infördes i personuppgiftslagen innehåller inte några bestämmelser om överklagande, eftersom det inte ansetts nödvän-
58Prop. 2005/06:173 s. 50–53. En uttrycklig bestämmelse om att förvaltningsbeslut får överklagas om beslutet kan antas påverka någons situation på ett inte obetydligt sätt föreslås införas i den nya förvaltningslag som förväntas träda i kraft den 1 juli 2018. Den föreslagna bestämmelsen avser att ge uttryck för de principer som kommit till uttryck i praxis om att det är ett besluts faktiska verkningar som avgör om ett beslut kan överklagas, se prop. 2016/17:180 s. 252–255. 59Prop. 2005/06:173 s. 53.
digt. Det förekommer dock hänvisningar till personuppgiftslagens bestämmelser om överklagande. Sådana bestämmelser har införts av tydlighetsskäl när författningen även innehåller bestämmelser om överklagande av andra beslut än sådana som berör behandling av personuppgifter.
En registrerad ska enligt artikel 79 i dataskyddsförordningen ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde som den registrerade anser har åsidosatt hans eller hennes rättigheter som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med dataskyddsförordningen. Enligt Dataskyddsutredningens bedömning, som överensstämmer med den bedömning som gjordes vid genomförandet av motsvarande bestämmelse i dataskyddsdirektivet, tillgodoses denna rättighet genom möjligheten att vid allmän domstol föra talan om skadestånd.60 I likhet med dataskyddsdirektivet innehåller dataskyddsförordningen inte någon särskild reglering om överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig. Dataskyddsutredningen har, mot bakgrund av de allmänna förvaltningsrättsliga principer som motiverade införandet av överklagandebestämmelserna i personuppgiftslagen, föreslagit att dataskyddslagen ska innehålla en bestämmelse om överklagande. Av 8 kap. 2 § förslaget till dataskyddslag framgår att beslut enligt artiklarna 12.5, 15–19 eller 21 i dataskyddsförordningen som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol. Det rör sig om beslut om den registrerades rätt till information, registerutdrag m.m., rättelse, radering, begränsning, invändningar och underrättelse till tredje man om rättelse, radering eller begränsning. Prövningstillstånd föreslås på samma sätt som i dag krävas vid överklagande till kammarrätten. Andra beslut av den personuppgiftsansvarige får enligt 8 kap. 6 § förslaget till dataskyddslag inte överklagas.61
Dataskyddslagen kommer att gälla om inte annat följer av registerförfattningarna eller föreskrifter som har meddelats med stöd av registerförfattningarna, se avsnitt 9.6. Det innebär att under förutsättning att det inte finns avvikande bestämmelser i register-
60SOU 2017:39 s. 304. 61SOU 2017:39 s. 303.
författningarna, kommer bestämmelserna i dataskyddslagen om överklagande av personuppgiftsansvariga myndigheters beslut att vara tillämpliga även inom registerförfattningarnas tillämpningsområde, på samma sätt som personuppgiftslagens bestämmelser är i dag.
Något skäl att reglera överklagandemöjligheten på annat sätt än vad Dataskyddsutredningen föreslagit har inte framkommit. Det finns därför inte behov av särskilda bestämmelser om överklagande i registerförfattningarna. Befintliga bestämmelser om att beslut om rättelse och information enligt 26 § personuppgiftslagen kan överklagas bör därför upphävas. Vissa författningar innehåller dock, som angetts ovan, även bestämmelser om överklagande av andra beslut än beslut om behandling av personuppgifter. Av tydlighetsskäl bör dessa författningar förses med en bestämmelse som upplyser om att det finns bestämmelser om överklagande av beslut om behandling av personuppgifter i den föreslagna dataskyddslagen.
9.21. Uppgiftsskyldigheter
Utredningens bedömning: Befintliga uppgiftsskyldigheter är lika
tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet och bör inte ändras. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
Rutinmässiga informationsöverföringar mellan myndigheter bör i regel vara författningsreglerade som uppgiftsskyldigheter, eftersom det annars krävs en sekretessprövning (10 kap. 28 § offentlighets- och sekretesslagen). En uppgiftsskyldighet – en skyldighet enligt lag eller förordning att lämna uppgifter till en viss mottagare – innebär att utlämnandet av uppgifter kan ske utan hinder av sekretess när det görs till en myndighet. I stället räcker det med en prövning av vilka uppgifter som kan lämnas ut med stöd av uppgiftsskyldigheten.
Uppgiftsskyldigheter är som regel utformade så att de endast anger skyldigheten att lämna ut uppgifter och inte på vilket sätt uppgifterna ska lämnas eller varifrån uppgifterna ska hämtas. Ett helt manuellt utlämnande av personuppgifter som aldrig behandlats på ett sätt som omfattas av dataskyddsförordningens tillämpningsområde berörs förstås inte av dataskyddsförordningen. Ett utläm-
nande av personuppgifter från ett elektroniskt system medför däremot en automatiserad behandling av personuppgifter i och med att personuppgifterna tas ut ur systemet, oavsett om överföringen av personuppgifter till mottagaren är automatiserad eller manuell, inklusive muntligt uppgiftslämnande. I de fall där skyldigheten att lämna uppgifter gäller personuppgifter som hos den som skyldigheten riktar sig till redan behandlas på ett sätt som omfattas av dataskyddsförordningen, måste därför dataskyddsförordningens bestämmelser följas vid uppgiftslämnandet. Detsamma gäller om den som ska fullgöra skyldigheten i andra fall väljer att göra det genom att behandla personuppgifter på ett sätt som omfattas av dataskyddsförordningen, t.ex. genom att först skanna in och sedan mejla uppgifterna.
Redan i dag gäller att personuppgiftslagen eller tillämplig registerförfattning måste följas vid utlämnande av personuppgifter. För ett utlämnande av behandlade personuppgifter gäller enligt utredningens bedömning i princip samma förutsättningar enligt dataskyddsförordningen och dataskyddsdirektivet. Utlämnandet måste ske med stöd av ett primärt eller sekundärt ändamål eller vara förenligt med finalitetsprincipen, eller omfattas av ett tillåtet undantag från den principen.
I vissa fall kan en skyldighet att lämna ut uppgifter uppfattas stå i strid med de ursprungliga ändamålen. Det finns dock enligt både dataskyddsdirektivet och dataskyddsförordningen vissa möjligheter till undantag från finalitetsprincipen. I enlighet med vad som anges i avsnitt 9.15.2 bedömer utredningen att de situationer där undantag kan göras enligt dataskyddsdirektivet omfattas av möjligheten till undantag enligt dataskyddsförordningen. En nyhet i dataskyddsförordningen är att en lagstiftningsåtgärd med undantag, när så är relevant, ska innehålla specifika bestämmelser i vissa avseenden, bl.a. om skyddsåtgärder (artikel 23.2). Det får förutsättas att det i samband med att den aktuella uppgiftsskyldigheten infördes övervägdes vilka bestämmelser om bl.a. skyddsåtgärder som är relevanta. Det är därför utredningens bedömning att befintliga uppgiftsskyldigheter, även sådana som är till synes svåra att förena med finalitetsprincipen, är lika förenliga med dataskyddsförordningen som de är med dataskyddsdirektivet. De behöver alltså inte ändras med anledning av dataskyddsförordningen.
Vid utlämnande av känsliga personuppgifter krävs, förutom att det sker med stöd av ett primärt eller sekundärt ändamål eller är förenligt med finalitetsprincipen, om inte ett undantag har föreskrivits, att det finns särskilt stöd för behandlingen. Det är utredningens bedömning att de situationer där behandling av känsliga personuppgifter kan tillåtas enligt dataskyddsdirektivet inte är färre än enligt dataskyddsförordningen (se avsnitt 9.11). I den mån dataskyddsförordningen medför nya krav för behandling av känsliga personuppgifter – t.ex. i form av skyddsåtgärder – framgår av utredningens överväganden rörande respektive lagstiftning att kraven är uppfyllda genom regleringen i registerförfattningarna. I övrigt måste den personuppgiftsansvarige – liksom i dag – beakta tillämplig reglering om dataskydd när uppgiftsskyldigheten fullgörs.
Det är med stöd av det sagda utredningens samlade slutsats att de bestämmelser om uppgiftsskyldighet som finns inom Socialdepartementets verksamhetsområde är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Någon ändring av dem med anledning av dataskyddsförordningen behövs därför inte. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
9.22. Barns personuppgifter
Utredningens bedömning: Utredningens förslag innebär inte
att barns rättigheter enligt barnkonventionen inte tillgodoses. Det krävs inte heller några nya bestämmelser för att uppfylla det som krävs enligt dataskyddsförordningen i fråga om skyddet av barns personuppgifter.
I utredningsdirektiven anges att utredaren mot bakgrund av åtaganden i FN:s konvention om barnets rättigheter (barnkonventionen) i möjligaste mån och där det är relevant bör uppmärksamma barns rättigheter inom ramarna för utredningsuppdraget. Detta eftersom barns personuppgifter hanteras i stor utsträckning i många av verksamheterna inom Socialdepartementets verksamhetsområde. Barns personuppgifter nämns också särskilt i skäl 38 till dataskyddsförordningen där det anges att dessa förtjänar särskilt skydd, eftersom
barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter.
Sverige har förbundit sig att leva upp till de krav som barnkonventionen ställer. Barnkonventionen omfattar såväl medborgerliga och politiska rättigheter som sociala, ekonomiska och kulturella rättigheter. Grundprinciperna i barnkonventionen är principen om icke-diskriminering, principen om barnets bästa, barnets rätt till liv, överlevnad och utveckling samt barnets rätt att fritt uttrycka sina åsikter i alla frågor som rör barnet. Barnkonventionen innehåller utöver detta ett antal artiklar som reglerar barns rättigheter inom olika områden. Bland annat anges i artikel 16.1 i barnkonventionen att barn inte får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende.
I flera av de verksamheter som omfattas av utredningens uppdrag behandlas barns personuppgifter. Behandling av barns personuppgifter är i dessa verksamheter lika nödvändig som behandling av uppgifter om vuxna personer. De bestämmelser om säkerhetsåtgärder som finns och som syftar till att skydda den personliga integriteten gäller på motsvarande sätt för barns personuppgifter. Barnets rättigheter kan dock utövas av barnets vårdnadshavare. Sverige hade ratificerat barnkonventionen innan den nuvarande regleringen av behandling av personuppgifter kom till och det får förutsättas att barnkonventionen har beaktats vid utformningen av regleringen. Utredningens huvudsakliga uppdrag har varit att analysera vilka konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde och föreslå de anpassningar av författningar inom verksamhetsområdet som behövs till följd av den. Vid analysen har barnkonventionen beaktats, och utredningen bedömer att inget av utredningens förslag innebär att barns rättigheter enligt barnkonventionen inte tillgodoses.
I skäl 38 till dataskyddsförordningen anges som nämnts ovan att barns personuppgifter förtjänar särskilt skydd. Där anges också att det särskilda skyddet för barns personuppgifter i synnerhet bör gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster
som erbjuds direkt till barn utnyttjas. Någon sådan behandling av barns personuppgifter är, såvitt utredningen känner till, inte aktuell inom Socialdepartementets verksamhetsområde. Utredningen bedömer att de befintliga bestämmelserna är tillräckliga för att uppfylla det som krävs enligt dataskyddsförordningen i fråga om skyddet av barns personuppgifter.
SÄRSKILDA ÖVERVÄGANDEN OCH FÖRSLAG
10. Författningar som reglerar en verksamhet
10.1. Patientdatalagen (2008:355)
10.1.1. Lagens tillämpningsområde
Utredningens förslag: Patientdatalagen kompletteras med en
bestämmelse som innebär att vissa bestämmelser i lagen inte ska tillämpas vid behandling av personuppgifter inom rättspsykiatrisk vård. Utredningen lämnar dock inte något förslag till vilka bestämmelser som inte ska tillämpas, utan förslaget ska ses som en markering av att det i det fortsatta lagstiftningsarbetet bör övervägas vilken anpassning av patientdatalagen som krävs med anledning av det nya dataskyddsdirektivet.
Utredningens bedömning: Någon ändring av patientdatalagens
tillämpningsområde föranleds inte av dataskyddsförordningen.
Patientdatalagen ska enligt 1 kap. 1 § första stycket tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Lagen är enligt 1 kap. 3 § tillämplig hos såväl offentliga vårdgivare, dvs. statliga myndigheter, landsting och kommuner, som privata vårdgivare, dvs. andra juridiska personer eller enskilda näringsidkare som bedriver hälso- och sjukvård.
I avsnitt 9.5 har utredningen konstaterat att bestämmelser i registerförfattningar om vilka typer av behandlingar och vilka uppgifter författningen ska tillämpas på inte i sig påverkas av dataskyddsförordningen. Patientdatalagen kan därför även fortsättningsvis tillämpas på samma typer av behandlingar och uppgifter som i dag.
Dataskyddsförordningen föranleder alltså inte någon ändring av patientdatalagens tillämpningsområde.
Rättspsykiatrisk vård
Patientdatalagen är till följd av definitionen av hälso- och sjukvård i 1 kap. 3 § tillämplig bl.a. på behandling av personuppgifter som sker i samband med rättspsykiatrisk vård. Lagen (1991:1129) om rättspsykiatrisk vård gäller enligt 1 § andra stycket den som efter beslut av domstol ska ges rättspsykiatrisk vård, är anhållen, häktad eller intagen på en enhet för rättspsykiatrisk undersökning, är intagen i eller ska förpassas till kriminalvårdsanstalt eller är intagen i eller ska förpassas till ett särskilt ungdomshem för att verkställa en dom på sluten ungdomsvård. Utredningen om 2016 års dataskyddsdirektiv har gjort bedömningen att all den vård som bedrivs enligt lagen om rättspsykiatrisk vård är hänförlig till något av områdena brottsbekämpning, lagföring eller verkställighet av straff och därför omfattas av tillämpningsområdet för det nya dataskyddsdirektivet (se avsnitt 9.5).1 Utredningen har inte anledning att göra någon annan bedömning. Det innebär att dataskyddsförordningen inte är tillämplig vid behandling av personuppgifter inom rättspsykiatrisk vård, se artikel 2.2 d i dataskyddsförordningen.
Att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt ingår i det uppdrag regeringen gett Utredningen om 2016 års dataskyddsdirektiv2, som för detta ändamål har föreslagit en ny brottsdatalag.3 Brottsdatalagen ska enligt den föreslagna 1 kap. 2 § gälla för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Behandling av personuppgifter som sker i samband med verkställighet av rättspsykiatrisk vård omfattas alltså av den föreslagna brottsdatalagens tillämpningsområde.4 Brottsdatalagen ska dock enligt den föreslagna 1 kap. 5 § inte gälla om det finns avvikande bestämmelser i annan lag eller förordning. I dag
1SOU 2017:29 s. 224–225. 2 Dir. 2016:21. 3SOU 2017:29. 4SOU 2017:29 s. 172 och 224 f.
kompletteras patientdatalagen av personuppgiftslagen. När personuppgiftslagen upphävts, dataskyddsförordningen börjat tillämpas och brottsdatalagen trätt i kraft kommer patientdatalagen vid behandling av personuppgifter inom rättspsykiatrisk vård att kompletteras av bestämmelserna i brottsdatalagen (se avsnitt 10.1.3) och inte av bestämmelserna i dataskyddsförordningen och dataskyddslagen.
Utredningen anser att patientdatalagen, på samma sätt som vid annan hälso- och sjukvård, bör fortsätta att gälla vid behandling av personuppgifter inom rättspsykiatrisk vård. Utredningen har samrått med Utredningen om 2016 års dataskyddsdirektiv om den bedömningen. Det ingår dock inte i utredningens uppdrag att föreslå anpassningar av registerförfattningar inom Socialdepartementets verksamhetsområde för att regleringen ska leva upp till det nya dataskyddsdirektivet. Den omständigheten att inte dataskyddsförordningen utan brottsdatalagen kommer att vara tillämplig när det gäller rättspsykiatrisk vård innebär att det för den verksamheten bör övervägas om det behöver göras undantag från exempelvis de bestämmelser i patientdatalagen som föreslås innehålla hänvisningar till dataskyddsförordningen. I vilken utsträckning det behöver göras undantag eller anpassningar för att regleringen i patientdatalagen, när det gäller rättspsykiatrisk vård, ska uppfylla kraven i det nya dataskyddsdirektivet och inte komma i konflikt med den föreslagna brottsdatalagen behöver också bedömas i det fortsatta lagstiftningsarbetet.
För att det i det fortsatta lagstiftningsarbetet ska uppmärksammas att det krävs anpassningar av patientdatalagen på grund av det nya dataskyddsdirektivet vid behandling av personuppgifter inom rättspsykiatrisk vård har utredningen i författningsförslaget tagit in en markering om detta. I avsnitt 10.1.3 föreslås också en upplysningsbestämmelse om att patientdatalagen vid behandling av personuppgifter inom rättspsykiatrisk vård kompletteras av brottsdatalagen.
Hälso- och sjukvård i samband med verkställighet av fängelsestraff m.m.
När Kriminalvården verkställer ett fängelsestraff kan det förekomma viss hälso- och sjukvård, som Kriminalvården tillhandahåller, eftersom den intagne inte kan utnyttja den allmänna hälso- och sjukvården. Motsvarande kan förekomma hos Statens institutionsstyrelse
vid verkställighet av missbrukarvård eller sluten ungdomsvård som påföljd. Sådan hälso- och sjukvård anses, enligt den bedömning Utredningen om 2016 års dataskyddsdirektiv gjort, separerad från den verksamhet som utgör verkställigheten av straffet. Det innebär att det även fortsättningsvis är patientdatalagen, kompletterad av dataskyddsförordningen och den förslagna dataskyddslagen, och inte den föreslagna brottsdatalagen som gäller för den behandling av personuppgifter som utförs inom Kriminalvårdens och Statens institutionsstyrelses hälso- och sjukvårdsverksamhet, såvida det inte rör sig om sådan kontroll eller provtagning som den intagne i vissa fall är skyldig att underkasta sig som ett led i verkställigheten av straffet.5Patientdatalagen kan alltså i dessa fall fortsätta att gälla vid behandling av personuppgifter inom hälso- och sjukvård hos straffverkställande myndigheter.
Hälso- och sjukvård i verksamheter som inte omfattas av EU-rätten
Hälso- och sjukvård kan utgöra led i verksamheter som inte omfattas av EU-rätten, t.ex. när Försvarsmakten tar hand om soldater som skadats vid en övning eller insats i Sverige. Behandlingen av personuppgifter i verksamheten omfattas i dessa fall inte av dataskyddsförordningen (artikel 2.2 a), men enligt 1 kap. 2 § i den föreslagna dataskyddslagen ska bestämmelserna i dataskyddsförordningen och den lagen ändå gälla. Patientdatalagen, kompletterad av dataskyddsförordningen och dataskyddslagen, kan alltså fortsätta att gälla i dessa fall.
10.1.2. Lagens syfte
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om patientdatalagens syfte i 1 kap. 2 §.
5Prop. 2007/08:126 s. 50 och SOU 2017:29 s. 218.
Som utredningen konstaterat i avsnitt 9.4 påverkas inte bestämmelser om syftet med lagstiftningen av dataskyddsförordningen. Bestämmelsen i 1 kap. 2 § patientdatalagen kan därmed behållas.
10.1.3. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 1 kap. 4 § patientdata-
lagen ska innehålla en upplysning om att lagen kompletterar dataskyddsförordningen.
Det ska också upplysas om att dataskyddslagen gäller, om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av den lagen.
Inom den rättspsykiatriska vården ska i stället den föreslagna brottsdatalagen gälla, om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av den lagen.
Enligt 1 kap. 4 § patientdatalagen gäller personuppgiftslagen vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av den lagen.
Som anges i avsnitt 9.6 bör registerförfattningarna alltjämt gälla utöver den nationella generella regleringen. I patientdatalagen ska förhållandet till dataskyddslagen liksom i dag endast regleras för automatiserad behandling eller sådan manuell behandling där uppgifterna ingår i eller är avsedda att ingå i ett register.
Som anges i avsnitt 9.6 bör även en upplysningsbestämmelse om att patientdatalagen kompletterar dataskyddsförordningen tas in i lagen.
Behandling av personuppgifter som sker i samband med verkställighet av rättspsykiatrisk vård omfattas, som framgår av avsnitt 10.1.1, inte av dataskyddsförordningens tillämpningsområde utan av tillämpningsområdet för det nya dataskyddsdirektivet. Utredningen om 2016 års dataskyddsdirektiv har föreslagit en brottsdatalag som ska genomföra det nya dataskyddsdirektivet. Brotts-
datalagen ska dock enligt den föreslagna 1 kap. 5 § inte gälla om det finns avvikande bestämmelser i annan lag eller förordning.
Utredningen anser, som framgår av avsnitt 10.1.1, att patientdatalagen, på samma sätt som vid annan hälso- och sjukvård, bör fortsätta att gälla vid behandling av personuppgifter inom rättspsykiatrisk vård. Utredningen har samrått med Utredningen om 2016 års dataskyddsdirektiv om den bedömningen. Patientdatalagen bör vid behandling av personuppgifter inom den rättspsykiatriska vården gälla utöver den föreslagna brottsdatalagen på samma sätt som andra registerförfattningar inom den lagens tillämpningsområde.6 Det innebär att det är brottsdatalagens bestämmelser som ska tillämpas inom den rättspsykiatriska vården om inte patientdatalagen innehåller bestämmelser som avviker från den lagen. En ny upplyningsbestämmelse med denna innebörd bör därför införas i patientdatalagen. Dataskyddsförordningen och den föreslagna dataskyddslagen ska alltså inte tillämpas vid behandling av personuppgifter inom rättspsykiatrisk vård.
10.1.4. Tillämpningsområdet för kapitlet med grundläggande bestämmelser om behandling av personuppgifter
Utredningens bedömning: Bestämmelsen i 2 kap. 1 § patient-
datalagen som innebär att de grundläggande bestämmelserna i 2 kap. ska gälla sådan behandling som avses i 1 kap. 4 § patientdatalagen kan behållas.
I patientdatalagens andra kapitel finns grundläggande bestämmelser om behandling av personuppgifter. Dessa bestämmelser gäller enligt 2 kap. 1 § endast sådan behandling som avses i 1 kap. 4 §, dvs. behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Bestämmelserna i 2 kap. gäller alltså inte för manuell behandling av personuppgifter som inte ingår eller är avsedda att ingå i ett register. Utredningen har ovan föreslagit att 1 kap. 4 § ändras på så sätt att bestämmelsen
6 Jämför SOU 2017:29 s. 141.
ska ange lagens förhållande till dataskyddsförordningen och dataskyddslagen i stället för förhållandet till personuppgiftslagen. Någon ändring beträffande vilken typ av behandling som avses föreslås inte. Hänvisningen i 2 kap. 1 § kan därför behållas.
10.1.5. Rätten att invända mot behandling av personuppgifter
Utredningens bedömning: Bestämmelsen i 2 kap. 2 § patient-
datalagen som anger att behandling av personuppgifter får utföras även om den registrerade motsätter sig den kan och bör behållas.
Behandling av personuppgifter som är tillåten enligt patientdatalagen får enligt lagens 2 kap. 2 § som huvudregel utföras även om den enskilde motsätter sig den.
Den registrerade har enligt dataskyddsförordningen rätt att invända mot behandling av personuppgifter; detta under förutsättning att det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller om behandlingen sker med stöd av en intresseavvägning (se vidare avsnitt 9.15.1). Utredningen har nedan i avsnitt 10.1.7 gjort bedömningen att stora delar av den behandling av personuppgifter som utförs enligt patientdatalagen sker för att fullgöra en rättslig förpliktelse. Vid behandling som sker med stöd av en sådan rättslig grund har den registrerade enligt dataskyddsförordningen inte någon rätt att göra invändningar. I förhållande till sådan behandling utgör bestämmelsen i 2 kap. 2 § patientdatalagen således inte en begränsning av den registrerades rätt enligt dataskyddsförordningen.
En del av den behandling av personuppgifter som regleras i patientdatalagen grundar sig emellertid på artikel 6.1 e (allmänt intresse och myndighetsutövning). Sådan behandling har den registrerade med stöd av artikel 21.1 i dataskyddsförordningen möjlighet att invända mot. Som framgår av avsnitt 9.15.2 är det dock möjligt att göra nationella undantag från rätten att invända mot behandling om de förutsättningar som anges i artikel 23 i dataskyddsförordningen är uppfyllda.
Begränsningen av rätten att göra invändningar måste för det första ha till syfte att säkerställa något av de i punkterna a–j upp-
räknande intressena. Det intresse som ligger närmast till hands för den behandling som sker enligt patientdatalagen är det som anges i punkten e angående andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. I avsnitt 9.8.2 har utredningen konstaterat att bedrivande av verksamhet inom bl.a. hälso- och sjukvård inklusive den administration sådan verksamhet kräver, är ett sådant viktigt mål av allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen.
För det andra måste åtgärden att begränsa rätten att göra invändningar ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Utredningen konstaterar att det inom hälso- och sjukvården måste vara möjligt att sköta journalföring och annan dokumentation på ett rättssäkert och effektivt sätt. Att begränsa rätten att göra invändningar mot behandling av personuppgifter inom hälso- och sjukvården är nödvändigt med hänsyn till såväl patientsäkerheten som kvaliteten på vården. En möjlighet för den registrerade att motsätta sig att personuppgifter om bl.a. dennes hälsa behandlas skulle kunna få stora konsekvenser för vården av den personen. Utredningen gör därför också bedömningen att en begränsning av rätten att göra invändningar är proportionerlig i förhållande till sitt syfte. Begränsningen strider inte heller mot andemeningen i de grundläggande rättigheterna och friheterna.
En begränsning av rätten att göra invändningar måste vidare uppfylla kraven i artikel 23.2 på bestämmelser som den lagstiftning som begränsar den registrerades rättigheter ska innehålla. Utredningens bedömning är att bestämmelser med det innehåll som krävs finns i patientdatalagen.
Det är sammantaget enligt utredningens bedömning tillåtet att begränsa möjligheten att göra invändningar mot behandling av personuppgifter på det sätt som regleras i 2 kap. 2 § patientdatalagen.
10.1.6. Samtycke som grund för behandlingen
Utredningens bedömning: Bestämmelsen i 2 kap. 3 § patient-
datalagen om att den registrerades samtycke kan utgöra grund för behandling av personuppgifter kan behållas.
Behandling av personuppgifter som inte är tillåten enligt patientdatalagen får enligt lagens 2 kap. 3 § ändå ske om den enskilde har lämnat ett uttryckligt samtycke till behandlingen. Undantag finns såväl i patientdatalagen som i annan lagstiftning och regeringen får meddela föreskrifter om ytterligare undantag.
Enligt den bedömning utredningen har gjort i avsnitt 9.10.2 behöver någon ny avvägning angående huruvida det är lämpligt att grunda en behandling av personuppgifter på samtycke inte göras. Bestämmelsen om behandling av personuppgifter med stöd av den enskildes samtycke i 2 kap. 3 § första stycket patientdatalagen kan därför behållas.
Även möjligheten enligt 2 kap. 3 § andra stycket patientdatalagen för regeringen att föreskriva att en behandling inte får utföras trots den enskildes samtycke kan enligt utredningens mening vara kvar. Regeringen får i vart fall, i enlighet med vad utredningen konstaterat i avsnitt 9.10.2, reglera vad myndigheter inte ska göra, även om enskilda kan åberopa en rätt enligt dataskyddsförordningen att få behandla personuppgifter med stöd av ett giltigt samtycke. Möjligheten att med stöd av samtycke behandla känsliga personuppgifter kan vidare för såväl myndigheter som enskilda inskränkas genom nationell lagstiftning enligt artikel 9.2 a i dataskyddsförordningen. Regeringen får förstås inte utöva föreskriftsrätten i strid med dataskyddsförordningen.
10.1.7. Ändamål och grund för behandling av personuppgifter
Utredningens förslag: Hänvisningen till personuppgiftslagen i
2 kap. 5 § andra meningen patientdatalagen tas bort. I stället hänvisas till artikel 5.1 b i dataskyddsförordningen som ger uttryck för finalitetsprincipen.
Utredningens bedömning: Bestämmelserna i 2 kap. 4 § och 5 §
första meningen patientdatalagen om för vilka ändamål personuppgifter får behandlas är förenliga med dataskyddsförordningen och kan och bör därmed behållas.
Den behandling av personuppgifter som sker enligt patientdatalagen avser huvudsakligen insamling av personuppgifter för dokumentering i en patientjournal.7 Av ändamålsbestämmelsen i 2 kap. 4 § första stycket 1 patientdatalagen framgår bl.a. att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för att fullgöra den skyldighet att föra patientjournal som anges i 3 kap. patientdatalagen. Den behandling av personuppgifter som sker i syfte att föra patientjournal är således enligt utredningens bedömning nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige i enlighet med artikel 6.1 c i dataskyddsförordningen.8 Utöver skyldigheten att föra patientjournal i patientdatalagen finns det andra författningar som föreskriver att vårdgivare inom hälso- och sjukvården ska dokumentera och lämna ut uppgifter till olika myndigheter. Det anges därför i 2 kap. 4 § första stycket 3 patientdatalagen att personuppgifter får behandlas om det behövs för att upprätta annan dokumentation som följer av lag, förordning eller annan författning. Även behandling som sker för detta ändamål är nödvändig för att fullgöra rättsliga förpliktelser enligt artikel 6.1 c i dataskyddsförordningen. Detsamma gäller behandling av personuppgifter för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning enligt 2 kap. 5 § patientdatalagen om det sker på grund av en uppgiftsskyldighet. I den mån uppgiftslämnandet inte grundar sig på en skyldighet utan på en möjlighet att lämna uppgifter, får uppgifts-
7Prop. 2007/08:126 s. 34. 8 Samma bedömning gjordes i prop. 2007/08:126 s. 65.
lämnandet anses utgöra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
De andra ändamål som räknas upp i 2 kap. 4 § första stycket är upprättande av annan dokumentation som behövs i och för vården av patienter, administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall, systematisk och fortlöpande utveckling och kvalitetssäkring i verksamheten, administration, planering, uppföljning, utvärdering och tillsyn av verksamheten samt framställning av statistik om hälso- och sjukvården. Bedrivandet av en god hälso- och sjukvård är i vissa fall, särskilt för det allmänna, en rättslig förpliktelse, t.ex. enligt hälso- och sjukvårdslagen (2017:30). I 5 kap. 1 § hälso- och sjukvårdslagen finns det en generell rättslig förpliktelse för den som bedriver hälso- och sjukvård, dvs. de vårdgivare som omfattas av patientdatalagen, att bedriva denna så att den uppfyller kraven på en god vård. Detta får också anses vara det yttersta syftet med den behandling av personuppgifter som tillåts enligt patientdatalagen – att uppnå en god vård. Större delen av den behandling av personuppgifter som sker för de ändamål som anges i patientdatalagen har således stöd i artikel 6.1 c i dataskyddsförordningen.
Behandling enligt patientdatalagen, som inte är nödvändig för att uppfylla en rättslig förpliktelse, får anses nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen, i enlighet med vad som anges i avsnitt 9.8.2. Redan det förhållandet att det enligt författning är en rättslig skyldighet för det allmänna att bedriva hälso- och sjukvård visar att bedrivandet av hälso- och sjukvård är en arbetsuppgift av allmänt intresse i den mening som avses i artikel 6.1 e i dataskyddsförordningen. Det allmänna intresset av att vårdgivare ger en god vård är som framgått lagfäst.
I enlighet med vad utredningen konstaterat i avsnitt 9.10.1 krävs ingen ytterligare analys av vilket stöd redan befintliga ändamål har i dataskyddsförordningen. De krav på den rättsliga grunden för behandlingen som tillkommit i artikel 6.3 i dataskyddsförordningen får i enlighet med vad utredningen konstaterat i samma avsnitt anses uppfyllda utan vidare analys när det gäller ändamål som är reglerade sedan tidigare. Behandling för de ändamål som anges i 2 kap.4 och 5 §§patientdatalagen är alltså laglig enligt dataskydds-
förordningen och de befintliga ändamålen kan och bör därmed behållas.
Finalitetsprincipen
I 2 kap. 5 § patientdatalagen hänvisas till 9 § första stycket d och andra stycket personuppgiftslagen, vilket innebär att den s.k. finalitetsprincipen gäller vid behandling enligt patientdatalagen. Hänvisningen syftar till att klargöra att personuppgifter som redan finns i verksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen inte är oförenliga med de ändamål för vilka uppgifterna samlades in. Hänvisningen innebär vidare att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Eftersom personuppgiftslagen kommer att upphävas, måste hänvisningen till bestämmelsen om finalitetsprincipen i den lagen ändras. Det bör ske i enlighet med vad som redovisas i avsnitt 9.10.3.
10.1.8. Personuppgiftsansvar
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelserna om personuppgiftsansvar i 2 kap. 6 § patientdatalagen.
Som framgått av avsnitt 9.7 behöver bestämmelser om vem som är personuppgiftsansvarig inte ändras med anledning av dataskyddsförordningen. Bestämmelserna i 2 kap. 6 § patientdatalagen kan och bör därför behållas.
10.1.9. Personuppgifter som får behandlas
Utredningens förslag: Hänvisningen till personuppgiftslagen i
2 kap. 7 § patientdatalagen tas bort. I stället ska det uttryckligen anges vilka uppgifter om lagöverträdelser som får behandlas.
Utredningens bedömning: Bestämmelsen i 2 kap. 7 § patient-
datalagen om vilka personuppgifter som får behandlas kan och bör i övrigt behållas.
En vårdgivare får enligt 2 kap. 7 § patientdatalagen endast behandla sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen, dvs. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, får endast behandlas om det är absolut nödvändigt för ett sådant ändamål. Det gäller även för vårdgivare som inte är statliga myndigheter, landsting eller kommuner.
Begränsning av vilka personuppgifter som får behandlas
Att behandling endast får ske av sådana personuppgifter som behövs för de ändamål de behandlas för är en grundläggande princip enligt både dataskyddsförordningen och dataskyddsdirektivet. Principen om uppgiftsminimering följer av artikel 5.1 c i dataskyddsförordningen, som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Bestämmelsen om att endast personuppgifter som behövs för de ändamål som anges i patientdatalagen får behandlas stämmer därför väl överens med dataskyddsförordningen. En sådan precisering är tillåten för myndigheter. Preciseringen är tillåten även för enskilda eftersom behandlingen stödjer sig på de rättsliga grunderna fullgörande av rättslig förpliktelse eller utförande av arbetsuppgift av allmänt intresse. Bestämmelsen kan och bör därför behållas.
Uppgifter om lagöverträdelser
I enlighet med den bedömning utredningen har gjort i avsnitt 9.12 kan och bör bestämmelser i registerförfattningar som tillåter enskilda och myndigheter att behandla uppgifter om lagöverträdelser behållas. Som också framgår av det avsnittet kan begränsningar av möjligheten att behandla uppgifter om friande brottmålsdomar och administrativa frihetsberövanden behållas för myndigheter. Detsamma gäller enskilda eftersom behandlingen inom patientdatalagens tillämpningsområde grundar sig på artikel 6.1 c och e (rättslig förpliktelse och allmänt intresse) i dataskyddsförordningen. Bestämmelsen i patientdatalagen bör därför omfatta samma uppgifter som i dag, dvs. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Eftersom personuppgiftslagen kommer att upphöra, måste det dock anges direkt i bestämmelsen vilka uppgifter det rör sig om.
10.1.10. Känsliga personuppgifter
Utredningens förslag: Patientdatalagen kompletteras med en
bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
Utredningens bedömning: Behandling av känsliga personupp-
gifter inom patientdatalagens tillämpningsområde kan alltjämt ske med stöd av ändamålsbestämmelserna i patientdatalagen.
Behandling av känsliga personuppgifter får ske med stöd av 2 kap.4, 5 och 7 §§patientdatalagen som anger att en vårdgivare endast får behandla sådana personuppgifter som behövs för vissa uppräknade ändamål. Den regleringen ersätter bestämmelsen om behandling av känsliga personuppgifter i 18 § personuppgiftslagen.9
9Prop. 2007/08:126 s. 56 och 230 f.
I avsnitt 9.11.4 redogör utredningen för vad som omfattas av undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Utredningen gör mot bakgrund av vad som anges där bedömningen att den behandling som sker enligt patientdatalagen ryms inom de syften som nämns i artikel 9.2 h i dataskyddsförordningen. Patientdatalagens reglering bedöms således vara förenlig med dataskyddsförordningen och känsliga personuppgifter kan även fortsättningsvis ske med stöd av ändamålsbestämmelserna.
Som också anges i avsnitt 9.11.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i patientdatalagen.
Som anges i avsnitt 9.11.6 har några nya kategorier av känsliga personuppgifter tillkommit i dataskyddsförordningen, nämligen genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Eftersom känsliga personuppgifter får behandlas under samma förutsättningar som andra personuppgifter inom patientdatalagens tillämpningsområde, påverkar det inte patientdatalagens reglering, utom såvitt avser sökbegrepp och innehållet i kvalitetsregister, att nya kategorier av personuppgifter kommer att vara att bedöma som känsliga enligt dataskyddsförordningen.
10.1.11. Sökbegränsningar
Utredningens förslag: Möjligheten enligt 2 kap. 8 § andra stycket
patientdatalagen att använda uppgifter om hälsa som sökbegrepp ska även avse sådana genetiska och biometriska uppgifter och uppgifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa. Hänvisningarna till personuppgiftslagen i 2 kap. 8 § patientdatalagen ersätts med hänvisningar till 2 kap. 7 § respektive den föreslagna 7 a § patientdatalagen.
Utredningens bedömning: I övrigt kan och bör bestämmelserna
om sökbegrepp i 2 kap. 8 § patientdatalagen behållas.
I 2 kap. 8 § patientdatalagen finns det ett förbud mot att använda känsliga personuppgifter eller uppgifter om lagöverträdelser som sökbegrepp. Som sökbegrepp får inte heller uppgifter om att någon
fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas. Vissa undantag från förbudet anges i bestämmelsen, bl.a. får uppgifter om hälsa användas som sökbegrepp, och regeringen får meddela föreskrifter om vissa ytterligare undantag.
Som anges i avsnitt 9.16.2 utgör sökbegränsningar säkerhetsåtgärder enligt dataskyddsförordningen. Sådana bestämmelser är tillåtna om de avser en myndighets behandling av personuppgifter. Bestämmelser om säkerhetsåtgärder är också tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen när det gäller behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse enligt artikel 6.1 c eller e i dataskyddsförordningen. Sökbegränsningarna behöver därmed, i enlighet med vad som anges i det avsnittet, inte ändras med anledning av dataskyddsförordningen.
Utredningen anser att sökbegränsningarna, i enlighet med bedömningen i avsnitt 9.12, bör avse samma uppgifter om lagöverträdelser som i dag.
När det gäller sökbegränsningar avseende känsliga personuppgifter är det, som anges i avsnitt 9.11.6, utredningens utgångspunkt att dessa även bör omfatta de nytillkomna kategorierna av känsliga personuppgifter, dvs. genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten att befintliga skyddsåtgärder inte omfattar någon av de nya kategorierna av uppgifter, bör den kategorin undantas. Som anges i avsnitt 7.5 kan kategorierna av känsliga personuppgifter i viss mån överlappa varandra. Genetiska uppgifter kan t.ex. avslöja en persons hälsotillstånd. Detsamma kan i någon mån antas gälla för de andra nytillkomna kategorierna av känsliga personuppgifter. Sådana uppgifter utgör i dag uppgifter om hälsa och är således tillåtna som sökbegrepp enligt regleringen i 2 kap. 8 § patientdatalagen. Vid kontakt med Sveriges Kommuner och Landsting10 har det framkommit att det även fortsättningsvis finns behov av att söka på sådana uppgifter inom hälso- och sjukvården. Utredningen gör därför bedömningen
10 Sveriges Kommuner och Landsting är en arbetsgivar- och intresseorganisation för alla kommuner, landsting och regioner.
att det är nödvändigt för en ändamålsenlig behandling av personuppgifter inom hälso- och sjukvården att sådana genetiska och biometriska uppgifter och uppgifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa, kan fortsätta att användas som sökbegrepp. Att dessa uppgifter får användas som sökbegrepp bör tydliggöras genom att det anges i 2 kap. 8 § att uppgifter om hälsa, inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning, får användas. Någon skillnad i sak är således inte avsedd utan förslaget syftar endast till att tydliggöra att samma sökningar som får göras i dag även får göras fortsättningsvis. Genetiska och biometriska uppgifter samt uppgifter om sexuell läggning som inte samtidigt utgör uppgifter om hälsa får däremot inte användas som sökbegrepp.
Eftersom hänvisningarna till personuppgiftslagen inte kan vara kvar när den lagen upphör, bör de ersättas med hänvisningar till definitionerna av uppgifter om lagöverträdelser och känsliga personuppgifter i 2 kap. 7 § respektive den föreslagna 7 a § patientdatalagen.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas inom detta område och inte heller att föreskriftsrätten delegeras. Möjligheten för regeringen att meddela föreskrifter kan därför behållas.
10.1.12. Skyldigheten att föra patientjournal
Utredningens bedömning: Bestämmelserna i 3 kap. patientdata-
lagen om skyldigheten att föra patientjournal kan och bör behållas.
Bestämmelser som inte gäller behandling av personuppgifter
I 3 kap. patientdatalagen regleras skyldigheten att föra patientjournal. Bestämmelserna i kapitlet är tillämpliga oavsett om patientjournalen förs automatiserat eller manuellt. Till den del bestämmelserna tillämpas på helt eller delvis automatiserad behandling eller manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register omfattas behandlingen av dataskyddsförordningens regler-
ing. Flera bestämmelser i kapitlet utgör inte några egentliga dataskyddsbestämmelser utan avser i stället att reglera förfarandet vid journalföring. Detta gäller bestämmelserna i 1–4, 13 och 16 §§. Någon prövning mot dataskyddsförordningen bedöms inte behöva göras när det gäller dessa bestämmelser. Detsamma gäller den bestämmelse i 3 kap. 19 § angående patientjournaler i krig m.m. som endast innehåller en föreskriftsrätt för regeringen. Kapitlet innehåller emellertid också bestämmelser som reglerar behandling av personuppgifter i patientjournaler. För dessa bestämmelser görs nedan en analys av om de behöver anpassas till dataskyddsförordningen.
En patientjournals innehåll
En patientjournal får enligt 3 kap. 5 § patientdatalagen innehålla endast de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2, dvs. om det behövs för att fullgöra skyldigheten att föra patientjournal och upprätta annan dokumentation som behövs i och för vården av patienter eller administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Att endast personuppgifter som behövs för de ändamål för vilka journalföring är tillåten får behandlas följer av den grundläggande principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen, som också finns i artikel 6.1 c i dataskyddsdirektivet. I den artikeln anges att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Bestämmelsen stämmer därför väl överens med dataskyddsförordningen.
I 3 kap. patientdatalagen finns också ett antal bestämmelser som preciserar vad en patientjournal ska innehålla. En patientjournal ska t.ex. enligt 3 kap. 6 § innehålla de uppgifter som behövs för en god och säker vård av patienten. I bestämmelsen räknas vidare upp vilka uppgifter en patientjournal alltid ska innehålla. Av 3 kap. 7 § framgår att en patientjournal även får innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal. I 3 kap. 10 § finns ett krav på signering av journalanteckningar. Om en journalhandling har lämnats ut till någon, ska detta enligt 3 kap. 11 § dokumenteras i patientjournalen. De uppräknade bestämmel-
serna specificerar vilka uppgifter som får behandlas i en patientjournal. Att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas följer som nämnts redan av principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. De nu berörda bestämmelserna i patientdatalagen kan sägas utgöra ett utflöde av denna princip.
Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser i den nationella lagstiftningen antingen eftersom behandlingen stödjer sig på de rättsliga grunderna enligt 6.1 c eller e i dataskyddsförordningen eller därför att den endast avser myndigheter. Överväganden kring vilka uppgifter som behöver antecknas i en patientjournal har gjorts vid tidigare lagstiftningsarbeten och utredningen har att utgå från att de uppgifter som anges i dessa bestämmelser behövs för de ändamål för vilka uppgifterna i patientjournalen behandlas. Bestämmelserna kan och bör därför behållas.
Om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, ska det enligt 3 kap. 8 § antecknas i journalen. Bestämmelsen är ett komplement till bestämmelserna om rättelse och journalförstöring i 8 kap. 3 och 4 §§. Av förarbetena framgår att det behövdes ett komplement till de bestämmelserna eftersom det för rättelse av en journaluppgift på patientens begäran krävs att den som ansvarar för uppgiften är överens med patienten om felaktigheten och journaluppgifter kan förstöras endast i undantagsfall.11 Enligt artikel 16 i dataskyddsförordningen införs en ny rätt för registrerade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande. Bestämmelsen i 3 kap. 8 § patientdatalagen utgör möjligen en utvidgning av den registrerades rättigheter i förhållande till dataskyddsförordningens bestämmelser. Medlemsstaterna tillåts emellertid som redan nämnts att införa mer specifika bestämmelser i den nationella lagstiftningen. Att på detta sätt möjligen utvidga den registrerades rätt att få sina synpunkter på behandlingen antecknade får anses förenligt med dataskyddsförordningen.
Uppgifter som ska antecknas enligt 3 kap. 6–8 §§ ska enligt 3 kap. 9 § föras in i journalen så snart som möjligt. Bestämmelsen överensstämmer med principen om korrekthet i artikel 5.1 d i data-
skyddsförordningen som anger att uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Av de skäl som anges ovan bedöms även den bestämmelsen förenlig med dataskyddsförordningen.
Regeringen har enligt 3 kap. 12 § möjlighet att meddela undantag från vissa av bestämmelserna i 3 kap. samt föreskrifter om en journalhandlings innehåll och utformning. Dataskyddsförordningen hindrar inte att föreskrifter meddelas inom detta område eller att föreskriftsrätten delegeras.
Sammanfattningsvis gör alltså utredningen bedömningen att de nu berörda bestämmelserna om patientjournalers innehåll kan och bör behållas.
Hantering av journalhandlingar
I 3 kap. 14 § första stycket anges att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 4 §, som handlar om förstörande av patientjournal. Bestämmelsen innehåller endast en upplysning om att bestämmelsen om förstörande av patientjournal gäller. Den bestämmelsen berörs i avsnitt 10.1.17. Av 3 kap. 14 § andra stycket framgår att vid rättelse av en felaktighet ska det anges när rättelsen skett och vem som har gjort den. Bestämmelsen i andra stycket gäller inte rättelsen i sig, den framgår av 8 kap. 3 § patientdatalagen som också den berörs i avsnitt 10.1.17. I stället handlar bestämmelsen om ytterligare uppgifter som ska finnas i en patientjournal, nämligen uppgift om när en rättelse skett och vem som gjort den. Som anförts ovan har överväganden kring vilka uppgifter som behöver antecknas i en patientjournal gjorts vid tidigare lagstiftningsarbeten. Utredningen utgår därför från att de uppgifter som enligt regleringen i patientdatalagen ska finnas i patientjournalen behövs för de ändamål för vilka uppgifterna i patientjournalen behandlas. Utredningen bedömer därför på samma skäl som anges ovan att även denna bestämmelse är förenlig med dataskyddsförordningen.
Regeringen eller den myndighet som regeringen bestämmer får enligt 3 kap. 15 § meddela föreskrifter om hur journalhandlingar ska hanteras och förvaras. Dataskyddsförordningen hindrar inte en sådan föreskriftsrätt. Bestämmelsen behöver därför inte ändras.
Bevarande av journalhandlingar
Bestämmelsen i 3 kap. 17 § patientdatalagen reglerar bevarande av journalhandlingar. I 3 kap. 18 § anges att för journalhandlingar som utgör allmänna handlingar gäller, med de undantag som följer av 17 §, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.
Bestämmelser om bevarande behöver, i enlighet med vad som anges i avsnitt 9.17.2, inte ändras under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen. Bestämmelserna om bevarande i patientdatalagen kan således behållas.
I 3 kap. 17 § patientdatalagen ges även regeringen rätt att meddela vissa föreskrifter om bevarande. Dataskyddsförordningen hindrar inte en sådan föreskriftsrätt. Bestämmelsen kan därför behållas.
Bestämmelserna i 3 kap. 17 § andra stycket och 18 § är endast upplysningsbestämmelser varför det saknas skäl att göra någon prövning av dessa.
10.1.13. Säkerhetsåtgärder
Utredningens bedömning: Bestämmelserna om säkerhetsåtgär-
der i form av begränsningar av åtkomst till personuppgifter och utlämnande av uppgifter i 4 och 5 kap. patientdatalagen kan behållas.
Åtkomst till personuppgifter
I 4 kap.1–3 §§patientdatalagen finns ett antal bestämmelser som på olika sätt reglerar den interna tillgången till personuppgifter inom hälso- och sjukvården. Bestämmelserna innebär bl.a. att en medarbetare får ta del av uppgifter om patienter endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete. En vårdgivare ska också begränsa behörigheten till uppgifter till vad som behövs för att en medarbetare ska kunna fullgöra sina arbetsuppgifter samt se till att åtkomst
dokumenteras och kontrolleras. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter.
Som anges i avsnitt 9.16.2 är styrning av tilldelning och begränsning av behörigheter samt loggkontroll säkerhetsåtgärder enligt dataskyddsförordningen. I enlighet med vad som anges i det avsnittet behöver den typ av bestämmelser det nu är fråga om inte ändras med anledning av dataskyddsförordningen.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. De bemyndiganden som ges i bestämmelsen behöver därför inte ändras.
Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte
Patienten har enligt 4 kap. 4 § patientdatalagen en möjlighet att motsätta sig elektronisk åtkomst till uppgifter i patientjournalen för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare. Av 4 kap. 5 § följer att en spärr får hävas om patienten samtycker till det, eller patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Som redan angetts har den registrerade enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, en rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f (arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning och intresseavvägning).
Behandling för de ändamål som avses i 4 kap. 4 § patientdatalagen, att fullgöra skyldigheten att föra patientjournal och upprätta annan dokumentation som behövs i och för vården av patienter samt upprätta annan dokumentation som följer av författning, sker enligt utredningens bedömning för att den är nödvändig för att fullgöra rättsliga förpliktelser. Vid behandling som sker med stöd av en rättslig förpliktelse har den registrerade enligt dataskyddsförordningen inte någon rätt att göra invändningar. Patientens möjlighet att motsätta sig att personuppgifter görs tillgängliga genom elektronisk åtkomst innebär således en utvidgning av rätten att göra invändningar enligt dataskyddsförordningen. Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser i den
nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de endast avser en myndighets behandling av personuppgifter. Att på detta sätt utvidga den registrerades rätt att göra invändningar och få sina personuppgifter spärrade kan därför inte anses strida mot dataskyddsförordningen. Eftersom rätten att motsätta sig behandling enligt 4 kap. 4 § innebär en utvidgning av den registrerades rätt enligt dataskyddsförordningen, ser utredningen inte heller några problem med att behålla bestämmelsen i 4 kap. 5 § om att spärren får hävas om patienten själv tar tillbaka sin invändning eller om det inte är möjligt att inhämta samtycke.
Skydd för identitet i vissa fall
Bestämmelsen i 4 kap. 6 § första stycket patientdatalagen upplyser om att det i 14 § lagen (1996:1156) om receptregister finns bestämmelser om att E-hälsomyndigheten ska lämna ut vissa uppgifter till landstingen om förskrivning av läkemedel och andra varor och att uppgifter om patientens identitet ska vara krypterade vid utlämnandet. Sådana uppgifter om patientens identitet får enligt 4 kap. 6 § andra stycket patientdatalagen inte behandlas i syfte att röja en patients identitet utan att patienten samtycker till det. Av tredje stycket framgår att uppgifter om en patients identitet som har dokumenterats inom hälso- och sjukvården och som landstingen ska sambearbeta med sådana uppgifter om patientens identitet som har lämnats ut från E-hälsomyndigheten, ska vara krypterade så att patientens identitet skyddas vid behandlingen.
Syftet med att E-hälsomyndigheten lämnar ut uppgifter till landstingen är att landstingen i sin verksamhet för medicinsk uppföljning ska kunna använda uppgifter om enskilda patienters uttag av förskrivna läkemedel och andra varor tillsammans med uppgifter som finns i landstingens vårddokumentation.12 Förbudet i andra stycket mot att behandla de uppgifter om patientens identitet som lämnats ut från E-hälsomyndigheten i syfte att röja en patients identitet har införts för att säkerställa att krypteringen består hos landstingen. Med kryptering avses s.k. envägskryptering vilket innebär att man genom användning av en algoritm krypterar identitets-
12Prop. 2009/10:138 s. 22 ff.
uppgifter så att de inte längre är läsbara på normalt sätt. Vid krypteringen får varje personnummer en unik kod. När samma krypteringsmetod används av landstingen är det möjligt att koppla ihop uppgifter som kommer från E-hälsomyndigheten med uppgifter om samma person som redan finns hos landstingen. På så sätt kan uppgifterna sambearbetas i landstingens uppföljning. Krypteringen innebär alltså inte en total avidentifiering utan det är fortfarande fråga om personuppgifter. Bestämmelsen i andra stycket medger att ett landsting med patientens samtycke genom s.k. bakvägsidentifiering kan söka efter uppgifter om denne genom att använda den kod som erhållits vid krypteringen. På så sätt kan landstingen även upprätta ett registerutdrag enligt 26 § personuppgiftslagen.13
Som utredningen konstaterat i avsnitt 9.16.2 utgör kryptering en sådan säkerhetsåtgärd som nämns i artikel 32 i dataskyddsförordningen. Bestämmelserna om kryptering i 4 kap. 6 § patientdatalagen kan i enlighet med vad som anges i avsnittet behållas.
När det gäller bestämmelsen i 4 kap. 6 § andra stycket om att uppgifter om patientens identitet får röjas om denne samtycker till det bör bestämmelserna i artikel 11 i dataskyddsförordningen nämnas. Artikel 11.1 i dataskyddsförordningen innebär att om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa dataskyddsförordningen. Av artikel 11.2 i dataskyddsförordningen följer vidare att om den personuppgiftsansvarige, i de fall som avses i artikel 11.1, kan visa att denne inte är i stånd att identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 15–20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa artiklar tillhandahåller ytterligare information som gör identifieringen möjlig. Av skäl 57 i dataskyddsförordningen framgår att om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denne att identifiera en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att kunna identifiera den regi-
13Prop. 2009/10:138 s. 32 ff.
strerade, om ändamålet endast är att följa någon av bestämmelserna i förordningen. Bestämmelsen i artikel 11 innebär alltså bl.a. att den personuppgiftsansvarige inte behöver behandla ytterligare information för att identifiera den registrerade endast i syfte att lämna ut ett registerutdrag enligt artikel 15. Den personuppgiftsansvarige bör dock inte enligt dataskyddsförordningen vara förhindrad att behandla sådana ytterligare uppgifter om den registrerade samtycker till det. Utredningen gör därför den bedömningen att någon ändring i bestämmelsen i 4 kap. 6 § andra stycket, som bara gäller landsting, inte behöver göras med anledning av artikel 11 i dataskyddsförordningen eller annars.
Bestämmelsen om att patienten kan samtycka till att dennes identitet röjs har införts för att möjliggöra för landstingen att fullgöra skyldigheten att lämna ut registerutdrag enligt 26 § personuppgiftslagen. Motsvarande skyldighet följer av artikel 15 i dataskyddsförordningen. Någon annan anledning att röja patientens identitet torde knappast komma i fråga. Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan mot bakgrund av vad som anförts ovan inte anses strida mot dataskyddsförordningen.
Utlämnande genom direktåtkomst och på medium för automatiserad behandling
I 5 kap. 4 § första stycket patientdatalagen slås fast att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Enligt bestämmelsens andra stycke och 5 kap. 5 § medges viss direktåtkomst inom landsting eller kommuner som bedriver hälso- och sjukvård genom flera myndigheter och direktåtkomst för enskilda. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid en enskilds direktåtkomst.
Av 5 kap. 6 § patientdatalagen framgår att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling.
Bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske utgör, som angetts i avsnitt 9.16.2, en form av säkerhetsåtgärder enligt data-
skyddsförordningen. Bestämmelserna om direktåtkomst och utlämnande på medium för automatiserad behandling behöver i enlighet med vad som anges i det avsnittet inte ändras med anledning av dataskyddsförordningen.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. De bemyndiganden som ges i bestämmelsen behöver därför inte ändras.
10.1.14. Upplysningsbestämmelser och allmän bestämmelse om utlämnande
Utredningens bedömning: Bestämmelserna i 5 kap. 1 och 2 §§
patientdatalagen påverkas inte av dataskyddsförordningen.
Bestämmelserna i 5 kap.1 och 2 §§patientdatalagen upplyser om att det finns bestämmelser om utlämnande av uppgifter i tryckfrihetsförordningen, offentlighets- och sekretesslagen (2009:400) och patientsäkerhetslagen (2010:659). Då dessa bestämmelser endast upplyser om annan lagstiftning behöver någon bedömning mot dataskyddsförordningens bestämmelser inte göras.
Enligt 5 kap. 3 § har en myndighet, som enligt 9 kap. har hand om en patientjournal upprättad inom enskild hälso- och sjukvård, samma skyldighet som den som ansvarat för journalen före överlämnandet att lämna ut en uppgift ur journalen som begärs för särskilt fall. Bestämmelsen är inte en dataskyddsbestämmelse och den talar inte heller om på vilket sätt uppgifterna ska lämnas ut, dvs. om det ska ske manuellt eller elektroniskt. Någon prövning mot dataskyddsförordningen bedöms därför inte heller behöva göras när det gäller denna bestämmelse.
10.1.15. Sammanhållen journalföring
Utredningens bedömning: Bestämmelserna om sammanhållen
journalföring i 6 kap. patientdatalagen kan behållas.
Direktåtkomst till uppgifter hos en annan vårdgivare
En vårdgivare får enligt 6 kap. 1 § patientdatalagen, under de förutsättningar som anges i 6 kap. 2 §, ha direktåtkomst till vissa personuppgifter som behandlas av andra vårdgivare. Begreppet sammanhållen journalföring används i patientdatalagen som benämning för ett elektroniskt system som på detta sätt möjliggör att vårddokumentation görs åtkomlig för andra vårdgivare genom direktåtkomst.
Bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske utgör som angetts i avsnitt 9.16.2 en form av säkerhetsåtgärder enligt dataskyddsförordningen. Utredningen har i det avsnittet gjort bedömningen att bestämmelser om direktåtkomst inte behöver ändras med anledning av dataskyddsförordningen.
Skede 1 – patientens inflytande när uppgifterna görs tillgängliga
Patienten har enligt 6 kap. 2 § första stycket en rätt att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring. Om patienten motsätter sig, får enligt andra stycket endast uppgift om att det finns spärrade uppgifter samt uppgift om vilken vårdgivare som har spärrat uppgifterna göras tillgängliga för andra vårdgivare.
En förutsättning för att uppgifter om en patient ska få göras tillgängliga för andra vårdgivare är enligt tredje stycket att patienten i förväg har informerats om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare.
Om en patient motsätter sig att uppgifter görs tillgängliga för andra vårdgivare, ska uppgifterna enligt fjärde stycket spärras. Vårdnadshavaren till ett barn kan dock inte spärra uppgifter om barnet.
En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren.
Ospärrade uppgifter om patienten ska enligt femte stycket göras tillgängliga för de vårdgivare som är anslutna till systemet med sammanhållen journalföring. Det ska vidare införas en uppgift i systemet om att det finns ospärrade uppgifter om patienten. Andra vårdgivare ska kunna ta del av uppgiften om att det finns ospärrade uppgifter utan att ta del av uppgift om vilken vårdgivare som har gjort uppgiften tillgänglig och övriga uppgifters innehåll.
Bestämmelsen i 6 kap. 2 § patientdatalagen kompletteras av en sekretessbrytande bestämmelse i 25 kap. 11 § offentlighets- och sekretesslagen (2009:400) som innebär att hälso- och sjukvårdssekretessen enligt 25 kap. 1 § inte hindrar att uppgift lämnas till en myndighet som bedriver verksamhet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. I 25 kap. 2 § första stycket offentlighets- och sekretesslagen finns vidare en bestämmelse som innebär att det råder absolut sekretess för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt bestämmelserna om sammanhållen journalföring i patientdatalagen, om det saknas förutsättningar enligt 6 kap. 3, 3 a eller 4 § samma lag för att myndigheten ska få behandla uppgiften.
I 6 kap. 2 a § patientdatalagen finns det ett undantag till bestämmelsen i 6 kap. 2 §. En vårdgivare får göra uppgifter om en patient som inte endast tillfälligt saknar förmåga att ta ställning enligt 2 § tillgängliga för de vårdgivare som är anslutna till systemet med sammanhållen journalföring, om patientens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts och det inte finns anledning att anta att patienten skulle ha motsatt sig behandlingen av personuppgifter.
En första förutsättning för att uppgifter om patienten ska få göras tillgängliga genom sammanhållen journalföring är alltså att patienten har fått viss information. Vilken information den personuppgiftsansvarige enligt dataskyddsförordningen är skyldig att lämna i olika situationer framgår av artiklarna 13 och 14, vilka utredningen har redogjort för i avsnitt 9.15.1. Här konstateras endast att den information som ska lämnas enligt 6 kap. 2 § tredje stycket patientdatalagen kan sägas omfattas av den personuppgiftsansvariges informationsplikt enligt dataskyddsförordningen. Vilken ytter-
ligare information som kan komma att behöva lämnas återkommer utredningen till i avsnitt 10.1.17 nedan. Att på detta sätt uppställa ett krav på att patienten blir informerad för att personuppgifterna ska få behandlas på visst sätt kan enligt utredningens bedömning inte anses strida mot dataskyddsförordningen. Enligt artikel 6.2 och 6.3 i dataskyddsförordningen är det nämligen tillåtet med sådana särskilda bestämmelser när det gäller personuppgifter som behandlas med stöd av de rättsliga grunder som är aktuella eller vid behandling som utförs av en myndighet.
Patienten har vidare en rätt enligt patientdatalagen att motsätta sig att dennes uppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring. Som framgår av avsnitt 9.15.1 har den registrerade enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e, dvs. behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Den behandling av personuppgifter som utförs vid utlämnande genom sammanhållen journalföring grundar sig på ändamålet att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Eftersom vårdgivare inte är skyldiga att lämna ut personuppgifter genom sammanhållen journalföring, utgör utlämnandet en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen, se avsnitt 10.1.7. Patientens rätt att motsätta sig att uppgifter om denne görs tillgängliga genom sammanhållen journalföring stämmer enligt utredningens bedömning till viss del överens med rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. Det finns dock vissa skillnader. Den personuppgiftsansvarige får, till skillnad från vad som gäller enligt dataskyddsförordningen, inte lov att göra uppgifterna tillgängliga genom sammanhållen journalföring även om denne skulle kunna påvisa sådana tvingande berättigade skäl som avses i artikel 21.1 i dataskyddsförordningen. Vidare har patienten möjlighet att på förhand motsätta sig behandling, något som inte dataskyddsförordningen ger rätt till. Det finns inte heller någon reglering i dataskyddsförordningen som avser registrerade som inte har förmåga att ta ställning till om deras uppgifter ska få behandlas.
Bestämmelserna innebär, i jämförelse med artikel 21.1 i dataskyddsförordningen en viss utvidgning av den registrerades rättigheter. Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelserna kan därför behållas.
Bestämmelsen om att uppgift om att det finns spärrade uppgifter om en patient och uppgift om vilken vårdgivare som har spärrat dessa görs tillgängliga oavsett vilken inställning patienten har till detta innebär dock en viss begränsning av rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. En sådan begränsning är, som anges i avsnitt 9.15.2, bara tillåten om den uppfyller kraven i artikel 23 i dataskyddsförordningen. Utredningen har i avsnitt 10.1.5 bedömt att det är möjligt att begränsa patientens invändningsrätt inom patientdatalagens tillämpningsområde. Det saknas anledning att göra någon annan bedömning när det gäller den nu aktuella begränsningen. Bestämmelsen kan därmed behållas. Av samma skäl kan bestämmelsen om att en vårdnadshavare inte får spärra uppgifter om sitt barn behållas.
Dataskyddsförordningen hindrar inte heller att patientens möjlighet att häva spärren genom att ta tillbaka sin invändning och möjligheten i 6 kap. 2 a § att under vissa förutsättningar göra uppgifter om en patient som saknar förmåga att ta ställning tillgängliga behålls.
Bestämmelsen i 6 kap. 2 § femte stycket patientdatalagen om att andra vårdgivare ska kunna ta del av en uppgift om att det finns ospärrade uppgifter om patienten utan att ta del av övriga uppgifter har införts för att vårdgivare inte ska behöva ta del av ospärrade uppgifter när förutsättningar för detta saknas enligt bestämmelserna i 6 kap. patientdatalagen.14 Bestämmelsen gör det möjligt för en vårdgivare att pröva om en begäran om att få del av en allmän handling kan avslås redan på den grunden att det inte förvaras någon sådan handling hos vårdgivaren utan att denne behöver ta del av ospärrade uppgifter. Vårdgivaren behöver inte heller, när förutsättningar för att behandla uppgifterna saknas, ta del av ospärrade uppgifter för att avslå en begäran om allmän handling på grund av bestämmelsen om absolut sekretess i 25 kap. 2 § offentlighets- och sekretesslagen. Bestämmelsen i 6 kap. 2 § femte stycket möjliggör
14Prop. 2007/08:126 s. 130–131.
alltså för vårdgivaren att endast ta del av uppgifter som denne behöver, vilket överensstämmer med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen, och bestämmelsen kan därför behållas såsom en precisering enligt artikel 6.2 och 6.3 i dataskyddsförordningen.
Skede 2 – patientens inflytande när en annan vårdgivare ska ta del av de uppgifter som gjorts tillgängliga
En vårdgivare får behandla uppgifter som en annan vårdgivare gjort tillgängliga i systemet med sammanhållen journalföring antingen i vårdsyfte eller om det behövs för att utfärda intyg om vården. För att få behandla uppgifterna krävs dock att de förutsättningar som anges i 6 kap. 3 § patientdatalagen är uppfyllda. Vårdgivaren får enligt första stycket i den bestämmelsen behandla uppgifter som en annan vårdgivare gjort tillgängliga om uppgifterna rör en patient som det finns en aktuell patientrelation med, uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården och patienten samtycker till det. Vårdgivaren får enligt andra stycket även behandla sådana uppgifter om de rör en patient som det finns eller har funnits en patientrelation med, uppgifterna kan antas ha betydelse för att utfärda sådant intyg om vården som avses i 3 kap. 16 § och patienten samtycker till det. För att en vårdgivare ska få behandla sådana uppgifter om barn som en vårdnadshavare inte har rätt att spärra enligt 6 kap. 2 § fjärde stycket andra meningen krävs inte något samtycke. I 6 kap. 3 a § finns ytterligare undantag från kravet på samtycke för patienter som saknar förmåga att ta ställning. I 6 kap. 4 § första stycket regleras möjligheten att häva spärren när det föreligger fara för patientens liv eller hälsa och de spärrade uppgifterna kan antas ha betydelse för den vård som patienten behöver. I andra stycket finns det ett undantag från kravet på samtycke gällande ospärrade uppgifter när det föreligger fara för patientens liv eller hälsa.
En vårdgivare får enligt 6 kap. 5 § patientdatalagen inte behandla en annan vårdgivares uppgifter om en patient i systemet med sammanhållen journalföring under andra förutsättningar än de som anges i 6 kap. 3–4 §§, även om patienten uttryckligen samtycker till det. Detta är ett undantag i förhållande till den allmänna bestämmel-
sen i 2 kap. 3 § första stycket som anger att behandling av personuppgifter som inte är tillåten enligt patientdatalagen ändå får ske om den enskilde lämnat ett uttryckligt samtycke till behandlingen.
För att en vårdgivare ska få ta del av de uppgifter som gjorts tillgängliga i systemet med sammanhållen journalföring krävs alltså som huvudregel samtycke från patienten. Kravet på samtycke utgör en skyddsåtgärd och kan enligt den bedömning utredningen gjort i avsnitt 9.16.2 behållas för myndigheter. Även för enskilda är sådana restriktioner tillåtna, eftersom behandlingen enligt patientdatalagen sker med stöd av artikel 6.1 c eller e (rättslig förpliktelse och arbetsuppgift av allmänt intresse) i dataskyddsförordningen.
Utredningen gör således bedömningen att bestämmelserna om krav på samtycke i 6 kap. 3 och 3 a § patientdatalagen är förenliga med dataskyddsförordningens reglering och därmed kan behållas. Även de övriga villkor som enligt dessa bestämmelser måste vara uppfyllda för att vårdgivaren ska få ta del av uppgifter som gjorts tillgängliga i systemet för sammanhållen journalföring utgör tillåtna preciseringar. Eftersom kravet på samtycke utgör en inskränkning i förhållande till dataskyddsförordningen, bedömer utredningen att det inte finns något hinder mot att ha kvar de undantag från kravet på samtycke som finns i 6 kap. 3 och 3 a §§.
Bestämmelsen i 6 kap. 4 § första stycket som anger att en vårdgivare under vissa förutsättningar kan ta del av spärrade uppgifter innebär en viss inskränkning av rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. En sådan begränsning är, som anges i avsnitt 9.15.2, bara tillåten om den uppfyller kraven i artikel 23 i dataskyddsförordningen. Utredningen har i avsnitt 10.1.5 bedömt att det är möjligt att begränsa patientens invändningsrätt inom patientdatalagens tillämpningsområde. Det saknas anledning att göra någon annan bedömning när det gäller den nu aktuella begränsningen. Bestämmelsen kan därmed behållas. Även möjligheten att enligt andra stycket ta del av ospärrade uppgifter utan samtycke kan behållas. Detta eftersom kravet på samtycke som angetts ovan utgör en inskränkning i förhållande till dataskyddsförordningen.
Det är som framgår av avsnitt 9.10.2 inte möjligt att förbjuda enskilda att behandla personuppgifter med stöd av ett giltigt samtycke från den registrerade annat än när det gäller känsliga personuppgifter (artikel 9.2 a) och personuppgifter om lagöverträdelser (artikel 10), vilket motsvarar vad som gäller i dag. De personupp-
gifter som behandlas i patientjournaler utgör uppgifter om hälsa. Bestämmelsen i 6 kap. 5 § om att en vårdgivare inte får behandla en annan vårdgivares uppgifter om inte förutsättningarna i 6 kap. 3–4 §§ är uppfyllda även om patienten samtycker till det har alltså alltjämt stöd i dataskyddsförordningen och kan behållas.
Personuppgiftsansvar vid sammanhållen journalföring
Som framgått av avsnitt 9.7 behöver bestämmelser om vem som är personuppgiftsansvarig inte ändras med anledning av dataskyddsförordningen. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Bestämmelsen i 6 kap. 6 § patientdatalagen om att det är möjligt att meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring kan och bör därför behållas.
Behörighetstilldelning och åtkomstkontroll
I 6 kap. 7 § patientdatalagen anges att bestämmelserna i 4 kap. 2 och 3 §§ gäller även för behörighetstilldelning och åtkomstkontroll vid sammanhållen journalföring. Som framgått av avsnitt 10.1.13 kan dessa bestämmelser behållas. Därmed kan även bestämmelsen i 6 kap. 7 § patientdatalagen vara kvar.
Bevarande och gallring
När patientjournaler är tillgängliga för flera vårdgivare genom sammanhållen journalföring gäller enligt 6 kap. 8 § patientdatalagen skyldigheten enligt 3 kap. 17 § att bevara en journalhandling bara den vårdgivare som ansvarar för handlingen. Om en journalhandling eller annan handling är tillgänglig för en myndighet bara genom sammanhållen journalföring och myndigheten inte ansvarar för den, får myndigheten gallra handlingen från sitt arkiv.
Bestämmelsen om bevarande i 3 kap. 17 § patientdatalagen har i avsnitt 10.1.12 bedömts förenlig med dataskyddsförordningen.
Bestämmelsen i 6 kap. 8 § patientdatalagen innebär att uppgifter inte lagras på fler ställen än vad som behövs, eftersom den vårdgivare som endast har tillgång till uppgifterna genom den sammanhållna journalföringen inte lagrar dessa uppgifter. Bestämmelsen kan därmed sägas vara ett utslag av principen om uppgiftsminimering i artikel 5.1 c dataskyddsförordningen och en tillåten precisering enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen är därmed förenlig med dataskyddsförordningen och kan behållas.
10.1.16. Nationella och regionala kvalitetsregister
Inledande bestämmelse
Utredningens bedömning: Dataskyddsförordningen påverkar inte
den inledande bestämmelsen om nationella och regionala kvalitetsregister i 7 kap. 1 § patientdatalagen.
I 7 kap. patientdatalagen finns det bestämmelser om nationella och regionala kvalitetsregister. Med kvalitetsregister avses enligt 7 kap. 1 § en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Bestämmelserna i 7 kap. gäller för nationella och regionala kvalitetsregister till vilka personuppgifter samlas in från flera vårdgivare. För lokala kvalitetsregister gäller däremot de allmänna reglerna i patientdatalagen. Definitionen av nationella och regionala kvalitetsregister i 7 kap. 1 § föranleder inte några överväganden i förhållande till dataskyddsförordningen.
Rätten att invända mot behandling av personuppgifter i kvalitetsregister
Utredningens bedömning: Bestämmelserna i 7 kap. 2 och 2 a §§
patientdatalagen om den enskildes inställning till behandling i kvalitetsregister kan behållas.
Personuppgifter får enligt 7 kap. 2 § patientdatalagen inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det. Om den enskilde motsätter sig behandlingen av personuppgifter sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt. I 7 kap. 2 a § finns det ett undantag för personer som saknar förmåga att ta ställning.
Den registrerade har enligt dataskyddsförordningen rätt att invända mot behandling av personuppgifter; detta under förutsättning att det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller om behandlingen sker med stöd av en intresseavvägning (se vidare avsnitt 9.15.1). Utredningen har nedan i avsnittet om kvalitetsregisters ändamål gjort bedömningen att behandlingen av personuppgifter i kvalitetsregistren i huvudsak grundar sig på artikel 6.1 e (allmänt intresse) i dataskyddsförordningen.
Patientens rätt att motsätta sig att uppgifter om denne behandlas i ett nationellt eller regionalt kvalitetsregister och rätten att få uppgifter utplånade stämmer enligt utredningens bedömning till viss del överens med rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen. Det finns dock vissa skillnader. Den personuppgiftsansvarige får, till skillnad från vad som gäller enligt dataskyddsförordningen, inte lov att fortsätta att behandla personuppgifterna även om denne skulle kunna påvisa sådana tvingande berättigade skäl som avses i artikel 21 i dataskyddsförordningen. Vidare innebär bestämmelsen i 7 kap. 2 § första stycket att patienten har möjlighet att på förhand motsätta sig behandling, något som inte dataskyddsförordningen ger rätt till. Det finns inte heller någon reglering i dataskyddsförordningen som avser registrerade som inte har förmåga att ta ställning till om deras uppgifter ska få behandlas.
Bestämmelsen om patientens ovillkorliga rätt att på förhand motsätta sig behandling i nationella och regionala kvalitetsregister och att få personuppgifter som redan behandlas utplånade har införts mot bakgrund av att det ansågs vara i den då gällande hälso- och sjukvårdslagens15 anda att ge patienten inflytande över om uppgif-
15 Se 2 a § hälso- och sjukvårdslagen (1982:763). Motsvarande bestämmelse finns i 5 kap. 1 § i den nu gällande hälso- och sjukvårdslagen (2017:30).
ter om denne behandlas i sådana register. Detta särskilt mot bakgrund av att vårdgivarens deltagande i registerföringen inte är en direkt författningsreglerad skyldighet.16 Bestämmelsen i 7 kap. 2 a § patientdatalagen, som avser patienter som saknar förmåga att ta ställning till behandlingen av personuppgifter i nationella eller regionala kvalitetsregister, tillkom eftersom lagstiftaren ville skapa förutsättningar för förbättring av vården och patientsäkerheten även för personer med nedsatt beslutsförmåga och för att dessa patienter inte skulle behöva riskera sämre vård än andra patienter. Bestämmelsen har utformats med beaktande av att regleringen måste tillgodose det grundläggande behovet av integritetsskydd även för dessa personer.17
Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelserna är enligt utredningens bedömning förenliga med dataskyddsförordningen och kan därför behållas.
När det gäller behandling av personuppgifter för ändamålet att fullgöra en uppgiftsskyldighet som följer av lag eller förordning i 7 kap. 5 § 4 har utredningen nedan gjort bedömningen att sådan behandling sker för att den är nödvändig för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen. Vid behandling som sker med stöd av den rättsliga grunden har den registrerade enligt dataskyddsförordningen inte någon rätt att göra invändningar. Patientens möjlighet att motsätta sig att dennes uppgifter behandlas i nationella och regionala kvalitetsregister, till vilka uppgifter samlas in med stöd av artikel 6.1 e i dataskyddsförordningen, gäller dock behandling över huvud taget i sådana register och inte specifikt författningsreglerat utlämnande av uppgifter. En patient som inte motsatt sig behandlingen i registren kan alltså inte motsätta sig att uppgifterna i registren lämnas ut när det finns en skyldighet enligt författning att göra det. Däremot kan patienten i efterhand motsätta sig behandlingen varpå uppgifterna i registren, men inte de redan utlämnade uppgifterna, ska utplånas. När patienten väl motsatt sig behandling, finns det således inga uppgifter att lämna ut. Rätten att göra invändningar gäller alltså inte sådan be-
16Prop. 2007/08:126 s. 188–189. 17Prop. 2013/14:202 s. 32.
handling som är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse.
Information som ska lämnas självmant
Utredningens förslag: Krav på information till registrerade i
7 kap. 3 § patientdatalagen som motsvarar eller begränsar krav på information som finns i dataskyddsförordningen tas bort.
Utredningens bedömning: I övrigt kan och bör bestämmelsen i
7 kap. 3 § patientdatalagen behållas.
Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig enligt 7 kap. 3 § patientdatalagen se till att den enskilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret, i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal och vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till. Om det inte är möjligt att lämna informationen innan behandlingen av personuppgifter påbörjas, ska den lämnas så snart som möjligt därefter.
Bestämmelsen i 7 kap. 3 § patientdatalagen kompletterar och gäller således utöver 8 kap. 6 § patientdatalagen och – när dataskyddsförordningen börjar tillämpas – artikel 13 och 14 i dataskyddsförordningen. Vilken information den personuppgiftsansvarige enligt dataskyddsförordningen är skyldig att lämna i olika situationer framgår av avsnitt 9.15.1.
Den information den personuppgiftsansvarige ska lämna till den registrerade enligt 7 kap. 3 § patientdatalagen är i huvudsak sådan information som ska lämnas enligt dataskyddsförordningen. Informationsskyldigheten i 7 kap. 3 § omfattar dock även en upplysning som inte omfattas av dataskyddsförordningens reglering, nämligen information om rätten att när som helst få uppgifter om sig själv utplånade ur registret (se föregående avsnitt om 7 kap. 2 § patientdatalagen). Sådana bestämmelser som föreskriver att mer information än vad som krävs enligt dataskyddsförordningen ska lämnas,
kan i enlighet med utredningens ställningstagande i avsnitt 9.15.1 behållas, om skyldigheten avser myndigheter eller den ursprungliga behandlingen grundas på artikel 6.1 c eller e i dataskyddsförordningen. Behandling av personuppgifter i nationella och regionala kvalitetsregister sker med stöd av artikel 6.1 c och e i dataskyddsförordningen (se nästa avsnitt). Den kompletterande informationsskyldigheten kan därmed behållas.
Eftersom det rör sig om en kompletterande informationsskyldighet, kan informationen lämnas vid den tidpunkt som bedöms lämplig i nationell rätt. Bestämmelsen i 7 kap. 3 § andra stycket om när informationen ska lämnas, påverkas därför inte av dataskyddsförordningen.
Enligt 7 kap. 3 § 2 ska den registrerade få information om i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal. Att den registrerade har rätt att få information om varifrån personuppgifterna kommer, när de inte lämnats av den enskilde själv, framgår av artikel 13 och 14.2 f i dataskyddsförordningen. Uppgifter i en patientjournal kommer dock inte alltid från den enskilde själv. Nuvarande reglering i patientdatalagen medför i förhållande till dataskyddsförordningen därför en begränsning av skyldigheten att lämna information. I avsnitt 10.1.17 under rubriken information som ska lämnas självmant konstaterar utredningen att det inte framkommit att det skulle innebära några beaktansvärda svårigheter för personuppgiftsansvariga att uppfylla de fåtaliga nyheter som dataskyddsförordningen innebär när det gäller den information som ska lämnas till den registrerade. Det finns därför, som anges i avsnitt 9.15.2, inte anledning att överväga en begränsning av de registrerades nya rättigheter.
Utredningen föreslår därför att nu gällande krav på information till registrerade i 7 kap. 3 § tas bort i den utsträckningen de motsvarar eller begränsar krav på information som gäller enligt dataskyddsförordningen.
Kvalitetsregisters ändamål
Utredningens bedömning: Bestämmelserna om kvalitetsregis-
ters ändamål i 7 kap.4–6 §§patientdatalagen är förenliga med dataskyddsförordningen och kan och bör behållas. Även begränsningen av tillåtna ändamål kan behållas.
I 7 kap.4–6 §§patientdatalagen anges för vilka ändamål personuppgifter får behandlas i kvalitetsregister. Personuppgifter får enligt 7 kap. 4 § patientdatalagen behandlas för ändamålet systematisk och fortlöpande utveckling och kvalitetssäkring av vården. Personuppgifter som behandlas för sådana ändamål får enligt 7 kap. 5 § även behandlas för ändamålen statistikframställning, forskning samt utlämnande av uppgifter för något av angivna ändamål eller för fullgörande av uppgiftsskyldighet enligt lag eller förordning.
Utredningen har gjort bedömningen att stora delar av den behandling av personuppgifter som utförs enligt patientdatalagen görs för att fullgöra en rättslig förpliktelse. När det gäller behandling i kvalitetsregister är det mer tveksamt om sådan behandling kan anses ske med stöd av grunden fullgörande av en rättslig förpliktelse, i vart fall när det gäller ändamålen att systematiskt och fortlöpande utveckla och kvalitetssäkra vården enligt 7 kap. 4 § samt framställning av statistik, forskning inom hälso- och sjukvården och utlämnande i statistik- och forskningssyfte eller utlämnande i utvecklings- och kvalitetssäkringssyfte enligt 7 kap. 5 § 1–3. Bestämmelserna i patientdatalagen innebär inte någon skyldighet att föra kvalitetsregister. Kvalitetsregister förs inte heller till följd av annan författning utan har ofta skapats genom frivilliga initiativ av specialistföreningar för att användas som stöd för kvalitetsutveckling i det kliniska arbetet. Inrapportering av uppgifter till kvalitetsregister sker till följd av frivilliga åtaganden från vårdgivarna.18 Samtidigt innehåller patientdatalagen tydliga regler för den behandling av personuppgifter som får ske i nationella och regionala kvalitetsregister där både arten av och syftet med behandlingen anges.
Utredningen gör, mot bakgrund av att bestämmelserna överlåter åt vårdgivaren att avgöra om kvalitetsregister ska föras eller inte och vilka uppgifter som i så fall ska ingå i registret, bedömningen att behandlingen i registren inte kan anses ske med anledning av en rättslig förpliktelse. Däremot kan sådan behandling anses nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Även Datainspektionen har bedömt att de nationella och regionala kvalitetsregistren, eftersom de normalt syftar till att förbättra kvaliteten i hälso- och sjukvården, kan föras med stöd av den grunden.19
Behandling som sker för att fullgöra en uppgiftsskyldighet enligt 7 kap. 5 § 4 får däremot anses nödvändig för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen.
I enlighet med vad utredningen konstaterat i avsnitt 9.10.1 krävs ingen ytterligare analys av vilket stöd redan befintliga ändamål har i dataskyddsförordningen. De krav på den rättsliga grunden för behandlingen som tillkommit i artikel 6.3 i dataskyddsförordningen får i enlighet med vad utredningen konstaterat i ovan nämnda avsnitt anses uppfyllda utan vidare analys när det gäller ändamål som är reglerade sedan tidigare. Behandling för de ändamål som anges i 7 kap.4 och 5 §§patientdatalagen är alltså laglig enligt dataskyddsförordningen och de befintliga ändamålen kan och bör därmed behållas.
Finalitetsprincipen är inte tillämplig
Personuppgifter i nationella och regionala kvalitetsregister får enligt 7 kap. 6 § inte behandlas för några andra ändamål än de som anges i 7 kap. 4 och 5 §§. Det innebär att det inte är tillåtet att behandla personuppgifter i nationella och regionala kvalitetsregister för andra ändamål även om dessa inte är oförenliga med det ändamål för vilket uppgifterna har samlats in. Finalitetsprincipen gäller alltså inte vid behandling av personuppgifter i nationella eller regionala kvalitetsregister. Däremot kan personuppgifter behandlas för andra ändamål än de som räknas upp i dessa bestämmelser med
19 Nationella kvalitetsregister, Datainspektionens rapport 2002:1 s. 9.
stöd av patientens samtycke. Detta följer av den allmänna bestämmelsen i 2 kap. 3 § patientdatalagen.
Finalitetsprincipen finns uttryckt i artikel 5.1 b i dataskyddsförordningen. Där framgår bl.a. att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in. Medlemsstaterna får, i enlighet med vad utredningen konstaterat i avsnitt 9.3, med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, t.ex. regler om för vilka ändamål personuppgifter får behandlas och ändamålsbegränsningar. Det är också, som utredningen konstaterat i avsnitt 9.2, tillåtet att begränsa myndigheters möjligheter till behandling och utöka deras skyldigheter. Enligt utredningens bedömning kan därför bestämmelsen i 7 kap. 6 § patientdatalagen behållas.
Personuppgiftsansvar
Utredningens bedömning: Bestämmelsen om personuppgifts-
ansvar i 7 kap. 7 § patientdatalagen kan och bör behållas.
Endast myndigheter inom hälso- och sjukvården får enligt 7 kap. 7 § patientdatalagen vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Regeringen eller den myndighet som regeringen bestämmer får besluta om undantag. Bestämmelsen får anses innebära att endast myndigheter inom hälso- och sjukvården får centralt föra nationella eller regionala kvalitetsregister, om inte något undantag beslutats, även om detta inte anges uttryckligen. Av förarbetena till bestämmelsen anges nämligen att regeringen föreslår att endast en eller flera myndigheter inom hälso- och sjukvården ska få driva ett sådant register, dvs. administrera och hantera personuppgifterna på den centrala registernivån.20
I enlighet med vad utredningen angett i avsnitt 9.7 kan och bör bestämmelser i registerförfattningar om vem som är personuppgiftsansvarig behållas. Även den nu aktuella bestämmelsen, som i
praktiken utesluter enskilda från möjligheten att behandla personuppgifter, kan behållas eftersom behandlingen enligt patientdatalagen sker med stöd av artikel 6.1 e i dataskyddsförordningen (allmänt intresse).
Personuppgifter som får behandlas
Utredningens förslag: Förbudet i 7 kap. 8 § tredje stycket patient-
datalagen mot att behandla andra känsliga personuppgifter än uppgifter som rör hälsa, om inte annat har medgetts av regeringen eller den myndighet som regeringen bestämmer i ett enskilt fall, ska omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen. Patientdatalagen kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
Hänvisningen till personuppgiftslagen i 7 kap. 8 § tredje stycket patientdatalagen ersätts med en hänvisning till 2 kap. 7 § patientdatalagen.
Utredningens bedömning: Bestämmelsen i 7 kap. 8 § patient-
datalagen om vilka personuppgifter som får behandlas kan och bör i övrigt behållas.
Endast sådana personuppgifter som behövs för ändamål som anges i 7 kap. 4 §, dvs. systematisk och fortlöpande utveckling och kvalitetssäkring av vården, får enligt 7 kap. 8 § första stycket behandlas i ett nationellt eller regionalt kvalitetsregister. En enskilds personnummer eller namn får enligt andra stycket behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för de ändamål som anges i 7 kap. 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde. Känsliga personuppgifter enligt personuppgiftslagens definition som inte rör hälsa samt uppgifter om lagöverträdelser m.m. enligt personuppgiftslagen får enligt tredje stycket behandlas endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Begränsning av vilka personuppgifter som får behandlas
Att behandling endast får ske av sådana personuppgifter som behövs för de ändamål de behandlas för stämmer överens med den grundläggande principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Bestämmelsen om att endast personuppgifter som behövs för de ändamål som anges i 7 kap. 4 § får behandlas är därför förenlig med dataskyddsförordningen. Medlemsstaterna tillåts att införa sådana preciseringar i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen och de kan även införa begränsningar för sina myndigheter.
Personnummer
I enlighet med utredningens bedömning i avsnitt 9.13 kan och bör bestämmelsen om behandling av personnummer i patientdatalagen behållas.
Namn
Bestämmelsen om behandling av personnummer i patientdatalagen omfattar även behandling av namn. Dataskyddsförordningen innehåller inte några särskilda bestämmelser om behandling av uppgifter om namn. Som redan nämnts har medlemsstaterna enligt artikel 6.2 och 6.3 i dataskyddsförordningen, eller därför att bestämmelserna endast omfattar en myndighets behandling av personuppgifter, möjlighet att ha specifika bestämmelser i den nationella lagstiftningen om bl.a. vilken typ av uppgifter som ska behandlas. Patientdatalagens reglering av under vilka förutsättningar namn får behandlas stämmer överens med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Bestämmelsen kan och bör därmed behållas.
Känsliga personuppgifter
Utredningen har i avsnitt 10.1.10 konstaterat att hälso- och sjukvården även fortsättningsvis kan behandla känsliga personuppgifter enligt artikel 9.2 h i dataskyddsförordningen. Bedömningen omfattar även behandlingen i de nationella kvalitetsregistren. Det är således möjligt att ha kvar bestämmelsen som innebär att uppgifter om hälsa får behandlas i registren. Av samma skäl kan möjligheten för regeringen eller den myndighet regeringen bestämmer att i enskilda fall tillåta att behandling av andra känsliga personuppgifter än hälsa får ske behållas.
Eftersom 7 kap. patientdatalagen innehåller en egen reglering av behandling av känsliga personuppgifter i nationella och regionala kvalitetsregister, vilket innebär att den generella regleringen i 2 kap. inte är tillämplig, bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in även i 7 kap. 8 § patientdatalagen.
Genom dataskyddsförordningen har, som redan nämnts i avsnitt 9.11.6, några nya kategorier av känsliga personuppgifter tillkommit, nämligen genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Förbudet att behandla känsliga personuppgifter bör i enlighet med den bedömning som redovisas i det nämnda avsnittet, omfatta också dessa nya kategorier av uppgifter. Skulle det uppkomma ett behov av att behandla sådana uppgifter i ett kvalitetsregister, har regeringen, eller den myndighet regeringen bestämmer, enligt bestämmelsen möjlighet att medge det. Det kommer alltså även fortsättningsvis endast att vara tillåtet att behandla sådana känsliga uppgifter som rör hälsa i kvalitetsregistren, om inte föreskrifter meddelas om att andra kategorier av uppgifter får behandlas.
Som anges i avsnitt 7.5 förekommer det att de olika kategorierna av känsliga personuppgifter överlappar varandra. Sådana personuppgifter som omfattas av någon av de nya kategorierna men som även utgör en uppgift om hälsa kan enligt utredningens bedömning behandlas med stöd av bestämmelsen i 7 kap. 8 § tredje stycket patientdatalagen utan att särskilda föreskrifter har meddelats om det. Utredningen har övervägt om detta behöver förtydligas i bestämmelsen på så sätt att det anges att personuppgifter som rör
hälsa, inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning, får behandlas, på samma sätt som anges i avsnitt 10.1.11 och 12.8.4. Eftersom det inte har framkommit något behov av att behandla sådana personuppgifter om hälsa, som samtidigt omfattas av någon av de nya kategorierna av känsliga personuppgifter, saknas det dock enligt utredningens bedömning anledning att införa ett sådant förtydligande.
Personuppgifter om lagöverträdelser
I enlighet med den bedömning utredningen har gjort i avsnitt 9.12 kan och bör förbudet mot att behandla personuppgifter om lagöverträdelser i 7 kap. 8 § patientdatalagen även fortsättningsvis omfatta de uppgifter som avses i 21 § personuppgiftslagen. Detta eftersom bestämmelserna avser behandling som grundar sig på artikel 6.1 c och e (rättslig förpliktelse och allmänt intresse) i dataskyddsförordningen eller avser myndigheters behandling. Eftersom personuppgiftslagen kommer att upphöra, måste dock hänvisningen till personuppgiftslagen ersättas med en hänvisning till definitionen av vilka uppgifter som avses i 2 kap. 7 § patientdatalagen.
Det finns inte något som hindrar att regeringen eller den myndighet regeringen bestämmer i enskilda fall medger behandling av sådana uppgifter.
Utlämnande genom direktåtkomst
Utredningens bedömning: Bestämmelsen om direktåtkomst i
7 kap. 9 § patientdatalagen kan behållas.
Bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske utgör som angetts i avsnitt 9.16.2 en form av säkerhetsåtgärder enligt dataskyddsförordningen. Bestämmelsen om direktåtkomst i 7 kap. 9 § patientdatalagen kan därför i enlighet med vad som anges i det avsnittet behållas.
Bevarande och gallring
Utredningens förslag: Bestämmelsen i 7 kap. 10 § patientdata-
lagen om gallring behålls i sak men befintlig formulering av historiska, statistiska eller vetenskapliga ändamål ändras till den som används i dataskyddsförordningen.
Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska enligt 7 kap. 10 § första stycket patientdatalagen gallras när de inte längre behövs för det ändamål de behandlas för. En arkivmyndighet inom ett landsting eller en kommun samt regeringen eller den myndighet regeringen föreskriver får dock enligt andra och tredje stycket föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Utredningen har i avsnitt 9.17.2 kommit till den slutsatsen att bestämmelser i registerförfattningar om gallring och bevarande inte behöver ändras under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse, en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Detsamma gäller delegationsbestämmelser som ger rätt att meddela föreskrifter om att uppgifter får bevaras för en viss tid och för vissa ändamål. Bestämmelserna i 7 kap. 10 § patientdatalagen kan alltså behållas. Formuleringarna av ändamålen i andra och tredje stycket bör dock anpassas till dataskyddsförordningens lydelse.
10.1.17. Rättigheter för den enskilde
Rätt att ta del av uppgifter
Utredningens bedömning: Bestämmelserna om rätten att ta del
av uppgifter i 8 kap.1 och 2 §§patientdatalagen påverkas inte av dataskyddsförordningen.
I 8 kap. 1 § patientdatalagen upplyses om att det framgår av tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra
handlingar och uppgifter till en patient. Då denna bestämmelse endast upplyser om annan lagstiftning behöver någon bedömning mot dataskyddsförordningens bestämmelser inte göras.
Bestämmelsen i 8 kap. 2 § patientdatalagen om utlämnande av journalhandlingar inom enskild hälso- och sjukvård är inte en bestämmelse om dataskydd. Bestämmelsen talar inte heller om på vilket sätt uppgifterna ska lämnas ut, dvs. om utlämnande ska ske manuellt eller elektroniskt. Någon prövning mot dataskyddsförordningen bedöms därför inte heller behöva göras när det gäller denna bestämmelse.
Rättelse
Utredningens förslag: Bestämmelsen om rättelse i 8 kap. 3 §
patientdatalagen upphävs.
Bestämmelsen i 8 kap. 3 § första stycket patientdatalagen, som hänvisar till bestämmelsen om rättelse i 28 § personuppgiftslagen, kan i enlighet med vad som anges i avsnitt 9.15.1 upphävas.
I 8 kap. 3 § andra stycket patientdatalagen upplyses om att uppgifter i en journalhandling enligt 3 kap. 14 § inte får utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 4 §. Eftersom detta endast är en upplysning om vad som följer av den paragraf som kommer direkt efter, kan även bestämmelsen i 8 kap. 3 § andra stycket upphävas.
Förstörande av patientjournal
Utredningens bedömning: Bestämmelsen om förstörande av
patientjournal i 8 kap. 4 § patientdatalagen kan behållas.
I 8 kap. 4 § patientdatalagen finns en specialregel om förstörande av patientjournal. Av den bestämmelsen följer att Inspektionen för vård och omsorg under vissa förutsättningar får besluta att journalen ska förstöras.
Dataskyddsförordningen innehåller som angetts i avsnitt 9.15.1 en rätt till radering. I det avsnittet gör utredningen bedömningen
att radering får anses innebära detsamma som utplåning. I patientdatalagen används omväxlande begreppen utplåning respektive förstörande utan att någon skillnad i sak synes avsedd. Begreppet utplåning används t.ex. i 3 kap. 14 § som hänvisar till bestämmelsen i 8 kap. 4 § där begreppet förstörande används. Utredningen utgår därför från att det är samma åtgärd som avses med dessa begrepp.
Eftersom utredningen har konstaterat att behandling som sker enligt patientdatalagen sker med stöd av de rättsliga grunderna rättslig förpliktelse och allmänt intresse, gäller inte rätten till radering inom patientdatalagens tillämpningsområde. Möjligheten att få en patientjournal förstörd är alltså en utvidgning av den registrerades rättigheter enligt dataskyddsförordningen. Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Att på detta sätt utvidga den registrerades rätt till radering kan därför inte anses strida mot dataskyddsförordningen.
Vid bedömning av en ansökan om förstörande måste förstås rätten till begränsning av behandling (se avsnitt 9.15.1) beaktas, om något sådant har begärts.
Information som ska lämnas på begäran
Utredningens bedömning: Bestämmelsen i 8 kap. 5 § patient-
datalagen, som innehåller en skyldighet att lämna ytterligare information på begäran av den registrerade, kan behållas.
En vårdgivare ska enligt 8 kap. 5 § första stycket patientdatalagen på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit. Regeringen eller den myndighet som regeringen bestämmer får enligt andra stycket meddela närmare föreskrifter.
Skyldigheten enligt 8 kap. 5 § patientdatalagen att lämna information om den åtkomst till patientens uppgifter som förekommit motsvarar ingen bestämmelse i dataskyddsförordningen utan utgör snarast en utökning av den skyldighet att lämna information som föreskrivs i artikel 15 i dataskyddsförordningen. Bestämmelser som föreskriver att mer information än vad som krävs enligt dataskyddsförordningen ska lämnas kan enligt utredningens bedömning be-
hållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen i 8 kap. 5 § patientdatalagen behöver därmed inte ändras.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. De bemyndiganden som ges i bestämmelsen behöver därför inte ändras.
Information som ska lämnas självmant
Utredningens förslag: Krav på information till registrerade i
8 kap. 6 § patientdatalagen som motsvarar krav som finns i dataskyddsförordningen tas bort. Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls. Hänvisningen till patientdatalagens bestämmelse om skadestånd ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen. Bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.
Utredningens bedömning: Upplysningsbestämmelsen i 8 kap.
6 § sista stycket patientdatalagen bör vara kvar.
Enligt 8 kap. 6 § patientdatalagen ska den personuppgiftsansvarige se till att den registrerade får viss information om behandlingen av personuppgifter. Bestämmelsen i 8 kap. 6 § utgör en precisering av 25 § personuppgiftslagen, som anger vilken information som ska lämnas till den registrerade. I övrigt gäller bestämmelserna i 23–25 och 27 §§personuppgiftslagen om information som ska lämnas självmant. Detta eftersom personuppgiftslagens bestämmelser gäller om inget annat sägs i patientdatalagen.21
Utredningen har i avsnitt 9.15.1 redogjort för dataskyddsförordningens reglering av den personuppgiftsansvariges skyldighet att lämna information till den registrerade. Regleringen av vilken information den personuppgiftsansvarige ska lämna enligt patientdatalagen sammanfaller till stora delar med den i dataskyddsförord-
ningen. Informationsskyldigheten i patientdatalagen innebär dock att ett antal upplysningar som inte omfattas av dataskyddsförordningens reglering ska lämnas, nämligen den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras, rätten enligt 8 kap. 5 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit, rätten till skadestånd samt vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling. Det finns också krav på upplysningar som ska lämnas enligt dataskyddsförordningen som inte anges i patientdatalagen.
De bestämmelser i patientdatalagen som föreskriver att mer information än vad som krävs enligt dataskyddsförordningen ska lämnas kan, i enlighet med utredningens bedömning i avsnitt 9.15.1, behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.
Det har inte framkommit att det skulle innebära några beaktansvärda svårigheter för personuppgiftsansvariga att uppfylla de fåtaliga nyheter som dataskyddsförordningen innebär när det gäller den information som ska lämnas till den registrerade. Det finns därför, som anges i avsnitt 9.15.2, inte anledning att överväga en begränsning av de registrerades nya rättigheter.
Slutsatsen är alltså att vårdgivare ska lämna den information som följer av dataskyddsförordningen och den ytterligare information som ska lämnas enligt patientdatalagen. Detta bör regleras genom en bestämmelse i patientdatalagen som kompletterar och hänvisar till dataskyddsförordningens reglering på det sätt som anges i avsnitt 9.15.1. Hänvisningen till patientdatalagens bestämmelse om skadestånd, som utredningen i avsnitt 10.1.19 föreslår ska upphävas, måste dock ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen. Hänvisningen till dataskyddsförordningen bör vara av dynamisk karaktär, dvs. avse vid var tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig. De krav på att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör, i enlighet med utredningens bedömning i samma avsnitt, tas bort. Upplysningsbestämmelsen i 8 kap. 6 § sista stycket bör av tydlighetsskäl vara kvar, medan den generella regeln i första stycket om att den
som är personuppgiftsansvarig ska se till att den registrerade får information om behandlingen av personuppgifter kan tas bort, eftersom detta följer av dataskyddsförordningen och formuleringen att den personuppgiftsansvarige ska lämna viss angiven information utöver vad som framgår dataskyddsförordningen.
Om behandling av personuppgifter inom rättspsykiatrisk vård ska omfattas av patientdatalagen (se avsnitt 10.1.1), bör utformningen eller tillämpligheten av bestämmelsen, med hänvisningar till dataskyddsförordningen som inte gäller vid sådan behandling, övervägas i det fortsatta lagstiftningsarbetet.
Andra rättigheter för den enskilde
Utredningens förslag: Bestämmelsen i 8 kap. 7 § patientdata-
lagen kompletteras med en hänvisning till rättigheter enligt dataskyddsförordningen.
Utredningens bedömning: I övrigt kan bestämmelsen i 8 kap.
7 § patientdatalagen som upplyser om andra rättigheter för den enskilde behållas.
I 8 kap. 7 § patientdatalagen upplyses om att det i lagen finns föreskrifter om andra rättigheter för den enskilde i vissa andra bestämmelser. Eftersom det endast är en upplysningsbestämmelse, behöver någon prövning mot dataskyddsförordningen inte göras. Av tydlighetsskäl anser utredningen att bestämmelsen bör kompletteras med en upplysning om att det även finns bestämmelser i dataskyddsförordningen som reglerar den enskildes rättigheter.
10.1.18. Omhändertagande och återlämnande av patientjournaler
Utredningens bedömning: Bestämmelserna i 9 kap. patientdata-
lagen om omhändertagande och återlämnande av patientjournaler kan behållas.
Förfarandet vid omhändertagande och återlämnande av patientjournaler
Bestämmelserna i 9 kap. patientdatalagen är tillämpliga oavsett om patientjournalen förs automatiserat eller manuellt. Till den del bestämmelserna tillämpas på helt eller delvis automatiserad behandling eller manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register omfattas behandlingen av dataskyddsförordningens reglering. Patientjournaler kan enligt 9 kap. 1 § omhändertas av Inspektionen för vård och omsorg bl.a. om de riskerar att handhas på ett lagstridigt sätt. Patientjournalerna kan under vissa förutsättningar återlämnas enligt 9 kap. 2 §. Omhändertagna patientjournaler ska enligt 9 kap. 3 § förvaras avskilda hos arkivmyndigheten. Ett beslut om omhändertagande av patientjournaler får enligt 9 kap. 5 § verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet. Polismyndigheten kan hjälpa till att verkställa ett beslut om omhändertagande av patientjournaler.
Att personuppgifter ska behandlas på ett lagligt och korrekt sätt följer av principerna om laglighet och korrekthet i artikel 5.1 a i dataskyddsförordningen. Vidare följer av principerna om integritet och konfidentialitet i artikel 5.1 f i dataskyddsförordningen att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. Som angetts ovan i avsnitt 9.16.1 innehåller dataskyddsförordningen även ett antal bestämmelser som preciserar den personuppgiftsansvariges skyldighet att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder.
Några åtgärder som motsvarar de som anges i de nu berörda bestämmelserna i 9 kap. patientdatalagen finns inte i dataskyddsförordningen. Bestämmelserna kan dock sägas utgöra ett utflöde av de ovan nämnda principerna om integritet, konfidentialitet, laglighet och korrekthet. Bestämmelserna är i det närmaste att likna vid säkerhetsåtgärder, eftersom de syftar till att säkerställa att personuppgifter i patientjournaler behandlas i enlighet med de regler som gäller. Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de endast avser myndigheters behandling av personuppgifter. Bestämmelserna kan därmed behållas.
Bevarande av omhändertagna journaler
Utredningen har i avsnitt 9.17.2 kommit till den slutsatsen att bestämmelser i registerförfattningar om gallring och bevarande inte behöver ändras när den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen. Bestämmelsen om bevarande av omhändertagna journalhandlingar i 9 kap. 4 § patientdatalagen kan således behållas.
10.1.19. Skadestånd
Utredningens förslag: Bestämmelsen i 10 kap. 1 § patientdata-
lagen som hänvisar till personuppgiftslagens bestämmelse om skadestånd upphävs.
Bestämmelsen i 10 kap. 1 § patientdatalagen som hänvisar till personuppgiftslagens bestämmelse om skadestånd bör, i enlighet med vad utredningen kommit fram till i avsnitt 9.19.1, upphävas.
10.1.20. Överklagande
Utredningens förslag: Hänvisningen till personuppgiftslagens
bestämmelser om överklagande i 10 kap. 2 § patientdatalagen ersätts med en hänvisning till den föreslagna dataskyddslagen.
Utredningens bedömning: Bestämmelsen om överklagande i
10 kap. 2 § patientdatalagen kan i övrigt behållas.
Bestämmelser om överklagande finns i 10 kap. 2 § patientdatalagen. Av första stycket följer att Inspektionen för vård och omsorgs beslut om att avslå en ansökan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Av andra stycket följer att i fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket angående utlämnande av en journalhandling gäller i tillämpliga delar 6 kap.7–11 §§offentlighets- och sekretesslagen (2009:400). I tredje stycket upplyses om att vid sådan behandling av personuppgifter som avses i 1 kap. 4 §, dvs. behandling som är helt eller delvis automatiserad eller där uppgifterna ingår eller är avsedda att ingå i ett register, finns ytterligare bestämmelser om överklagande i 51–53 §§personuppgiftslagen. Övriga beslut enligt patientdatalagen får enligt fjärde stycket inte överklagas.
Hänvisningen till personuppgiftslagen i 10 kap. 2 § tredje stycket patientdatalagen bör, i enlighet med utredningens bedömning i avsnitt 9.20, ersättas med en hänvisning till den föreslagna dataskyddslagen. De övriga bestämmelserna om överklagande rör andra beslut än sådana som kan överklagas enligt dataskyddslagen och bör därför behållas.
10.2. Patientdataförordningen (2008:360)
Utredningens bedömning: Delegationsbestämmelserna i patient-
dataförordningen kan behållas.
Patientdataförordningen innehåller ett antal bestämmelser som ger Socialstyrelsen, i vissa fall efter samråd med Datainspektionen, eller Datainspektionen, ibland efter hörande av Socialstyrelsen, rätt att meddela ytterligare föreskrifter i frågor som berörs i patientdatalagen. Innehållet i de bestämmelser i patientdatalagen som föreskriftsrätten utgår från har ovan bedömts förenligt med dataskyddsförordningen. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på dessa områden eller att föreskriftsrätten delegeras. Bestämmelserna kan därmed behållas.
10.3. Förordningen (1985:796) med vissa bemyndiganden för Socialstyrelsen att meddela föreskrifter m.m.
Utredningens bedömning: De bestämmelser i förordningen
med vissa bemyndiganden för Socialstyrelsen att meddela föreskrifter m.m. som innebär att ytterligare föreskrifter får meddelas i frågor som regleras i patientdatalagen kan behållas.
Liksom i patientdataförordningen finns det i förordningen med vissa bemyndiganden för Socialstyrelsen att meddela föreskrifter m.m. delegationsbestämmelser som ger Socialstyrelsen rätt att meddela föreskrifter angående frågor som regleras i patientdatalagen (2008:355). Bestämmelserna finns i 2 § 4, 3 § 1 och 4 § 5. Innehållet i de bestämmelser i patientdatalagen som föreskriftsrätten utgår från har bedömts antingen förenligt med dataskyddsförordningen eller bedömts inte vara dataskyddsbestämmelser varför dataskyddsförordningen inte påverkar regleringen. Dataskyddsförordningen hindrar inte att föreskriftsrätten delegeras. Delegationsbestämmelserna kan därmed behållas.
10.4. Förordningen (2008:363) om provtagning för hivinfektion
Utredningens bedömning: Regleringen i förordningen om prov-
tagning för hivinfektion kan behållas.
I 3 kap. 6 § patientdatalagen finns det en uppräkning av vilka uppgifter en patientjournal ska innehålla. Bland annat ska enligt andra stycket 1 uppgift om patientens identitet anges i patientjournalen. Förordningen om provtagning för hivinfektion innehåller endast en bestämmelse som utgör ett undantag till den nämnda dokumentationsskyldigheten. Bestämmelsen, som innebär att identitetsuppgifter under vissa förutsättningar inte ska anges i en patientjournal, överensstämmer med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Medlemsstaterna får införa mer specifika bestämmelser i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen för behandling som sker med stöd av de rättsliga grunder som är aktuella vid tillämpning av patientdatalagen. Det är också möjligt att införa specifika bestämmelser som begränsar myndigheters behandling av personuppgifter. Överväganden kring behovet av att anteckna uppgifter i en patientjournal har gjorts vid tidigare lagstiftningsarbeten. Utredningen utgår från den bedömning som gjorts tidigare. Innehållet i förordningen om provtagning för hivinfektion kan och bör därmed vara kvar.
10.5. Apoteksdatalagen (2009:367)
10.5.1. Lagens tillämpningsområde
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om apoteksdatalagens tillämpningsområde i 1 §. Även bestämmelserna i 2 och 3 §§ kan behållas.
I avsnitt 9.5 har utredningen konstaterat att bestämmelser om tillämpningsområdet för registerförfattningarna inte påverkas av dataskyddsförordningen. Apoteksdatalagen innehåller i 1 § första stycket en bestämmelse om inom vilken verksamhet och på vilken behandling av personuppgifter lagen ska tillämpas. I 2 och 3 §§
finns definitioner och kompletterande bestämmelser som ytterligare preciserar tillämpningsområdet. Dessa bestämmelser kan alltså behållas.
I 1 § andra stycket apoteksdatalagen påminns om ändamålsbestämmelsen i 8 §. Då detta endast är en upplysningsbestämmelse behöver någon prövning mot dataskyddsförordningen inte göras.
10.5.2. Krav på behandling, hantering och förvaring
Utredningens bedömning: Bestämmelsen om krav på behand-
ling, hantering och förvaring i 4 § apoteksdatalagen påverkas inte av dataskyddsförordningen.
Bestämmelsen i 4 § apoteksdatalagen som anger att personuppgifter ska behandlas så att den enskildes integritet respekteras samt att personuppgifter ska hanteras så att obehöriga inte får tillgång till dem är ett uttryck för ett slags övergripande mål med regleringen. Bestämmelsen är därför i det närmaste att likna vid en bestämmelse om lagstiftningens syfte. Bestämmelsen påminner om syftesbestämmelsen i 1 kap. 2 § andra och tredje styckena patientdatalagen. Som framgått i avsnitt 9.4 påverkas inte sådana bestämmelser av dataskyddsförordningen.
10.5.3. Förhållandet till annan dataskyddsreglering
Utredningens förslag: I 5 § apoteksdatalagen införs en upplys-
ning om att lagen kompletterar dataskyddsförordningen.
Det ska också upplysas om att dataskyddslagen gäller, om inte annat följer av apoteksdatalagen eller föreskrifter som meddelats med stöd av den.
Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
10.5.4. Den enskildes inställning till behandling av personuppgifter
Utredningens bedömning: Bestämmelsen i 6 § apoteksdatalagen
om den enskildes inställning till behandlingen av personuppgifter kan och bör behållas.
Rätten att invända mot behandling av personuppgifter
Behandling av personuppgifter som är tillåten enligt apoteksdatalagen får enligt 6 § första stycket apoteksdatalagen utföras även om den enskilde motsätter sig behandlingen.
Den registrerade har enligt dataskyddsförordningen rätt att invända mot behandling av personuppgifter; detta under förutsättning att det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller om behandlingen sker med stöd av en intresseavvägning (se vidare avsnitt 9.15.1). Utredningen gör nedan i avsnitt 10.5.6 bedömningen att stora delar av den behandling av personuppgifter som utförs enligt apoteksdatalagen, sker för att fullgöra en rättslig förpliktelse. Eftersom dataskyddsförordningen inte ger den registrerade rätt att invända mot behandling som sker med stöd av den grunden, utgör bestämmelsen i 6 § första stycket apoteksdatalagen inte någon begränsning av den registrerades rätt att göra invändningar i förhållande till sådan behandling.
När det däremot gäller behandling som grundar sig på ett allmänt intresse måste, som anges i avsnitt 9.15.2, en bedömning göras av om begränsningen av rätten att göra invändningar uppfyller de krav som anges i artikel 23 i dataskyddsförordningen.
Bestämmelsen måste för det första utgöra en åtgärd i syfte att säkerställa något av de mål som anges i artikel 23.1 i dataskyddsförordningen. Ett av dessa mål gäller andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet (artikel 23.1 e). I avsnitt 9.8.2 har utredningen konstaterat att bedrivande av verksamhet inom bl.a. hälso-
och sjukvård inklusive den administration sådan verksamhet kräver, är ett sådant allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen. Enligt utredningens bedömning får därför även den behandling av personuppgifter som utförs av apoteken enligt apoteksdatalagen anses utgöra ett sådant generellt allmänt intresse.
För det andra måste åtgärden att begränsa rätten att göra invändningar ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Att göra den behandling av personuppgifter som behövs i apotekens verksamhet enligt apoteksdatalagen beroende av den registrerades inställning skulle hindra apoteken från att bedriva arbetet på ett effektivt och patientsäkert sätt. Utredningen gör mot den bakgrunden bedömningen att en begränsning av rätten att invända mot behandling är en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett generellt mål av allmänt intresse. Begränsningen strider inte heller mot andemeningen i de grundläggande rättigheterna och friheterna.
En begränsning av rätten att göra invändningar måste också uppfylla kraven i artikel 23.2 i dataskyddsförordningen på vilka bestämmelser som den lagstiftning som begränsar den registrerades rättigheter ska innehålla. Utredningen bedömer att bestämmelser med det innehåll som krävs, i den mån det är relevant, redan finns i apoteksdatalagen.
Det är sammantaget enligt utredningens bedömning möjligt att begränsa möjligheten att göra invändningar mot behandling av personuppgifter på det sätt som regleras i 6 § första stycket apoteksdatalagen.
Samtycke som grund för behandlingen
Behandling av personuppgifter som inte är tillåten enligt apoteksdatalagen får enligt 6 § andra stycket apoteksdatalagen ändå utföras, om den enskilde har lämnat ett uttryckligt samtycke till behandlingen.
Någon ny avvägning angående lämpligheten i att grunda en behandling av personuppgifter på samtycke behöver i enlighet med den bedömning som gjorts i avsnitt 9.10.2 inte göras. Bestämmelsen om
behandling av personuppgifter med stöd av den enskildes samtycke kan därför behållas.
10.5.5. Personuppgiftsansvar
Utredningens bedömning: Bestämmelsen om personuppgifts-
ansvar i 7 § apoteksdatalagen kan och bör behållas.
Som framgår av avsnitt 9.7 behöver bestämmelser om vem som är personuppgiftsansvarig inte ändras med anledning av dataskyddsförordningen. Bestämmelsen i 7 § apoteksdatalagen kan och bör därför behållas.
10.5.6. Ändamål och grund för behandling av personuppgifter
Utredningens förslag: Hänvisningen i 9 § apoteksdatalagen till
personuppgiftslagens bestämmelse om finalitetsprincipen tas bort. I stället hänvisas till artikel 5.1 b i dataskyddsförordningen som ger uttryck för finalitetsprincipen.
Utredningens bedömning: Ändamålsbestämmelserna i 8 § första
stycket apoteksdatalagen uppfyller de krav som gäller enligt dataskyddsförordningen och kan behållas. Även kravet på samtycke och förbudet mot att i vissa fall redovisa uppgifter som kan hänföras till en enskild person kan behållas.
I 8 § första stycket apoteksdatalagen anges de ändamål för vilka behandling av personuppgifter får ske inom lagens tillämpningsområde. Personuppgifter får behandlas bl.a. om det är nödvändigt för expediering av förordnade läkemedel m.m. och åtgärder i anslutning till expedieringen. Expedieringen styrs av regleringen i bl.a. läkemedelslagen (2015:315) och lagen (2002:160) om läkemedelsförmåner m.m., som innebär vissa skyldigheter, samt föreskrifter meddelade med stöd av denna lagstiftning. Behandling som sker för ändamålet att expediera läkemedel kan därför enligt utredningens bedömning till viss del sägas vara nödvändig för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen.
Även behandling av personuppgifter för ändamålen redovisning av uppgifter till E-hälsomyndigheten, hantering av reklamationer och indragningar, administrering av delbetalning av läkemedel och varor som omfattas av lagen om läkemedelsförmåner m.m., redovisning av uppgifter till Inspektionen för vård och omsorg och Läkemedelsverket för deras tillsyn, rapportering till förskrivare om utbyte av läkemedel enligt 21 § fjärde stycket lagen om läkemedelsförmåner m.m., systematisk och fortlöpande utveckling och säkerställande av öppenvårdsapotekens kvalitet samt administration, planering, uppföljning och utvärdering av öppenvårdsapotekens verksamhet och framställning av statistik får huvudsakligen anses ske på grund av rättsliga förpliktelser enligt artikel 6.1 c i dataskyddsförordningen.
Sådan behandling av personuppgifter som sker för de ovan uppräknade ändamålen men som inte kan hänföras till en rättslig skyldighet får, i enlighet med vad utredningen konstaterat i avsnitt 9.8.3, anses nödvändig för att fullgöra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Samma sak gäller behandling av personuppgifter som är nödvändig för administrering av fullmakter att hämta ut läkemedel, hälsorelaterad kundservice och att kunna lämna recept eller blankett till konsumenten.
I enlighet med vad utredningen konstaterat i avsnitt 9.10.1 krävs ingen ytterligare analys av vilket stöd redan befintliga ändamål har i dataskyddsförordningen. De krav på den rättsliga grunden för behandlingen som tillkommit i artikel 6.3 i dataskyddsförordningen får i enlighet med vad utredningen konstaterat i samma avsnitt anses uppfyllda utan vidare analys när det gäller ändamål som är reglerade sedan tidigare. Behandling för de ändamål som anges i 8 § första stycket apoteksdatalagen är alltså laglig enligt dataskyddsförordningen och de befintliga ändamålen kan och bör därmed behållas.
Krav på samtycke och förbud att redovisa uppgifter
Av 8 § andra stycket apoteksdatalagen följer att behandling av personuppgifter för vissa av de angivna ändamålen inte får omfatta någon annan än den som har lämnat sitt samtycke till behandlingen.
Eftersom ändamålen med behandlingen grundar sig på artikel 6.1 c eller e i dataskyddsförordningen (rättslig förpliktelse och
arbetsuppgift av allmänt intresse), får bestämmelsen, i enlighet med vad som anges i avsnitt 9.10.2, anses tillåten såsom en precisering enligt artikel 6.3 i dataskyddsförordningen. Kravet på samtycke i 8 § andra stycket apoteksdatalagen är således enligt utredningens bedömning lika förenligt med dataskyddsförordningens reglering som med dataskyddsdirektivets och kan därmed behållas.
I 8 § tredje stycket apoteksdatalagen anges att uppgifter som kan hänföras till en enskild person inte får redovisas när behandling sker för vissa uppräknade ändamål. Bestämmelsen stämmer överens med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Medlemsstaterna tillåts, som framgår av avsnitt 9.3, att införa mer specifika bestämmelser i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Överväganden kring vilka uppgifter som behöver redovisas har gjorts vid tidigare lagstiftningsarbeten och utredningen utgår från dessa bedömningar. Innehållet i bestämmelserna behöver därmed inte ändras.
Finalitetsprincipen
I 9 § apoteksdatalagen finns en hänvisning till 9 § första stycket d och andra stycket personuppgiftslagen. Hänvisningen innebär att den s.k. finalitetsprincipen, dvs. att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, gäller. Hänvisningen innebär vidare att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Som anges i avsnitt 9.10.3 kan registerförfattningar även fortsättningsvis, i syfte att förtydliga att de uppräknade ändamålen inte är uttömmande, innehålla bestämmelser med innebörden att behandling av personuppgifter för andra ändamål som inte strider mot finalitetsprincipen är tillåten. Eftersom personuppgiftslagen kommer att upphöra att gälla, bör bestämmelsen utformas i enlighet med vad som anges i det avsnittet.
10.5.7. Känsliga personuppgifter och uppgifter om lagöverträdelser
Utredningens förslag: Apoteksdatalagen kompletteras med en
bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
Utredningens bedömning: Behandling av känsliga personupp-
gifter och uppgifter om lagöverträdelser inom apoteksdatalagens tillämpningsområde kan alltjämt ske med stöd av ändamålsbestämmelserna i apoteksdatalagen.
Apoteksdatalagen innehåller inte några särskilda bestämmelser om behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser utan ändamålsbestämmelserna tillåter nödvändig behandling av alla slags personuppgifter för de angivna ändamålen. Behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser sker således med stöd av ändamålsbestämmelserna i apoteksdatalagen.
I avsnitt 9.11.4 redogör utredningen för vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter vid hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Utredningen gör, särskilt mot bakgrund av den omfattande uppräkningen av vad som innefattas i förvaltning av hälso- och sjukvårdstjänster i skäl 53 till dataskyddsförordningen och det förhållandet att personalen på apotek omfattas av samma tystnadsplikt som personalen vid vårdinrättningar, bedömningen att den verksamhet som apoteksdatalagen omfattar ryms inom undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Apoteksdatalagens reglering är därmed förenlig med dataskyddsförordningen.
Som anges i avsnitt 9.11.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i apoteksdatalagen. Apotekspersonal har redan tystnadsplikt enligt patientsäkerhetslagen (2010:659).22
22 6 kap. 12 § jämförd med 1 kap. 4 § patientsäkerhetslagen.
Eftersom känsliga personuppgifter får behandlas under samma förutsättningar som andra personuppgifter, påverkar det inte apoteksdatalagens reglering att det, som anges i avsnitt 9.11.6, har tillkommit nya kategorier av känsliga personuppgifter.
Ändamålsbestämmelserna i apoteksdatalagen tillåter enskilda att behandla uppgifter om lagöverträdelser. Bestämmelser som tillåter enskilda att behandla uppgifter om lagöverträdelser är, i enlighet med den bedömning som redovisas i avsnitt 9.12, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet.
10.5.8. Säkerhetsåtgärder
Utredningens bedömning: Bestämmelserna i 10, 11, 12 och
13 §§apoteksdatalagen om sökbegränsningar, utlämnande på medium för automatiserad behandling, behörighetstilldelning och åtkomstkontroll kan behållas.
Apoteksdatalagen innehåller i 10, 11, 12 och 13 §§ bestämmelser om sökbegränsningar, utlämnande på medium för automatiserad behandling, behörighetstilldelning och åtkomstkontroll. Som anges i avsnitt 9.16.2 utgör sådana bestämmelser säkerhetsåtgärder enligt dataskyddsförordningen. Enligt den bedömning utredningen har gjort är bestämmelser om säkerhetsåtgärder sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse enligt artikel 6.1 c och e i dataskyddsförordningen. Bestämmelserna i 10, 11, 12 och 13 §§apoteksdatalagen behöver således, i enlighet med vad som anges i avsnitt 9.16.2, inte ändras med anledning av dataskyddsförordningen.
Vissa av de nu berörda bestämmelserna innehåller bemyndiganden för regeringen, eller den myndighet regeringen bestämmer, att meddela ytterligare föreskrifter. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på dessa områden och inte heller att föreskriftsrätten delegeras. De bemyndiganden som ges i bestämmelserna behöver därför inte ändras.
10.5.9. Gallring
Utredningens bedömning: Bestämmelsen om bevarande i 14 §
apoteksdatalagen kan behållas.
Utredningen har i avsnitt 9.17.2 kommit till slutsatsen att bestämmelser i registerförfattningar om gallring och bevarande inte behöver ändras under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen. Bestämmelsen i 14 § apoteksdatalagen kan därmed behållas.
10.5.10. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 15 § apoteksdatalagen
som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.
Bestämmelsen i 15 § apoteksdatalagen som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd bör, i enlighet med vad utredningen kommit fram till i avsnitt 9.15.1 och 9.19.1, upphävas.
10.5.11. Information som ska lämnas självmant
Utredningens förslag: Krav på information till registrerade i 16 §
apoteksdatalagen som motsvarar krav som finns i dataskyddsförordningen tas bort. Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls. Hänvisningen till apoteksdatalagens bestämmelse om skadestånd ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen. Bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.
Enligt 16 § apoteksdatalagen ska den personuppgiftsansvarige se till att den registrerade får viss information om behandlingen av personuppgifter. Bestämmelsen är en precisering av personuppgiftslagens informationsbestämmelser. I övrigt gäller alltså bestämmelserna om information i 23–27 §§personuppgiftslagen.
Utredningen har i avsnitt 9.15.1 redogjort för vilken information den personuppgiftsansvarige är skyldig att lämna till den registrerade enligt dataskyddsförordningen. Flera av de upplysningar som den personuppgiftsansvarige ska ta med i informationen enligt apoteksdatalagen motsvaras av informationsskyldigheten i dataskyddsförordningen. I apoteksdatalagen anges dock ett antal upplysningar som inte omfattas av dataskyddsförordningens reglering, nämligen upplysningar om den uppgiftsskyldighet som kan följa av lag eller förordning, de tystnadsplikts- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten till skadestånd samt vad som gäller i fråga om sökbegrepp. Informationsskyldigheten enligt dataskyddsförordningen innebär å sin sida krav på att informationen ska innehålla vissa upplysningar som inte följer av apoteksdatalagens reglering.
De bestämmelser i apoteksdatalagen som föreskriver att mer information ska lämnas än vad som krävs enligt dataskyddsförordningen kan, i enlighet med den bedömning utredningen har gjort i avsnitt 9.15.1, behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen. Att uppfylla de få tillkommande kraven på information till den registrerade som föreskrivs i dataskyddsförordningen kan inte anses medföra några särskilda olägenheter för den personuppgiftsansvarige. Det finns därför, som anges i avsnitt 9.15.2, inte anledning att överväga en begränsning av rätten att få denna information.
Den personuppgiftsansvarige bör alltså vara skyldig att lämna såväl den information som följer av dataskyddsförordningen som den ytterligare information som ska lämnas enligt apoteksdatalagen. Detta bör regleras genom att 16 § apoteksdatalagen kompletterar och hänvisar till dataskyddsförordningens reglering på det sätt som anges i avsnitt 9.15.1. Hänvisningen till apoteksdatalagens bestämmelse om skadestånd, som utredningen i avsnitt 10.5.10 föreslår ska upphävas, bör ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen. Hänvisningen till dataskyddsförordningen bör vara av dyna-
misk karaktär, dvs. avse vid var tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig. De krav i apoteksdatalagen som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort.
Även den generella regeln i 16 § första stycket apoteksdatalagen om att den som är personuppgiftsansvarig ska se till att den registrerade får information om behandlingen av personuppgifter kan tas bort, eftersom detta följer av dataskyddsförordningen och formuleringen om att den personuppgiftsansvarige ska lämna viss angiven information utöver vad som framgår av dataskyddsförordningen.
10.6. Apoteksdataförordningen (2009:624)
Utredningens bedömning: Delegationsbestämmelserna i apoteks-
dataförordningen kan behållas.
I apoteksdataförordningen finns det bestämmelser som innebär att Datainspektionen får meddela vissa föreskrifter kopplade till apoteksdatalagen. Utredningen har i föregående avsnitt gjort bedömningen att de bestämmelser i apoteksdatalagen som föreskriftsrätten hänför sig till är förenliga med dataskyddsförordningen. Dataskyddsförordningen hindrar inte att föreskrifter meddelas inom dessa områden eller att föreskriftsrätten delegeras. Bestämmelserna kan därmed behållas.
10.7. Lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel
10.7.1. Lagens tillämpningsområde
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om tillämpningsområdet i 1 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel. Även bestämmelserna i 2 och 3 §§ kan behållas.
I avsnitt 9.5 har utredningen konstaterat att bestämmelser om tillämpningsområdet för registerförfattningarna inte påverkas av dataskyddsförordningen. I 1 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel finns det en bestämmelse om på vilken verksamhet och behandling av personuppgifter lagen ska tillämpas. I 223 och 3 §§ anges vissa definitioner som kompletterar bestämmelsen om lagens tillämpningsområde. Dessa bestämmelser kan alltså behållas.
10.7.2. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 4 § lagen om behandling
av personuppgifter i ärenden om licens för läkemedel ska innehålla en upplysning om att lagen kompletterar dataskyddsförordningen.
Det ska också upplysas om att dataskyddslagen gäller, om inte annat följer av lagen om behandling av personuppgifter i ärenden om licens för läkemedel eller föreskrifter som meddelats med stöd av den.
Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
10.7.3. Krav på behandling
Utredningens bedömning: Bestämmelsen om krav på behand-
ling i 5 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel påverkas inte av dataskyddsförordningen.
I 5 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel anges att personuppgifter ska behandlas så att den enskildes personliga integritet respekteras och att personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. Bestämmelsen är ett uttryck för ett slags övergripande mål med
23 I Ds 2017:14 föreslås en ändring av 2 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel träda i kraft den 1 juli 2018.
regleringen och är därför i det närmaste att likna vid en bestämmelse om lagstiftningens syfte. Bestämmelsen påminner om den bestämmelse som anger syftet i 1 kap. 2 § andra och tredje styckena patientdatalagen (2008:355). Som framgått i avsnitt 9.4 påverkas inte sådana bestämmelser av dataskyddsförordningen.
10.7.4. Rätten att invända mot behandling av personuppgifter
Utredningens bedömning: Bestämmelsen i 6 § lagen om be-
handling av personuppgifter i ärenden om licens för läkemedel, som innebär att behandling av personuppgifter får utföras även om den registrerade motsätter sig det, kan och bör behållas.
Behandling av personuppgifter som är tillåten enligt lagen om behandling av personuppgifter i ärenden om licens för läkemedel får enligt 6 § utföras även om den enskilde motsätter sig behandlingen.
Bestämmelsen begränsar den registrerades rätt att göra invändningar mot behandling av personuppgifter enligt artikel 21.1 i dataskyddsförordningen när det gäller behandling som grundar sig på artikel 6.1 e (allmänt intresse och myndighetsutövning). Utredningen gör nedan i avsnitt 10.7.6 bedömningen att stora delar av den behandling av personuppgifter som sker enligt lagen stödjer sig på dessa grunder. Som anges i avsnitt 9.15.2 måste därför en bedömning göras av om begränsningen av rätten att göra invändningar uppfyller de krav som anges i artikel 23 i dataskyddsförordningen.
Ett av kraven är att begränsningen måste utgöra en åtgärd i syfte att säkerställa något av de mål som anges i artikel 23.1 i dataskyddsförordningen. Målet i punkten e gäller andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. Som anges i avsnitt 9.15.2 reglerar registerförfattningar normalt behandling av personuppgifter som rör sådana viktiga mål av generellt allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen. I avsnitt 9.8.2 har utredningen konstaterat att bedrivande av verksamhet inom bl.a. hälso- och sjukvård inklusive den administration dessa verksamheter kräver, är ett så-
dant allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen. Detsamma får anses gälla för den verksamhet som bedrivs med stöd av lagen om behandling av personuppgifter i ärenden om licens för läkemedel. Syftet med införandet av den kommunikationslösning där sådana uppgifter som lagen ska tillämpas på behandlas var att hanteringen av personuppgifter vid ansökan om licens skulle hanteras på ett säkrare sätt än vad som gällde tidigare.24 För att tillgodose en säker hantering av personuppgifterna krävs det alltså att de hanteras elektroniskt. Enligt utredningens bedömning får mot denna bakgrund begränsningen av den registrerades rätt att invända mot behandling av personuppgifter som utförs enligt lagen om behandling av personuppgifter i ärenden om licens för läkemedel anses utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. Begränsningen strider inte heller mot andemeningen i de grundläggande rättigheterna och friheterna.
En begränsning av rätten att göra invändningar måste uppfylla kraven i artikel 23.2 i dataskyddsförordningen på bestämmelser som den lagstiftning som begränsar den registrerades rättigheter ska innehålla. Utredningen bedömer att bestämmelser med det innehåll som krävs, i den mån det är relevant, redan finns i lagen om behandling av personuppgifter i ärenden om licens för läkemedel.
Det är sammantaget enligt utredningens bedömning möjligt att begränsa möjligheten att göra invändningar mot behandling av personuppgifter på det sätt som regleras i 6 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel.
10.7.5. Personuppgiftsansvar
Utredningens bedömning: Bestämmelsen om personuppgifts-
ansvar i 7 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel kan och bör behållas.
Som framgått av avsnitt 9.7 behöver bestämmelser om vem som är personuppgiftsansvarig inte ändras med anledning av dataskyddsförordningen. Bestämmelsen i 7 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel kan och bör därför behållas.
10.7.6. Ändamål och grund för behandling av personuppgifter
Utredningens förslag: Hänvisningen till personuppgiftslagens
bestämmelse om finalitetsprincipen i 9 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel tas bort. I stället hänvisas till artikel 5.1 b i dataskyddsförordningen som ger uttryck för finalitetsprincipen.
Utredningens bedömning: Ändamålsbestämmelserna i 8 § lagen
om behandling av personuppgifter i ärenden om licens för läkemedel uppfyller de krav som gäller enligt dataskyddsförordningen och kan och bör därmed behållas.
I 8 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel anges för vilka ändamål personuppgifter får behandlas inom lagens tillämpningsområde. Personuppgifter får behandlas om det är nödvändigt för att Läkemedelsverket ska kunna fatta beslut i ärenden om ansökan om licens och bevara uppgifter i sådana beslut. Personuppgifter får även behandlas om det är nödvändigt för E-hälsomyndighetens hantering av uppgifter i ärenden om ansökan av licens när myndigheten förmedlar uppgifter mellan olika aktörer. Dessa ändamål, som framgår av punkterna 1, 3 och 4, grundar sig på utförandet av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e i dataskyddsförordningen. Personuppgifter får utöver detta enligt punkterna 2 och 5 behandlas om det är nödvändigt för att Läkemedelsverket och E-hälsomyndigheten ska kunna lämna ut de uppgifter som anges i 12–15 §§. De nämnda paragraferna reglerar skyldigheter att lämna uppgifter och ändamålen grundar sig därmed på rättsliga förpliktelser enligt artikel 6.1 c i dataskyddsförordningen.
Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte, som framgår av avsnitt 9.10.1. De
krav på den rättsliga grunden för behandlingen som tillkommit i artikel 6.3 i dataskyddsförordningen får i enlighet med vad utredningen konstaterat i samma avsnitt anses uppfyllda utan vidare analys när det gäller ändamål som är reglerade sedan tidigare. Behandling för de ändamål som anges i 8 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel är alltså laglig enligt dataskyddsförordningen och de befintliga ändamålen kan och bör därmed behållas.
Finalitetsprincipen
I 9 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel finns det en hänvisning till den s.k. finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen. Det innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in samt att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Som anges i avsnitt 9.10.3 kan registerförfattningar i förtydligande syfte även fortsättningsvis innehålla bestämmelser med innebörden att behandling av personuppgifter för andra ändamål som inte strider mot finalitetsprincipen är tillåten. Bestämmelsen bör på grund av personuppgiftslagens upphörande utformas i enlighet med vad som anges i det avsnittet.
10.7.7. Känsliga personuppgifter
Utredningens förslag: Lagen om behandling av personuppgifter
i ärenden om licens för läkemedel kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
Utredningens bedömning: Behandling av känsliga personupp-
gifter kan alltjämt ske med stöd av ändamålsbestämmelserna i lagen om behandling av personuppgifter i ärenden om licens för läkemedel.
Lagen om behandling av personuppgifter i ärenden om licens för läkemedel innehåller inte bestämmelser som särskilt tar sikte på behandling av känsliga personuppgifter utan ändamålsbestämmelserna tillåter nödvändig behandling av alla slags personuppgifter för de angivna ändamålen. Eftersom känsliga personuppgifter får behandlas under samma förutsättningar som andra personuppgifter, påverkas inte regleringen av att det har tillkommit nya kategorier av känsliga personuppgifter.
I avsnitt 9.11.4 redogör utredningen för vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter vid hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Utredningen gör, särskilt mot bakgrund av den omfattande uppräkningen av vad som innefattas i förvaltning av hälso- och sjukvårdstjänster i skäl 53 till dataskyddsförordningen, bedömningen att den verksamhet som omfattas av lagen om behandling av personuppgifter i ärenden om licens för läkemedel ryms inom undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Regleringen är således förenlig med dataskyddsförordningen.
Som anges i avsnitt 9.11.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i lagen om behandling av personuppgifter i ärenden om licens för läkemedel. Personalen vid Läkemedelsverket och E-hälsomyndigheten omfattas av bestämmelser om tystnadsplikt enligt bl.a. 25 kap. 1 § respektive 25 kap. 17 a § offentlighets- och sekretesslagen (2009:400).
10.7.8. Säkerhetsåtgärder
Utredningens bedömning: Bestämmelserna i 10, 11, 16, 17 och
18 §§ lagen om behandling av personuppgifter i ärenden om licens för läkemedel om sökbegränsningar, direktåtkomst, behörighetstilldelning och åtkomstkontroll kan behållas.
I 10, 11, 16, 17 och 18 §§ lagen om behandling av personuppgifter i ärenden om licens för läkemedel finns det bestämmelser om sökbegränsningar, utlämnande på medium för automatiserad behandling, direktåtkomst, behörighetstilldelning och åtkomstkontroll. Som framgår av avsnitt 9.16.2 utgör detta olika former av säkerhetsåtgärder enligt dataskyddsförordningen. Krav på säkerhetsåtgärder för myndigheter behöver inte, i enlighet med vad utredningen konstaterat i avsnitt 9.16.2, ändras med anledning av att dataskyddsförordningen börjar tillämpas. Bestämmelserna får också anses vara sådana mer specifika, eller särskilda, bestämmelser som är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen när det gäller reglering av behandling som grundar sig på en rättslig förpliktelse eller arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Bestämmelserna i 10, 11, 16, 17 och 18 §§ lagen om behandling av personuppgifter i ärenden om licens för läkemedel kan därför behållas.
Några av de nu berörda bestämmelserna innehåller en rätt för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter. Dataskyddsförordningen hindrar inte att föreskrifter meddelas inom dessa områden eller att föreskriftsrätten delegeras. Bemyndigandena i de nu berörda bestämmelserna kan därmed behållas.
10.7.9. Uppgiftsskyldigheter
Utredningens bedömning: Bestämmelserna som reglerar upp-
giftsskyldigheter i 12–15 §§ lagen om behandling av personuppgifter i ärenden om licens för läkemedel kan behållas.
I 12–15 §§ lagen om behandling av personuppgifter i ärenden om licens för läkemedel finns det bestämmelser om skyldighet för Läkemedelsverket och E-hälsomyndigheten att lämna ut vissa uppgifter till varandra, apotekspersonal och den som är behörig att förordna läkemedel. Som anges i avsnitt 9.21 är det utredningens bedömning att bestämmelser om uppgiftsskyldighet är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna om uppgiftsskyldighet påverkas således inte av dataskyddsförordningen. Vid fullgörandet av uppgiftsskyldigheten måste dock den personuppgiftsansvarige iaktta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
10.7.10. Gallring
Utredningens bedömning: Bestämmelsen om gallring i 19 §
lagen om behandling av personuppgifter i ärenden om licens för läkemedel kan behållas.
I avsnitt 9.17.2 har utredningen gjort bedömningen att bestämmelser i registerförfattningar om gallring och bevarande inte behöver ändras om den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Bestämmelsen om gallring i 19 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel kan därmed behållas.
10.7.11. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 20 § lagen om behand-
ling av personuppgifter i ärenden om licens för läkemedel som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.
Bestämmelsen i 20 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Sådana bestämmelser
bör, i enlighet med utredningens slutsats i avsnitt 9.15.1 och 9.19.1, upphävas.
10.7.12. Information som ska lämnas självmant
Utredningens förslag: Krav på information till registrerade i
21 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel som motsvarar krav som finns i dataskyddsförordningen tas bort. Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls. Hänvisningen till bestämmelsen om skadestånd i lagen om behandling av personuppgifter i ärenden om licens för läkemedel ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen. Bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.
I 21 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel regleras vilken information den personuppgiftsansvarige ska lämna till den registrerade. Bestämmelsen är en precisering av de bestämmelser om information som finns i personuppgiftslagen. I övrigt gäller alltså personuppgiftslagens bestämmelser om information i 23–27 §§ vid behandling som sker enligt lagen om behandling av personuppgifter i ärenden om licens för läkemedel.
I avsnitt 9.15.1 har utredningen redogjort för dataskyddsförordningens reglering av den personuppgiftsansvariges skyldighet att lämna information till den registrerade. Informationsskyldigheten enligt dataskyddsförordningen omfattar flera av de upplysningar som den personuppgiftsansvarige ska ta med i informationen enligt lagen om behandling av personuppgifter i ärenden om licens för läkemedel. Bestämmelsen i lagen om behandling av personuppgifter i ärenden om licens för läkemedel omfattar dock även upplysningar som inte ingår i informationsskyldigheten enligt dataskyddsförordningen, nämligen upplysning om den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten till skadestånd samt vad som gäller i fråga om sökbegränsningar. Enligt dataskyddsförordningen ska informationen vidare omfatta vissa upp-
lysningar som inte framgår av lagen om behandling av personuppgifter i ärenden om licens för läkemedel.
Bestämmelserna i lagen om behandling av personuppgifter i ärenden om licens för läkemedel som innebär att mer information ska lämnas än vad som krävs enligt dataskyddsförordningens reglering kan, i enlighet med den bedömning utredningen har gjort i avsnitt 9.15.1, behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen. Det kan inte anses innebära några särskilda svårigheter för den personuppgiftsansvarige att uppfylla de få nya kraven på information till den registrerade som föreskrivs i dataskyddsförordningen. Det saknas därför, som anges i avsnitt 9.15.2, skäl att överväga en begränsning av den registrerades rätt till information.
Den personuppgiftsansvarige bör alltså lämna såväl den information som följer av dataskyddsförordningen som den information som ska lämnas enligt lagen om behandling av personuppgifter i ärenden om licens för läkemedel. Bestämmelsen i 21 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel bör på sätt som anges i avsnitt 9.15.1 komplettera och hänvisa till dataskyddsförordningens reglering. Hänvisningen till bestämmelsen om skadestånd i lagen om behandling av personuppgifter i ärenden om licens för läkemedel, som utredningen i avsnitt 10.7.11 föreslår ska upphävas, bör ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen. Hänvisningen till dataskyddsförordningen bör vara av dynamisk karaktär, dvs. avse vid var tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig. De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort. Även det som anges i 21 § första stycket om att den som är personuppgiftsansvarig ska se till att den registrerade får information om behandlingen av personuppgifter kan tas bort, eftersom detta följer av dataskyddsförordningen och den föreslagna formuleringen om att den personuppgiftsansvarige också ska lämna viss ytterligare information utöver vad som framgår av dataskyddsförordningen.
10.8. Förordningen (2016:533) om behandling av personuppgifter i ärenden om licens för läkemedel
Utredningens bedömning: Delegationsbestämmelserna i förord-
ningen om behandling av personuppgifter i ärenden om licens för läkemedel kan behållas.
I förordningen om behandling av personuppgifter i ärenden om licens för läkemedel finns bestämmelser som ger Datainspektionen viss föreskriftsrätt. De bestämmelser i förordningen om behandling av personuppgifter i ärenden om licens för läkemedel som föreskriftsrätten utgår från har utredningen i avsnittet ovan bedömt förenliga med dataskyddsförordningen. Dataskyddsförordningen utgör inte hinder mot att föreskriftsrätten delegeras. Bestämmelserna i förordningen om behandling av personuppgifter i ärenden om licens för läkemedel kan därmed behållas.
10.9. Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
10.9.1. Lagens tillämpningsområde
Utredningens förslag: Lagen om behandling av personuppgifter
inom socialtjänsten kompletteras med en bestämmelse som innebär att lagen inte ska tillämpas vid sådan behandling av personuppgifter som omfattas av den föreslagna brottsdatalagen.
Utredningens bedömning: Det krävs inga förändringar av
tillämpningsområdet enligt 1–3 §§ lagen om behandling av personuppgifter inom socialtjänsten med anledning av dataskyddsförordningen.
Lagen om behandling av personuppgifter inom socialtjänsten ska enligt 1 § tillämpas vid behandling av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad
samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier. Med socialtjänst avses sådan verksamhet som anges i 2 § oavsett om verksamheten bedrivs av myndigheter eller enskilda.25 Genom 3 § undantas viss verksamhet från lagens tillämpningsområde.
I avsnitt 9.5 har utredningen konstaterat att bestämmelser i registerförfattningar om vilka typer av behandlingar och vilka uppgifter författningen ska tillämpas på inte i sig påverkas av dataskyddsförordningen. Lagen om behandling av personuppgifter inom socialtjänsten kan därför även fortsättningsvis tillämpas på samma typer av behandlingar och uppgifter som i dag.
Viss verksamhet som anges i 2 § lagen om behandling av personuppgifter inom socialtjänsten innebär verkställighet av vårdpåföljder. Som exempel kan nämnas att en domstol överlämnar någon som har dömts för brott till vård enligt lagen (1988:870) om vård av missbrukare i vissa fall. Även ungdomsvård och ungdomstjänst utgör påföljder som verkställs inom socialtjänsten. Detsamma gäller den verksamhet som bedrivs av Statens institutionsstyrelse i fråga om verkställighet av sluten ungdomsvård. Behandling av personuppgifter som sker i syfte att verkställa straffrättsliga påföljder omfattas, i enlighet med vad som framgår av avsnitt 9.5, inte av dataskyddsförordningen, utan av det nya dataskyddsdirektivet.
Att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt ingår i det uppdrag regeringen gett Utredningen om 2016 års dataskyddsdirektiv,26 som för detta ändamål har föreslagit en ny brottsdatalag.27 Behandling av personuppgifter som sker i samband med verkställighet av de vårdpåföljder som nämnts ovan omfattas av den föreslagna brottsdatalagens tillämpningsområde.28Brottsdatalagen ska dock enligt den föreslagna 1 kap. 5 § inte gälla om det finns avvikande bestämmelser i annan lag eller förordning. Det ingår inte i utredningens uppdrag att göra anpassningar av registerförfattningar inom Socialdepartementets verksamhetsområde för att regleringen ska leva upp till det nya dataskyddsdirektivet. Enligt Utredningen om 2016 års dataskyddsdirektiv, som utredningen samrått med, bör med hänsyn till det nya dataskyddsdirektivet den
25Prop. 2000/01:80 s. 135–137. 26 Dir. 2016:21. 27SOU 2017:29. 28SOU 2017:29 s. 221 och 225.
föreslagna brottsdatalagen och inte lagen om behandling av personuppgifter inom socialtjänsten vara tillämplig på behandling av personuppgifter som sker i samband med verkställighet av vårdpåföljder. Utredningen godtar den bedömningen och föreslår en bestämmelse i 3 § lagen om behandling av personuppgifter inom socialtjänsten som undantar sådan behandling av personuppgifter som omfattas av den föreslagna brottsdatalagen från tillämpningsområdet för lagen om behandling av personuppgifter inom socialtjänsten.
Dataskyddsförordningen föranleder inte någon ändring av tillämpningsområdet för lagen om behandling av personuppgifter inom socialtjänsten.
10.9.2. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 4 § lagen om behandling
av personuppgifter inom socialtjänsten ska innehålla en upplysning om att lagen kompletterar dataskyddsförordningen.
Det ska också anges att dataskyddslagen gäller, om inte annat följer av lagen om behandling av personuppgifter inom socialtjänsten eller föreskrifter som har meddelats med stöd av den.
Bestämmelsen i 4 § lagen om behandling av personuppgifter inom socialtjänsten, om förhållandet till annan lagstiftning, bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
10.9.3. Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Bestämmelserna i 6 § första och
andra stycket lagen om behandling av personuppgifter inom socialtjänsten om för vilka ändamål personuppgifter får behandlas är förenliga med dataskyddsförordningen och bör inte ändras.
Bestämmelsen i 6 § första stycket lagen om behandling av personuppgifter inom socialtjänsten anger att personuppgifter får behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. Arbetsuppgifter inom socialtjänsten är, i enlighet med vad utredningen konstaterat i avsnitt 9.8.2,
arbetsuppgifter av allmänt intresse, vilket innebär att behandlingen har stöd i artikel 6.1 e i dataskyddsförordningen. Arbetsuppgifter inom socialtjänsten kan också grunda sig på rättsliga förpliktelser och har då stöd i artikel 6.1 c i dataskyddsförordningen. Det ovanligt vidsträckta ändamålet i lagen definieras och preciseras i förordningen om behandling av personuppgifter inom socialtjänsten, som utredningen återkommer till nedan.
Av 6 § andra stycket lagen om behandling av personuppgifter inom socialtjänsten framgår att personuppgifter får behandlas för uppgiftsutlämnande som föreskrivs i lag eller förordning. Sådant uppgiftsutlämnande sker till följd av en rättslig förpliktelse och har därmed stöd i artikel 6.1 c i dataskyddsförordningen.
I enlighet med vad utredningen konstaterat i avsnitt 9.10.1 krävs ingen ytterligare analys av vilket stöd redan befintliga ändamål har i dataskyddsförordningen.
De krav på den rättsliga grunden för behandlingen som tillkommit i artikel 6.3 i dataskyddsförordningen får i enlighet med vad utredningen konstaterat i avsnitt 9.10.1 anses uppfyllda utan vidare analys när det gäller ändamål som är reglerade sedan tidigare. Behandling för de ändamål som anges i 6 § lagen om behandling av personuppgifter inom socialtjänsten är alltså laglig enligt dataskyddsförordningen och de befintliga ändamålen kan och bör därmed behållas.
10.9.4. Rätten att invända mot behandling av personuppgifter
Utredningens bedömning: Bestämmelsen i 6 § tredje stycket
lagen om behandling av personuppgifter inom socialtjänsten kan och bör även fortsättningsvis innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.
Enligt 6 § tredje stycket lagen om behandling av personuppgifter inom socialtjänsten har en registrerad person inte rätt att motsätta sig sådan behandling av uppgifter som är tillåten enligt samma lag.
Som anges i avsnitt 9.15.1 har den registrerade enligt dataskyddsförordningen rätt att invända mot behandling av personuppgifter; detta under förutsättning att det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt in-
tresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den verksamhet som omfattas av tillämpningsområdet för lagen om behandling av personuppgifter inom socialtjänsten utgör till viss del sådan behandling.
Bestämmelsen i 6 § tredje stycket lagen om behandling av personuppgifter inom socialtjänsten innebär alltså en begränsning av den registrerades rätt enligt dataskyddsförordningen att göra invändningar mot behandling av personuppgifter. En sådan bestämmelse förutsätter, i enlighet med vad som framgår av avsnitt 9.15.2, att de villkor som anges i artikel 23 i dataskyddsförordningen för en begränsning av den registrerades rättigheter är uppfyllda. Vilka villkoren är framgår av samma avsnitt. Ett av villkoren är att bestämmelsen utgör en åtgärd i syfte att säkerställa något av de mål som anges i artikel 23.1 i dataskyddsförordningen. Ett av dessa mål, punkten e, gäller ”andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet”. I avsnitt 9.8.2 har utredningen konstaterat att bedrivande av verksamhet inom bl.a. sociala förmåner som tillhandahålls inom socialtjänsten, inklusive den administration dessa verksamheter kräver, är ett sådant allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen.
En ytterligare förutsättning för att en begränsning ska få göras enligt artikel 23.1 är att den utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa det aktuella intresset. Socialtjänsten behandlar stora mängder känsliga personuppgifter och det finns ett allmänintresse av att verksamheten bedrivs på ett effektivt, rättssäkert och enhetligt sätt. En möjlighet för den registrerade att invända mot den normala hanteringen skulle påtagligt försvåra arbetet för myndigheterna. En delvis manuell hantering skulle minska effektiviteten, öka kostnaderna och riskera en negativ påverkan på objektivitet och likabehandling. Mot bakgrund av det starka intresset av en enhetlig elektronisk ärendehantering, måste ett undantag från rätten att invända mot behandling av personuppgifter i verksamhet som omfattas av tillämpningsområdet för lagen om behandling av personuppgifter inom socialtjänsten anses utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett viktigt mål av generellt allmänt in-
tresse. Begränsningen kan inte heller anses strida mot andemeningen i de grundläggande rättigheterna och friheterna.
De specifika bestämmelser som krävs enligt artikel 23.2 i dataskyddsförordningen, om bl.a. olika skyddsåtgärder för personuppgifterna, finns i lagen respektive förordningen om behandling av personuppgifter inom socialtjänsten.
Utredningen bedömer därmed att 6 § tredje stycket lagen om behandling av personuppgifter inom socialtjänsten även fortsättningsvis kan innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.
10.9.5. Personnummer, känsliga personuppgifter och uppgifter om lagöverträdelser
Utredningens förslag: Bestämmelsen i 7 § första stycket 2 lagen
om behandling av personuppgifter inom socialtjänsten, som tillåter behandling av känsliga personuppgifter, ska omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen.
Lagen om behandling av personuppgifter inom socialtjänsten kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
I 7 a § förtydligas att de känsliga personuppgifter som avses är desamma som i 7 § första stycket 2.
Utredningens bedömning: I övrigt kan och bör bestämmelserna
om behandling av person- och samordningsnummer, känsliga personuppgifter och uppgifter om lagöverträdelser i 7–7 b §§ lagen om behandling av personuppgifter inom socialtjänsten behållas.
I 7 § första stycket lagen om behandling av personuppgifter inom socialtjänsten anges att person- och samordningsnummer, känsliga personuppgifter samt uppgifter om lagöverträdelser får behandlas inom socialtjänsten. Enligt andra stycket i samma paragraf gäller
detta under förutsättning att uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten. I 7 a § samma lag begränsas möjligheterna att behandla känsliga personuppgifter i sammanställningar i vissa fall. Regeringen eller den myndighet som regeringen bestämmer ges i 7 b § bemyndigande att meddela ytterligare föreskrifter om sammanställning av personuppgifter.
Person- och samordningsnummer
Som framgår av avsnitt 9.13 kan och bör bestämmelser som tillåter behandling av person- och samordningsnummer vara kvar.
Känsliga personuppgifter
Som anges i avsnitt 9.11.4 har utredningen gjort bedömningen att undantaget avseende hälso- och sjukvård samt social omsorg i artikel 9.2 h i dataskyddsförordningen innefattar sådan verksamhet som avses i 2 § lagen om behandling av personuppgifter inom socialtjänsten. Bestämmelsen som tillåter behandling av känsliga personuppgifter inom tillämpningsområdet för lagen om behandling av personuppgifter inom socialtjänsten bedöms därmed förenlig med dataskyddsförordningen och kan och bör behållas.
Som också anges i avsnitt 9.11.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i lagen om behandling av personuppgifter inom socialtjänsten. Tystnadsplikt gäller redan inom socialtjänsten enligt 26 kap. offentlighets- och sekretesslagen (2009:400), 15 kap. socialtjänstlagen (2001:453) och 29 § lagen om stöd och service till vissa funktionshindrade (1993:387).
Begränsningarna av vilka känsliga personuppgifter som får behandlas enligt 7 § andra stycket och 7 a § lagen om behandling av personuppgifter inom socialtjänsten får anses utgöra säkerhetsåtgärder enligt dataskyddsförordningen. Sådana bestämmelser är tillåtna om de avser en myndighets behandling av personuppgifter. Bestämmelser om säkerhetsåtgärder kan också riktas till enskilda med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen när det gäller behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse enligt artikel 6.1 c och e i data-
skyddsförordningen. Sökbegränsningarna behöver därmed, i enlighet med vad som anges i avsnitt 9.16.2, inte ändras med anledning av dataskyddsförordningen.
Dataskyddsförordningen innehåller några nya kategorier av känsliga personuppgifter – genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Bestämmelsen som tillåter behandling av känsliga personuppgifter i lagen om behandling av personuppgifter inom socialtjänsten bör i enlighet med utredningens bedömning i avsnitt 9.11.6 även omfatta de nya kategorierna av känsliga personuppgifter. De nytillkomna kategorierna bör också, i enlighet med vad utredningen kommit fram till i samma avsnitt, omfattas av begränsningarna av behandling av känsliga personuppgifter i 7 § andra stycket och 7 a §§ lagen om behandling av personuppgifter inom socialtjänsten. I 7 § första stycket 2 lagen om behandling av personuppgifter inom socialtjänsten bör därför hänvisas till samtliga kategorier av uppgifter som anges i artikel 9.1 i dataskyddsförordningen. I 7 a § bör det förtydligas att de känsliga personuppgifter som avses är desamma som i 7 § första stycket 2.
Uppgifter om lagöverträdelser
Bestämmelser i registerförfattningar som tillåter enskilda och myndigheter att behandla uppgifter om lagöverträdelser kan och bör behållas; detta konstaterar utredningen i avsnitt 9.12. Utredningen gör i samma avsnitt bedömningen att de begränsningar som gäller uppgifter om lagöverträdelser, om möjligt, bör omfatta samtliga personuppgifter som avses i 21 § personuppgiftslagen och inte bara de som omfattas av artikel 10 i dataskyddsförordningen. Eftersom socialtjänstens behandling av personuppgifter sker med stöd av artikel 6.1 e (allmänt intresse) eller 6.1 c (rättslig förpliktelse) i dataskyddsförordningen, kan begränsningar av behandlingen göras i förhållande till såväl myndigheter som enskilda (se avsnitt 9.12). Det är därmed möjligt att även fortsättningsvis låta begränsningen i 7 § andra stycket lagen om behandling av personuppgifter inom socialtjänsten omfatta samma uppgifter som i dag, dvs. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden.
Bemyndigande
Dataskyddsförordningen hindrar inte att föreskrifter meddelas i fråga om sammanställningar och inte heller att föreskriftsrätten delegeras. Bestämmelsen i 7 b § lagen om behandling av personuppgifter inom socialtjänsten behöver därmed inte ändras.
10.9.6. Upplysningsbestämmelse
Utredningens bedömning: Upplysningsbestämmelsen i 8 § lagen
om behandling av personuppgifter inom socialtjänsten påverkas inte av dataskyddsförordningen.
I 8 § lagen om behandling av personuppgifter inom socialtjänsten lämnas en upplysning om att de begränsningar som följer av offentlighets- och sekretesslagen (2009:400), socialtjänstlagen (2001:453) och lagen (1993:387) om stöd och service till vissa funktionshindrade gäller vid utlämnande av personuppgifter som finns inom socialtjänsten. Bestämmelsen påverkas inte av dataskyddsförordningens bestämmelser.
10.9.7. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 9 § lagen om behandling
av personuppgifter inom socialtjänsten som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.
Enligt 9 § lagen om behandling av personuppgifter inom socialtjänsten ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt lagen om behandling av personuppgifter inom socialtjänsten. Bestämmelsen bör, i enlighet med de slutsatser utredningen drar i avsnitt 9.15.1 och 9.19.1, upphävas.
10.9.8. Överklagande
Utredningens förslag: Bestämmelsen om överklagande i 10 §
lagen om behandling av personuppgifter inom socialtjänsten upphävs.
Beslut inom socialtjänsten om rättelse och om avslag på ansökan om information enligt 26 § personuppgiftslagen får enligt 10 § första stycket lagen om behandling av personuppgifter inom socialtjänsten överklagas hos allmän förvaltningsdomstol. Andra beslut enligt lagen om behandling av personuppgifter inom socialtjänsten får däremot inte överklagas. Av 10 § andra stycket framgår att prövningstillstånd krävs vid överklagande till kammarrätten.
Med socialtjänst avses sådan verksamhet som anges i 2 § lagen om behandling av personuppgifter inom socialtjänsten oavsett om verksamheten bedrivs av myndigheter eller enskilda.29 Bestämmelsen om överklagande i 10 § lagen om behandling av personuppgifter inom socialtjänsten omfattar alltså enligt sin ordalydelse även beslut som fattas av enskilda. Detta är en skillnad i förhållande till regleringen av överklagande i personuppgiftslagen och de övriga registerförfattningar som innehåller egna överklagandebestämmelser, eftersom bestämmelserna i de författningarna endast gäller för beslut meddelade av myndigheter. Även bestämmelsen i den föreslagna dataskyddslagen omfattar enbart myndigheters beslut. Att beslut som fattas inom ramen för socialtjänstverksamhet som bedrivs av enskilda ska få överklagas synes dock inte ha varit lagstiftarens avsikt. I motiven till bestämmelsen i 10 § lagen om behandling av personuppgifter inom socialtjänsten anges nämligen att det är en myndighets beslut om att avslå en ansökan om information och om rättelse som ska kunna överklagas.30
I avsnitt 9.20 har utredningen gjort bedömningen att det inte finns skäl att reglera möjligheten att överklaga i registerförfattningar på annat sätt än i enlighet med vad som följer av den förslagna dataskyddslagen. Det har inte framkommit några särskilda skäl som motiverar att möjligheten att överklaga beslut inom socialtjänsten ska vara mer omfattande än vad som gäller i övriga verksam-
29Prop. 2000/01:80 s. 135–137. 30Prop. 2000/01:80 s. 159.
heter. Utredningen gör därför bedömningen att bestämmelserna om överklagande i den föreslagna dataskyddslagen bör gälla även inom tillämpningsområdet för lagen om behandling av personuppgifter inom socialtjänsten. Bestämmelsen i 10 § lagen om behandling av personuppgifter inom socialtjänsten bör därför, i enlighet med utredningens bedömning i avsnitt 9.20, upphävas.
Om det under den fortsatta beredningen av utredningens förslag skulle framkomma skäl som talar emot att ta bort möjligheten att överklaga beslut som fattats av enskilda, bör det i stället övervägas att formulera om bestämmelsen på så sätt att den stämmer överens med regleringen i den föreslagna dataskyddslagen.
10.9.9. Bemyndiganden
Utredningens bedömning: De bemyndiganden som ges i 11 §
lagen om behandling av personuppgifter inom socialtjänsten behöver inte ändras.
I 11 § första stycket lagen om behandling av personuppgifter inom socialtjänsten ges regeringen, eller den myndighet som regeringen bestämmer, rätt att meddela föreskrifter om vilka som är personuppgiftsansvariga och om begränsning av den i 6 § tillåtna behandlingen av personuppgifter samt om sökbegrepp, direktåtkomst och samkörning av personuppgifter. Enligt 11 § andra stycket får regeringen även meddela föreskrifter om när personuppgifter får föras över till tredjeland. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på dessa områden och inte heller att föreskriftsrätten delegeras. De bemyndiganden som ges i 11 § lagen om behandling av personuppgifter inom socialtjänsten är således förenliga med dataskyddsförordningen och behöver inte ändras.
10.10. Förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten
10.10.1. Förordningens tillämpningsområde
Utredningens förslag: Förordningen om behandling av person-
uppgifter inom socialtjänsten kompletteras med en bestämmelse som innebär att förordningen inte ska tillämpas vid sådan behandling av personuppgifter som omfattas av den föreslagna brottsdatalagen.
Utredningens bedömning: Det krävs i övrigt inga förändringar
av tillämpningsområdet i 1 § förordningen om behandling av personuppgifter inom socialtjänsten.
Förordningen om behandling av personuppgifter inom socialtjänsten reglerar enligt 1 § behandlingen av personuppgifter inom socialtjänsten för Statens institutionsstyrelse, kommunala myndigheter, privat verksamhet, Inspektionen för vård och omsorg och Socialstyrelsen enligt lagen om behandling av personuppgifter inom socialtjänsten.
I avsnitt 9.5 har utredningen konstaterat att bestämmelser i registerförfattningar om vilka typer av behandlingar och vilka uppgifter författningen ska tillämpas på inte i sig påverkas av dataskyddsförordningen. Förordningen om behandling av personuppgifter inom socialtjänsten kan därför även fortsättningsvis tillämpas på samma typer av behandlingar och uppgifter som i dag.
Även bestämmelser om på vilken verksamhet författningen ska tillämpas kan, enligt den bedömning utredningen gjort i avsnitt 9.5, som regel behållas. Förordningen om behandling av personuppgifter inom socialtjänsten omfattar dock, liksom lagen om behandling av personuppgifter inom socialtjänsten (se avsnitt 10.9.1), även viss behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Sådan behandling omfattas, som anges i avsnitt 9.5, inte av dataskyddsförordningens tillämp-
ningsområde utan av det nya dataskyddsdirektivet, som i huvudsak föreslås genomföras genom en ny brottsdatalag.31
Utredningen gör därför, i likhet med vad som anges i avsnitt 10.9.1, bedömningen att även förordningen om behandling av personuppgifter inom socialtjänsten bör förses med en bestämmelse som innebär att sådan verksamhet som omfattas av den föreslagna brottsdatalagen undantas från förordningens tillämpningsområde. En sådan bestämmelse bör införas i en ny paragraf som placeras direkt efter 1 §.
I övrigt föranleder dataskyddsförordningen inte någon ändring av tillämpningsområdet för förordningen om behandling av personuppgifter inom socialtjänsten.
10.10.2. Upplysningsbestämmelser
Utredningens förslag: Hänvisningar till personuppgiftslagen
och lagen om behandling av personuppgifter inom socialtjänsten i förordningen om behandling av personuppgifter inom socialtjänsten tas bort.
I 2–5 §§ förordningen om behandling av personuppgifter inom socialtjänsten finns olika upplysningsbestämmelser. Upplysningar om författningar som även fortsättningsvis är relevanta behöver inte ändras, medan hänvisningar till personuppgiftslagen bör tas bort eftersom den lagen kommer att upphävas. Hänvisningen till lagen om behandling av personuppgifter inom socialtjänsten i 4 § förordningen om behandling av personuppgifter inom socialtjänsten tas bort, eftersom den inte bedöms vara nödvändig.
31SOU 2017:29.
10.10.3. Personuppgiftsansvar
Utredningens bedömning: Bestämmelserna om personuppgifts-
ansvar i 6, 11, 17 och 22 §§ förordningen om behandling av personuppgifter inom socialtjänsten kan och bör behållas.
Utredningen har i avsnitt 9.7 konstaterat att bestämmelser i registerförfattningar om vem som är personuppgiftsansvarig kan och bör behållas.
10.10.4. Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Bestämmelserna i 7 §, 12 § första
stycket, 18 och 23 §§ förordningen om behandling av personuppgifter inom socialtjänsten om för vilka ändamål personuppgifter får behandlas behöver inte ändras.
Ändamålsbestämmelserna i förordningen om behandling av personuppgifter inom socialtjänsten begränsar och definierar det ändamål som framgår av 6 § första stycket lagen om behandling av personuppgifter inom socialtjänsten. Av utredningens överväganden rörande 6 § första stycket lagen om behandling av personuppgifter inom socialtjänsten framgår att det finns stöd för ändamålet i dataskyddsförordningen, se avsnitt 10.9.3. De föreskrivna ändamålen i 7 §, 12 § första stycket, 18 och 23 §§ förordningen om behandling av personuppgifter inom socialtjänsten begränsar det vidsträckta ändamålet genom att koppla möjligheterna att behandla personuppgifter till sådan verksamhet som ska utföras enligt socialtjänstlagen (2001:453). Ändamålsbestämmelserna kan därmed, av samma skäl som anges i avsnitt 10.9.3, behållas.
10.10.5. Känsliga personuppgifter
Utredningens förslag: Bestämmelsen om behandling av person-
uppgifter som rör hälsa i 12 § andra stycket förordningen om behandling av personuppgifter inom socialtjänsten bör innehålla en hänvisning till definitionen av känsliga personuppgifter i 7 § första stycket 2 lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.
Utredningens bedömning: I övrigt kan och bör bestämmelsen
behållas.
En kommunal myndighet får enligt 12 § andra stycket förordningen om behandling av personuppgifter inom socialtjänsten vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och som följer av bestämmelserna i körkortsförordningen inte behandla andra känsliga personuppgifter än uppgifter som rör hälsa.
Bestämmelsen utgör en inskränkning i förhållande till den allmänna bestämmelsen om behandling av känsliga personuppgifter i 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten som berörts i avsnitt 10.9.5. Det är, som framgår av utredningens bedömning i avsnitt 9.11.1, möjligt att endast tillåta behandling av vissa kategorier av känsliga personuppgifter.
Möjligheten att behandla känsliga personuppgifter bör, i enlighet med den bedömning utredningen har gjort i avsnitt 9.11.6, inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter, dvs. genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Det kommer alltså även fortsättningsvis endast att vara tillåtet att behandla sådana känsliga uppgifter som rör hälsa. Som anges i avsnitt 7.5 förekommer det emellertid att de olika kategorierna av känsliga personuppgifter överlappar varandra. Sådana uppgifter som omfattas av någon av de nya kategorierna men som även utgör en uppgift om hälsa, kan enligt utredningens bedömning behandlas med stöd av bestämmelsen i 12 § andra stycket förordningen om behandling av personuppgifter inom socialtjänsten. Utredningen har övervägt om detta behöver förtydligas i bestämmelsen på så sätt att det anges att uppgifter som rör hälsa, inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning,
får behandlas, på samma sätt som anges i avsnitt 10.1.11 och 12.8.4. Eftersom det inte framstår som sannolikt att det för ändamålet finns behov av att behandla sådana uppgifter om hälsa, som samtidigt omfattas av någon av de nya kategorierna av känsliga personuppgifter, saknas det dock enligt utredningens bedömning anledning att införa ett sådant förtydligande. Bestämmelsen kan och bör därmed behållas. Den bör dock i förtydligande syfte innehålla en hänvisning till definitionen av känsliga personuppgifter i 7 § första stycket 2 lagen om behandling av personuppgifter inom socialtjänsten.
Eftersom möjligheten att behandla känsliga personuppgifter inom socialtjänsten grundar sig på undantaget avseende hälso- och sjukvård och social omsorg i artikel 9.2 h i dataskyddsförordningen, krävs det enligt artikel 9.3 i dataskyddsförordningen också att uppgifterna behandlas av eller under ansvar av någon som omfattas av tystnadsplikt. Utredningen har i avsnitt 10.9.5 föreslagit att en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i lagen om behandling av personuppgifter inom socialtjänsten. Någon sådan bestämmelse behöver därför inte tas in i förordningen.
10.10.6. Säkerhetsåtgärder
Utredningens bedömning: Bestämmelserna i 9, 10, 15, 20, 21,
24 och 25 §§ förordningen om behandling av personuppgifter inom socialtjänsten behöver inte ändras med anledning av dataskyddsförordningen.
Bestämmelser om sökbegrepp, samkörning, och begränsningar i fråga om direktåtkomst är enligt utredningen att anse dels som uttryck för dataskyddsförordningens princip om uppgiftsminimering och dels som säkerhetsåtgärder/skyddsåtgärder enligt dataskyddsförordningen. Sådana restriktioner och krav för myndigheter behöver inte, i enlighet med vad utredningen konstaterat i avsnitt 9.16.2, ändras med anledning av att dataskyddsförordningen börjar tillämpas. För enskilda är, som utredningen konstaterat i samma avsnitt, restriktioner och krav tillåtna när den ursprungliga behandlingen grundar sig på artikel 6.1 e i dataskyddsförordningen, vilket är fallet i fråga om socialtjänsten. Nu gällande regler rörande sökbegrepp i
9, 15, 20 och 25 §§, samkörning i 10 och 21 §§ och begränsning i fråga om direktåtkomst i 24 § förordningen om behandling av personuppgifter inom socialtjänsten behöver därför inte ändras.
10.10.7. Uppgiftsskyldigheter
Utredningens bedömning: Uppgiftsskyldigheterna i 10 a § för-
ordningen om behandling av personuppgifter inom socialtjänsten påverkas inte av dataskyddsförordningen och behöver inte ändras.
I 10 a § förordningen om behandling av personuppgifter inom socialtjänsten föreskrivs olika sekretessbrytande uppgiftsskyldigheter. Utredningen har i avsnitt 9.21 konstaterat att befintliga uppgiftsskyldigheter är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelsen behöver därför inte ändras med anledning av dataskyddsförordningen. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
10.10.8. Överföring av personuppgifter till tredjeland
Utredningens bedömning: Bestämmelsen i 16 § förordningen
om behandling av personuppgifter inom socialtjänsten behöver inte ändras med anledning av dataskyddsförordningen.
Enligt 16 § förordningen om behandling av personuppgifter inom socialtjänsten får en kommunal myndighet föra över uppgifter till tredjeland i ett ärende om fastställande av faderskap och om internationella adoptioner. Vid bestämmelsens tillkomst får det antas ha bedömts finnas stöd för överföring av personuppgifter enligt artikel 26.1 d i dataskyddsdirektivet. Motsvarande möjligheter till överföring av uppgifter till tredjeland med hänsyn till viktiga skäl som rör allmänintresset finns i artikel 49.1 d i dataskyddsförordningen. Utredningen har i avsnitt 9.8.2 bedömt att bedrivande av verksamhet som ska finnas i enlighet med internationella rättighetsstadgor är sådana allmänna intressen som avses i bl.a. artikel 49.1 d i dataskyddsförordningen. Enligt EU:s rättighetsstadga har var och en
rätt till respekt för sitt familjeliv (artikel 7), och rätten att bilda familj ska garanteras i nationell rätt (artikel 9). Överföring av personuppgifter till tredjeland i ärende om fastställande av faderskap och om internationella adoptioner får därmed anses motiverat med stöd av ett allmänt intresse.
Enligt artikel 49.4 i dataskyddsförordningen ska allmänintresset vara erkänt i unionsrätten eller i nationell rätt. Utöver vad som regleras i EU:s rättighetsstadga finns bestämmelser om fastställande av faderskap och adoption i bl.a. 1, 2 och 4 kap. föräldrabalken. Personuppgifter kan därmed även enligt dataskyddsförordningen föras över till tredjeland i ärenden om fastställande av faderskap och om internationella adoptioner.
En bestämmelse om att överföring av personuppgifter till tredjeland i en viss situation är tillåten behöver, i enlighet med vad utredningen konstaterat i avsnitt 9.14, inte ändras om den i övrigt har stöd i dataskyddsförordningen. Bestämmelsen i 16 § förordningen om behandling av personuppgifter inom socialtjänsten kan därmed behållas.
10.10.9. Bemyndiganden
Utredningens bedömning: De bemyndiganden som ges i 26 §
förordningen om behandling av personuppgifter inom socialtjänsten behöver inte ändras.
I 26 § förordningen om behandling av personuppgifter inom socialtjänsten ges Socialstyrelsen bemyndigande att meddela föreskrifter om sammanställningar av personuppgifter samt verkställighetsföreskrifter. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på dessa områden och inte heller att föreskriftsrätten delegeras. De bemyndiganden som ges i 26 § förordningen om behandling av personuppgifter inom socialtjänsten är således förenliga med dataskyddsförordningen och behöver inte ändras.
10.11. Förordningen (2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag
10.11.1. Förordningens tillämpningsområde
Utredningens förslag: Det tydliggörs att lagen om kommunalt
vårdnadsbidrag är upphävd.
Utredningens bedömning: Bestämmelsen i 1 § förordningen
om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag kan i övrigt behållas.
I avsnitt 9.5 har utredningen konstaterat att bestämmelser om tillämpningsområdet för registerförfattningarna inte påverkas av dataskyddsförordningen. Bestämmelsen om tillämpningsområde i 1 § förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag kan alltså behållas i sak.
Regeringen har utfärdat förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag som en följd av lagen (2008:307) om kommunalt vårdnadsbidrag som upphävdes vid utgången av januari 2016, med viss övergångsbestämmelse. Utredningen tar inte ställning till det fortsatta behovet av förordningen, men det bör tydliggöras att lagen om kommunalt vårdnadsbidrag, som förordningen hänvisar till, är upphävd.
10.11.2. Personuppgiftsansvar
Utredningens bedömning: Bestämmelsen om personuppgifts-
ansvar i 2 § förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag kan och bör behållas.
Som framgår av avsnitt 9.7 behöver bestämmelser om vem som är personuppgiftsansvarig inte ändras med anledning av dataskyddsförordningen. Bestämmelsen i 2 § förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag kan och bör därför behållas.
10.11.3. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 3 § förordningen om be-
handling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag ska innehålla en upplysning om att lagen kompletterar dataskyddsförordningen.
Det ska också upplysas om att dataskyddslagen gäller, om inte annat följer av förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag.
Utredningens bedömning: Förhållandet till lagen om den offici-
ella statistiken kan anges på samma sätt som tidigare.
Av 3 § förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag framgår att flera bestämmelser i lagen (2001:99) om den officiella statistiken gäller när Statistiska centralbyrån behandlar personuppgifter för att framställa statistik över kommunalt vårdnadsbidrag. Bestämmelserna gäller generellt för statistikansvariga myndigheter och avser vilka personuppgifter som får behandlas och vad som gäller i fråga om gallring. En översyn av hur dessa bestämmelser förhåller sig till dataskyddsförordningen kommer inte att göras av utredningen, eftersom lagen om den officiella statistiken omfattas av Finansdepartementets verksamhetsområde. I det fortsätta lagstiftningsarbetet bör dock hänvisningarna stämmas av mot eventuella ändringar i lagen om den officiella statistiken.
I fråga om förhållandet till övrig lagstiftning bör bestämmelsen utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
10.11.4. Ändamål och grund för behandling av personuppgifter
Utredningens förslag: Hänvisningen till personuppgiftslagen i
4 § andra stycket andra meningen förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag tas bort. I stället hänvisas till artikel 5.1 b i dataskyddsförordningen som ger uttryck för finalitetsprincipen.
Utredningens bedömning: I övrigt kan och bör ändamålsbestäm-
melserna i 4 § förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag behållas.
Av 4 § första stycket förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag framgår att behandling av personuppgifter får ske inom ramen för ett uppdrag från regeringen som gäller framställning av statistik över det kommunala vårdnadsbidraget. Eftersom regeringens uppdrag till myndigheter generellt sett har karaktären av ett allmänt intresse, sker behandlingen av personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen.
Enligt 4 § andra stycket första meningen förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag får personuppgifter som behandlas för det ändamål som anges i första stycket också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Sådant utlämnande som sker till följd av en uppgiftsskyldighet är nödvändigt för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen. I den mån uppgiftslämnandet inte grundar sig på en skyldighet utan på en möjlighet att lämna uppgifter, får uppgiftslämnandet
anses utgöra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Finalitetsprincipen
I 4 § andra stycket andra meningen förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag hänvisas till 9 § första stycket d och andra stycket personuppgiftslagen. Hänvisningen innebär att den s.k. finalitetsprincipen, dvs. att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, gäller. Hänvisningen innebär vidare att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Som anges i avsnitt 9.10.3 kan registerförfattningar även fortsättningsvis, i syfte att förtydliga att de uppräknade ändamålen inte är uttömmande, innehålla bestämmelser med innebörden att behandling av personuppgifter för andra ändamål som inte strider mot finalitetsprincipen är tillåten. Eftersom personuppgiftslagen kommer att upphöra att gälla, bör bestämmelsen utformas i enlighet med vad som anges i det avsnittet.
10.11.5. Personuppgifter som får behandlas
Utredningens förslag: Det förtydligas i 5 § förordningen om
behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag att förordningen om skyldighet för kommuner att lämna statistiska uppgifter om kommunalt vårdnadsbidrag är upphävd.
Utredningens bedömning: Bestämmelsen i 5 § förordningen
om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag behöver i övrigt inte ändras med anledning av dataskyddsförordningen.
Statistiska centralbyrån får enligt 5 § förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag behandla personuppgifter i enlighet med vad som följer av 14 § lagen (2001:99) om den officiella statistiken och 2 § förordningen (2009:1421) om skyldighet för kommuner att lämna statistiska uppgifter om kommunalt vårdnadsbidrag.
Bestämmelsen i 14 § lagen om den officiella statistiken ger statistikansvariga myndigheter en generell rätt att behandla personuppgifter för ändamålet framställning av statistik. Bestämmelsen omfattas inte av utredningens genomgång av olika författningars förenlighet med dataskyddsförordningen, eftersom lagen om den officiella statistiken ligger inom Finansdepartementets verksamhetsområde. I den mån hänvisningen medför att behandling av känsliga personuppgifter tillåts får den enligt utredningens bedömning i vart fall anses nödvändig av hänsyn till ett viktigt allmänt intresse. Behandlingen är därmed tillåten med stöd av undantaget i artikel 9.2 g i dataskyddsförordningen, i enlighet med vad som anges i avsnitt 9.11.3.
Förordningen om skyldighet för kommuner att lämna statistiska uppgifter om kommunalt vårdnadsbidrag är sedan den 1 februari 2016 upphävd men i den tidigare gällande 2 § finns en uppräkning av vilka uppgifter den kommunala nämnd som handlade vårdnadsbidrag skulle lämna till Statistiska centralbyrån. Uppräkningen omfattar bl.a. uppgift om personnummer. Som anges i avsnitt 9.13 kan och bör bestämmelser om behandling av personnummer behållas. Att det i övrigt anges vilka personuppgifter som får behandlas stämmer väl överens med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen – att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
Överväganden kring vilka uppgifter som behöver behandlas av Statistiska centralbyrån har gjorts vid tidigare lagstiftningsarbeten och utredningen har att utgå från att de angivna uppgifterna behövs för de ändamål för vilka uppgifterna behandlas. Medlemsstaterna tillåts att införa sådana preciseringar i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen och de kan införa begränsningar för sina myndigheter. Bestämmelsen i 5 § förordningen om behandling av personuppgifter i Statistiska central-
byråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag bör därmed inte ändras i sak. Det bör dock framgå av förordningstexten att förordningen om skyldighet för kommuner att lämna statistiska uppgifter om kommunalt vårdnadsbidrag är upphävd.
10.11.6. Rätten att invända mot behandling av personuppgifter
Utredningens bedömning: Bestämmelsen i 6 § förordningen om
behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag som anger att behandling av personuppgifter får utföras även om den registrerade motsätter sig den kan och bör behållas.
Av 6 § förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag framgår att behandling av personuppgifter som är tillåten enligt den förordningen får utföras även om den enskilde motsätter sig behandlingen.
Den registrerade har enligt huvudregeln i artikel 21.1 i dataskyddsförordningen rätt att invända mot behandling av personuppgifter; detta under förutsättning att det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (se vidare avsnitt 9.15.1). Enligt artikel 21.6 i dataskyddsförordningen gäller som undantag till huvudregeln att om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse.
Personuppgifter behandlas enligt den aktuella förordningen för ändamålet statistik och behandlingen har i avsnitt 10.11.4 bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse. Rätt att göra invändningar mot behandlingen av personuppgifter finns därmed inte.
Förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag kan således även fortsättningsvis innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.
10.11.7. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 7 § förordningen om be-
handling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag upphävs.
Enligt 7 § förordningen om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt samma förordning. Bestämmelsen bör, i enlighet med de slutsatser utredningen drar i avsnitt 9.15.1 och 9.19.1, upphävas.
10.12.1. Beslut genom automatiserad behandling
Utredningens bedömning: Bestämmelserna i 112 kap. 6 och
7 §§socialförsäkringsbalken behöver inte ändras med anledning av dataskyddsförordningen.
I 112 kap. 6 § socialförsäkringsbalken anges att Skatteverket får fatta beslut om pensionsgrundande inkomst genom automatiserad behandling när skälen för beslutet får utelämnas enligt 20 § första stycket 1 förvaltningslagen (1986:223). Det automatiserade beslutsfattande som avses inkluderar inte profilering, som enligt definitionen i artikel 4.4 i dataskyddsförordningen är varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller för-
utsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar. Det aktuella förfarandet påverkas därför, i enlighet med vad utredningen angett i avsnitt 9.15.1 om automatiserat och individuellt beslutsfattande, inte av vad som anges i artikel 22 i dataskyddsförordningen. Den behandling av personuppgifter som sker genom beslutsfattandet omfattas av bestämmelserna i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Det beslutsfattande som avses i 112 kap. 7 § socialförsäkringsbalken – att Pensionsmyndigheten får fatta beslut om allmän ålderspension genom automatiserad behandling – påverkas av samma skäl inte av artikel 22 i dataskyddsförordningen. Den behandling av personuppgifter som beslutsfattandet ger upphov till omfattas av bestämmelserna i 114 kap. socialförsäkringsbalken.
Flera andra utredningar har tidigare, med beaktande av såväl dataskyddsdirektivets bestämmelser som förvaltningsrättsliga aspekter, bedömt att det saknas behov av att författningsreglera automatiserat beslutsfattande.32 Utredningen uppmärksammar detta, men lämnar inget förslag i frågan.
10.13.1. Kapitlets tillämpningsområde
Utredningens bedömning: Inga förändringar krävs av tillämp-
ningsområdet enligt 114 kap. 2 § socialförsäkringsbalken.
I avsnitt 9.5 har utredningen konstaterat att bestämmelser i registerförfattningar om på vilken verksamhet, vilka typer av behandlingar och vilka uppgifter författningen ska tillämpas inte i sig påverkas av dataskyddsförordningen och därmed inte bör ändras. Sådana bestämmelser om tillämpningsområdet finns i 114 kap. 2 § socialförsäkringsbalken. Dessa bestämmelser bör alltså inte ändras med anledning av att dataskyddsförordningen börjar tillämpas.
32 Se t.ex. SOU 2001:47 s. 313 och SOU 2014:75 s. 64.
10.13.2. Rätten att invända mot behandling av personuppgifter
Utredningens bedömning: Bestämmelsen i 114 kap. 3 § social-
försäkringsbalken kan och bör även fortsättningsvis innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.
Enligt 114 kap. 3 § socialförsäkringsbalken får sådan behandling av personuppgifter som är tillåten enligt det kapitlet utföras även om den registrerade motsätter sig behandlingen.
Den registrerade har enligt dataskyddsförordningen rätt att invända mot behandling av personuppgifter; detta under förutsättning att det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (se vidare avsnitt 9.15.1). Den behandling som omfattas av tillämpningsområdet för 114 kap. socialförsäkringsbalken är till största delen sådan behandling. Bestämmelsen i 114 kap. 3 § socialförsäkringsbalken utgör alltså en begränsning av rätten att göra invändningar mot behandling av personuppgifter i artikel 21 i dataskyddsförordningen.
En sådan bestämmelse förutsätter, i enlighet med vad som framgår av avsnitt 9.15.2, att de villkor som anges i artikel 23 i dataskyddsförordningen för en begränsning av den registrerades rättigheter är uppfyllda. Vilka villkoren är framgår av samma avsnitt. Ett av kraven är att bestämmelsen utgör en åtgärd i syfte att säkerställa något av de mål som anges i artikel 23.1 i dataskyddsförordningen. Ett av dessa mål, punkten e, gäller ”andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet”. I avsnitt 9.8.2 har utredningen konstaterat att bedrivande av verksamhet inom bl.a. socialförsäkring och pensioner, inklusive den administration dessa verksamheter kräver, är ett sådant allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen.
En ytterligare förutsättning för att en begränsning ska få göras enligt artikel 23.1 i dataskyddsförordningen är att den utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa det aktuella intresset. Försäkringskassan och
Pensionsmyndigheten, som administrerar socialförsäkring och pensioner, behandlar personuppgifter helt eller delvis automatiserat. Elektroniska ärendehanteringssystem utgör en integrerad del av myndigheternas handläggning av ärenden och systemen har tagits fram i syfte att främja såväl effektivitets- som rättssäkerhetshänsyn samtidigt som integritetsaspekter beaktats. Rätten till förmåner enligt socialförsäkringsbalken är i och för sig inte beroende av myndigheternas möjlighet att behandla personuppgifter automatiserat, men en möjlighet för den registrerade att invända mot den normala hanteringen skulle påtagligt försvåra arbetet för myndigheterna. En delvis manuell hantering skulle minska effektiviteten, öka kostnaderna och riskera en negativ påverkan på objektivitet och likabehandling. Mot bakgrund av det starka intresset av en enhetlig elektronisk ärendehantering, måste ett undantag från rätten att invända mot behandling av personuppgifter i verksamhet som omfattas av tillämpningsområdet för 114 kap. socialförsäkringsbalken anses utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. Begränsningen kan inte heller anses strida mot andemeningen i de grundläggande rättigheterna och friheterna.
De specifika bestämmelser som krävs enligt artikel 23.2 i dataskyddsförordningen, om bl.a. olika skyddsåtgärder för personuppgifterna, finns redan i 114 kap. socialförsäkringsbalken.
Utredningen bedömer därmed att 114 kap. socialförsäkringsbalken även fortsättningsvis kan innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.
10.13.3. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 114 kap. 6 § socialförsäk-
ringsbalken ska innehålla en upplysning om att kapitlet kompletterar dataskyddsförordningen.
Det ska också anges att dataskyddslagen gäller, om inte annat följer av 114 kap. socialförsäkringsbalken eller föreskrifter som har meddelats med stöd av det kapitlet.
Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
10.13.4. Personuppgiftsansvar
Utredningens förslag: Personuppgiftsansvaret anges i ny para-
graf men ändras inte i sak.
I 114 kap. 6 § andra stycket socialförsäkringsbalken regleras vem som är personuppgiftsansvarig. Utredningen har i avsnitt 9.7 konstaterat att bestämmelser i registerförfattningar om vem som är personuppgiftsansvarig kan och bör behållas. Bestämmelsen om personuppgiftsansvar bör dock, för att öka överskådligheten, placeras i en egen paragraf.
10.13.5. Ändamål och grund för behandling av personuppgifter
Utredningens förslag: Hänvisningen till personuppgiftslagens
bestämmelse om finalitetsprincipen i 114 kap. 10 § socialförsäkringsbalken tas bort. I stället hänvisas till artikel 5.1 b i dataskyddsförordningen som ger uttryck för finalitetsprincipen.
Utredningens bedömning: Ändamålen i 114 kap. 7–9 §§ social-
försäkringsbalken uppfyller de krav som gäller enligt dataskyddsförordningen och bör inte ändras. Även förbudet mot att behandla personuppgifter som direkt pekar ut den registrerade vid återsökning av vägledande avgöranden kan behållas.
I 114 kap.7–9 §§socialförsäkringsbalken anges de ändamål för vilka personuppgifter får behandlas inom kapitlets tillämpningsområde.
Ändamålen i 114 kap. 7 § socialförsäkringsbalken avser den interna verksamheten – återsökning av vägledande avgöranden, hantering av underlag som krävs för att fastställa rättigheter och skyldigheter utanför ärenderamen, information om förmåner och ersättningar, ärendehandläggning, verksamhetsplanering, resultatstyrning, uppföljning, redovisning, utvärdering, tillsyn och intern statistikframställning. Samtliga ändamål grundar sig på utförandet av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e i dataskyddsförordningen. Ändamålen i 114 kap. 8 § socialförsäkringsbalken avser behandling i form av utlämnande av sådana personuppgifter som behövs för handläggning och kontroll av olika sociala förmåner hos andra instanser än Försäkringskassan och Pensionsmyndigheten och får anses grunda sig på en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Ändamålen i 114 kap. 9 § 1, 3 och 4 socialförsäkringsbalken grundar sig på rättsliga förpliktelser (artikel 6.1 c) som det hänvisas till i bestämmelsen. Ändamålen i 114 kap. 9 § 2 socialförsäkringsbalken om utlämnande på grund av medgivande som följer av bestämmelser i lag eller förordning grundar sig på en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
I enlighet med vad utredningen konstaterat i avsnitt 9.10.1 krävs ingen ytterligare analys av vilket stöd redan befintliga ändamål har i dataskyddsförordningen. I artikel 6.3 i dataskyddsförordningen har tillkommit några nya krav på den rättsliga grunden för behandling av personuppgifter. Kraven är, i enlighet med vad utredningen konstaterat i det aktuella avsnittet, uppfyllda utan vidare analys i fråga om ändamål som är reglerade sedan tidigare. Behandling av personuppgifter för de ändamål som anges i 114 kap.7–9 §§socialförsäkringsbalken är alltså laglig enligt dataskyddsförordningen och de befintliga ändamålen kan och bör därmed behållas.
Förbud att behandla direkt utpekande personuppgifter
Vid behandling av personuppgifter för återsökning av vägledande avgöranden får inte uppgifter som direkt pekar ut den registrerade användas. Bestämmelsen stämmer överens med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Medlemsstaterna tillåts, som framgår av avsnitt 9.3, att införa mer specifika bestämmelser i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Det är också, som utredningen konstaterat i avsnitt 9.2, tillåtet att begränsa myndigheters möjligheter till behandling och utöka deras skyldigheter. Förbudet att behandla personuppgifter som direkt pekar ut den registrerade kan därmed behållas.
Finalitetsprincipen
I 114 kap. 10 § socialförsäkringsbalken finns det en hänvisning till 9 § första stycket d personuppgiftslagen, den s.k. finalitetsprincipen – att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. I 114 kap. 10 § socialförsäkringsbalken finns det också en hänvisning till 9 § andra stycket personuppgiftslagen, där det förtydligas att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I enlighet med vad utredningen konstaterat i avsnitt 9.10.3, bör det även fortsättningsvis finnas en bestämmelse som klargör att de i 114 kap. socialförsäkringsbalken angivna ändamålen inte är uttömmande. Bestämmelsen bör på grund av personuppgiftslagens upphörande utformas i enlighet med vad som anges i det avsnittet.
10.13.6. Känsliga personuppgifter och uppgifter om lagöverträdelser
Utredningens förslag: Bestämmelserna som reglerar behandling
av känsliga personuppgifter i 114 kap. 11 § socialförsäkringsbalken ska omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen. Bestämmelserna om behandling av känsliga personuppgifter i socialförsäkringsdatabasen i 114 kap. 13 §, 15 § andra stycket och 16 § socialförsäkringsbalken bör innehålla en hänvisning till definitionen av känsliga personuppgifter i 114 kap. 11 § första stycket.
Hänvisningen till personuppgiftslagens definition av uppgifter om lagöverträdelser tas bort. I stället ska det i 114 kap. 12 § socialförsäkringsbalken uttryckligen anges vilka personuppgifter om lagöverträdelser m.m. som får behandlas medan det i 114 kap. 13 §, 15 § andra stycket och 16 § hänvisas till 114 kap. 12 § första stycket.
Utredningens bedömning: I övrigt kan och bör bestämmel-
serna i 114 kap. 11 och 12 §§, 15 § andra stycket och 16 § socialförsäkringsbalken behållas i sak.
Det finns bestämmelser om när känsliga personuppgifter får behandlas i 114 kap. 11 § socialförsäkringsbalken. Känsliga personuppgifter får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Det är dessutom tillåtet att behandla känsliga personuppgifter om det är nödvändigt för vissa angivna ändamål. För vissa ändamål gäller att endast uppgifter om hälsa får behandlas. Det finns vidare en begränsning som innebär att behandling av känsliga personuppgifter för vissa ändamål inte får ske annat än om uppgifterna redan har behandlats för vissa andra ändamål. I 114 kap. 15 § andra stycket första och andra meningarna och 114 kap. 16 § finns det vissa begränsningar av behandling av känsliga personuppgifter i socialförsäkringsdatabasen. I 114 kap. 13 § finns det en upplysning om bestämmelserna i 114 kap. 15 §.
Behandling av känsliga personuppgifter hos myndigheterna inom socialförsäkringens administration är nödvändig med hänsyn till ett viktigt allmänt intresse. Bestämmelserna som tillåter behandling av känsliga personuppgifter inom tillämpningsområdet för 114 kap. socialförsäkringsbalken är alltså, i enlighet med vad utredningen konstaterat i avsnitt 9.11.3, förenliga med artikel 9.2 g i dataskyddsförordningen och kan och bör behållas.
Dataskyddsförordningen innehåller några nya kategorier av känsliga personuppgifter – genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Även de nytillkomna uppgifterna bör omfattas av den särskilda regleringen av behandling av känsliga personuppgifter i 114 kap. socialförsäkringsbalken i enlighet med vad utredningen kommit fram till i avsnitt 9.11.6.
Begränsningarna av under vilka förutsättningar känsliga personuppgifter får behandlas får anses utgöra sådana lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs vid behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. Begränsningarna kan och bör därför behållas. Detsamma gäller för begränsningen som innebär att endast uppgifter om hälsa får behandlas för vissa ändamål.
Bestämmelsen i 114 kap. 11 § andra stycket bör, i enlighet med den bedömning utredningen har gjort i avsnitt 9.11.6, inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter, dvs. genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Det kommer alltså även fortsättningsvis endast att vara tillåtet att behandla sådana känsliga uppgifter som rör hälsa för de aktuella ändamålen. Som anges i avsnitt 7.5 förekommer det emellertid att de olika kategorierna av känsliga personuppgifter överlappar varandra. Sådana uppgifter som omfattas av någon av de nya kategorierna men som även utgör en uppgift om hälsa, kan enligt utredningens bedömning behandlas med stöd av bestämmelsen i 114 kap. 11 § andra stycket socialförsäkringsbalken. Utredningen har övervägt om detta behöver förtydligas i bestämmelsen på så sätt att det anges att uppgifter som rör hälsa, inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning, får behandlas, på samma sätt som anges i avsnitt 10.1.11 och 12.8.4. Då det i
utredningen inte har framkommit något behov av att behandla sådana uppgifter om hälsa som samtidigt omfattas av någon av de nya kategorierna, saknas det dock enligt utredningens bedömning anledning att införa ett sådant förtydligande.
Bestämmelserna i 114 kap. 11 § första och tredje styckena socialförsäkringsbalken bör alltså omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen. Bestämmelserna om behandling av känsliga personuppgifter i socialförsäkringsdatabasen i 114 kap. 13 §, 15 § andra stycket och 16 § socialförsäkringsbalken bör i sin tur i förtydligande syfte innehålla en hänvisning till definitionen av känsliga personuppgifter i 114 kap. 11 §.
I 114 kap. 12 §, 15 § andra stycket och 16 § socialförsäkringsbalken finns det bestämmelser som begränsar möjligheten att behandla personuppgifter om lagöverträdelser. Myndigheters möjligheter att behandla personuppgifter om lagöverträdelser behöver, i enlighet med vad som framgår av avsnitt 9.12, inte ändras med anledning av dataskyddsförordningen. Eftersom bestämmelserna innehåller hänvisningar till personuppgiftslagen som kommer att upphöra att gälla i samband med att dataskyddsförordningen ska börja tillämpas, måste bestämmelserna dock omarbetas. I 114 kap. 12 § socialförsäkringsbalken bör det uttryckligen anges vilka personuppgifter om lagöverträdelser m.m. som får behandlas medan det i 114 kap. 13 §, 15 § andra stycket och 16 § hänvisas till 114 kap. 12 § första stycket.
10.13.7. Sökbegränsningar
Utredningens förslag: Bestämmelsen om användning av käns-
liga personuppgifter som sökbegrepp i 114 kap. 27 § första stycket socialförsäkringsbalken ska omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen.
Hänvisningen till personuppgiftslagens definition av uppgifter om lagöverträdelser bör ersättas med en hänvisning till 114 kap. 12 § socialförsäkringsbalken.
Utredningens bedömning: Bestämmelserna om sökbegränsningar
i 114 kap.27 och 28 §§socialförsäkringsbalken kan och bör i övrigt behållas i sak.
I 114 kap. 27 § socialförsäkringsbalken finns det ett förbud mot att använda känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp vid sökning i socialförsäkringsdatabasen. Bestämmelserna innehåller också en begränsning som innebär att endast beteckning på ett ärende eller en handling får användas som sökbegrepp vid sökning som omfattar innehållet i fler än en handling. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om begränsningar i övrigt. Enligt 114 kap. 28 § socialförsäkringsbalken får uppgifter om hälsa användas under vissa förutsättningar om regeringen eller den myndighet regeringen bestämmer meddelat föreskrifter om det.
Förbudet mot att använda känsliga personuppgifter som sökbegrepp i 114 kap. 27 § första stycket får anses utgöra en sådan lämplig och särskild åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs vid behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. Bestämmelsen kan och bör därmed behållas.
Som anges i avsnitt 9.11.6 har några nya kategorier av känsliga personuppgifter tillkommit i dataskyddsförordningen, nämligen genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. De nytillkomna kategorierna bör, i enlighet med vad utredningen kommit fram till i det avsnittet, omfattas av sökförbudet i de nu aktuella bestämmelserna.
Sökbegränsningen avseende uppgifter om lagöverträdelser kan, som anges i avsnitt 9.12, behållas, eftersom den avser behandling som sker med stöd av artikel 6.1 c eller e i dataskyddsförordningen eller endast omfattar myndigheters möjligheter att behandla personuppgifter om lagöverträdelser.
Bestämmelsen som begränsar möjligheten att söka med hjälp av annat än beteckningen på ett ärende eller en handling i 114 kap. 27 § andra stycket utgör, som framgått av avsnitt 9.16.2, en form av säkerhetsåtgärd enligt dataskyddsförordningen. Bestämmelser om säkerhetsåtgärder är tillåtna med stöd av 6.2 och 6.3 i dataskydds-
förordningen när det gäller reglering av behandling som grundar sig på en rättslig förpliktelse eller arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen eller därför att de endast avser en myndighets behandling. Bestämmelsen bör därmed inte ändras.
Bestämmelsen i 114 kap. 28 § socialförsäkringsbalken som anger att uppgifter som rör hälsa får användas som sökbegrepp, om föreskrifter har meddelats om det bör, i enlighet med utredningens bedömning i avsnitt 9.11.6, inte utvidgas till att omfatta några av de nya kategorierna av känsliga personuppgifter utan behållas i sin nuvarande utformning. Det kommer alltså även fortsättningsvis endast att vara möjligt att meddela föreskrifter som tillåter behandling av sådana känsliga uppgifter som rör hälsa. Som anges i avsnitt 7.5 förekommer det emellertid att de olika kategorierna av känsliga personuppgifter överlappar varandra. Sådana personuppgifter som omfattas av någon av de nya kategorierna men som även utgör en uppgift om hälsa kan enligt utredningens bedömning således omfattas av föreskrifter som meddelas med stöd av bestämmelsen i 114 kap. 28 § socialförsäkringsbalken. Utredningen har övervägt om detta behöver förtydligas i bestämmelsen på så sätt att det anges att föreskrifter får meddelas om användning av uppgifter som rör hälsa, inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning, på samma sätt som anges i avsnitt 10.1.11 och 12.8.4. Då det i utredningen inte har framkommit något behov av att använda sådana uppgifter om hälsa som samtidigt omfattas av någon av de nya kategorierna, saknas det dock enligt utredningens bedömning anledning att införa ett sådant förtydligande. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område eller att föreskriftsrätten delegeras. Bemyndigandena i 114 kap. 27 § tredje stycket och 28 § kan därmed behållas.
10.13.8. Säkerhetsåtgärder
Utredningens bedömning: Någon ändring av begränsningen i
114 kap. 14 § och 15 § första stycket socialförsäkringsbalken av vilka personuppgifter som får behandlas i socialförsäkringsdatabasen behövs inte med anledning av dataskyddsförordningen.
Det krävs inte heller någon förändring av styrningen av behörighetstilldelning enligt 114 kap. 17 §, av möjligheten till direktåtkomst eller utlämnande på medium för automatiserad behandling enligt 114 kap. 18–26 a §§ eller av kravet på kontrollverksamhet enligt 114 kap. 34 § socialförsäkringsbalken.
Tillämpningsområdet för 114 kap. socialförsäkringsbalken omfattar i princip all automatiserad behandling av personuppgifter, även eventuell behandling av personuppgifter som sker i ordbehandlingsprogram på en enstaka persondator. Viss behandling av personuppgifter anses dock mer integritetskänslig än annan. I syfte att ytterligare begränsa sådan mer integritetskänslig behandling av personuppgifter, finns det i 114 kap.14–28 §§socialförsäkringsbalken särskild reglering av behandling av personuppgifter i den s.k. socialförsäkringsdatabasen. Den samling av personuppgifter som utgör socialförsäkringsdatabasen används nämligen gemensamt, dvs. sprids mer allmänt inom organisationen, i verksamhet rörande förmåner enligt socialförsäkringsbalken samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten, vilket framgår av 114 kap. 5 § socialförsäkringsbalken.
Några av bestämmelserna som avser behandling av personuppgifter i socialförsäkringsdatabasen har berörts i avsnitt 10.13.6 och 10.13.7. I det här avsnittet konstaterar utredningen att bestämmelserna i 114 kap. 15 § första stycket, 17–26 a33 och 34 §§socialförsäkringsbalken, som anger särskilda restriktioner och krav för behandlingen av personuppgifter, är att anse dels som uttryck för dataskyddsförordningens princip om uppgiftsminimering och dels
33 Regeringen har remissbehandlat dels ett förslag att upphäva 114 kap. 20 § socialförsäkringsbalken vid utgången av 2017, dnr S2004/07368/RS, och dels ett förslag att införa en ny bestämmelse om direktåtkomst i 114 kap. 23 § socialförsäkringsbalken den 1 december 2017 (Ds 2017:3), dnr Ju2017/02026/L7.
som säkerhetsåtgärder/skyddsåtgärder enligt dataskyddsförordningen. Enligt 114 kap. 25 och 26 §§ krävs den registrerades uttryckliga samtycke för att vissa uppgifter ska få lämnas ut på medium för automatiserad behandling. Även kravet på samtycke utgör enligt den bedömning utredningen har gjort i avsnitt 9.16.2 en form av skyddsåtgärd.
Sådana restriktioner och krav som anges i de nu berörda bestämmelserna är, som anges i avsnitt 9.16.2, tillåtna för myndigheter. Bestämmelserna får också anses vara sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt även för enskilda när det gäller behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen.
Flera av bestämmelserna innehåller bemyndiganden för regeringen att meddela föreskrifter. Utredningen har bedömt att de bestämmelser i socialförsäkringsbalken som föreskriftsrätten utgår från är förenliga med dataskyddsförordningen. Dataskyddsförordningen hindrar inte i sig att föreskriftsrätten delegeras. Bestämmelserna om delegation behöver därmed inte ändras.
10.13.9. Överföring av personuppgifter till tredjeland
Utredningens förslag: Bestämmelsen i 114 kap. 29 § socialförsäk-
ringsbalken behålls i sak men hänvisningen till 33 § personuppgiftslagen tas bort.
Enligt 114 kap. 29 § socialförsäkringsbalken får överföring av personuppgifter till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater ske utan hinder av 33 § personuppgiftslagen.
Enligt artikel 49.1 d i dataskyddsförordningen, som är direkt tillämplig, får en överföring till ett tredjeland göras när den är nödvändig av viktiga skäl som rör allmänintresset. Överföring av personuppgifter på grund av avtal om social trygghet bedöms i för-
arbetena till 114 kap. 29 § socialförsäkringsbalken vara ett viktigt allmänt intresse enligt artikel 26 i dataskyddsdirektivet.34 Skälen för detta är giltiga även i förhållande till artikel 49 i dataskyddsförordningen. Av skäl 112 till dataskyddsförordningen framgår dessutom att internationella utbyten av uppgifter mellan socialförsäkringsmyndigheter är en uppgiftsöverföring som krävs och är nödvändig med hänsyn till viktiga allmänintressen. Överföring av personuppgifter på grund av avtal om social trygghet får sammantaget anses vara ett allmänt intresse även i förhållande till dataskyddsförordningen.
Kravet enligt artikel 49.4 i dataskyddsförordningen på att allmänintresset är erkänt i unionsrätten eller i nationell rätt är uppfyllt bl.a. genom att internationell överföring av personuppgifter mellan socialförsäkringsmyndigheter särskilt omnämns i skälen till dataskyddsförordningen och genom artikel 34.1 i rättighetsstadgan. Personuppgifter kan därmed även enligt dataskyddsförordningen föras över till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater.
En bestämmelse om att överföring av personuppgifter till tredjeland i en viss situation är tillåten behöver, i enlighet med vad utredningen konstaterat i avsnitt 9.14, inte ändras om den i övrigt har stöd i dataskyddsförordningen. Bestämmelsen i 114 kap. 29 § socialförsäkringsbalken kan därmed behållas i sak, men hänvisningen till 33 § personuppgiftslagen bör tas bort.
10.13.10. Information som ska lämnas på begäran
Utredningens förslag: Hänvisningen till personuppgiftslagen i
114 kap. 30 § socialförsäkringsbalken ändras till att avse artikel 15 i dataskyddsförordningen.
I 114 kap. 30 § socialförsäkringsbalken finns det en bestämmelse som kompletterar 26 § personuppgiftslagen, som i sin tur anger vilken information den personuppgiftsansvarige ska lämna på begäran av den registrerade, dvs. den information som lämnas i ett s.k.
registerutdrag. Enligt 26 § personuppgiftslagen ska information lämnas om vilka uppgifter om den sökande som behandlas. Enligt 114 kap. 30 § socialförsäkringsbalken gäller denna skyldighet i ett första skede inte personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende, om den registrerade tagit del av handlingens innehåll. Eftersom den enskilde ofta i enlighet med 17 § förvaltningslagen (1986:223) har kommunicerats uppgifter som tillförts ett ärende från annan än honom eller henne själv, har den registrerade i de flesta fall tagit del av de personuppgifter som finns i handlingar som kommit in i ett ärende eller upprättats i ett ärende. Då behöver Försäkringskassan eller Pensionsmyndigheten endast lämna information om vilka sådana handlingar som behandlas. Om den registrerade sedan begär att få information om personuppgifter i en sådan handling och anger vilken handling som avses, ska registerutdraget omfatta även dessa uppgifter, om inte annat följer av bestämmelser om sekretess.
I dataskyddsförordningen framgår skyldigheten att lämna information på begäran av den registrerade av artikel 15. Bestämmelsen i 114 kap. 30 § socialförsäkringsbalken medför en viss begränsning av rätten enligt artikel 15 i dataskyddsförordningen. Samtlig information kan inte fås i ett första steg utan det krävs att den registrerade först tar del av information om vilka handlingar som finns, för att sedan begära att även få del av innehållet i handlingarna. Begränsningen är dock inte särskilt ingripande och medför ingen rättsförlust, eftersom rätten att få del av samtliga personuppgifter kvarstår även om den förutsätter en större ansträngning från den registrerades sida.
Begränsningen får förutsättas ha stöd i personuppgiftslagen och dataskyddsdirektivet. Enligt den bedömning utredningen har gjort i avsnitt 9.15.2 kan och bör befintliga begränsningar av den registrerades rättigheter behållas.
För den händelse bestämmelsen även skulle innebära en utvidgning av skyldigheterna enligt dataskyddsförordningen, drabbar den utvidgningen bara myndigheter, varför dataskyddsförordningen inte hindrar den.
Bestämmelsen behöver dock omarbetas, eftersom personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. En hänvisning bör göras till artikel 15 i dataskyddsförordningen. Hänvisningen bör vara dynamisk, dvs. avse vid var tid gällande
lydelse av bestämmelsen, eftersom artikel 15 i dataskyddsförordningen är direkt tillämplig.
10.13.11. Gallring
Utredningens förslag: Bestämmelsen i 114 kap. 31 § socialför-
säkringsbalken om gallring behålls i sak, men formuleringen av historiska, statistiska eller vetenskapliga ändamål ändras till den som används i dataskyddsförordningen.
Utredningen fastslår i avsnitt 9.17.2 att bestämmelser i registerförfattningar om gallring och bevarande inte behöver ändras i sak under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Detsamma gäller delegationsbestämmelser som ger rätt att meddela föreskrifter om att uppgifter får bevaras för en viss tid och för vissa ändamål. Bestämmelserna i 114 kap. 31 § socialförsäkringsbalken kan alltså behållas. Formuleringen av de historiska, statistiska och vetenskapliga ändamålen bör dock anpassas till dataskyddsförordningens lydelse.
10.13.12. Avgifter
Utredningens bedömning: Bestämmelsen i 114 kap. 32 § social-
försäkringsbalken behöver inte ändras med anledning av dataskyddsförordningen.
I 114 kap. 32 § första stycket socialförsäkringsbalken anges att avgifter får tas ut för utlämnande av uppgifter och handlingar från socialförsäkringsdatabasen samt att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om uttagandet av avgifter. Av andra stycket framgår att rätten att ta ut avgifter enligt första stycket inte får innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen. Av förarbetena framgår att det som avgifterna är tänkta att tas ut för är utlämnanden genom
automatiserad behandling eller direktåtkomst som medför ett visst merarbete och materialkostnader.35
Regeringen har i 8 § 8 förordningen om behandling av personuppgifter i socialförsäkringens administration gett Försäkringskassan bemyndigande att meddela föreskrifter i fråga om fastställande av avgifter för utlämnande av uppgifter och handlingar från socialförsäkringsdatabasen, om inte utlämnandet är avgiftsfritt till följd av att det sker till en annan myndighet på grund av att det föreligger en sådan skyldighet i lag eller förordning.
Den registrerades rätt att få tillgång till de personuppgifter som behandlas om honom eller henne är i grunden kostnadsfri. Av artikel 12.5 i dataskyddsförordningen framgår att all kommunikation och samtliga åtgärder som vidtas enligt bl.a. artikel 15–22 ska tillhandahållas kostnadsfritt. Motsvarande gäller enligt artikel 12 i dataskyddsdirektivet som anger att den registrerade har rätt att från den registeransvarige få registerutdrag utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader. Av 26 § personuppgiftslagen följer att den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om registerutdrag.
Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige enligt artikel 12.5 i dataskyddsförordningen emellertid ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, alternativt vägra att tillmötesgå begäran. Även enligt artikel 15.3 i dataskyddsförordningen finns det möjlighet att ta ut en avgift. Om den registrerade begär fler än en kopia av de personuppgifter som är under behandling (registerutdrag), får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna.
Bortsett från vad som gäller den registrerade själv reglerar dataskyddsförordningen inga rättigheter eller skyldigheter att få eller lämna personuppgifter. Möjligheterna att lämna ut uppgifter från socialförsäkringsdatabasen till andra än den registrerade styrs därför främst av regler i nationell rätt, framför allt tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). Eventuellt
uttag av avgift grundas på vad regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om, se t.ex. Riksförsäkringsverkets föreskrifter (RFFS 2004:1) och bestämmelser i avgiftsförordningen (1992:191).
Möjligheterna att ta ut avgift för utlämnande av uppgifter ur socialförsäkringsdatabasen utökas således i viss mån i och med att dataskyddsförordningen träder i kraft. Bestämmelsen i 114 kap. 32 § första stycket första meningen om att avgifter får tas ut behöver inte ändras, eftersom den bestämmelsen inte i sig föreskriver att avgifter ska tas ut.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. De bemyndiganden som ges i 114 kap. 32 § första stycket andra meningen behöver därför inte ändras. När bemyndigandet utnyttjas måste dataskyddsförordningen beaktas.
Att rätten att få ta del av allmän handling enligt tryckfrihetsförordningen inte får inskränkas, framgår av artikel 86 i dataskyddsförordningen. Bestämmelsen i 114 kap. 32 § andra stycket påverkas därför inte heller av dataskyddsförordningen.
10.13.13. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 114 kap. 33 § socialförsäk-
ringsbalken som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.
Enligt 114 kap. 33 § socialförsäkringsbalken ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt 114 kap. eller föreskrifter som meddelats i anslutning till kapitlet. Bestämmelsen bör, i enlighet med de slutsatser utredningen drar i avsnitt 9.15.1 och 9.19.1, upphävas.
10.13.14. Tystnadsplikt
Utredningens bedömning: Bestämmelsen i 114 kap. 35 § social-
försäkringsbalken påverkas inte av dataskyddsförordningen och behöver inte ändras.
Av 114 kap. 8 § 2 socialförsäkringsbalken framgår att personuppgifter får behandlas för tillhandahållande av information som behövs för samordning av tjänstepensioner i det för kommunerna och landstingen gemensamma organet för administration av personalpensioner. Av 114 kap. 20 § framgår att samma organ får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för samordning av tjänstepensioner med socialförsäkringsförmåner. Eftersom det för kommunerna och landstingen gemensamma organet för administration av personalpensioner (KPA Pension AB) inte omfattas av offentlighets- och sekretesslagens (2009:400) bestämmelser, gäller enligt 114 kap. 35 § socialförsäkringsbalken tystnadsplikt för den, som genom sin befattning med personuppgifter som inhämtats från socialförsäkringsdatabasen till organet, får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden.
Bestämmelsen påverkas inte av dataskyddsförordningen och behöver inte ändras.
10.13.15. Överklagande
Utredningens förslag: Hänvisningen till personuppgiftslagens
bestämmelser om överklagande i 114 kap. 36 § socialförsäkringsbalken ersätts med en hänvisning till den föreslagna dataskyddslagen.
I 114 kap. 36 § socialförsäkringsbalken upplyses om att i fråga om överklagande av beslut om rättelse eller avslag på ansökan om information enligt 26 § personuppgiftslagen (registerutdrag) tillämpas bestämmelserna i den lagen. Andra beslut enligt 114 kap. socialförsäkringsbalken får inte överklagas.
Eftersom särskilda överklagandebestämmelser gäller för 114 kap. i förhållande till vad som gäller för övriga kapitel i socialförsäk-
ringsbalken, bör hänvisningen till personuppgiftslagen i enlighet med utredningens bedömning i avsnitt 9.20 ersättas med en hänvisning till den föreslagna dataskyddslagen.
10.14. Förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration
Utredningens förslag: Bestämmelsen i 3 c § förordningen om
behandling av personuppgifter inom socialförsäkringens administration, som förlorat sin betydelse, upphävs. En övergångsbestämmelse införs med innebörden att den upphävda bestämmelsen fortfarande ska tillämpas när kommunalt vårdnadsbidrag har lämnats enligt den upphävda lagen (2008:307) om kommunalt vårdnadsbidrag.
Hänvisningen till 114 kap. 6 § andra stycket socialförsäkringsbalken i 8 § förordningen om behandling av personuppgifter inom socialförsäkringens administration ändras till att avse 114 kap. 6 a § socialförsäkringsbalken.
Utredningens bedömning: Övriga bestämmelser i förordningen
behöver inte ändras med anledning av dataskyddsförordningen.
Förordningen om behandling av personuppgifter inom socialförsäkringens administration innehåller i 2–5, 6 och 7 §§ bestämmelser som kompletterar bestämmelserna i 114 kap. socialförsäkringsbalken som utredningen tidigare konstaterat är förenliga med dataskyddsförordningen. Det är utredningens bedömning att de nämnda bestämmelserna i förordningen om behandling av personuppgifter inom socialförsäkringens administration inte behöver ändras.
I 5 a § förordningen om behandling av personuppgifter inom socialförsäkringens administration föreskrivs en sekretessbrytande uppgiftsskyldighet. Uppgiftsskyldigheter är, i enlighet med vad utredningen konstaterat i avsnitt 9.21, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmel-
sen påverkas därför inte av dataskyddsförordningen.36 När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
Det kommunala vårdnadsbidraget avskaffades i och med att lagen (2008:307) om kommunalt vårdnadsbidrag upphörde att gälla vid utgången av januari 2016. Med anledning av detta upphävdes 114 kap. 8 § 5 och 23 § socialförsäkringsbalken. Av samma anledning bör även 3 c § förordningen om behandling av personuppgifter inom socialförsäkringens administration, som gäller direktåtkomst för kommunala nämnder som handlägger ärenden om vårdnadsbidrag och hänvisar till det nämnda numera upphävda lagrummet, upphävas.
Med anledning av att kommunalt vårdnadsbidrag, till följd av en övergångsbestämmelse, kan betalas ut efter att lagen om kommunalt vårdnadsbidrag upphävts, infördes övergångsbestämmelser till ändringarna i socialförsäkringsbalken.37 Enligt övergångsbestämmelsen gäller äldre föreskrifter fortfarande när kommunalt vårdnadsbidrag har lämnats enligt den upphävda lagen om kommunalt vårdnadsbidrag.38 Motsvarande övergångsbestämmelse bör införas i anslutning till att 3 c § förordningen om behandling av personuppgifter inom socialförsäkringens administration upphävs.
Utredningen har i avsnitt 10.13.4 föreslagit att personuppgiftsansvaret inom socialförsäkringens administration inte längre ska framgå av 114 kap. 6 § andra stycket socialförsäkringsbalken. I stället ska personuppgiftsansvaret anges i en ny paragraf, 114 kap. 6 a § socialförsäkringsbalken. Hänvisningen till 114 kap. 6 § andra stycket socialförsäkringsbalken i 8 § förordningen om behandling av personuppgifter inom socialförsäkringens administration bör därmed ändras till att avse 114 kap. 6 a § socialförsäkringsbalken.
36 Regeringen har remissbehandlat ett förslag att införa en sekretessbrytande uppgiftsskyldighet i en ny 5 b § i förordningen om behandling av personuppgifter inom socialförsäkringens administration (Ds 2017:3), dnr Ju2017/02026/L7. 37Prop. 2014/15:147 s. 26. 38 SFS 2015:758.
10.15. Lagen (2010:111) om införande av socialförsäkringsbalken
Utredningens förslag: Bestämmelserna i 9 kap. 22 och 23 §§
lagen om införande av socialförsäkringsbalken om skadestånd behålls i sak, men det förtydligas att 114 kap. 33 § socialförsäkringsbalken upphävts och ska tillämpas bara på skadefall som inträffat innan dataskyddsförordningen ska börja tillämpas.
Enligt 9 kap. 22 § lagen om införande av socialförsäkringsbalken ska bestämmelserna i 114 kap. 33 § socialförsäkringsbalken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet även avse behandling enligt den upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration eller föreskrifter som har meddelats i anslutning till den lagen. Enligt 9 kap. 23 § lagen om införande av socialförsäkringsbalken gäller detta endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter utgången av november 2003. I annat fall tillämpas de dessförinnan gällande bestämmelserna.
Bestämmelsen i 114 kap. 33 § socialförsäkringsbalken är i princip identisk med bestämmelsen om skadestånd i 30 § lagen om behandling av personuppgifter inom socialförsäkringens administration. Båda bestämmelserna hänvisar till personuppgiftslagens bestämmelse om skadestånd.
Dataskyddsutredningen har föreslagit att personuppgiftslagen – och därmed även dess bestämmelse om skadestånd – upphävs.39Utredningen föreslår i sin tur i avsnitt 10.13.13 att 114 kap. 33 § socialförsäkringsbalken upphävs. Övergångsbestämmelserna i 9 kap. 22 § lagen om införande av socialförsäkringsbalken är dock fortfarande aktuella att tillämpa för behandling av personuppgifter som har skett i strid med lagen om behandling av personuppgifter inom socialförsäkringens administration och bör därför vara kvar. Övergångsbestämmelserna i 9 kap. 23 § lagen om införande av socialförsäkringsbalken bör också vara kvar. Bestämmelserna i 114 kap. 33 § socialförsäkringsbalken bör dock inte tillämpas på skadestånds-
yrkanden som grundar sig på omständigheter som inträffat sedan dataskyddsförordningen börjat tillämpas. Utredningen föreslår därför att bestämmelserna i 9 kap. 22 och 23 §§ lagen om införande av socialförsäkringsbalken behålls i sak, men att det förtydligas att 114 kap. 33 § socialförsäkringsbalken upphävts och ska tillämpas bara på skadefall som inträffat innan dataskyddsförordningen ska börja tillämpas.
10.16. Förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet
10.16.1. Förordningens tillämpningsområde
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om tillämpningsområdet i 1 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet.
I avsnitt 9.5 har utredningen konstaterat att bestämmelser om tillämpningsområdet för registerförfattningarna inte påverkas av dataskyddsförordningen. Bestämmelsen i 1 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet kan alltså behållas.
10.16.2. Personuppgiftsansvar
Utredningens bedömning: Bestämmelsen om personuppgifts-
ansvar i 2 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet kan och bör behållas.
Som utredningen angett i avsnitt 9.7 behöver bestämmelser om vem som är personuppgiftsansvarig inte ändras med anledning av dataskyddsförordningen. Bestämmelsen i 2 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet kan och bör därför behållas.
10.16.3. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 3 § förordningen om be-
handling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet ska innehålla en upplysning om att förordningen kompletterar dataskyddsförordningen.
Det ska också upplysas om att dataskyddslagen gäller, om inte annat följer av förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet.
Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
10.16.4. Ändamål och grund för behandling av personuppgifter
Utredningens förslag: Hänvisningen till personuppgiftslagens
bestämmelse om finalitetsprincipen i 4 § andra stycket andra meningen förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet tas bort. I stället hänvisas till artikel 5.1 b i dataskyddsförordningen som ger uttryck för finalitetsprincipen.
Utredningens bedömning: Ändamålsbestämmelserna i 4 § för-
ordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet uppfyller de krav som gäller enligt dataskyddsförordningen och kan behållas.
I 4 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet anges för vilka ändamål personuppgifter får behandlas inom förordningens tillämpningsområde. Personuppgifter får behandlas om det behövs för att Tandvårds- och läkemedelsförmånsverket ska kunna fatta beslut om utformningen av det statliga tandvårdsstödet i fråga om ersättningsberättigande tandvårdsåtgärder, referenspriser för de ersättningsberättigande åtgärderna samt beloppsgränser och ersättningsgrader inom skyddet mot höga kostnader. Personuppgifter får vidare behandlas om det behövs för att genomföra uppföljning av utvecklingen på tandvårdsområdet. De nu berörda ändamålen grundar sig på utförandet av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e i dataskyddsförordningen. Personuppgifter som behandlas för dessa ändamål får dessutom behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Eftersom uppgiftsskyldigheter framgår av författning, grundar sig det ändamålet företrädesvis på rättsliga förpliktelser enligt artikel 6.1 c i dataskyddsförordningen och – i den mån det inte rör sig om skyldigheter att lämna uppgifter – på en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte, som framgår av avsnitt 9.10.1. De krav på den rättsliga grunden för behandlingen som tillkommit i artikel 6.3 i dataskyddsförordningen får i enlighet med vad utredningen konstaterat i samma avsnitt anses uppfyllda utan vidare analys när det gäller ändamål som är reglerade sedan tidigare. Behandling för de ändamål som anges i 4 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet är alltså laglig enligt dataskyddsförordningen och de befintliga ändamålen kan och bör därmed behållas.
Finalitetsprincipen
I 4 § andra stycket andra meningen förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet finns det en hänvis-
ning till den s.k. finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen. Det innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in och att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Som anges i avsnitt 9.10.3 kan registerförfattningar även fortsättningsvis innehålla bestämmelser med innebörden att behandling av personuppgifter för andra ändamål som inte strider mot finalitetsprincipen är tillåten. Eftersom personuppgiftslagen kommer att upphöra att gälla, bör bestämmelsen utformas på det sätt som anges i det avsnittet.
10.16.5. Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelsen i 5 § förordningen
om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet om vilka personuppgifter som får behandlas kan och bör behållas.
Begränsning av vilka personuppgifter som får behandlas
Tandvårds- och läkemedelsförmånsverket får enligt 5 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet endast behandla sådana personuppgifter som anges i 19 a § förordningen (2008:193) om statligt tandvårdsstöd. I den bestämmelsen finns det en uppräkning av vilka uppgifter Försäkringskassan ska lämna till Tandvårds- och läkemedelsförmånsverket. De personnummer, samordningsnummer, organisationsnummer och tandvårdsmottagningsnummer som lämnas ut av Försäkringskassan ska vara krypterade på ett sådant sätt att identifiering inte är möjlig. Uppgifterna får inte behandlas av Tandvårds- och läkemedelsförmånsverket i syfte att röja en persons identitet.
Som anges i avsnitt 9.13 kan och bör bestämmelser om behandling av personnummer behållas. Den specificering som i övrigt görs
i bestämmelsen av vilka personuppgifter som får behandlas stämmer väl överens med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Överväganden kring vilka uppgifter som behöver behandlas av Tandvårds- och läkemedelsförmånsverket har gjorts vid tidigare lagstiftningsarbeten och utredningen har att utgå från att de angivna uppgifterna behövs för de ändamål för vilka uppgifterna behandlas. Medlemsstaterna tillåts att införa sådana preciseringar i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen och de kan införa begränsningar för sina myndigheter. Bestämmelserna bör därmed inte ändras.
Känsliga personuppgifter
De uppgifter som Tandvårds- och läkemedelsförmånsverket får behandla enligt 5 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet omfattar även uppgifter som rör hälsa, dvs. känsliga personuppgifter.
För att behandling av känsliga personuppgifter ska få ske inom den nu aktuella förordningens tillämpningsområde måste alltså verksamheten rymmas inom något av undantagen i artikel 9.2 i dataskyddsförordningen. Utredningen har i avsnitt 9.11.4 redogjort för vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter vid hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Som anges i det avsnittet har det i förarbetena till lagen (1996:1156) om receptregister ansetts osäkert om 18 § personuppgiftslagen ger tillräckligt stöd för den behandling som avses i den lagen.40 Receptregistret förs bl.a. för ändamålet att utgöra underlag för tillämpningen av bestämmelserna om läkemedelsförmåner. Behandlingen av personuppgifter enligt den nu aktuella regleringen sker i det huvudsakliga syftet att utforma det statliga tandvårdsstödet varför det ligger nära till hands att göra samma bedömning som beträffande receptregistret.
Behandlingen av känsliga personuppgifter enligt förordningen får enligt utredningens bedömning i vart fall anses nödvändig av hänsyn till ett viktigt allmänt intresse. Behandling av känsliga personuppgifter är därmed tillåten med stöd av undantaget i artikel 9.2 g i dataskyddsförordningen i enlighet med vad som anges i avsnitt 9.11.3. Regleringen bedöms således vara förenlig med dataskyddsförordningen och bör därför behållas.
Som anges i avsnitt 9.11.6 har några nya kategorier av känsliga personuppgifter tillkommit i dataskyddsförordningen, nämligen genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Eftersom känsliga personuppgifter får behandlas under samma förutsättningar som andra personuppgifter inom tillämpningsområdet för förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet, påverkar det inte regleringen att nya kategorier av personuppgifter kommer att vara att bedöma som känsliga enligt dataskyddsförordningen.
10.16.6. Rätten att invända mot behandling av personuppgifter
Utredningens bedömning: Bestämmelsen i 6 § förordningen
om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet som anger att behandling av personuppgifter får utföras även om den enskilde motsätter sig den kan och bör behållas.
Behandling av personuppgifter som är tillåten enligt förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet får enligt 6 § utföras även om den enskilde motsätter sig det.
Bestämmelsen innebär en begränsning av den rätt som den registrerade har att göra invändningar mot behandling av personuppgifter enligt artikel 21.1 i dataskyddsförordningen när det gäller behandling som grundar sig på artikel 6.1 e (allmänt intresse och myndighetsutövning) i dataskyddsförordningen. Större delen av den behandling av personuppgifter som sker enligt den nu aktuella förordningen stödjer sig, som anges i avsnitt 10.16.4, på dessa
grunder. En bedömning måste därför, enligt vad som framgått i avsnitt 9.15.2, göras av om begränsningen av rätten att göra invändningar uppfyller de krav som anges i artikel 23 i dataskyddsförordningen.
Det krävs för det första att begränsningen utgör en åtgärd som syftar till att säkerställa något av de mål som anges i artikel 23.1 i dataskyddsförordningen. Målet i punkten e gäller andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. Som anges i avsnitt 9.15.2 reglerar registerförfattningar normalt behandling av personuppgifter som rör sådana viktiga mål av generellt allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen. I avsnitt 9.8.2 anges att bedrivande av sådan verksamhet som anges i internationella rättighetsstadgor utgör allmänna intressen. Även den verksamhet som bedrivs av Tandvårds- och läkemedelsförmånsverket har samband med sådan verksamhet som anges där och får enligt utredningens bedömning anses utgöra ett sådant generellt allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen. Begränsningen får också anses utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett generellt mål av allmänt intresse. Begränsningen strider inte heller mot andemeningen i de grundläggande rättigheterna och friheterna.
Det är alltså enligt utredningens bedömning möjligt att begränsa den registrerades rätt att göra invändningar mot behandlingen. En sådan begränsning måste dock uppfylla kraven i artikel 23.2 i dataskyddsförordningen på vad lagstiftning som begränsar den registrerades rättigheter ska innehålla. Utredningen bedömer att bestämmelser med detta innehåll, i den mån det är relevant, redan finns i förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet.
10.16.7. Säkerhetsåtgärder
Utredningens bedömning: Bestämmelsen om tillgången till per-
sonuppgifter i 7 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet kan behållas.
Enligt 7 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet ska tillgången till personuppgifter alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Som framgått av avsnitt 9.16.2 utgör bestämmelser som begränsar åtkomsten till personuppgifter säkerhetsåtgärder enligt dataskyddsförordningen. Sådana restriktioner för myndigheter behöver inte, i enlighet med vad utredningen konstaterat i samma avsnitt, ändras med anledning av att dataskyddsförordningen börjar tillämpas. Bestämmelserna får också anses vara sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Bestämmelsen i 7 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet kan därför behållas.
10.16.8. Information som ska lämnas på begäran
Utredningens bedömning: Bestämmelsen i 8 § förordningen
om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet som begränsar den registrerades rätt till registerutdrag kan behållas.
I 8 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet anges att bestämmelsen om registerutdrag i 26 §
personuppgiftslagen inte ska gälla för personuppgifter som behandlas för de ändamål som är tillåtna enligt förordningen.
Bestämmelsen begränsar den registrerades rätt till tillgång till de personuppgifter som rör honom eller henne och som behandlas av den personuppgiftsansvarige enligt artikel 15 i dataskyddsförordningen. Av artikel 11 i dataskyddsförordningen framgår dock att den personuppgiftsansvarige inte är tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa dataskyddsförordningen, om de ändamål för vilka personuppgifterna behandlas inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige. Av 19 a § förordningen om statligt tandvårdsstöd följer att de personnummer, samordningsnummer, organisationsnummer och tandvårdsmottagningsnummer som lämnas ut av Försäkringskassan till Tandvårds- och läkemedelsförmånsverket ska vara krypterade på ett sådant sätt att identifiering inte är möjlig. Det innebär, som utredningen förstår det, att Tandvårds- och läkemedelsförmånsverket inte på egen hand kan koppla de uppgifter som verket behandlar till en viss person. Eftersom Tandvårds- och läkemedelsförmånsverket inte har behov av att kunna identifiera individer vid fullgörande av sitt uppdrag, är verket inte heller, enligt artikel 11 i dataskyddsförordningen, skyldigt att inhämta ytterligare information för att identifiera den registrerade enbart i syfte att följa dataskyddsförordningens reglering om registerutdrag. Innehållet i 8 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet är alltså förenligt med dataskyddsförordningens reglering.
I enlighet med vad som anges i skäl 8 till dataskyddsförordningen kan medlemsstaterna införliva delar av dataskyddsförordningen i nationell rätt under vissa förutsättningar. Utredningen bedömer med stöd av vad som anges i det skälet att bestämmelsen kan och bör behållas. Det kan dock övervägas om bestämmelsen är nödvändig.
10.16.9. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 9 § förordningen om be-
handling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.
Bestämmelsen i 9 § förordningen om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Sådana bestämmelser bör, i enlighet med utredningens slutsats i avsnitt 9.15.1 och 9.19.1, upphävas.
10.17. Förslag som lämnats i betänkandet Inbyggd integritet inom Inspektionen för socialförsäkringen (SOU 2014:67)
10.17.1. Uppdraget
Enligt utredningsdirektiven bör utredningen överväga vilka anpassningar som till följd av dataskyddsförordningen kan behöva göras av det förslag till ny lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen samt av övriga förslag som lämnats i betänkandet SOU 2014:67.
10.17.2. Förslag till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen
Lagens tillämpningsområde
Utredningens bedömning: Tillämpningsområdet i 1 § förslaget
till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen behöver inte ändras.
I avsnitt 9.5 har utredningen konstaterat att bestämmelser i registerförfattningar om på vilken verksamhet, vilka typer av behandlingar och vilka uppgifter författningen ska tillämpas inte i sig påverkas av dataskyddsförordningen. Det tillämpningsområde som föreslås i 1 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen behöver därmed inte ändras.
Den enskildes inställning till behandling av personuppgifter
Utredningens förslag: Hänvisningen till personuppgiftslagens
bestämmelse om återkallelse av samtycke i 2 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen bör utgå.
Utredningens bedömning: Bestämmelsen i 2 § förslaget till lag
om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen kan innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.
Bestämmelsen kan också innehålla en begränsning som innebär att viss behandling bara får utföras om den registrerade samtyckt till den.
Behandling av personuppgifter som är tillåten enligt förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen föreslås enligt 2 § samma lagförslag få utföras även om den enskilde motsätter sig behandlingen. Detta ska dock inte gälla om personuppgifter samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om den enskilde har lämnat sitt uttryckliga samtycke till behandlingen.
Rätten att invända mot behandling av personuppgifter
Den registrerade har enligt dataskyddsförordningen rätt att invända mot behandling av personuppgifter; detta under förutsättning att det rör sig om sådan behandling som bedömts nödvändig
för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (se vidare avsnitt 9.15.1). Den behandling som omfattas av tillämpningsområdet för förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen utgör sådan behandling. Den föreslagna bestämmelsen om att behandling av personuppgifter ska få utföras även om den enskilde motsätter sig den utgör alltså en begränsning av den registrerades rätt att göra invändningar enligt artikel 21 i dataskyddsförordningen.
En sådan bestämmelse förutsätter, i enlighet med vad som framgår av avsnitt 9.15.2, att de villkor som anges i artikel 23 i dataskyddsförordningen för en begränsning av den registrerades rättigheter är uppfyllda. Vilka villkoren är framgår av samma avsnitt. Ett av kraven är att bestämmelsen utgör en åtgärd i syfte att säkerställa något av de mål som anges i artikel 23.1 i dataskyddsförordningen. Ett av dessa mål, punkten e, gäller ”andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet”. I avsnitt 9.8.2 har utredningen konstaterat att bedrivande av verksamhet inom bl.a. socialförsäkring och pensioner, inklusive den administration dessa verksamheter kräver, är ett sådant allmänt intresse som avses i artikel 23.1 e. Även uppföljning och kontroll av sådan verksamhet får anses utgöra ett sådant allmänt intresse.
En ytterligare förutsättning för att en begränsning ska få göras enligt artikel 23.1 är att den utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa det aktuella intresset. Inspektionen för socialförsäkringen, som granskar övrig verksamhet inom socialförsäkringsområdet, har behov av att behandla personuppgifter helt eller delvis automatiserat för att kunna åstadkomma en effektiv och rättssäker granskning. En delvis manuell hantering skulle minska effektiviteten, öka kostnaderna och eventuellt även öka risken för integritetsintrång. Mot bakgrund av det starka intresset av en elektronisk hantering av personuppgifterna, måste ett undantag från rätten att invända mot behandling av personuppgifter anses utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. Begränsningen kan inte heller anses
strida mot andemeningen i de grundläggande rättigheterna och friheterna.
De specifika bestämmelser som krävs enligt artikel 23.2 i dataskyddsförordningen, om bl.a. olika skyddsåtgärder för personuppgifterna, finns i förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen i övrigt.
Utredningen bedömer därmed att förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen kan innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.
Samtycke
Om personuppgifter samlas in direkt från den registrerade, får personuppgifter enligt förslaget behandlas endast om den enskilde har lämnat sitt uttryckliga samtycke till behandlingen. Bestämmelser i registerförfattningar som innebär att en behandling bara får utföras om den registrerade samtycker utgör, i enlighet med vad utredningen bedömt i avsnitt 9.16.2, en form av skyddsåtgärd och får anses tillåten såsom en begränsning av en myndighets möjlighet att behandla personuppgifter.
I 2 § andra stycket sista meningen i förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen anges att bestämmelserna i 12 § personuppgiftslagen om återkallelse av lämnat samtycke ska tillämpas på motsvarande sätt vid behandling av personuppgifter enligt den föreslagna lagen. I artikel 7.3 i dataskyddsförordningen finns det direkt tillämpliga bestämmelser om återkallelse av samtycke. Eftersom personuppgiftslagen ska upphävas och då det finns direkt tillämpliga bestämmelser om återkallelse av samtycke i dataskyddsförordningen, bör bestämmelsen med hänvisning till personuppgiftslagen utgå.
Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 3 § förslaget till lag om
behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen ska innehålla en upplysning om att lagen kompletterar dataskyddsförordningen.
Det ska också anges att dataskyddslagen gäller, om inte annat följer av lagen om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen eller föreskrifter som har meddelats med stöd av den.
Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
Personuppgiftsansvar
Utredningens bedömning: Personuppgiftsansvaret kan anges i
enlighet med 4 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen.
Utredningen har i avsnitt 9.7 konstaterat att bestämmelser i registerförfattningar om vem som är personuppgiftsansvarig kan och bör behållas.
Personuppgiftsombud
Utredningens förslag: Förslaget till lag om behandling av person-
uppgifter inom verksamheten för Inspektionen för socialförsäkringen ska inte innehålla en bestämmelse med krav på att inspektionen ska utse personuppgiftsombud.
Enligt 5 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen ska inspektionen utse ett eller flera personuppgiftsombud. Dataskyddsförordningen föreskriver, till skillnad från dataskyddsdirektivet och
personuppgiftslagen, ett krav på utnämning av ett s.k. dataskyddsombud om behandlingen genomförs av en myndighet. Eftersom dataskyddsförordningen är direkt tillämpning, behöver registerförfattningar inte innehålla motsvarande bestämmelse om det inte finns ett särskilt behov av förtydligande. Eftersom något sådant särskilt behov inte har framkommit, kan 5 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen utgå.
Ändamål och grund för behandling av personuppgifter
Utredningens förslag: Hänvisningen till personuppgiftslagens
bestämmelse om finalitetsprincipen i 7 § andra meningen förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen utgår. I stället hänvisas till artikel 5.1 b i dataskyddsförordningen som ger uttryck för finalitetsprincipen.
Utredningens bedömning: Ändamålen i 6 § och 7 § första
meningen förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen uppfyller de krav som gäller enligt dataskyddsförordningen och behöver inte ändras.
I 6 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen anges de ändamål för vilka det är tänkt att personuppgifter ska få behandlas. Ändamålen avser inspektionens kärnverksamhet – systemgranskning och effektivitetstillsyn inom socialförsäkringsområdet – som i sig är av allmänt intresse. Behandlingen av personuppgifter har därmed stöd i artikel 6.1 e i dataskyddsförordningen.
Enligt 7 § första meningen förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen får personuppgifter behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. Ett sådant utlämnande är antingen en sådan rättslig förpliktelse som avses i artikel 6.1 c (uppgiftsskyldighet) eller – i den mån utlämnandet inte grundar sig på en skyldighet att lämna upp-
gifter – av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Det har tillkommit nya krav på den rättsliga grunden för behandlingen i artikel 6.3 i dataskyddsförordningen. Dessa krav får, i enlighet med vad utredningen konstaterat i avsnitt 9.10.1, anses uppfyllda. Ändamålen i 6 § och 7 § första meningen förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen uppfyller alltså de krav som gäller enligt dataskyddsförordningen och behöver inte ändras.
Finalitetsprincipen
I 7 § andra meningen förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen finns det en hänvisning till 9 § första stycket d personuppgiftslagen, den s.k. finalitetsprincipen – att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. Bestämmelsen innehåller också en hänvisning till 9 § andra stycket personuppgiftslagen, där det förtydligas att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I enlighet med vad utredningen konstaterat i avsnitt 9.10.3, bör det i registerförfattningar även fortsättningsvis finnas en bestämmelse som klargör att de i författningen angivna ändamålen inte är uttömmande. Förslaget till bestämmelse bör på grund av personuppgiftslagens upphörande utformas i enlighet med vad som anges i det avsnittet.
Känsliga personuppgifter och uppgifter om lagöverträdelser
Utredningens förslag: Bestämmelsen i 8 § förslaget till lag om
behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen som tillåter behandling av känsliga personuppgifter ska omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen.
Hänvisningen till personuppgiftslagens definition av uppgifter om lagöverträdelser utgår. I stället anges det uttryckligen vilka uppgifter som omfattas av regleringen.
Utredningens bedömning: I övrigt föranleder dataskyddsför-
ordningen inget behov av ändring av förslaget till bestämmelse om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser.
Enligt 8 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen ska känsliga personuppgifter och uppgifter om lagöverträdelser få behandlas om uppgifterna har lämnats i ett tillsyns- eller granskningsärende eller annars är nödvändiga för handläggningen av ett sådant ärende.
Möjligheten att behandla känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse förändras inte när dataskyddsförordningen börjar tillämpas; detta har utredningen konstaterat i avsnitt 9.8.3. Inspektionen för socialförsäkringen kan alltså tillåtas att behandla känsliga personuppgifter med stöd av ett undantag enligt artikel 9.2 g i dataskyddsförordningen.
Begränsningarna av under vilka förutsättningar känsliga personuppgifter får behandlas får anses utgöra sådana lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs vid behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. Det finns därmed grund för begränsningarna.
Dataskyddsförordningen innehåller några nya kategorier av känsliga personuppgifter – genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Även de nytillkomna uppgifterna bör omfattas av den särskilda regleringen av behandling av känsliga person-
uppgifter i förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen i enlighet med vad utredningen kommit fram till i avsnitt 9.11.6.
Myndigheters möjligheter att behandla personuppgifter om lagöverträdelser påverkas i enlighet med vad som framgår av avsnitt 9.12 inte av dataskyddsförordningen. Som också framgår av det avsnittet anser utredningen att begränsningar som gäller uppgifter om lagöverträdelser bör omfatta samtliga personuppgifter som avses i 21 § personuppgiftslagen och inte bara de som omfattas av artikel 10 i dataskyddsförordningen. Sådana begränsningar kan, i enlighet med vad utredningen bedömt i det avsnittet, införas utan hinder av dataskyddsförordningen.
Säkerhetsåtgärder
Utredningens bedömning: Dataskyddsförordningen föranleder
inget behov av ändring av de föreslagna bestämmelserna om säkerhetsåtgärder i 9–14 §§ i förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen.
I 9 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen anges att det vid inspektionen ska finnas en integritetsskyddsfunktion. Funktionen ska ha till uppgift att lagra de uppgifter som lämnas till eller hämtas in av inspektionen på ett säkert sätt, förse uppgifter som är direkt hänförliga till enskilda med en beteckning innan de görs tillgängliga för berörda befattningshavare i ett tillsyns- eller granskningsärende (projektmedarbetare), så att sådana medarbetare normalt inte får tillgång till personuppgifter som är direkt hänförliga till enskilda, bereda inspektionen direktåtkomst till uppgifter i socialförsäkringsdatabasen, administrera behörigheter, bl.a. genom att styra åtkomsten för projektmedarbetare i tillsyns- eller granskningsärenden till uppgifter lagrade på inspektionens servrar och till socialförsäkringsdatabasen, när de befattningshavare hos inspektionen som har till uppgift att sköta integritetsskyddsfunktionen (informationsansvariga) av administrativa skäl måste delegera en sådan åtkomst
till en projektmedarbetare.41 Funktionen får anses vara en sådan säkerhetsåtgärd som utredningen avser i avsnitt 9.16.2.
Även den föreslagna särskilda beredningsordningen enligt förslaget till 10 §, villkor för behörighetstilldelning enligt förslaget till 11 §, dokumentation och kontroll av elektronisk åtkomst till personuppgifter enligt förslaget till 12 §, förbud mot sammanföring av uppgifter i syfte att ta reda på en enskilds identitet i förslaget till 13 § och regler för utlämnande av personuppgifter på medium för automatiserad behandling och genom direktåtkomst i förslaget till 14 § får anses utgöra sådana säkerhetsåtgärder som utredningen avser i avsnitt 9.16.2. Sådana säkerhetsåtgärder kan en myndighet utan vidare åläggas i nationell rätt i enlighet med vad utredningen konstaterat i samma avsnitt. Åtgärderna kan också införas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen när grunden för behandlingen är att den bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Det finns således inget behov av ändring av de föreslagna bestämmelserna om säkerhetsåtgärder i 9–14 §§ i förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen.
I flera av de nu berörda bestämmelserna anges att regeringen kan meddela föreskrifter. Dataskyddsförordningen hindrar inte att föreskrifter meddelas inom dessa områden eller att föreskriftsrätten delegeras. Någon ändring behöver därmed inte göras i dessa bestämmelser.
Information som ska lämnas på begäran
Utredningens förslag: Hänvisningen till personuppgiftslagen i
15 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen ändras till att avse artikel 15 i dataskyddsförordningen.
Enligt 15 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen ska ett s.k. registerutdrag inte behöva omfatta uppgifter som har försetts med en beteckning så att den inte är direkt hänförlig till en enskild. Förslaget grundar sig delvis på omständigheten att en del av de uppgifter som inspektionen behandlar inte kommer att kunna hänföras till en registrerad utan bistånd från andra myndigheter. I andra fall kan det visserligen vara tekniskt möjligt för inspektionen att sammanställa ett registerutdrag, men för detta måste i så fall de kodnycklar som förvaras hos en särskild integritetsskyddsfunktion utnyttjas, vilket bedöms utgöra ett integritetsintrång.42
Av artikel 15 i dataskyddsförordningen framgår att den registrerade ska ha rätt att få tillgång till bl.a. de personuppgifter om den registrerade som den personuppgiftsansvarige behandlar. Förslaget till 15 § i förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen skulle innebära en begränsning av den rättigheten. Enligt artikel 11 i dataskyddsförordningen ska emellertid den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa dataskyddsförordningen, om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver att den registrerade identifieras av den personuppgiftsansvarige. Tanken med att förse personuppgifter med en sådan beteckning som avses i förslaget till 15 §, är att granskningen inte förutsätter identifiering av en individ. Inspektionen för socialförsäkringen ska då enligt artikel 11 i dataskyddsförordningen inte heller behöva förvärva eller behandla ytterligare information, dvs. t.ex. kodnyckeln hos inspektionens integritetsskyddsfunktion, för att identifiera den registrerade i syfte att kunna ta fram ett registerutdrag. Enligt skäl 8 till dataskyddsförordningen finns det vissa möjligheter att införliva delar av dataskyddsförordningen i nationell rätt. Förslaget till bestämmelse bedöms därför förenligt med dataskyddsförordningen, men det kan övervägas om bestämmelsen behövs.
Bestämmelsen behöver omarbetas genom att en hänvisning görs till artikel 15 i dataskyddsförordningen, eftersom personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. Hän-
visningen bör vara dynamisk, dvs. avse vid var tid gällande lydelse av bestämmelsen, eftersom artikel 15 i dataskyddsförordningen är direkt tillämplig.
Gallring
Utredningens förslag: Bestämmelsen i 16 § förslaget till lag om
behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen om gallring ändras inte i sak, men formuleringen av historiska, statistiska eller vetenskapliga ändamål ändras till den formulering som används i dataskyddsförordningen.
Utredningen fastslår i avsnitt 9.17.2 att bestämmelser i registerförfattningar om gallring och bevarande inte behöver ändras i sak under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Detsamma gäller delegationsbestämmelser som ger rätt att meddela föreskrifter om att uppgifter får bevaras för en viss tid och för vissa ändamål. Någon förändring i sak av 16 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen är därmed inte nödvändig. Förslaget till formulering av historiska, statistiska och vetenskapliga ändamål bör dock, i enlighet med vad utredningen konstaterar i samma avsnitt, ändras till den formulering som används i dataskyddsförordningen.
Rättelse och skadestånd
Utredningens förslag: Förslaget till lag om behandling av person-
uppgifter inom verksamheten för Inspektionen för socialförsäkringen bör inte innehålla hänvisningar till personuppgiftslagens bestämmelser om rättelse och skadestånd.
Förslaget till lag bör, i enlighet med de slutsatser utredningen drar i avsnitt 9.15.1 och 9.19.1, inte innehålla hänvisningar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Den föreslagna 17 § kan därför utgå.
10.17.3. Övriga författningsförslag
Utredningens bedömning: Övriga förslag till författningsänd-
ringar i betänkandet SOU 2014:67 behöver inte ändras med anledning av dataskyddsförordningen.
Uppgifter från Arbetsförmedlingen
Enligt förslag till ändring i 5 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten ska Arbetsförmedlingen som ett nytt sekundärt ändamål få behandla personuppgifter för tillhandahållande av information som behövs inom verksamhet vid Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning. Förslaget kompletteras med ett förslag till en ny 7 g § i förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, som bryter sekretessen när Inspektionen för socialförsäkringen begär uppgifter för sin systemtillsyn och effektivitetsgranskning från Arbetsförmedlingen. Enligt ett nytt fjärde stycke i 12 § samma förordning ska utlämnandet av uppgifter få ske på medium för automatiserad behandling.
Utredningen har inte till uppgift att analysera behovet av uppgifter eller det eventuella integritetsintrång utlämnandet av uppgifter medför – en sådan analys har genomförts av den utredning som lämnat förslagen. I förhållande till dataskyddsförordningen kan konstateras att utlämnandet sker med stöd av en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen, i och med att utlämnandet regleras genom en uppgiftsskyldighet. Grunden för den rättsliga förpliktelsen kan härledas till den verksamhet som ska bedrivas av Inspektionen för socialförsäkringen enligt förordningen med instruktion för Inspektionen för socialförsäkringen. De krav som ställs på den rättsliga grunden för behandlingen enligt arti-
kel 6.3 i dataskyddsförordningen får, med hänsyn till detta och i enlighet med vad utredningen konstaterat i avsnitt 9.10.1, anses uppfyllda.
Förutsättningarna för uppgiftsskyldigheter förändras inte i och med att dataskyddsförordningen börjar gälla, se avsnitt 9.21.
Om utlämnandet i sig är tillåtet enligt dataskyddsförordningen, får det, i enlighet med vad utredningen konstaterat i avsnitt 9.16.2, ske på vilket sätt som helst – t.ex. på medium för automatiserad behandling – så länge tillräckliga säkerhetsåtgärder vidtas. De säkerhetsåtgärder som föreskrivs i lagen respektive förordningen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten får anses tillräckliga.
Uppgifter från Försäkringskassan och Pensionsmyndigheten
I 114 kap. 23 a § socialförsäkringsbalken föreslås en ny bestämmelse som ger Inspektionen för socialförsäkringen direktåtkomst till personuppgifter i socialförsäkringsdatabasen i den utsträckning det behövs för utlämnande av uppgifter med stöd av en uppgiftsskyldighet.
I enlighet med vad utredningen konstaterat i avsnitt 9.16.2 får utlämnande ske på vilket sätt som helst så länge tillräckliga säkerhetsåtgärder vidtas. De säkerhetsåtgärder som föreskrivs i 114 kap. socialförsäkringsbalken och förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen får anses tillräckliga.
Verksamhet hos Inspektionen för socialförsäkringen
Förslaget till två nya paragrafer, 7 a och 7 b §§, i förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen, är kopplat till förslaget om en ny integritetsfunktion och särskild beredningsordning i 9 och 10 §§ förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen. Utredningen har beträffande dessa förslag gjort sin bedömning i avsnitt 10.17.2.
Förslag till lag om ändring i lagen ( 2001:99 ) om den officiella statistiken
Förslaget till ändring av 16 och 17 §§ lagen (2001:99) om den officiella statistiken avser att skapa förutsättningar för Inspektionen för socialförsäkringen att bedriva sin verksamhet utan att myndigheten behöver behandla alla personuppgifter i form av uppgifter som direkt kan hänföras till en enskild. Sådana uppgifter som inte kan hänföras till en enskild är att anse som personuppgifter om en nyckel kan koppla uppgifterna till en individ. Förslaget är främst att anse som en säkerhetsåtgärd som, i enlighet med vad utredningen konstaterat i avsnitt 9.16.2, är tillåten att införa för en myndighet. Det ligger också i linje med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen.
Sekretess
Förslaget till ändring i 7 § offentlighets- och sekretessförordningen (2009:641) innebär en utökning av statistiksekretessen och påverkas inte av dataskyddsförordningen.
Redaktionella ändringar
Förslaget till ändringar i 7 b § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och 5 a § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration utgör endast redaktionella ändringar som inte påverkas av dataskyddsförordningen.
11. Författningar som reglerar ett register eller en informationssamling
11.1. Lagen (1996:1156) om receptregister
11.1.1. Inledning
I Ds 2016:44 föreslås en ny lag om nationell läkemedelslista som ska ersätta lagen (1996:1156) om receptregister och lagen (2005:258) om läkemedelsförteckning. Förslaget syftar till att skapa en samlad bild av en patients läkemedelsbehandling. Lagen föreslås träda i kraft den 1 juli 2018. Tills vidare gäller dock lagen om receptregister. Utredningen gör därför en analys av lagens bestämmelser i detta avsnitt.
11.1.2. Förande av receptregistret
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om förande av receptregister i 1 § lagen om receptregister. Även bestämmelsen i 2 § kan behållas.
I 1 § lagen om receptregister finns det en bestämmelse om att E-hälsomyndigheten med hjälp av automatiserad behandling får föra ett register över förskrivningar av läkemedel och andra varor för människor (receptregister). I 2 § lagen om receptregister finns det en förklaring av vad som avses med begreppet landsting.
Dataskyddsförordningen påverkar inte möjligheten att föreskriva att ett visst register får föras. Behandlingen av personuppgifter i registret måste dock vara förenlig med dataskyddsförordningens
bestämmelser. Definitionen av begreppet landsting föranleder inte några överväganden i förhållande till dataskyddsförordningen.
11.1.3. Förhållandet till annan dataskyddsreglering
Utredningens förslag: I 3 § lagen om receptregister ska det finnas
en upplysning om att lagen kompletterar dataskyddsförordningen.
Det ska också upplysas om att dataskyddslagen gäller, om inte annat följer av lagen om receptregister eller föreskrifter som meddelats med stöd av den.
Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
11.1.4. Den enskildes inställning till behandling av personuppgifter
Utredningens bedömning: Bestämmelsen i 4 § lagen om recept-
register om den enskildes inställning till behandlingen av personuppgifter kan och bör behållas.
Rätten att invända mot behandling av personuppgifter
Behandling av personuppgifter som är tillåten enligt lagen om receptregister får enligt 4 § första stycket lagen om receptregister utföras även om den enskilde motsätter sig behandlingen.
Bestämmelsen begränsar den registrerades rätt att göra invändningar mot behandling av personuppgifter enligt artikel 21.1 i dataskyddsförordningen när det gäller behandling som grundar sig på artikel 6.1 e i dataskyddsförordningen (allmänt intresse och myndighetsutövning). En stor del av den behandling av personuppgifter som sker enligt lagen om receptregister stödjer sig, som anges nedan i avsnitt 11.1.6, på denna grund. För att bestämmelsen ska kunna behållas måste, enligt vad som angetts i avsnitt 9.15.2, begränsningen av den registrerades rätt att göra invändningar uppfylla de krav som anges i artikel 23 i dataskyddsförordningen.
Ett av kraven innebär att begränsningen ska utgöra en åtgärd som syftar till att säkerställa något av de mål som anges i artikel 23.1 i dataskyddsförordningen. Målet i punkten e gäller andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. Som anges i avsnitt 9.15.2 reglerar registerförfattningar normalt behandling av personuppgifter som rör sådana viktiga mål av generellt allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen. I avsnitt 9.8.2 anges att bedrivande av sådan verksamhet som anges i internationella rättighetsstadgor utgör allmänna intressen. Den verksamhet som bedrivs av E-hälsomyndigheten har samband med sådan verksamhet. Enligt utredningens bedömning är förandet av receptregistret ett sådant generellt allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen. Begränsningen får också anses utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett generellt mål av allmänt intresse. Begränsningen strider inte heller mot andemeningen i de grundläggande rättigheterna och friheterna.
Det är alltså enligt utredningens bedömning möjligt att begränsa den registrerades rätt att göra invändningar mot behandlingen. Begränsningen måste dock uppfylla kraven i artikel 23.2 i dataskyddsförordningen som anger vilket innehåll lagstiftning som begränsar den registrerades rättigheter ska ha. Bestämmelser med detta innehåll finns redan i lagen om receptregister, i den mån det är relevant.
Samtycke som grund för behandlingen
Behandling av personuppgifter som inte är tillåten enligt lagen om receptregister får, enligt 4 § andra stycket, ändå utföras, om den enskilde har lämnat ett uttryckligt samtycke till behandlingen. I enlighet med vad som anges i avsnitt 9.10.2 kan och bör den bestämmelsen behållas.
11.1.5. Personuppgiftsansvar
Utredningens bedömning: Bestämmelsen om personuppgifts-
ansvar i 5 § lagen om receptregister kan och bör behållas.
Som framgått av avsnitt 9.7 behöver bestämmelser om vem som är personuppgiftsansvarig inte ändras med anledning av dataskyddsförordningen. Bestämmelsen i 5 § lagen om receptregister kan och bör därför behållas.
11.1.6. Ändamål och grund för behandling av personuppgifter
Utredningens förslag: Hänvisningen till personuppgiftslagens
bestämmelse om finalitetsprincipen i 7 § lagen om receptregister tas bort. I stället hänvisas till artikel 5.1 b i dataskyddsförordningen som ger uttryck för finalitetsprincipen.
Utredningens bedömning: Ändamålsbestämmelserna i 6 § lagen
om receptregister uppfyller de krav som gäller enligt dataskyddsförordningen och kan och bör behållas. Även krav på samtycke och begränsningar i vissa fall av vilka personuppgifter som får behandlas kan behållas.
Personuppgifter får behandlas när det är nödvändigt för de ändamål som anges i 6 § lagen om receptregister. Receptregistrets huvudsakliga ändamål är registrering och expediering av e-recept, expediering av pappersrecept samt registrering av underlag för tillämpningen av bestämmelserna om läkemedelsförmåner. Registret används vidare för att hantera recept som avser flera uttag. Flera av ändamålen är även kopplade till sådana uppgiftsskyldigheter som regleras i 12–18 a § lagen om receptregister. Ändamålen i lagen om receptregister grundar sig på artikel 6.1 c och e i dataskyddsförordningen (rättslig förpliktelse och arbetsuppgift av allmänt intresse).
Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte i enlighet med vad som anges i avsnitt 9.10.1. De krav på den rättsliga grunden för behandlingen som tillkommit i artikel 6.3 i dataskyddsförordningen får i enlighet med vad utredningen konstaterat i samma avsnitt anses uppfyllda utan
vidare analys när det gäller ändamål som är reglerade sedan tidigare. Behandling för de ändamål som anges i 6 §1 lagen om receptregister är alltså laglig enligt dataskyddsförordningen och de befintliga ändamålen kan och bör därmed behållas.
Krav på samtycke och begränsningar av vilka personuppgifter som får behandlas
Vid behandling för några av de i 6 § lagen om receptregister angivna ändamålen krävs den registrerades samtycke. En sådan begränsning är tillåten för myndigheter. Eftersom ändamålen grundar sig på artikel 6.1 c eller e i dataskyddsförordningen (rättslig förpliktelse och arbetsuppgift av allmänt intresse), får bestämmelserna, i enlighet med vad som anges i avsnitt 9.10.2, anses tillåtna även för enskilda såsom preciseringar enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelserna om krav på samtycke är därmed förenliga med dataskyddsförordningens reglering och kan behållas.
I 6 § andra och tredje styckena lagen om receptregister finns det en bestämmelse som begränsar vilka uppgifter som får behandlas för vissa av de angivna ändamålen. Att på detta sätt begränsa vilka personuppgifter som får behandlas är förenligt med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Överväganden kring vilka uppgifter som behöver behandlas av E-hälsomyndigheten har gjorts vid tidigare lagstiftningsarbeten och utredningen har att utgå från att de angivna uppgifterna behövs för de ändamål för vilka uppgifterna behandlas. Medlemsstaterna tillåts som framgått ovan att införa preciseringar i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller då begränsningarna bara avser en myndighets möjligheter till behandling av personuppgifter. Bestämmelserna om vilka uppgifter som får behandlas för vilka ändamål behöver därmed inte ändras.
1 I SOU 2017:15 och Ds 2017:14 föreslås vissa ändringar av 6 § lagen om receptregister träda i kraft den 1 juli 2018.
Finalitetsprincipen
Enligt 7 § lagen om receptregister gäller den s.k. finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen vid behandling som sker enligt lagen om receptregister. Det innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in samt att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Som anges i avsnitt 9.10.3 kan registerförfattningar i förtydligande syfte även fortsättningsvis innehålla bestämmelser som innebär att behandling av personuppgifter för andra ändamål som inte strider mot finalitetsprincipen är tillåten. Bestämmelsen bör på grund av personuppgiftslagens upphörande utformas i enlighet med vad som anges i det avsnittet.
11.1.7. Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelsen i 8 § lagen om recept-
register om vilka personuppgifter receptregistret får innehålla kan och bör behållas.
Begränsning av vilka personuppgifter som får behandlas
I 8 § lagen om receptregister anges vilka personuppgifter receptregistret får innehålla.
En specificering av vilka personuppgifter som får behandlas är i linje med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Utredningen utgår från de överväganden kring vilka uppgifter som behöver behandlas som har gjorts vid tidigare lagstiftningsarbeten. Medlemsstaterna tillåts som redan nämnts att införa sådana preciseringar i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen och därför att de bara begränsar en myndighets möjligheter till behandling av personuppgifter. Bestämmelsen bör därmed inte ändras.
Känsliga personuppgifter
De personuppgifter som E-hälsomyndigheten får behandla enligt 8 § lagen om receptregister omfattar uppgifter som rör hälsa, dvs. känsliga personuppgifter.
För att känsliga personuppgifter ska få behandlas i receptregistret måste behandlingen rymmas inom något av undantagen i artikel 9.2 i dataskyddsförordningen. Utredningen har i avsnitt 9.11.4 redogjort för vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter vid hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Som framgår av det ovan nämnda avsnittet har det i förarbetena ansetts osäkert om hälso- och sjukvårdsundantaget i 18 § personuppgiftslagen ger tillräckligt stöd för den behandling som avses i lagen om receptregister.2
Förandet av receptregistret får enligt utredningens bedömning i vart fall anses nödvändigt av hänsyn till ett viktigt allmänt intresse. Behandling av känsliga personuppgifter är därmed tillåten med stöd av undantaget i artikel 9.2 g i dataskyddsförordningen i enlighet med vad som anges i avsnitt 9.11.3. Regleringen bedöms således vara förenlig med dataskyddsförordningen och bör behållas.
Som anges i avsnitt 9.11.6 har några nya kategorier av känsliga personuppgifter tillkommit i dataskyddsförordningen, nämligen genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Eftersom känsliga personuppgifter får behandlas i receptregistret under samma förutsättningar som andra personuppgifter, påverkar det inte regleringen att nya kategorier av personuppgifter kommer att vara att bedöma som känsliga enligt dataskyddsförordningen.
11.1.8. Säkerhetsåtgärder
Utredningens bedömning: Bestämmelserna i 9–11 §§, 14 § tredje
stycket, 22 och 23 §§ lagen om receptregister om sökbegränsningar, utlämnande på medium för automatiserad behandling, direktåtkomst, krav på kryptering, behörighetstilldelning och åtkomstkontroll kan behållas.
I 9–11 §§, 14 § tredje stycket, 22 och 23 §§ lagen om receptregister finns det bestämmelser om sökbegränsningar, utlämnande på medium för automatiserad behandling, direktåtkomst, krav på kryptering, behörighetstilldelning och åtkomstkontroll. Som framgått av avsnitt 9.16.2 utgör detta säkerhetsåtgärder enligt dataskyddsförordningen. Krav på säkerhetsåtgärder för myndigheter behöver inte, i enlighet med vad utredningen konstaterat i avsnitt 9.16.2, ändras med anledning av att dataskyddsförordningen börjar tillämpas. Bestämmelserna får också anses vara sådana preciseringar som tillåts enligt artikel 6.2 och 6.3 i dataskyddsförordningen när det gäller reglering av behandling som grundar sig på en rättslig förpliktelse eller arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Bestämmelserna i 9–11 §§, 14 § tredje stycket, 22 och 23 §§ lagen om receptregister kan därför behållas.
Vissa av de nu berörda bestämmelserna ger regeringen eller den myndighet som regeringen bestämmer rätt att meddela föreskrifter. Dataskyddsförordningen hindrar inte att föreskrifter meddelas inom dessa områden eller att föreskriftsrätten delegeras. Någon ändring behöver därför inte göras när det gäller dessa bemyndiganden.
11.1.9. Uppgiftsskyldigheter
Utredningens bedömning: Bestämmelserna som reglerar upp-
giftsskyldighet i 12–18 a §§ lagen om receptregister kan behållas.
I 12–18 a §§3 lagen om receptregister finns det bestämmelser om skyldighet för E-hälsomyndigheten att lämna uppgifter till andra aktörer. Som anges i avsnitt 9.21 är det utredningens bedömning att bestämmelser om uppgiftsskyldighet är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna om uppgiftsskyldighet påverkas således inte av dataskyddsförordningen. Vid fullgörandet av uppgiftsskyldigheten måste dock den personuppgiftsansvarige iaktta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
11.1.10. Gallring
Utredningens bedömning: Bestämmelsen om gallring i 19 § lagen
om receptregister kan behållas.
I avsnitt 9.17.2 har utredningen gjort bedömningen att bestämmelser i registerförfattningar om gallring och bevarande inte behöver ändras om den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Bestämmelsen om gallring i 19 § lagen om receptregister kan därmed behållas.
11.1.11. Information som ska lämnas självmant
Utredningens förslag: Krav på information till registrerade i
20 § lagen om receptregister som motsvarar krav som finns i dataskyddsförordningen tas bort. Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls. Hänvisningen till bestämmelsen om skadestånd i lagen om receptregister ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen. Bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.
3 I SOU 2017:15 föreslås vissa ändringar av 18 och 18 a §§ lagen om receptregister träda i kraft den 1 juli 2018.
I 20 § lagen om receptregister finns det en bestämmelse som anger vilken information den personuppgiftsansvarige ska lämna till den registrerade. Bestämmelsen utgör en precisering av personuppgiftslagens bestämmelser om information. I övrigt gäller alltså personuppgiftslagens bestämmelser i 23–27 §§ vid behandling av personuppgifter som sker enligt lagen om receptregister.
Hur dataskyddsförordningens reglering av den personuppgiftsansvariges skyldighet att lämna information till den registrerade ser ut framgår av avsnitt 9.15.1. Informationsskyldigheten i dataskyddsförordningen omfattar flera av de upplysningar som informationen enligt lagen om receptregister ska innehålla. I 20 § lagen om receptregister anges dock även vissa upplysningar som inte ingår i informationsskyldigheten enligt dataskyddsförordningen, nämligen upplysning om de tystnadsplikt- och säkerhetsbestämmelser som gäller för registret, rätten till skadestånd samt de begränsningar som gäller i fråga om sökbegrepp. Det finns också vissa upplysningar som omfattas endast av antingen artikel 13, som gäller när uppgifterna har samlats in från den registrerade, eller artikel 14 i dataskyddsförordningen, som gäller när uppgifterna har samlats in från någon annan än den registrerade, nämligen vilka uppgifter registret får innehålla och att registreringen, med undantag för vissa ändamål, inte är frivillig. Enligt dataskyddsförordningen ska informationen dessutom omfatta vissa upplysningar som inte framgår av lagen om receptregister.
Bestämmelserna i lagen om receptregister som innebär att mer information än vad som krävs enligt dataskyddsförordningens reglering ska lämnas kan, i enlighet med den bedömning utredningen har gjort i avsnitt 9.15.1, behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen. Det kan inte anses innebära några särskilda svårigheter för den personuppgiftsansvarige att uppfylla de få nya kraven på information till den registrerade som föreskrivs i dataskyddsförordningen. Det finns därför, enligt den bedömningen utredningen gjort i avsnitt 9.15.2, inte skäl att överväga en begränsning av den registrerades rätt till information.
Den personuppgiftsansvarige bör alltså lämna såväl den information som följer av dataskyddsförordningen som den information som ska lämnas enligt lagen om receptregister. Bestämmelsen i 20 § lagen om receptregister bör därför, på det sätt som anges i avsnitt 9.15.1, komplettera och hänvisa till reglerna om information i
dataskyddsförordningen. Hänvisningen till bestämmelsen om skadestånd i lagen om receptregister, som utredningen i avsnitt 11.1.13 föreslår ska upphävas, bör ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen. Hänvisningen till dataskyddsförordningen bör vara av dynamisk karaktär, dvs. avse vid var tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig. De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort. Även det som anges i 20 § första stycket om att den som är personuppgiftsansvarig ska se till att den registrerade får information om behandlingen av personuppgifter kan tas bort, eftersom detta följer av dataskyddsförordningen och den föreslagna formuleringen om att den personuppgiftsansvarige ska lämna viss ytterligare information utöver vad som framgår av dataskyddsförordningen.
11.1.12. Upplysningsbestämmelse
Utredningens bedömning: Bestämmelsen i 21 § lagen om recept-
register som upplyser om bestämmelser i offentlighets- och sekretesslagen (2009:400) påverkas inte av dataskyddsförordningen.
Bestämmelsen i 21 § lagen om receptregister innehåller en upplysning om att det finns bestämmelser om begränsningar i rätten att lämna ut uppgifter i offentlighets- och sekretesslagen (2009:400). Eftersom bestämmelsen endast upplyser om annan lagstiftning, behöver någon bedömning mot dataskyddsförordningens bestämmelser inte göras.
11.1.13. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 24 § lagen om recept-
register som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.
Bestämmelsen i 24 § lagen om receptregister hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Den bestämmelsen bör, i enlighet med vad utredningen kommit fram till i avsnitt 9.15.1 och 9.19.1, upphävas.
11.1.14. Avgifter
Utredningens bedömning: Bestämmelsen om avgifter i 25 § lagen
om receptregister kan och bör behållas.
E-hälsomyndigheten får enligt 25 § lagen om receptregister ta ut avgifter av öppenvårdsapoteken för att täcka kostnaderna för att föra receptregistret. Regeringen, eller den myndighet som regeringen bestämmer, får meddela ytterligare föreskrifter om avgifterna. Dataskyddsförordningen reglerar inte frågan om avgifter för registerföring. Sådana bestämmelser utgör inte dataskyddsbestämmelser och påverkas därför inte av dataskyddsförordningen. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Det bemyndigande som ges i 25 § lagen om receptregister behöver därför inte ändras.
11.1.15. Bemyndigande
Utredningens bedömning: Bestämmelsen om föreskriftsrätt för
regeringen eller den myndighet regeringen bestämmer i 26 § lagen om receptregister kan och bör behållas.
Regeringen, eller den myndighet som regeringen bestämmer, får enligt 26 § lagen om receptregister meddela föreskrifter om koder för förskrivningsorsak enligt 8 §. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Bestämmelsen kan därmed behållas.
11.2. Förordningen (2009:625) om receptregister
Utredningens bedömning: Delegationsbestämmelserna i förord-
ningen om receptregister kan behållas.
I förordningen om receptregister finns det bestämmelser som ger Datainspektionen, E-hälsomyndigheten och Socialstyrelsen viss föreskriftsrätt. De bestämmelser i lagen om receptregister som föreskriftsrätten utgår från har bedömts vara förenliga med dataskyddsförordningen. Dataskyddsförordningen hindrar inte att föreskriftsrätten delegeras. Bestämmelserna i förordningen om receptregister kan därmed behållas.
11.3. Lagen (2005:258) om läkemedelsförteckning
11.3.1. Inledning
I Ds 2016:44 föreslås en ny lag om nationell läkemedelslista som ska ersätta lagen (1996:1156) om receptregister och lagen (2005:258) om läkemedelsförteckning. Förslaget syftar till att skapa en samlad bild av en patients läkemedelsbehandling. Lagen föreslås träda i kraft den 1 juli 2018. Tills vidare gäller dock lagen om läkemedelsförteckning. Utredningen gör därför en analys av lagens bestämmelser i detta avsnitt.
11.3.2. Skyldighet att föra register
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om förande av läkemedelsförteckning i 1 § första stycket lagen om läkemedelsförteckning.
I 1 § första stycket lagen om läkemedelsförteckning finns det en bestämmelse som anger att E-hälsomyndigheten ska föra ett automatiserat register över köp av förskrivna läkemedel (läkemedelsförteckning) Bestämmelsen föreskriver en rättslig förpliktelse. Den innehåller också en förklaring av vad som avses med begreppet köp.
Dataskyddsförordningen påverkar inte möjligheten att ålägga någon att föra visst register. Behandlingen av personuppgifter i registret måste dock vara förenlig med dataskyddsförordningens bestämmelser. Definitionen av begreppet köp föranleder inte några överväganden i förhållande till dataskyddsförordningen.
11.3.3. Personuppgiftsansvar
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om personuppgiftsansvar i 1 § andra stycket lagen om läkemedelsförteckning.
Som framgått av avsnitt 9.7 behöver bestämmelser om personuppgiftsansvar inte ändras med anledning av dataskyddsförordningen. Bestämmelsen i 1 § andra stycket lagen om läkemedelsförteckning kan och bör därför behållas.
11.3.4. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 2 § lagen om läkemedels-
förteckning ska innehålla en upplysning om att lagen kompletterar dataskyddsförordningen.
Det ska också upplysas om att dataskyddslagen gäller, om inte annat följer av lagen om läkemedelsförteckning eller föreskrifter som meddelats med stöd av den.
Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
11.3.5. Rätten att invända mot behandling av personuppgifter
Utredningens bedömning: Bestämmelsen i 2 § andra stycket
lagen om läkemedelsförteckning om den enskildes inställning till behandlingen av personuppgifter kan behållas.
I 2 § andra stycket lagen om läkemedelsförteckning anges att en registrerad inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt lagen utom i de fall som avses i 3 § andra stycket, dvs. när behandlingen förutsätter samtycke.
Rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen gäller endast behandling som grundar sig på artikel 6.1 e eller f (allmänt intresse, myndighetsutövning eller intresseavvägning) i dataskyddsförordningen. Utredningen har nedan i avsnitt 11.3.6 konstaterat att den behandling som sker enligt lagen om läkemedelsförteckning grundar sig på en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen. Vid sådan behandling ger dataskyddsförordningen inte den registrerade någon rätt att invända. Utredningen bedömer att det är förenligt med skäl 8 till dataskyddsförordningen att behålla bestämmelsen, trots att det följer redan av dataskyddsförordningens reglering att den registrerade inte har någon rätt att invända mot behandlingen. Bestämmelsen bör behållas, eftersom den skapar tydlighet och igenkänning hos tillämparna, se avsnitt 6.2.
Av 3 § andra stycket lagen om läkemedelsförteckning framgår att viss behandling endast får ske med stöd av den registrerades samtycke. Som angetts ovan undantas den behandlingen från 2 § andra stycket lagen om läkemedelsförteckning. Bestämmelsen i 2 § andra stycket lagen om läkemedelsförteckning är således förenlig med dataskyddsförordningen och kan därmed behållas.
11.3.6. Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Ändamålsbestämmelserna i 3 § lagen
om läkemedelsförteckning uppfyller de krav som gäller enligt dataskyddsförordningen och kan och bör behållas. Även krav på samtycke och begränsningen av tillåtna ändamål kan behållas.
Läkemedelsförteckningen innehåller uppgifter om uthämtade förskrivna läkemedel och förs i syfte att öka patientsäkerheten. Av 3 § första stycket lagen om läkemedelsförteckning framgår att den som förskriver läkemedel får använda förteckningen för att bl.a. åstadkomma en säker framtida förskrivning av läkemedel för den registrerade. Förteckningen får också användas av farmaceut på apotek för att underlätta den kontroll som ska genomföras innan ett läkemedel lämnas ut till den registrerade. Vidare är förteckningen avsedd att utgöra ett stöd för den enskilde som vill överblicka sin läkemedelssituation. Att det i 1 § lagen om läkemedelsförteckning anges att E-hälsomyndigheten ska föra läkemedelsförteckning för de i 3 § angivna ändamålen innebär att ändamålen grundar sig på en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen.
Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte, som utredningen konstaterat i avsnitt 9.10.1. Bestämmelserna i lagen om läkemedelsförteckning uppfyller, i enlighet med vad som anges i samma avsnitt, de krav på den rättsliga grunden som ställs i artikel 6.3 i dataskyddsförordningen. Behandlingen av personuppgifter för de i 3 § lagen om läkemedelsförteckning angivna ändamålen är därmed förenlig med dataskyddsförordningen.
Krav på samtycke
Av 3 § andra stycket lagen om läkemedelsförteckning framgår att förskrivare av läkemedel, legitimerad sjuksköterska och farmaceut endast får ges tillgång till vissa uppgifter i läkemedelsförteckningen med uttryckligt samtycke från den registrerade. Utlämnande är dock under vissa förutsättningar möjligt om den registrerade inte kan lämna sitt samtycke. Krav på samtycke utgör enligt den bedömning utredningen har gjort i avsnitt 9.16.2 en form av skydds-
åtgärd. Sådana bestämmelser är tillåtna för myndigheter. Eftersom behandlingen enligt lagen om läkemedelsförteckning sker på grund av en rättslig förpliktelse, får bestämmelsen, i enlighet med vad som anges i det avsnittet, anses tillåten även för enskildas behandling såsom preciseringar enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Kravet på samtycke är därmed förenligt med dataskyddsförordningens reglering och kan behållas. Eftersom kravet på samtycke utgör en begränsning av dataskyddsförordningens reglering, finns det inte heller något hinder mot att behålla bestämmelsen som innehåller undantag från samtyckeskravet.
Finalitetsprincipen är inte tillämplig
I bestämmelsen anges att läkemedelsförteckningens dokumentation endast får användas för vissa angivna ändamål. Det innebär att finalitetsprincipen inte gäller. Det är alltså inte tillåtet att behandla personuppgifter i läkemedelsförteckningen för andra ändamål än de som anges i bestämmelsen även om dessa andra ändamål inte är oförenliga med det ändamål för vilket uppgifterna har samlats in.
Finalitetsprincipen finns uttryckt i artikel 5.1 b i dataskyddsförordningen. Där framgår bl.a. att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in, vilket motsvarar vad som anges i artikel 6.1 b i dataskyddsdirektivet. Medlemsstaterna får, i enlighet med vad utredningen konstaterat i avsnitt 9.3, med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Det är också, som utredningen konstaterat i avsnitt 9.2, tillåtet att begränsa myndigheters möjligheter till behandling och utöka deras skyldigheter. Begränsningen av tillåtna ändamål är därmed förenlig med dataskyddsförordningen och kan behållas.
11.3.7. Personuppgifter som får behandlas
Utredningens förslag: Lagen om läkemedelsförteckning kom-
pletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
Utredningens bedömning: Bestämmelsen i 4 § lagen om läke-
medelsförteckning om registrets innehåll kan och bör behållas.
Begränsning av vilka personuppgifter som får behandlas
I 4 § lagen om läkemedelsförteckning anges vilka uppgifter läkemedelsförteckningen får innehålla.
Att precisera de personuppgifter som får behandlas är i linje med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Överväganden kring vilka uppgifter som behöver behandlas i förteckningen har gjorts vid tidigare lagstiftningsarbeten och behöver inte göras på nytt. Medlemsstaterna tillåts som redan framgått att införa sådana preciseringar i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen och därför att de begränsar en myndighets möjligheter till behandling av personuppgifter. Bestämmelsen kan och bör alltså behållas.
Känsliga personuppgifter
Bestämmelsen i 4 § lagen om läkemedelsförteckning får anses omfatta personuppgifter som rör hälsa, dvs. känsliga personuppgifter, eftersom det oftast är sjuka personer som ordineras och förvärvar förskrivna läkemedel.
För att känsliga personuppgifter ska få behandlas i läkemedelsförteckningen krävs det att förandet av förteckningen omfattas av undantaget i artikel 9.2 h i dataskyddsförordningen eller något annat undantag. Vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter vid hälso- och sjukvård i arti-
kel 9.2 h i dataskyddsförordningen framgår av avsnitt 9.11.4. Som anges i det avsnittet har det i förarbetena till lagen (1996:1156) om receptregister ansetts osäkert om 18 § personuppgiftslagen ger tillräckligt stöd för den behandling som avses i den lagen.4 Behandling med stöd av lagen om receptregister sker dock bl.a. för ändamålet att utgöra underlag för tillämpningen av bestämmelserna om läkemedelsförmåner. Behandling för det ändamålet har inte lika stark koppling till bedrivandet av hälso- och sjukvård som behandling som sker med stöd av annan lagstiftning på läkemedelsområdet. Den omständigheten tillsammans med den, i förhållande till dataskyddsdirektivet, utökade uppräkningen av vad som innefattas i förvaltning av hälso- och sjukvårdstjänster i skäl 53 till dataskyddsförordningen, gör att utredningen bedömer att förandet av läkemedelsförteckningen ryms inom undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Regleringen är således förenlig med dataskyddsförordningen.
Eftersom känsliga personuppgifter får behandlas inom tillämpningsområdet för lagen om läkemedelsförteckning under samma förutsättningar som andra personuppgifter, påverkar det inte regleringen i lagen att det, som anges i avsnitt 9.11.6, har tillkommit nya kategorier av känsliga personuppgifter.
Som anges i avsnitt 9.11.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i lagen om läkemedelsförteckning. Personalen vid E-hälsomyndigheten omfattas av bestämmelser om tystnadsplikt i bl.a. 25 kap. 17 a § offentlighets- och sekretesslagen (2009:400).
11.3.8. Säkerhetsåtgärder
Utredningens bedömning: Bestämmelserna om sökbegrepp, be-
hörighetstilldelning och åtkomstkontroll i 5, 6, 7, 12 a och 12 b §§ lagen om läkemedelsförteckning kan behållas.
I 5, 6, 7, 12 a och 12 b §§ lagen om läkemedelsförteckning finns det bestämmelser om sökbegränsningar, utlämnande på medium för automatiserad behandling, utlämnande genom direktåtkomst, behörighetstilldelning och åtkomstkontroll. Sådana bestämmelser utgör, som framgår av avsnitt 9.16.2, säkerhetsåtgärder enligt dataskyddsförordningen. Krav på säkerhetsåtgärder för myndigheter behöver inte, i enlighet med vad utredningen konstaterat i avsnitt 9.16.2, ändras med anledning av dataskyddsförordningen. Bestämmelserna får också anses vara sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Bestämmelserna i 5, 6, 7, 12 a och 12 b §§ lagen om läkemedelsförteckning kan därmed behållas.
Vissa av de nu berörda bestämmelserna innehåller bemyndiganden för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Bestämmelsen kan därmed behållas.
11.3.9. Återkallelse av samtycke
Utredningens förslag: Bestämmelsen om återkallelse av samtycke
i 8 § lagen om läkemedelsförteckning ska upphävas.
Den registrerade har enligt 8 § lagen om läkemedelsförteckning rätt att när som helst återkalla ett lämnat samtycke. Bestämmelsen överensstämmer med vad som anges i 12 § första stycket personuppgiftslagen. Skälet till att detta anges uttryckligen i lagen om läkemedelsförteckning är att personuppgiftslagens bestämmelse till sin
ordalydelse endast gäller behandling av personuppgifter enligt den lagen. För att bestämmelsen ska vara tillämplig även för personuppgifter som behandlats enligt lagen om läkemedelsförteckning, krävs därför att det anges i den lagen.
Rätten att återkalla ett lämnat samtycke följer av artikel 7.3 i dataskyddsförordningen. Eftersom den bestämmelsen är direkt tillämplig, behöver bestämmelsen inte längre återges i lagen om läkemedelsförteckning för att den ska gälla inom lagens tillämpningsområde. Detta gäller enligt utredningens bedömning även fast behandlingen grundar sig på en rättslig förpliktelse och kravet på samtycke bara är en nationellt föreskriven förutsättning för att uppgifter ska få lämnas ut. Det är enligt utredningens mening inte heller av tydlighetsskäl motiverat att ha kvar bestämmelsen eller att hänvisa till dataskyddsförordningens bestämmelse om återkallelse av samtycke. Att endast hänvisa till någon enstaka bestämmelse i dataskyddsförordningen skulle nämligen kunna bli missvisande för tillämparen, eftersom även övriga bestämmelser i förordningen gäller. Bestämmelsen i 8 § lagen om läkemedelsförteckning bör därför upphävas och inte ersättas av en hänvisning till dataskyddsförordningen.
11.3.10. Bevarande och gallring
Utredningens bedömning: Bestämmelsen om gallring och be-
varande i 9 § lagen om läkemedelsförteckning kan behållas.
Bestämmelser om gallring och bevarande kan, enligt utredningens bedömning i avsnitt 9.17.2, behållas om den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Det innebär att även bestämmelsen i 9 § lagen om läkemedelsförteckning kan vara kvar.
11.3.11. Information som ska lämnas självmant
Utredningens förslag: Krav på information till registrerade i
10 § lagen om läkemedelsförteckning som motsvarar krav som finns i dataskyddsförordningen tas bort. Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls. Bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.
I 10 § lagen om läkemedelsförteckning finns det en bestämmelse som anger vilken information den personuppgiftsansvarige ska lämna till den registrerade. Bestämmelsen preciserar bestämmelserna om information i personuppgiftslagen. I övrigt gäller alltså personuppgiftslagens bestämmelser i 23–27 §§ även vid behandling av personuppgifter i läkemedelsförteckningen.
Dataskyddsförordningens bestämmelser om den personuppgiftsansvariges skyldighet att lämna information till den registrerade har utredningen redogjort för i avsnitt 9.15.1. Informationsskyldigheten enligt dataskyddsförordningen innefattar flera av de upplysningar som anges i 10 § lagen om läkemedelsregister. Bestämmelsen i lagen om läkemedelsförteckning innebär dock krav på att lämna vissa upplysningar som inte omfattas av skyldigheten i dataskyddsförordningen. Det rör sig om upplysning om de tystnadsplikts- och säkerhetsbestämmelser som gäller för förteckningen, rätten att ta del av uppgifter enligt 11 §, rätten till skadestånd samt vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling. Det finns också vissa upplysningar som bara omfattas av antingen artikel 13, som gäller när uppgifterna har samlats in från den registrerade, eller artikel 14 i dataskyddsförordningen, som gäller när uppgifterna har samlats in från någon annan än den registrerade, nämligen vilken typ av uppgifter som ingår i förteckningen och att registreringen inte är frivillig. Enligt dataskyddsförordningens reglering ska den personuppgiftsansvarige även lämna viss information som inte anges i lagen om läkemedelsförteckning.
De bestämmelser i lagen om läkemedelsförteckning som innebär att den personuppgiftsansvarige ska lämna ytterligare information än vad som anges i dataskyddsförordningen kan, i enlighet med
utredningens bedömning i avsnitt 9.15.1, behållas. Att uppfylla dataskyddsförordningens nya krav på information som ska lämnas kan inte anses särskilt betungande för den personuppgiftsansvarige. Det finns därför, enligt den bedömning utredningen gjort i avsnitt 9.15.2, inte skäl att överväga en begränsning av den registrerades rätt till information.
Den personuppgiftsansvarige bör därför lämna både den information som följer av dataskyddsförordningen och lagen om läkemedelsförteckning. Bestämmelsen i 10 § lagen om läkemedelsförteckning bör därför, på det sätt som anges i avsnitt 9.15.1, komplettera och hänvisa till reglerna om information i dataskyddsförordningen. De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort. Även det som anges i 10 § om att den personuppgiftsansvarige ska se till att den registrerade får information om läkemedelsförteckningen kan tas bort eftersom detta följer av dataskyddsförordningen och den föreslagna formuleringen om att den personuppgiftsansvarige ska lämna viss ytterligare information utöver vad som framgår dataskyddsförordningen.
11.3.12. Information som ska lämnas på begäran
Utredningens förslag: Hänvisningen till personuppgiftslagens
bestämmelse om information som ska lämnas på begäran av den registrerade i 11 § lagen om läkemedelsförteckning ska ersättas av en hänvisning till motsvarande bestämmelse i dataskyddsförordningen.
Den registrerade har enligt 11 § lagen om läkemedelsförteckning rätt att när som helst och så fort som möjligt få sådan information som avses i 26 § personuppgiftslagen. Bestämmelsen har införts mot bakgrund av att det inte ansågs lämpligt att den registrerade endast skulle ha rätt att få ett registerutdrag per kalenderår som anges i personuppgiftslagen.5
Dataskyddsförordningen innehåller inte någon bestämmelse om att registerutdrag endast ska lämnas en gång per år. Däremot anges i skäl 63 till dataskyddsförordningen att den registrerade ska ha rätt till tillgång till personuppgifter som har samlats in om denne med rimliga intervall. Frågan är om dataskyddsförordningens reglering är tillräcklig för att tillgodose det behov av tillgång till uppgifter som den registrerade bedömts ha. Det är i och för sig rimligt att anta att bedömningen av vad som är ett rimligt intervall enligt lagen om läkemedelsförteckning, mot bakgrund av uttalandena i förarbetena, skulle resultera i att registerutdrag lämnas ut oftare än enligt andra författningar. För att inte riskera att den registrerades rätt till tillgång försämras gör dock utredningen den bedömningen att bestämmelsen i 11 § bör vara kvar.
Bestämmelsen i 11 § innebär alltså en utvidgning av den registrerades rätt till tillgång enligt dataskyddsförordningen. Medlemsstaterna tillåts som redan nämnts att utöka myndigheters skyldigheter i förhållande till vad som gäller enligt dataskyddsförordningen. Bestämmelsen kan därför inte anses strida mot dataskyddsförordningen.
Bestämmelsen behöver dock omarbetas, eftersom personuppgiftslagen kommer att upphöra att gälla. Med undantag för hur ofta registerutdrag ska lämnas bör dataskyddsförordningens reglering av tillgång till information i artikel 15 gälla vid tillämpningen av lagen om läkemedelsförteckning. Detta eftersom det inte heller när det gäller dessa bestämmelser har framkommit några särskilda svårigheter för den personuppgiftsansvarige att uppfylla de nya kraven som anges där. I stället för att hänvisa till personuppgiftslagens bestämmelse om registerutdrag bör 11 § lagen om läkemedelsförteckning därför hänvisa till artikel 15 i dataskyddsförordningen. Hänvisningen bör vara dynamisk, dvs. avse vid var tid gällande lydelse av bestämmelsen, eftersom artikel 15 är direkt tillämplig.
11.3.13. Upplysningsbestämmelse
Utredningens bedömning: Bestämmelsen i 12 § lagen om läke-
medelsförteckning som upplyser om bestämmelser i offentlighets- och sekretesslagen (2009:400) påverkas inte av dataskyddsförordningen.
Bestämmelsen i 12 § lagen om läkemedelsförteckning innehåller en upplysning om att det finns bestämmelser om begränsningar i rätten att lämna ut uppgifter i offentlighets- och sekretesslagen (2009:400). Eftersom bestämmelsen endast upplyser om annan lagstiftning, behöver någon bedömning mot dataskyddsförordningen inte göras.
11.3.14. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 13 § lagen om läkemedels-
förteckning som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.
I 13 § lagen om läkemedelsförteckning finns en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd. Den bestämmelsen bör, i enlighet utredningens slutsatser i avsnitt 9.15.1 och 9.19.1, upphävas.
11.3.15. Avgifter
Utredningens bedömning: Bestämmelsen om avgifter i 14 §
lagen om läkemedelsförteckning kan behållas.
E-hälsomyndigheten får enligt 14 § lagen om läkemedelsförteckning ta ut avgifter av öppenvårdsapoteken för att täcka kostnaderna för att föra läkemedelsförteckningen. Regeringen, eller den myndighet som regeringen bestämmer, får meddela ytterligare föreskrifter om avgifterna. Dataskyddsförordningen reglerar inte frågan om avgifter för registerföring. Sådana bestämmelser utgör inte dataskyddsbestämmelser och påverkas därför inte av dataskyddsförordningen.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Det bemyndigande som ges i bestämmelsen behöver således inte ändras.
11.4. Förordningen (2009:626) om läkemedelsförteckning
Utredningens bedömning: Delegationsbestämmelserna i förord-
ningen om läkemedelsförteckning kan behållas.
I förordningen om läkemedelsförteckning finns det bestämmelser som ger Datainspektionen och E-hälsomyndigheten rätt att meddela föreskrifter i vissa fall. Utredningen har bedömt att de bestämmelser i lagen om läkemedelsförteckning som föreskriftsrätten ansluter till är förenliga med dataskyddsförordningen. Dataskyddsförordningen hindrar inte att föreskriftsrätten delegeras. Bestämmelserna i förordningen om läkemedelsförteckning kan därmed behållas.
11.5. Förordningen (2006:196) om register över hälso- och sjukvårdspersonal
11.5.1. Skyldighet att föra register
Utredningens bedömning: Bestämmelsen om skyldighet att föra
register i 1 § förordningen om register över hälso- och sjukvårdspersonal kan behållas.
I 1 § förordningen om register över hälso- och sjukvårdspersonal anges att Socialstyrelsen ska – med hjälp av automatiserad behandling – föra ett register över hälso- och sjukvårdspersonal för de ändamål som anges i förordningens 4 och 5 §§. Bestämmelsen innebär en rättslig förpliktelse. Dataskyddsförordningen hindrar inte att någon åläggs en skyldighet att föra ett visst register. Behandlingen av personuppgifter i registret måste dock vara förenlig med dataskyddsförordningens bestämmelser.
11.5.2. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 2 § förordningen om regis-
ter över hälso- och sjukvårdspersonal ska innehålla en upplysning om att förordningen kompletterar dataskyddsförordningen.
Det ska också anges att dataskyddslagen gäller, om inte annat följer av förordningen om register över hälso- och sjukvårdspersonal.
Bestämmelsen i 2 § förordningen om register över hälso- och sjukvårdspersonal om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
11.5.3. Rätten att invända mot behandling av personuppgifter
Utredningens bedömning: Bestämmelsen i 3 § förordningen
om register över hälso- och sjukvårdspersonal är förenlig med dataskyddsförordningens bestämmelser och bör behållas.
Enligt 3 § förordningen om register över hälso- och sjukvårdspersonal har en registrerad inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt samma förordning. Enligt dataskyddsförordningen har den registrerade rätt att invända mot behandling av personuppgifter när det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, alternativt sådan behandling som sker med stöd av en intresseavvägning (se vidare avsnitt 9.15.1). Eftersom behandling av personuppgifter i registret över hälso- och sjukvårdspersonal sker med stöd av en rättslig förpliktelse (se avsnitt 11.5.5), omfattas behandlingen inte av rätten att göra invändningar. Bestämmelsen i 3 § förordningen om register över hälso- och sjukvårdspersonal är därmed förenlig med dataskyddsförordningens bestämmelser.
11.5.4. Personuppgiftsansvar
Utredningens bedömning: Bestämmelsen i 3 a § förordningen
om register över hälso- och sjukvårdspersonal kan och bör behållas.
Utredningen har i avsnitt 9.7 konstaterat att bestämmelser i registerförfattningar om vem som är personuppgiftsansvarig kan och bör behållas.
11.5.5. Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Ändamålsbestämmelserna i 4 och 5 §§
förordningen om register över hälso- och sjukvårdspersonal är förenliga med dataskyddsförordningen och kan och bör behållas.
I 4 och 5 §§ förordningen om register över hälso- och sjukvårdspersonal anges de ändamål för vilka personuppgifter i registret får behandlas. Eftersom det enligt 1 § samma förordning finns en skyldighet att föra registret för de angivna ändamålen, baseras ändamålen på en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen.
De krav på den rättsliga grunden för behandlingen som tillkommit i artikel 6.3 i dataskyddsförordningen får, i enlighet med vad utredningen konstaterat i avsnitt 9.10.1, anses uppfyllda utan vidare analys. Behandling för de ändamål som anges i 4 och 5 §§ förordningen om register över hälso- och sjukvårdspersonal är alltså laglig enligt dataskyddsförordningen och de befintliga ändamålen kan och bör därmed behållas.
Finalitetsprincipen är inte tillämplig
Av 5 § förordningen om register över hälso- och sjukvårdspersonal framgår att personuppgifterna i registret endast får behandlas för vissa angivna ändamål. Det innebär att finalitetsprincipen inte gäller. Det är alltså inte tillåtet att behandla personuppgifter i registret för
andra ändamål än de som anges i bestämmelsen, även om dessa ändamål inte är oförenliga med det ändamål för vilket uppgifterna har samlats in.
Finalitetsprincipen finns uttryckt i artikel 5.1 b i dataskyddsförordningen. Där framgår bl.a. att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in, vilket motsvarar vad som anges i artikel 6.1 b i dataskyddsdirektivet. Medlemsstaterna får, i enlighet med vad utredningen konstaterat i avsnitt 9.3, med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Det är också, som utredningen konstaterat i avsnitt 9.2, tillåtet att begränsa myndigheters möjligheter till behandling och utöka deras skyldigheter. Begränsningen av tillåtna ändamål är därmed förenlig med dataskyddsförordningen och kan behållas.
11.5.6. Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelserna om registrets inne-
håll i 6 § förordningen om register över hälso- och sjukvårdspersonal kan och bör behållas.
I 6 § förordningen om register över hälso- och sjukvårdspersonal anges vilka uppgifter registret får innehålla. Det rör sig inte om några känsliga personuppgifter; däremot ska registret bl.a. innehålla uppgift om personnummer. Som anges i avsnitt 9.13 kan och bör bestämmelser om behandling av personnummer behållas. När det i övrigt gäller den precisering av vilka personuppgifter som får behandlas i registret stämmer denna väl överens med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen som innebär att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Utredningen utgår från de överväganden kring vilka uppgifter som behöver behandlas i registret som har gjorts vid tidigare lagstiftningsarbeten. Sådana preciseringar är som redan nämnts tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de begränsar en myndighets möjligheter till behandling av personuppgifter.
11.5.7. Säkerhetsåtgärder
Utredningens bedömning: Bestämmelserna i 7–7 b §§ förord-
ningen om register över hälso- och sjukvårdspersonal behöver inte ändras med anledning av dataskyddsförordningen.
I 7–7 b §§ förordningen om register över hälso- och sjukvårdspersonal finns det bestämmelser om utlämnande på medium för automatiserad behandling, direktåtkomst och skyldighet att tillse behörighets- och säkerhetsfrågor. Sådana bestämmelser avser säkerhetsåtgärder enligt dataskyddsförordningen. Krav på säkerhetsåtgärder för myndigheter behöver inte, i enlighet med vad utredningen konstaterat i avsnitt 9.16.2, ändras med anledning av att dataskyddsförordningen börjar tillämpas. Bestämmelserna får också anses vara sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Bestämmelserna i 7–7 b §§ förordningen om register över hälso- och sjukvårdspersonal kan därmed behållas.
11.5.8. Uppgiftsskyldigheter
Utredningens bedömning: Bestämmelserna i 7 c–7 e §§ förord-
ningen om register över hälso- och sjukvårdspersonal behöver inte ändras med anledning av dataskyddsförordningen.
Enligt 7 c–7 e §§ förordningen om register över hälso- och sjukvårdspersonal ska olika myndigheter ha rätt att ta del av uppgifter i registret. I enlighet med vad som anges i avsnitt 9.21 är det utredningens bedömning att bestämmelser om uppgiftsskyldighet är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna i 7 c–7 e §§ förordningen om register över hälso- och sjukvårdspersonal behöver därmed inte ändras med anledning av dataskyddsförordningen. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
11.5.9. Information som ska lämnas självmant
Utredningens förslag: Krav på information till registrerade i 8 §
förordningen om register över hälso- och sjukvårdspersonal som motsvarar krav som finns i dataskyddsförordningen tas bort. Krav som innebär att fler upplysningar ska lämnas än vad som följer dataskyddsförordningen behålls. Bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.
Av 8 § förordningen om register över hälso- och sjukvårdspersonal framgår att Socialstyrelsen ska lämna viss information till den registrerade om registret. Bestämmelsen preciserar bestämmelserna om information i personuppgiftslagen. I övrigt gäller alltså personuppgiftslagens bestämmelser i 23–27 §§ även vid behandling av personuppgifter i registret över hälso- och sjukvårdspersonal.
Utredningen har i avsnitt 9.15.1 redogjort för dataskyddsförordningens bestämmelser om den personuppgiftsansvariges skyldighet att lämna information till den registrerade. Informationsskyldigheten enligt dataskyddsförordningen innefattar flera av de upplysningar som anges i 8 § förordningen om register över hälso- och sjukvårdspersonal. Det finns dock vissa upplysningar som inte omfattas av skyldigheten att lämna information enligt dataskyddsförordningen. Det rör sig om de sekretess- och säkerhetsbestämmelser som gäller för registret, rätten till skadestånd och vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling. Det finns också vissa upplysningar som bara omfattas av antingen artikel 13, som gäller när uppgifterna har samlats in från den registrerade, eller artikel 14 i dataskyddsförordningen, som gäller när uppgifterna har samlats in från någon annan än den registrerade, nämligen vilken typ av uppgifter som registret får innehålla och om registreringen är frivillig eller inte. Enligt dataskyddsförordningens reglering ska den personuppgiftsansvarige även lämna viss information som inte anges i förordningen om register över hälso- och sjukvårdspersonal.
Utredningen har i avsnitt 9.15.1 konstaterat att bestämmelser i registerförfattningar som anger att information till registrerade ska lämnas utöver vad som följer av dataskyddsförordningen kan och bör behållas.
Att uppfylla dataskyddsförordningens nya krav på information som ska lämnas kan inte anses särskilt betungande för den personuppgiftsansvarige. Det finns därför, enligt den bedömning utredningen gjort i avsnitt 9.15.2, inte skäl att överväga en begränsning av den registrerade rätt till information.
Den personuppgiftsansvarige bör följaktligen lämna både den information som följer av dataskyddsförordningen och av förordningen om register över hälso- och sjukvårdspersonal. Bestämmelsen i 8 § förordningen om register över hälso- och sjukvårdspersonal bör därför, på det sätt som anges i avsnitt 9.15.1, komplettera och hänvisa till reglerna om information i dataskyddsförordningen. De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort.
11.5.10. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 9 § förordningen om regis-
ter över hälso- och sjukvårdspersonal, som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd, upphävs.
Enligt 9 § förordningen om register över hälso- och sjukvårdspersonal ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt förordningen om register över hälso- och sjukvårdspersonal. Bestämmelsen bör, i enlighet med de slutsatser utredningen drar i avsnitt 9.15.1 och 9.19.1, upphävas.
11.6. Lagen (1998:543) om hälsodataregister och tillhörande förordningar
11.6.1. Bemyndiganden
Utredningens bedömning: De bemyndiganden som ges i 12 §
lagen om hälsodataregister kan och bör behållas.
Regleringen av s.k. hälsodataregister består av en lag och ett antal olika förordningar6. Enligt förarbetena till lagen om hälsodataregister är tanken att de frågor som är gemensamma för alla hälsodataregister ska regleras i en lag medan närmare föreskrifter om enskilda hälsodataregister ska meddelas av regeringen inom de ramar som lagen drar upp.7 I 12 § lagen om hälsodataregister bemyndigas därför regeringen att meddela föreskrifter som medför begränsningar av sådan behandling av personuppgifter som är tillåten enligt lagen om hälsodataregister.
Regeringens rätt att meddela föreskrifter omfattar vilka myndigheter som får föra hälsodataregister, begränsningar av i lagen angivna ändamål, begränsningar av de uppgifter som ett hälsodataregister får innehålla, begränsningar av samkörning, uppgiftsskyldigheter och begränsningar i rätten att bevara uppgifter. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på dessa områden och inte heller att föreskriftsrätten delegeras. De bemyndiganden som ges i 12 § lagen om hälsodataregister är således förenliga med dataskyddsförordningen och behöver inte ändras.
De föreskrifter regeringen har meddelat inom ramen för bemyndigandet kommer utredningen att gå igenom nedan. Det hälsodataregister som får föras av Läkemedelsverket enligt 3 kap. 14 § läkemedelsförordningen berörs i avsnitt 12.8.5.
6 Förordningen (2001:707) om patientregister hos Socialstyrelsen, förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen, förordningen (2001:709) om cancerregister hos Socialstyrelsen, förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen, förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården, förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen och förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län. 7Prop. 1997/98:108 s. 44.
11.6.2. Förande av hälsodataregister
Utredningens bedömning: Bestämmelsen om förande av hälso-
dataregister i 1 § lagen om hälsodataregister behöver inte ändras.
I 1 § första meningen lagen om hälsodataregister anges att centrala förvaltningsmyndigheter inom hälso- och sjukvården får utföra automatiserad behandling av personuppgifter i hälsodataregister. Dataskyddsförordningen påverkar inte möjligheten att föreskriva att ett visst register får föras. Behandlingen av personuppgifter i registret måste dock vara förenlig med dataskyddsförordningens bestämmelser.
11.6.3. Personuppgiftsansvar
Utredningens bedömning: Bestämmelserna i lagen om hälso-
dataregister och de tillhörande förordningarna om vem som är personuppgiftsansvarig kan och bör behållas.
I 1 § andra meningen lagen om hälsodataregister anges att den centrala förvaltningsmyndighet som utför behandlingen av personuppgifter är personuppgiftsansvarig. I 12 § 1 samma lag bemyndigas regeringen att meddela föreskrifter om vilka myndigheter som får föra hälsodataregister, vilket även medför ett fastställande av vilken myndighet som ska vara personuppgiftsansvarig. Bestämmelser om personuppgiftsansvar finns i 2 § förordningen om patientregister hos Socialstyrelsen, 2 § förordningen om medicinskt födelseregister hos Socialstyrelsen, 2 § förordningen om cancerregister hos Socialstyrelsen, 2 § förordningen om läkemedelsregister hos Socialstyrelsen, 2 § förordningen om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården, 2 § förordningen om tandhälsoregister hos Socialstyrelsen och 2 § förordningen om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län.
Utredningen har i avsnitt 9.7 konstaterat att bestämmelser i registerförfattningar om vem som är personuppgiftsansvarig kan och bör behållas. Regleringen innebär att andra än centrala förvaltningsmyndigheter inte får föra hälsodataregister. Eftersom be-
handlingen enligt lagen om hälsodataregister sker med stöd av artikel 6.1 e i dataskyddsförordningen, kan regleringen, i enlighet med vad som framgår av det ovan nämnda avsnittet, behållas.
11.6.4. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 2 § lagen om hälsodata-
register ska innehålla en upplysning om att författningen kompletterar dataskyddsförordningen.
Det ska också anges att dataskyddslagen gäller, om inte annat följer av lagen om hälsodataregister eller föreskrifter som har meddelats med stöd av den.
Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
11.6.5. Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: De angivna ändamålen i lagen om
hälsodataregister och de tillhörande förordningarna är förenliga med dataskyddsförordningen och bör inte ändras.
I 3 § lagen om hälsodataregister anges för vilka ändamål personuppgifter får behandlas i hälsodataregister. Ändamålen är framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård samt forskning och epidemiologiska undersökningar. De utgör ramen för de ändamål regeringen får föreskriva om för de enskilda hälsodataregistren i enlighet med bemyndigandet i 12 § 2 lagen om hälsoregister.
Regeringen har utnyttjat sitt bemyndigande och utfärdat ändamålsbestämmelser i 3 § förordningen om patientregister hos Socialstyrelsen, 3 § förordningen om medicinskt födelseregister hos Socialstyrelsen, 3 § förordningen om cancerregister hos Socialstyrelsen, 3 § förordningen om läkemedelsregister hos Socialstyrelsen, 3 § förordningen om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården, 3 § förordningen om tandhälsoregister hos Socialstyrelsen och 3 § förordningen om register
hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län. Samtliga ändamål är inom ramen för de ändamål som anges i 3 § lagen om hälsodataregister. Vanligast är att ändamålen är desamma som i lagen men att behandlingen endast får ske inom ett begränsat verksamhetsområde – inom den slutna hälso- och sjukvården och den del av den öppna vården som inte är primärvård, inom cancerområdet, inom hälso- och sjukvård som avses i 12 kap.1 och 2 §§ och 14 kap. 1 §hälso- och sjukvårdslagen (2017:30), inom tandvårds- och tandhälsoområdet etc.
Ändamålen är till sin karaktär vida och möjliggör en omfattande behandling av personuppgifterna i de olika registren. Å andra sidan innehåller registren endast i förväg preciserade och till antalet begränsade kategorier av uppgifter (se avsnitt 11.6.6 nedan) vilket i sig ger en avgränsning av ändamålen. Av artikel 5.1 b i dataskyddsförordningen framgår dessutom att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. Samma princip finns i artikel 6.1 b i dataskyddsdirektivet. Regleringen antyder att bevarande av personuppgifter för ändamål som avser bl.a. statistik och forskning anses ha en grundläggande legitimitet. I förarbetena till lagen om hälsodataregister bedöms samtliga ändamål vara av ett högt samhälleligt intresse.8 Även i efterhand har regering och riksdag bedömt att ändamålsangivelserna avseende forskning är förenliga med dataskyddsdirektivet.9 Det saknas anledning att göra en annan bedömning i förhållande till dataskyddsförordningen. Ändamålen får därmed anses ha grund i ett allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
I artikel 6.3 i dataskyddsförordningen har tillkommit krav på den rättsliga grunden för behandling av personuppgifter, som beskrivs i avsnitt 9.10.1. Kraven får, i enlighet med vad utredningen konstaterat i de aktuella avsnitten, anses vara uppfyllda utan vidare analys.
11.6.6. Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelser om vilka personupp-
gifter som får behandlas i hälsodataregister kan och bör behållas.
Begränsning av vilka personuppgifter som får behandlas
Ett hälsodataregister får enligt 4 § lagen om hälsodataregister innehålla endast de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas. I 12 § 3 samma lag bemyndigas regeringen att meddela föreskrifter om begränsningar av de uppgifter som ett hälsodataregister enligt 4 § får innehålla. Bestämmelser om vilka personuppgifter som får behandlas i registren finns i 4 och 5 §§ förordningen om patientregister hos Socialstyrelsen, 4 och 5 §§ förordningen om medicinskt födelseregister hos Socialstyrelsen, 4 och 5 §§ förordningen om cancerregister hos Socialstyrelsen, 4 § förordningen om läkemedelsregister hos Socialstyrelsen, 4 § förordningen om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården, 4 § förordningen om tandhälsoregister hos Socialstyrelsen och 4 § förordningen om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län. Bestämmelserna utesluter behandling av andra personuppgifter än de som räknas upp i paragraferna, vilket är i linje med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen. Utredningen utgår från de bedömningar som gjorts i tidigare lagstiftningsarbeten när det gäller vilka uppgifter som behöver behandlas. Sådana begränsningar är tillåtna för myndigheters behandling av personuppgifter eller därför att de avser behandling som stödjer sig på artikel 6.1 c eller e i dataskyddsförordningen. Bestämmelserna om vilka uppgifter hälsodataregistren ska innehålla kan och bör därmed behållas.
Känsliga personuppgifter
En del av de personuppgifter som får ingå i hälsodataregistren är känsliga personuppgifter om hälsa. För att känsliga personuppgifter ska få behandlas, krävs att ett undantag i artikel 9 i dataskyddsförordningen är tillämpligt.
Syftet med hälsodataregister är bl.a. att följa upp, utvärdera och kvalitetssäkra hälso- och sjukvård. Behandlingen får anses falla under undantaget i artikel 9.2 h i dataskyddsförordningen i den mån behandlingen är nödvändig av skäl som hör samman med tillhandahållande av hälso- och sjukvård m.m. Enligt artikel 9.3 i dataskyddsförordningen ska de känsliga personuppgifterna då behandlas av eller under ansvar av den som omfattas av tystnadsplikt. Socialstyrelsens verksamhet med hälsodataregistren omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400).
Personuppgifterna i hälsodataregistren är också avsedda att behandlas för framställning av statistik samt för forskning och epidemiologiska undersökningar. Av artikel 9.2 j i dataskyddsförordningen framgår att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen. Även detta ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Utredningen konstaterar att lagen om hälsodataregister med anknytande förordningar innehåller flera olika skyddsåtgärder, bl.a. begränsning av vilka personuppgifter som får behandlas, regler om samkörning, sökbegrepp samt reglering av direktåtkomst och utlämnande på medium för automatiserad behandling. Uppgifterna omfattas dessutom av absolut sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen. Sekretessen kan visserligen brytas för forskningsändamål, men då krävs i de flesta fall ett godkännande av studien av en etikprövningsnämnd enligt lagen (2003:460) om etikprövning av forskning som avser människor. Uppgifterna får enligt 21 kap. 7 § offentlighets- och sekretesslagen inte lämnas ut om det kan antas att ett utlämnande skulle medföra att uppgifterna behandlas i strid med dataskyddslagstiftningen (personuppgiftslagen).
Vad gäller kravet på proportionalitet och förenlighet med det väsentliga innehållet i rätten till dataskydd får det, på samma sätt som när det gäller undantag med stöd av artikel 9.2 g i dataskyddsförordningen (viktigt allmänt intresse), förutsättas att regeringen gjort en avvägning mellan behovet av olika hälsodataregister
och intrånget i den personliga integriteten innan beslut fattades om att utfärda förordningar om de olika registren.
De krav på åtgärder för att skydda den registrerades rättigheter och friheter som dataskyddsförordningen ställer får därmed anses uppfyllda.
Eftersom känsliga personuppgifter får behandlas under samma förutsättningar som andra personuppgifter, påverkar det inte regleringen av hälsodataregistren att det, som anges i avsnitt 9.11.6, har tillkommit nya kategorier av känsliga personuppgifter.
Sammantaget konstaterar utredningen att bestämmelserna i lagen om hälsodataregister och anknytande förordningar om vilka personuppgifter som får behandlas i registren inte behöver ändras.
11.6.7. Rätten att invända mot behandling av personuppgifter
Utredningens bedömning: Möjligheten att invända mot att per-
sonuppgifter som behandlas i register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län är förenlig med dataskyddsförordningen. Någon ändring bör därför inte göras i 5 § förordningen om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län.
I 5 § förordningen om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län anges att personuppgifter inte får behandlas i registret om den registrerade motsätter sig det. Om den enskilde motsätter sig behandlingen av personuppgifter sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt.
Den registrerade har enligt dataskyddsförordningen rätt att invända mot behandling av personuppgifter när det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse (se vidare avsnitt 9.15.1). Den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. I det här fallet har regeringen ansett att den registrerades intressen väger tyngre än Socialstyrelsens intresse av att
samla in uppgifter till ett register. Ett sådant ställningstagande är fullt förenligt med dataskyddsförordningen och begränsar bara vad en myndighet får göra. Bestämmelsen i 5 § förordningen om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län behöver därmed inte ändras.
11.6.8. Säkerhetsåtgärder
Utredningens bedömning: Någon ändring av bestämmelserna
om begränsningar och krav på behandling av personuppgifter i 5 och 7–9 §§ lagen om hälsodataregister behövs inte med anledning av dataskyddsförordningen.
Bestämmelserna i 5 och 7–9 §§ lagen om hälsodataregister, som anger när personuppgifter får hämtas till registret genom samkörning, vilka uppgifter som får användas som sökbegrepp och vad som gäller i fråga om direktåtkomst och utlämnande på medium för automatiserad behandling, är att anse som uttryck för dataskyddsförordningens princip om uppgiftsminimering och som säkerhetsåtgärder/skyddsåtgärder enligt dataskyddsförordningen. Sådana begränsningar och krav för myndigheter behöver inte, i enlighet med vad utredningen konstaterat i avsnitt 9.16.2, ändras med anledning av dataskyddsförordningen. Bestämmelserna får också anses vara sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse enligt artikel 6.1 c och e i dataskyddsförordningen.
11.6.9. Uppgiftsskyldighet
Utredningens bedömning: Bestämmelserna om uppgiftsskyldig-
heter i lagen om hälsodataregister och de tillhörande förordningarna behöver inte ändras med anledning av dataskyddsförordningen.
Enligt 6 § lagen om hälsodataregister ska den som bedriver verksamhet inom hälso- och sjukvården lämna uppgifter till ett hälsodataregister för de ändamål som anges i 3 § samma lag. I 12 § 5 samma lag bemyndigas regeringen att meddela föreskrifter om uppgiftsskyldighet enligt 6 §. Sådana föreskrifter om uppgiftsskyldighet finns i 6 § förordningen om patientregister hos Socialstyrelsen, 6 § förordningen om medicinskt födelseregister hos Socialstyrelsen, 6 § förordningen om cancerregister hos Socialstyrelsen, 5 § förordningen om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården och 5 § förordningen om tandhälsoregister hos Socialstyrelsen. I anslutning till uppgiftsskyldigheterna bemyndigas också Socialstyrelsen att utfärda föreskrifter om hur uppgiftsskyldigheten ska fullgöras.
Uppgiftsskyldigheter är, i enlighet med vad utredningen konstaterat i avsnitt 9.21, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet och bör inte ändras med anledning av dataskyddsförordningen. Det ankommer inte på utredningen att bedöma om viss reglering är förenlig med regeringsformen10. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Bemyndigandena i de nu berörda bestämmelserna kan därmed behållas.
11.6.10. Upplysningsbestämmelse
Utredningens bedömning: Upplysningsbestämmelsen i 10 § lagen
om hälsodataregister påverkas inte av dataskyddsförordningen.
I 10 § lagen om hälsodataregister lämnas en upplysning om att det i offentlighet- och sekretesslagen (2009:400) finns bestämmelser om begränsningar i rätten att lämna ut personuppgifter. Bestämmelsen påverkas inte av dataskyddsförordningens bestämmelser.
10 Jämför SOU 2014:45 s. 244.
11.6.11. Rättelse och skadestånd
Utredningens förslag: Bestämmelserna i 11 § lagen om hälso-
dataregister och i 6 § förordningen om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län, som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd, upphävs.
Bestämmelser med hänvisningar till personuppgiftslagens bestämmelser om rättelse och skadestånd bör, i enlighet med de slutsatser utredningen drar i avsnitt 9.15.1 och 9.19.1, upphävas.
11.6.12. Information som ska lämnas självmant
Utredningens förslag: Krav på information till registrerade i för-
ordningarna om hälsodataregister som motsvarar krav som finns i dataskyddsförordningen tas bort. Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls. Bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.
I de olika förordningarna om hälsodataregister finns genomgående bestämmelser om vilken information Socialstyrelsen ska lämna till den registrerade och till allmänheten. Det rör sig om 7 § förordningen om patientregister hos Socialstyrelsen, 7 § förordningen om medicinskt födelseregister hos Socialstyrelsen, 7 § förordningen om cancerregister hos Socialstyrelsen, 6 § förordningen om läkemedelsregister hos Socialstyrelsen, 6 § förordningen om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården, 6 § förordningen om tandhälsoregister hos Socialstyrelsen och 7 § förordningen om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län. Bestämmelserna är preciseringar av 25 § första stycket c personuppgiftslagen.
I avsnitt 9.15.1 finns en redogörelse för dataskyddsförordningens reglering av den personuppgiftsansvariges skyldighet att lämna information till den registrerade. Den information Socialstyrelsen ska lämna till den registrerade enligt förordningarna om hälsodata-
register är i huvudsak densamma som den personuppgiftsansvarige ska lämna enligt dataskyddsförordningen. Informationsskyldigheten i förordningarna om hälsodataregister innebär dock att ett antal upplysningar som inte omfattas av dataskyddsförordningens reglering ska lämnas, nämligen innebörden och omfattningen av det sekretess- och säkerhetsskydd som gäller för registret samt information om vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling. Det finns också ett antal krav på upplysningar i dataskyddsförordningen som inte anges i förordningarna om hälsodataregister.
De bestämmelser i förordningarna om hälsodataregister som föreskriver att mer information än vad som krävs enligt dataskyddsförordningen ska lämnas, kan i enlighet med utredningens ställningstagande i avsnitt 9.15.1 behållas, eftersom den personuppgiftsansvarige, Socialstyrelsen, är en myndighet. Det har inte framkommit att det skulle innebära några beaktansvärda svårigheter för personuppgiftsansvariga att uppfylla de fåtaliga nyheter som dataskyddsförordningen innebär när det gäller den information som ska lämnas till den registrerade. Det finns därför som anges i avsnitt 9.15.2 inte anledning att överväga en begränsning av de registrerades nya rättigheter.
Slutsatsen blir därför att Socialstyrelsen ska lämna den information som följer av dataskyddsförordningen och den ytterligare information som ska lämnas enligt förordningarna om hälsodataregister. Detta bör regleras genom en bestämmelse i respektive förordning som kompletterar och hänvisar till dataskyddsförordningens reglering på det sätt som anges i avsnitt 9.15.1. De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort.
Bestämmelsen om information som ska lämnas till allmänheten påverkas inte av dataskyddsförordningen.
11.7. Lagen (2012:453) om register över nationella vaccinationsprogram
11.7.1. Lagens tillämpningsområde
Utredningens bedömning: Inga förändringar krävs av tillämp-
ningsområdet enligt 1 och 2 §§ lagen om register över nationella vaccinationsprogram.
I avsnitt 9.5 har utredningen konstaterat att bestämmelser i registerförfattningar om på vilken verksamhet, vilka typer av behandlingar och vilka uppgifter författningen ska tillämpas inte i sig påverkas av dataskyddsförordningen och därför inte bör ändras. Bestämmelserna i 1 och 2 §§ lagen om register över nationella vaccinationsprogram bör därmed inte ändras med anledning av att dataskyddsförordningen börjar tillämpas.
11.7.2. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 3 § lagen om register
över nationella vaccinationsprogram ska innehålla en upplysning om att lagen kompletterar dataskyddsförordningen.
Det ska också anges att dataskyddslagen gäller, om inte annat följer av lagen om register över nationella vaccinationsprogram eller föreskrifter som har meddelats med stöd av den.
Bestämmelsen i 3 § lagen om register över nationella vaccinationsprogram om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
11.7.3. Rätten att invända mot behandling av personuppgifter
Utredningens bedömning: Bestämmelsen i 4 § lagen om regis-
ter över nationella vaccinationsprogram kan och bör även fortsättningsvis innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.
Enligt 4 § lagen om register över nationella vaccinationsprogram får behandling av personuppgifter som är tillåten enligt samma lag utföras även om den enskilde motsätter sig behandlingen.
Den registrerade har enligt dataskyddsförordningen rätt att invända mot behandling av personuppgifter; detta under förutsättning att det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (se vidare avsnitt 9.15.1). Behandling av personuppgifter för de ändamål som anges i lagen om register över nationella vaccinationsprogram grundar sig huvudsakligen på arbetsuppgifter av allmänt intresse (se avsnitt 11.7.5 nedan). Bestämmelsen i 4 § lagen om register över nationella vaccinationsprogram utgör alltså en begränsning av rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen.
En sådan bestämmelse förutsätter, i enlighet med vad som framgår av avsnitt 9.15.2, att de villkor för en begränsning av den registrerades rättigheter som anges i artikel 23 i dataskyddsförordningen är uppfyllda. Vilka villkoren är framgår av det avsnittet. Ett av kraven är att bestämmelsen utgör en åtgärd i syfte att säkerställa något av de mål som anges i artikel 23.1 i dataskyddsförordningen. Ett av dessa mål, punkten e, gäller ”andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet”. I avsnitt 9.8.2 har utredningen konstaterat att bedrivande av verksamhet inom bl.a. hälso- och sjukvård, är ett sådant allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen. Nationella vaccinationsregistret möjliggör bl.a. en heltäckande och kvalitetssäker nationell övervakning av vaccinationstäckning, skyddseffekt, vaccinsvikt och biverkningar, snabbare återkoppling och åtgärder i områden med låg vaccinationstäckning och
högkvalitativ epidemiologisk forskning. Detta får anses vara sådana viktiga mål av generellt allmänt intresse för folkhälsan som avses i artikel 23.1 i dataskyddsförordningen.
En ytterligare förutsättning för att en begränsning ska få göras enligt artikel 23.1 i dataskyddsförordningen är att den utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa det aktuella intresset. En möjlighet att invända mot behandling av personuppgifter skulle motverka hela syftet med registret. Begränsningen får därför anses nödvändig och proportionell och kan inte heller anses strida mot andemeningen i de grundläggande rättigheterna och friheterna.
De specifika bestämmelser som krävs enligt artikel 23.2 i dataskyddsförordningen, om bl.a. olika skyddsåtgärder för personuppgifterna, finns i övrigt i lagen om register över nationella vaccinationsprogram.
Utredningen bedömer därmed att 4 § lagen om register över nationella vaccinationsprogram även fortsättningsvis kan innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.
11.7.4. Personuppgiftsansvar
Utredningens bedömning: Bestämmelsen om personuppgifts-
ansvar i 5 § lagen om register över nationella vaccinationsprogram kan och bör behållas.
Utredningen har i avsnitt 9.7 konstaterat att bestämmelser i registerförfattningar om vem som är personuppgiftsansvarig kan och bör behållas.
11.7.5. Ändamål och grund för behandling av personuppgifter
Utredningens förslag: Hänvisningen till personuppgiftslagens
bestämmelse om finalitetsprincipen i 6 § andra stycket andra meningen lagen om register över nationella vaccinationsprogram tas bort. I stället hänvisas till artikel 5.1 b i dataskyddsförordningen som ger uttryck för finalitetsprincipen.
Utredningens bedömning: Ändamålen i 6 § lagen om register
över nationella vaccinationsprogram uppfyller de krav som gäller enligt dataskyddsförordningen och bör inte ändras.
Av 6 § första stycket lagen om register över nationella vaccinationsprogram framgår att personuppgifter får behandlas för framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av nationella vaccinationsprogram, samt forskning och epidemiologiska undersökningar. Behandling av personuppgifter för dessa ändamål grundar sig på en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Personuppgifter som behandlas för de ändamål som anges i 6 § första stycket lagen om register över nationella vaccinationsprogram får enligt andra stycket också behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Uppgiftsutlämnande utgör huvudsakligen en arbetsuppgift av allmänt intresse, men skulle även kunna utgöra en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen, om uppgiftsutlämnandet grundar sig på en uppgiftsskyldighet.
Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte, som utredningen konstaterat i avsnitt 9.10.1. Bestämmelserna i lagen om register över nationella vaccinationsprogram uppfyller, i enlighet med vad som anges i samma avsnitt, de krav på den rättsliga grunden som ställs i artikel 6.3 i dataskyddsförordningen. Behandling av personuppgifter för de i 6 § lagen om register över nationella vaccinationsprogram angivna ändamålen är därmed förenlig med dataskyddsförordningen.
Finalitetsprincipen
I 6 § andra stycket lagen om register över nationella vaccinationsprogram anges också att 9 § första stycket d och andra stycket personuppgiftslagen (finalitetsprincipen) gäller. Hänvisningen syftar till att klargöra att personuppgifter som redan finns i verksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen inte är oförenliga med de ändamål för vilka uppgifterna samlades in. Hänvisningen innebär vidare att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Eftersom personuppgiftslagen kommer att upphävas, måste hänvisningen till bestämmelsen om finalitetsprincipen i den lagen ändras. Det bör ske i enlighet med vad som redovisas i avsnitt 9.10.3.
11.7.6. Personuppgifter som får behandlas
Utredningens bedömning: Uppräkningen i 7 § lagen om regis-
ter över nationella vaccinationsprogram av vilka personuppgifter som får behandlas i registret kan och bör behållas.
Begränsning av vilka personuppgifter som får behandlas
I 7 § lagen om register över nationella vaccinationsprogram anges vilka personuppgifter som får behandlas i registret. Bestämmelsen kan sägas utgöra en precisering av principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Överväganden kring vilka uppgifter som behöver behandlas i registret har gjorts vid tidigare lagstiftningsarbeten och behöver inte göras på nytt. Medlemsstaterna tillåts som redan framgått att införa sådana preciseringar i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de begränsar en myndighets möjligheter till behandling av personuppgifter. Bestämmelsen kan och bör därför behållas.
Känsliga personuppgifter
En del av uppgifterna i registret har bedömts vara känsliga personuppgifter enligt 13 § personuppgiftslagen.11
Bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet är i enlighet med vad utredningen konstaterat i avsnitt 9.11.3 förenliga med artikel 9.2 g i dataskyddsförordningen och kan och bör behållas. Det är troligt att behandlingen i vaccinationsregistret tillåtits med stöd av artikel 8.4 i dataskyddsdirektivet, eftersom den behövs med hänsyn till ett viktigt allmänt intresse, och inte med stöd av artikel 8.3 i dataskyddsdirektivet om bl.a. förebyggande hälso- och sjukvård. I artikel 9.2 i i dataskyddsförordningen har det dock, som anges i avsnitt 9.11.5, tillkommit ett nytt undantag från förbudet att behandla känsliga personuppgifter som avser folkhälsoområdet. Som framgår av det avsnittet är behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter exempel på skäl som motiverar behandling av känsliga personuppgifter med stöd av artikeln. Skälen överensstämmer med de ändamål som framgår av 6 § lagen om register över nationella vaccinationsprogram och undantaget i artikel 9.2 i i dataskyddsförordningen bedöms därför relevant att tillämpa.
Folkhälsomyndighetens verksamhet med det nationella vaccinationsregistret omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400). Den regleringen tillsammans med bestämmelserna i lagen om register över nationella vaccinationsprogram är enligt utredningens bedömning tillräcklig för att tillgodose kravet på skyddsåtgärder i artikel 9.2 i i dataskyddsförordningen. Registret förs på grundval av nationell lagstiftning vilket också är ett krav enligt den artikeln.
Eftersom känsliga personuppgifter får behandlas under samma förutsättningar som andra personuppgifter, påverkar det inte den nu aktuella regleringen att det, som anges i avsnitt 9.11.6, har tillkommit nya kategorier av känsliga personuppgifter.
Behandlingen av känsliga personuppgifter i registret över nationella vaccinationsprogram kan således fortsättningsvis ske i samma omfattning som tidigare.
Personnummer
Registret innehåller även uppgift om personnummer. Som anges i avsnitt 9.13 finns det inga hinder mot att i lagen om register över nationella vaccinationsprogram ange att personnummer ska behandlas i det aktuella registret.
11.7.7. Uppgiftsskyldighet
Utredningens bedömning: Bestämmelsen i 8 § lagen om regis-
ter över nationella vaccinationsprogram behöver inte ändras med anledning av dataskyddsförordningen.
Enligt 8 § lagen om register över nationella vaccinationsprogram ska den vårdgivare som har ansvarat för vaccinationen lämna uppgifter till vaccinationsregistret. I enlighet med vad som anges i avsnitt 9.21 är det utredningens bedömning att bestämmelser om uppgiftsskyldighet är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelsen behöver således inte ändras med anledning av dataskyddsförordningen. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
11.7.8. Säkerhetsåtgärder
Utredningens bedömning: Bestämmelserna i 9 och 10 §§ lagen
om register över nationella vaccinationsprogram behöver inte ändras med anledning av dataskyddsförordningen.
Bestämmelserna om behörighetstilldelning i 9 § och utlämnande på medium för automatiserad databehandling i 10 § lagen om register över nationella vaccinationsprogram utgör sådana säkerhetsåtgärder som avses i avsnitt 9.16.2. Bestämmelser om krav på säkerhetsåtgärder för myndigheter behöver inte, i enlighet med vad utredningen konstaterat i det avsnittet, ändras med anledning av dataskyddsförordningen. Bestämmelserna får också anses vara sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse enligt artikel 6.1 c och e i dataskyddsförordningen.
I 9 § andra stycket lagen om register över nationella vaccinationsprogram bemyndigas regeringen att meddela föreskrifter om tilldelning av behörighet för åtkomst till uppgifter i registret. Eftersom det är förenligt med dataskyddsförordningen att meddela föreskrifter om säkerhetsåtgärder och dataskyddsförordningen inte hindrar att föreskriftsrätten delegeras, kan bemyndigandet kvarstå oförändrat.
Bestämmelserna i 9 och 10 §§ lagen om register över nationella vaccinationsprogram behöver således inte ändras med anledning av dataskyddsförordningen.
11.7.9. Upplysningsbestämmelse
Utredningens bedömning: Hänvisningen till offentlighets- och
sekretesslagen (2009:400) i 11 § lagen om register över nationella vaccinationsprogram påverkas inte av dataskyddsförordningen.
I 11 § lagen om register över nationella vaccinationsprogram finns en upplysning om att det finns bestämmelser om begränsningar i rätten att lämna ut personuppgifter i offentlighets- och sekretesslagen (2009:400). Upplysningen är relevant även när dataskyddsförordningen börjar tillämpas och bestämmelsen behöver därför inte ändras.
11.7.10. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 12 § lagen om register
över nationella vaccinationsprogram, som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd, upphävs.
Enligt 12 § lagen om register över nationella vaccinationsprogram ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt lagen om register över nationella vaccinationsprogram eller föreskrifter som meddelats i anslutning till lagen. Bestämmelsen bör, i enlighet med de slutsatser utredningen drar i avsnitt 9.15.1 och 9.19.1, upphävas.
11.7.11. Information som ska lämnas självmant
Utredningens förslag: Krav på information till registrerade i
13 § lagen om register över nationella vaccinationsprogram som motsvarar krav som finns i dataskyddsförordningen tas bort. Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls. Hänvisningen till bestämmelsen om skadestånd i lagen om register över nationella vaccinationsprogram ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen. Bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.
Av 13 § lagen om register över nationella vaccinationsprogram framgår vilken information Folkhälsomyndigheten ska lämna till den enskilde. Bestämmelsen preciserar bestämmelserna om information i personuppgiftslagen. I övrigt gäller alltså personuppgiftslagens bestämmelser i 23–27 §§ även vid behandling av personuppgifter i registret över hälso- och sjukvårdspersonal.
Utredningen har i avsnitt 9.15.1 redogjort för dataskyddsförordningens bestämmelser om den personuppgiftsansvariges skyldighet att lämna information till den registrerade. Informationsskyldigheten enligt dataskyddsförordningen innefattar flera av de upplysningar som anges i 13 § lagen om register över nationella
vaccinationsprogram. Det finns dock vissa upplysningar som inte omfattas av skyldigheten att lämna information enligt dataskyddsförordningen. Det rör sig om upplysningar om uppgiftsskyldighet som kan följa av lag eller förordning, de tystnadsplikts- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten till skadestånd vid behandling av personuppgifter i strid med denna lag och vad som gäller i fråga om sökbegrepp. Att den registrerade ska få upplysning om att registreringen inte är frivillig framgår enbart av artikel 13 i dataskyddsförordningen, dvs. det gäller endast när uppgifterna samlas in från den registrerade. Enligt dataskyddsförordningen ska den personuppgiftsansvarige även lämna viss information som inte anges i lagen om register över nationella vaccinationsprogram.
Utredningen har i avsnitt 9.15.1 konstaterat att bestämmelser i registerförfattningar som anger att information till registrerade ska lämnas utöver vad som följer av dataskyddsförordningen kan och bör behållas.
Att uppfylla dataskyddsförordningens nya krav på information som ska lämnas kan inte anses särskilt betungande för den personuppgiftsansvarige. Det finns därför, enligt den bedömning utredningen gjort i avsnitt 9.15.2, inte skäl att överväga en begränsning av den registrerades rätt till information.
Den personuppgiftsansvarige bör följaktligen lämna både den information som följer av dataskyddsförordningen och av lagen om register över nationella vaccinationsprogram. Bestämmelsen i 13 § lagen om register över nationella vaccinationsprogram bör, på det sätt som anges i avsnitt 9.15.1, komplettera och hänvisa till reglerna om information i dataskyddsförordningen. Hänvisningen till bestämmelsen om skadestånd, som utredningen i avsnitt 11.7.10 föreslår ska upphävas, bör ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen. Hänvisningen till dataskyddsförordningen bör vara av dynamisk karaktär, dvs. avse vid var tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig. De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort.
11.8. Förordningen (1992:62) om bevarande av registret rörande vissa alkoholbrott m.m.
Utredningens bedömning: Registret rörande vissa alkoholbrott
kan även fortsättningsvis bevaras hos Riksarkivet med hänsyn till forskningens behov.
Av förordningen (1992:62) om bevarande av registret rörande vissa alkoholbrott m.m. framgår att regeringen föreskrivit att registret enligt den upphävda förordningen (1955:513) om register rörande vissa alkoholbrott m.m. med hänsyn till forskningens behov ska bevaras hos riksarkivet.
Utredningen har i avsnitt 9.17.2 konstaterat att bestämmelser om bevarande för historiska, statistiska eller vetenskapliga ändamål inte behöver ändras i sak under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen.
Registret rörande vissa alkoholbrott m.m. har inte tillförts några nya uppgifter sedan innan dataskyddsdirektivet trädde i kraft. Registret har således – sett utifrån europeisk dataskyddslagstiftning – aldrig förts för något annat syfte än ett forskningssyfte. Innan dess fördes registret för behov inom allmän verksamhet.12 Den ursprungliga behandlingen av personuppgifter i registret får därmed anses ha grundat sig på en arbetsuppgift av allmänt intresse.
12 Utdrag ur SOU 1974:90 s. 200 f: ”Kontrollstyrelsen (riksskatteverket) har sedan 1923 fört fortlöpande statistik över avdömda fylleriförseelser och sedan 1932 fört ett särskilt register över alla personer som blivit dömda för fylleri. Detta register utgör stommen i det år 1940 inrättade s.k. särskilda straffregistret, som förs av riksskatteverket. Bestämmelser om detta register har upptagits i tre författningar, nämligen kungörelsen 1955:513 om särskilt straffregister rörande fylleri och vissa andra brott, kungörelsen 1955:512 om skyldighet att meddela vissa uppgifter till riksskatteverket samt kungörelsen 1961:186 om skyldighet att inhämta utdrag av det hos kontrollstyrelsen (numera riksskatteverket) förda straffregistret. I sammanhanget bör även beaktas kungörelsen 1971:316 om utlämnande för forskningsändamål av uppgifter om brott m.m. Såväl domare och åklagare som tjänstemän inom nykterhetsvården har i sin verksamhet ofta anledning att inhämta uppgifter från registret. Det särskilda straffregistret har dessutom betydelse som underlag för bedömningar av nykterhetstillståndets utveckling eller som källa för alkoholforskning och utredningsverksamhet på det alkoholpolitiska området. Det särskilda straffregistret innehåller såvitt gäller fylleriet uppgifter endast om dem som genom dom eller godkänt straff – eller ordningsföreläggande befunnits skyldiga till fylleri.”
Även om det föreskrivna bevarandet hos Riksarkivet skulle innebära sådan behandling som avses i dataskyddsförordningen, kan förordningen om bevarande av registret rörande vissa alkoholbrott m.m. således behållas.
12. Författningar som bl.a. reglerar behandling av personuppgifter
12.1. Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och förordningen (2002:746) om biobanker i hälso- och sjukvården m.m.
12.1.1. Inledning
I lagen om biobanker i hälso- och sjukvården m.m. och den tillhörande förordningen finns det bestämmelser om hur humanbiologiskt material ska få samlas in, förvaras och användas för vissa ändamål. Med biobank avses enligt definitionen i 1 kap. 2 § lagen om biobanker i hälso- och sjukvården m.m. biologiskt material från en eller flera människor (vävnadsprov) som samlas och bevaras tills vidare eller för en bestämd tid och vars ursprung kan härledas till den eller de människor från vilka materialet härrör. Personuppgifter som förvaras i patientjournaler eller register i anslutning till vävnadsproverna omfattas alltså inte av begreppet biobank. De vävnadsprover som förvaras i biobanken är märkta med ett identifieringsnummer. Identifieringsnumret kan i sin tur kopplas till de personuppgifter som finns i patientjournaler och register i anslutning till biobanken. Definitionen av biobank innebär, enligt den bedömning som gjordes vid lagens tillkomst, att en biobank med material från levande personer är att anse som personuppgifter. Förvaringen av vävnadsproverna i en biobank har däremot inte ansetts utgöra en sådan helt eller delvis automatiserad behandling som omfattas av dataskyddsregleringen även om behandlingen av personuppgifter i journaler och register är automatiserad. Detta eftersom den automatiserade behandlingen endast anses hänförlig till själva registret och inte till biobanken. Vävnadsproverna i en biobank är endast sökbara på ett kriterium, identifieringsnumret. Biobanken anses därför inte heller
utgöra sådana personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, eftersom det krävs mer än en sökingång för att omfattas av dataskyddsregleringen.1 Det innebär att varken personuppgiftslagen eller dataskyddsförordningen är tillämplig på själva biobanken. Såväl personuppgiftslagen som dataskyddsförordningen är däremot tillämplig på automatiserad behandling i patientjournaler eller register som finns i anslutning till biobanken.
Regeringen har uttalat att hanteringen av vävnadsprover i en biobank ändå är så integritetskänslig att den i allt väsentligt bör uppfylla krav på integritetsskydd motsvarande de i dataskyddsdirektivet och personuppgiftslagen. Det ingår inte i utredningens uppdrag att se över de bestämmelser som inte berör sådan behandling av personuppgifter som omfattas av dataskyddsförordningen. Utredningen om regleringen av biobanker har i uppdrag att göra en översyn av lagen om biobanker i hälso- och sjukvården m.m. i sin helhet.2
Förutom reglering av biobanker innehåller lagen om biobanker i hälso- och sjukvården m.m. och den tillhörande förordningen vissa bestämmelser om behandling av personuppgifter, nämligen bestämmelser om vissa register som ska föras, patientjournaler, rättelse, skadestånd, uppgiftsskyldighet, tillsynsmyndighet och överklagande. I detta avsnitt analyseras om de bestämmelser som berör behandling av personuppgifter behöver ändras med anledning av dataskyddsförordningen.
12.1.2. Register över biobanker
Skyldighet att föra register
Utredningens bedömning: Bestämmelsen om skyldighet att föra
register i 2 kap. 6 § första stycket första meningen lagen om biobanker i hälso- och sjukvården m.m. kan behållas.
1Prop. 2001/02:44 s. 31–32. 2 S 2016:04, dir. 2016:41, delbetänkande SOU 2017:40.
Inspektionen för vård och omsorg ska enligt 2 kap. 6 § första stycket första meningen lagen om biobanker i hälso- och sjukvården m.m. föra ett automatiserat register över biobanker.
Dataskyddsförordningen påverkar inte möjligheten att föreskriva att någon ska föra ett visst register. Behandlingen av personuppgifter i registret måste dock vara förenlig med dataskyddsförordningens bestämmelser.
Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Bestämmelsen om ändamål i 2 kap.
6 § första stycket andra meningen lagen om biobanker i hälso- och sjukvården m.m. kan behållas.
Registret över biobanker ska enligt 2 kap. 6 § första stycket andra meningen lagen om biobanker i hälso- och sjukvården m.m. användas för tillsyn, i forskningen och för framställning av statistik.
I avsnitt 9.10.1 har utredningen konstaterat att behandling av personuppgifter för ändamål som anges i registerförfattningar redan i tidigare lagstiftningsarbeten måste bedömts ha stöd i de rättsliga grunder som anges i artikel 7 i dataskyddsdirektivet. Ändamålen har, förutom eventuella ändamål som stödjer sig på intresseavvägningar vid myndigheters behandling, motsvarande stöd i artikel 6.1 i dataskyddsförordningen. Skyldigheten att föra det aktuella registret är en rättslig förpliktelse. Ändamålen grundar sig på den rättsliga förpliktelsen att föra registret och har således stöd i artikel 6.1 c i dataskyddsförordningen.
Bestämmelserna uppfyller, i enlighet med vad som anges i avsnitt 9.10.1, de krav på den rättsliga grunden som ställs i artikel 6.3 i dataskyddsförordningen och kan därmed behållas.
Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelserna om registrets inne-
håll i 2 kap. 6 § andra stycket lagen om biobanker i hälso- och sjukvården m.m. och 3 § andra stycket förordningen om biobanker i hälso- och sjukvården m.m. kan och bör behållas.
I 2 kap. 6 § andra stycket lagen om biobanker i hälso- och sjukvården m.m. anges att registret ska innehålla de uppgifter som en anmälan om inrättande av en biobank ska innehålla, nämligen ändamålet med biobanken, var biobanken ska förvaras, vem som ska ansvara för biobanken och vilken omfattning biobanken avses få. Registret får inte innehålla uppgifter om enskilda från vilka prov tagits. Av 3 § andra stycket förordningen om biobanker i hälso- och sjukvården framgår att registret även ska innehålla vissa uppgifter om huvudmannen för biobanken och den som ansvarar för biobanken. Registret ska därutöver innehålla uppgift om vissa beslut av Inspektionen för vård och omsorg och uppgift om när material ur en biobank har lämnats ut.
En precisering av vilka personuppgifter som får behandlas i ett register är förenlig med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Principen innebär att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Utredningen utgår från de överväganden kring vilka uppgifter som behöver behandlas i registret som har gjorts vid tidigare lagstiftningsarbeten. Medlemsstaterna tillåts som redan framgått att införa preciseringar i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de begränsar en myndighets möjligheter till behandling av personuppgifter. Bestämmelserna i 2 kap. 6 § andra stycket lagen om biobanker i hälso- och sjukvården m.m. och 3 § andra stycket förordningen om biobanker i hälso- och sjukvården m.m. kan alltså behållas.
Eftersom uppgifter om de enskilda från vilka prov har tagits inte får behandlas i registret, ska det inte finnas några känsliga personuppgifter där. Det finns därför inte någon anledning att ta ställning till om det är tillåtet att behandla känsliga personuppgifter i registret.
Personuppgiftsansvar
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om personuppgiftsansvar i 2 kap. 6 § tredje stycket lagen om biobanker i hälso- och sjukvården m.m.
Som framgått av avsnitt 9.7 behöver bestämmelser om personuppgiftsansvar i registerförfattningar inte ändras med anledning av dataskyddsförordningen. Utredningen gör samma bedömning när det gäller bestämmelsen om personuppgiftsansvar i lagen om biobanker i hälso- och sjukvården m.m. Bestämmelsen i 2 kap. 6 § tredje stycket lagen om biobanker i hälso- och sjukvården m.m. kan och bör därför behållas.
Direktåtkomst
Utredningens bedömning: Bestämmelserna om direktåtkomst i
2 kap. 6 § fjärde stycket lagen om biobanker i hälso- och sjukvården m.m. samt 3 a § och 3 b § andra stycket förordningen om biobanker i hälso- och sjukvården m.m. kan behållas.
Regeringen får enligt 2 kap. 6 § fjärde stycket lagen om biobanker i hälso- och sjukvården m.m. meddela föreskrifter om vilken myndighet som får ha direktåtkomst till uppgifterna i Inspektionen för vård och omsorgs register. Av 3 a § förordningen om biobanker i hälso- och sjukvården m.m. framgår att Socialstyrelsen får medges direktåtkomst till uppgifterna i registret om uppgifterna behövs hos Socialstyrelsen för kunskapsutveckling, statistikframställning, uppföljning, utvärdering eller epidemiologiska studier. Vidare anges i 3 b § andra stycket förordningen om biobanker i hälso- och sjukvården m.m. att Socialstyrelsen har rätt att ta del av uppgifterna i registret genom direktåtkomst.
Det finns, som anges i avsnitt 9.16.2, inte några bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske i dataskyddsförordningen. Bestämmelserna om direktåtkomst kan, i enlighet med vad utredningen kommit fram till i det avsnittet, behållas. Dataskyddsförordningen hindrar inte heller att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Även bemyndigandet kan därmed vara kvar.
Uppgiftsskyldighet
Utredningens bedömning: Bestämmelsen om uppgiftsskyldig-
het i 3 b § första stycket förordningen om biobanker i hälso- och sjukvården m.m. kan behållas.
I 3 b § första stycket förordningen om biobanker i hälso- och sjukvården m.m. finns det en bestämmelse som anger att Inspektionen för vård och omsorg under vissa förutsättningar ska lämna uppgifter ur registret till Socialstyrelsen.
Bestämmelser om uppgiftsskyldighet är, enligt den bedömning utredningen har gjort i avsnitt 9.21, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna om uppgiftsskyldighet påverkas alltså inte av dataskyddsförordningen. Vid fullgörandet av uppgiftsskyldigheten måste dock den personuppgiftsansvarige iaktta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
12.1.3. Skyldigheten att dokumentera i patientjournal
Utredningens bedömning: Bestämmelsen om vilka uppgifter
som ska dokumenteras i en patientjournal i 3 kap. 7 § lagen om biobanker i hälso- och sjukvården m.m. kan och bör behållas.
I 3 kap. 7 § lagen om biobanker i hälso- och sjukvården m.m. anges att vissa uppgifter ska antecknas i provgivarens patientjournal.
Att på det sättet precisera vilka personuppgifter som ska behandlas i en patientjournal stämmer överens med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen som innebär att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser i den nationella lagstiftningen för sina myndigheter. Det är också tillåtet att införa sådana bestämmelser för enskilda under förutsättning att den aktuella behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen.
Lagen om biobanker i hälso- och sjukvården m.m. är enligt 1 kap. 3 § tillämplig på en biobank som inrättats i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet, oavsett var materialet i biobanken förvaras. Med hälso- och sjukvård avses enligt 1 kap. 2 § verksamhet som omfattas av hälso- och sjukvårdslagen (2017:30) eller tandvårdslagen (1985:125). Lagen är också tillämplig på vävnadsprover från en vårdgivares biobank som har lämnats ut för att förvaras och användas hos en annan vårdgivare, en enhet för forskning eller diagnostik, en offentlig forskningsinstitution, ett läkemedelsbolag eller en annan juridisk person och vilka även efter utlämnandet kan härledas till den eller de människor från vilka de härrör. Lagen gäller i tillämpliga delar även för vävnadsprover som tas och samlas in för transplantationsändamål enligt lagen (1995:831) om transplantation m.m. Patientdatalagen (2008:355) är enligt 1 kap. 1 § den lagen tillämplig vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I likhet med vad som gäller enligt lagen om biobanker i hälso- och sjukvården avses med hälso- och sjukvård enligt 1 kap. 3 § patientdatalagen bl.a. verksamhet enligt hälso- och sjukvårdslagen och tandvårdslagen. Patientdatalagen gäller i vårdgivarens kärnverksamhet, dvs. då vårdgivaren tillhandahåller hälso- och sjukvård åt patienter, såsom åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos människor. I kärnverksamheten ingår även annan närliggande patientverksamhet som insemination, abort, sterilisering, omskärelse, transplantationsingrepp på givare och blodgivning m.m. Behandling av personuppgifter som sker vid forskning omfattas däremot inte av patientdatalagens tillämpningsområde, om det inte är fråga om en vårdgivares s.k. patientnära eller kliniska forskning som innefattar patientjournalföring eller annan dokumentation som hör till vården.3 När det gäller den nu aktuella skyldigheten att anteckna uppgifter i patientjournalen torde alltså patientdatalagen vara tillämplig på behandlingen av personuppgifter i patientjournalen oavsett i vilket syfte vävnadsproverna hanteras. Att en del av patientens kropp tagits bort för att förvaras i en biobank förefaller i vart fall relevant att för hälso- och sjukvårdsändamål notera i patientens journal, liksom andra kroppsliga ingrepp.
Utredningen har i avsnitt 10.1.7 gjort bedömningen att behandling av personuppgifter som sker i syfte att fullgöra skyldigheten att föra patientjournal eller annan dokumentation är nödvändig för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen. Samma bedömning görs när det gäller dokumentationsskyldigheten enligt lagen om biobanker i hälso- och sjukvård m.m.
Eftersom behandlingen sker med stöd av den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen, är det alltså tillåtet enligt artikel 6.2 och 6.3 i dataskyddsförordningen att precisera vilka uppgifter som ska antecknas i journalen även för privata subjekt. Utredningen utgår från de överväganden kring vilka uppgifter som behöver antecknas i en patientjournal som har gjorts vid tidigare lagstiftningsarbeten.
Skyldigheten att anteckna uppgifter i en patientjournal innebär att känsliga personuppgifter som rör hälsa kan komma att behandlas där. Utredningen har i avsnitt 10.1.10 gjort bedömningen att behandling av känsliga personuppgifter i den verksamhet som patientdatalagen omfattar kan ske med stöd av undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Samma bedömning görs beträffande de nu aktuella uppgifterna. Utredningen har i avsnitt 10.1.10 föreslagit att en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i patientdatalagen. Någon sådan bestämmelse behöver därför inte tas in i lagen om biobanker i hälso- och sjukvården m.m. Bestämmelsen om vad som ska antecknas i patientjournalen kan och bör därmed behållas.
12.1.4. Utlämnande av journalhandling
Utredningens förslag: Hänvisningen i 4 kap. 4 a § lagen om bio-
banker i hälso- och sjukvården m.m. till personuppgiftslagen ersätts med en hänvisning till dataskyddsförordningen och den föreslagna forskningsdatalagen.
Utredningens bedömning: Bestämmelsen om utlämnande av
journalhandling i 4 kap. 4 a § lagen om biobanker i hälso- och sjukvården m.m. kan behållas i övrigt. Bestämmelsen om prövning av utlämnandefrågan i 4 kap. 6 a § lagen om biobanker i
hälso- och sjukvården m.m. påverkas inte av dataskyddsförordningen.
Skyldighet att lämna ut journalhandlingar
I 4 kap. lagen om biobanker i hälso- och sjukvården m.m. regleras utlämnande av vävnadsprover ur en biobank. Vävnadsproverna ska som huvudregel vara avidentifierade eller kodade när de lämnas ut. I kapitlet regleras också utlämnande av journalhandlingar från enskilt bedriven vård. En journalhandling inom enskild hälso- och sjukvård som rör en viss patient ska enligt 4 kap. 4 a § lagen om biobanker i hälso- och sjukvården m.m. lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten, om patienten har lämnat samtycke. I bestämmelsen anges det också att i fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen. Bestämmelsen innebär alltså en skyldighet att under vissa förutsättningar lämna ut uppgifter.
Bestämmelser om uppgiftsskyldighet är, enligt den bedömning utredningen har gjort i avsnitt 9.21, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelser om uppgiftsskyldighet behöver alltså inte ändras med anledning av dataskyddsförordningen. Vid fullgörandet av uppgiftsskyldigheten måste dock den reglering om dataskydd som finns i bl.a. dataskyddsförordningen beaktas.
En förutsättning för att uppgiftsskyldigheten ska inträda är att patienten har lämnat samtycke. Krav på samtycke utgör, enligt den bedömning utredningen har gjort i avsnitt 9.16.2, en form av skyddsåtgärd. Bestämmelser om skyddsåtgärder är tillåtna för myndigheter. Eftersom behandlingen av personuppgifter i patientjournaler sker på grund av en rättslig förpliktelse, får bestämmelsen, i enlighet med vad som anges i samma avsnitt, anses tillåten även för enskildas behandling såsom preciseringar enligt artikel 6.3 i dataskyddsförordningen. Kravet på samtycke är därmed förenligt med dataskyddsförordningens reglering och kan behållas.
I 4 kap. 4 a § lagen om biobanker i hälso- och sjukvården m.m. anges också, i en andra mening, att det i fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen. Det som avses med hänvisningen är enligt förarbetsuttalanden att om käns-
liga personuppgifter ska lämnas ut krävs det enligt 15 § personuppgiftslagen att den registrerade har lämnat sitt uttryckliga samtycke eller att behandlingen har godkänts av en forskningsetisk kommitté enligt 19 § första stycket personuppgiftslagen.4 Syftet med hänvisningen till personuppgiftslagen verkar alltså vara att det samtycke som avses i paragrafens första mening ska vara ”uttryckligt”, om utlämnandet innebär att personuppgifter behandlas enligt personuppgiftslagen och det inte finns ett forskningsetiskt godkännande. Detta har tydligen avsetts gälla trots att personuppgiftslagen är subsidiär i förhållande till uppgiftsskyldigheten enligt paragrafen. Dataskyddsförordningen är däremot tvingande. Om ett utlämnande av känsliga personuppgifter enligt dataskyddsförordningen får ske bara med samtycke, ska det samtycket enligt artikel 9.2 a i dataskyddsförordningen vara uttryckligt.
Eftersom personuppgiftslagen kommer att upphöra att gälla i samband med att dataskyddsförordningen börjar tillämpas, kan inte hänvisningen till den lagen vara kvar. Hänvisningen bör, när det gäller kravet på uttryckligt samtycke, ändras till att avse dataskyddsförordningen. Hänvisningen bör vara dynamisk, dvs. avse vid var tid gällande lydelse av bestämmelsen, eftersom artikel 9.2 a i dataskyddsförordningen är direkt tillämplig.
En bestämmelse liknande den som finns i 19 § första stycket personuppgiftslagen har föreslagits av Forskningsdatautredningen. Av 11 § första stycket i förslaget till forskningsdatalag framgår att känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i dataskyddsförordningen om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.5Bestämmelsen i 4 kap. 4 a § lagen om biobanker i hälso- och sjukvården m.m. bör därför innehålla en hänvisning även till den lagen.
4Prop. 2001/02:44 s. 51 och 87. 5SOU 2017:50.
Prövningen av frågan om utlämnande av journalhandlingar
Bestämmelsen om i vilken ordning en fråga om utlämnande av en journalhandling inom enskild hälso- och sjukvård ska prövas i 4 kap. 6 a § lagen om biobanker i hälso- och sjukvården m.m. är inte en bestämmelse om dataskydd. Någon prövning mot dataskyddsförordningen bedöms därför inte behöva göras när det gäller denna bestämmelse.
12.1.5. Uppgiftsskyldighet
Utredningens bedömning: Bestämmelsen om skyldighet att
lämna ut uppgifter i 4 kap. 11 § lagen om biobanker i hälso- och sjukvården m.m. kan behållas.
I 4 kap. 11 § lagen om biobanker i hälso- och sjukvården m.m. anges att en vårdgivare ska lämna personuppgifter för införande i ett register som förvaras i anslutning till en biobank hos en annan vårdgivare. Skyldigheten gäller endast om den registrerade, eller annan som enligt lagen kan lämna samtycke i vissa situationer, har informerats om och uttryckligen samtyckt till utlämnandet. Bestämmelsen innebär alltså en skyldighet att under vissa förutsättningar lämna ut uppgifter.
Bestämmelser om uppgiftsskyldighet är, enligt den bedömning utredningen har gjort i avsnitt 9.21, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelser om uppgiftsskyldighet påverkas alltså inte av dataskyddsförordningen. Vid fullgörandet av uppgiftsskyldigheten måste dock den personuppgiftsansvarige iaktta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
En av förutsättningarna för att uppgiftsskyldigheten ska inträda är att det lämnats ett uttryckligt samtycke. Krav på samtycke utgör, enligt den bedömning utredningen har gjort i avsnitt 9.16.2, en form av skyddsåtgärd. Bestämmelser om skyddsåtgärder är tillåtna för myndigheter. Eftersom bestämmelsen avser behandling av personuppgifter som sker på grund av en rättslig förpliktelse, får bestämmelsen, i enlighet med vad som anges i det avsnittet, anses tillåten även för enskildas behandling såsom en precisering enligt
artikel 6.3 i dataskyddsförordningen. Kravet på samtycke är därmed förenligt med dataskyddsförordningens reglering och kan behållas. Samtycket ska vara uttryckligt, vilket innebär att även känsliga personuppgifter kan lämnas ut. Att samtycket ska föregås av information om den aktuella behandlingen följer av definitionen av samtycke i artikel 4 i dataskyddsförordningen.
I bestämmelsen anges att personuppgifterna ska införas i ett register som förvaras i anslutning till en biobank hos en annan vårdgivare. För det fall ett sådant register förs helt eller delvis automatiserat eller utgör en sådan strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, och alltså omfattas av dataskyddsförordningens tillämpningsområde, måste behandlingen av personuppgifter i registret utföras i enlighet med dataskyddsförordningens bestämmelser. Lagen innehåller inte någon reglering av registret. Någon bedömning av ett sådant registers förenlighet med dataskyddsförordningen görs därför inte av utredningen.
12.1.6. PKU-registret
Förande av PKU-registret
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om förande av PKU-registret i 5 kap. 4 § första stycket lagen om biobanker i hälso- och sjukvården m.m.
Stockholms läns landsting får, enligt 5 kap. 4 § lagen om biobanker i hälso- och sjukvården m.m. och 2 § förordningen om biobanker i hälso- och sjukvården m.m., med hjälp av automatiserad behandling eller annan behandling av personuppgifter föra ett särskilt register för screening av prover från nyfödda barn för vissa ämnesomsättningsrubbningar (PKU-registret).
Dataskyddsförordningen påverkar inte möjligheten att föreskriva att någon får föra ett visst register. Behandlingen av personuppgifter i registret måste dock vara förenlig med dataskyddsförordningens bestämmelser.
Personuppgiftsansvar
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om personuppgiftsansvar i 5 kap. 4 § andra stycket lagen om biobanker i hälso- och sjukvården m.m.
Som framgått av avsnitt 9.7 behöver bestämmelser om personuppgiftsansvar i registerförfattningar inte ändras med anledning av dataskyddsförordningen. Utredningen gör samma bedömning när det gäller bestämmelsen om personuppgiftsansvar i lagen om biobanker i hälso- och sjukvården m.m. Bestämmelsen i 5 kap. 4 § andra stycket lagen om biobanker i hälso- och sjukvården m.m. kan och bör därmed behållas.
Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Bestämmelsen om ändamål i 5 kap.
5 § lagen om biobanker i hälso- och sjukvården m.m. kan behållas.
PKU-registret får enligt 5 kap. 5 § lagen om biobanker i hälso- och sjukvården m.m. användas endast för de ändamål som anges i 5 kap. 2 §. Det som avses är analyser och andra undersökningar för att spåra och diagnostisera ämnesomsättningssjukdomar, retrospektiv diagnostik av andra sjukdomar hos enskilda barn, epidemiologiska undersökningar, uppföljning, utvärdering och kvalitetssäkring av verksamheten samt klinisk forskning och utveckling. Registret får även användas för framställning av statistik.
Behandling av personuppgifter för de ändamål som anges i lagen om biobanker i hälso- och sjukvården m.m. får anses nödvändig för att utföra en arbetsuppgift av allmänt intresse och har därmed stöd i artikel 6.1 e i dataskyddsförordningen. Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte i enlighet med vad som anges i avsnitt 9.10.1. Bestämmelserna uppfyller, i enlighet med vad som anges i samma avsnitt, de krav på den rättsliga grunden som ställs i artikel 6.3 i dataskyddsförordningen och kan därmed behållas.
Finalitetsprincipen är inte tillämplig
I bestämmelsen anges att PKU-registret endast får användas för vissa angivna ändamål. Det innebär att finalitetsprincipen inte gäller. Det är alltså inte tillåtet att behandla personuppgifter i registret för andra ändamål än de som anges i bestämmelsen, även om dessa andra ändamål inte är oförenliga med det ändamål för vilket uppgifterna har samlats in.
Finalitetsprincipen finns uttryckt i artikel 5.1 b i dataskyddsförordningen. Där framgår bl.a. att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in, vilket motsvarar vad som anges i artikel 6.1 b i dataskyddsdirektivet. Medlemsstaterna får, i enlighet med vad utredningen konstaterat i avsnitt 9.3, med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Det är också, som utredningen konstaterat i avsnitt 9.2, tillåtet att begränsa myndigheters möjligheter till behandling och utöka deras skyldigheter. Begränsningen av tillåtna ändamål är därmed förenlig med dataskyddsförordningen och kan behållas.
Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelserna om registrets inne-
håll i 5 kap. 6 § lagen om biobanker i hälso- och sjukvården m.m. kan och bör behållas.
Begränsning av vilka personuppgifter som får behandlas
I 5 kap. 6 § lagen om biobanker i hälso- och sjukvården m.m. anges vilka uppgifter som får registreras i PKU-registret. Registret får endast innehålla uppgifter om moderns namn, personnummer och hemort, graviditetens längd, barnets födelsetid och kön samt vid flerbörd, ordningstal, den enhet inom sjukvården som tagit provet, diagnos, uppgifter om behandling av diagnostiserade sjukdomar och samtycke från barnets vårdnadshavare.
Som anges i avsnitt 9.13 kan och bör bestämmelser om behandling av personnummer behållas. När det i övrigt gäller den precisering av vilka personuppgifter som får behandlas i registret stämmer denna väl överens med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen som innebär att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Utredningen utgår från de överväganden kring vilka uppgifter som behöver behandlas i registret som har gjorts vid tidigare lagstiftningsarbeten. Sådana preciseringar är som redan nämnts tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de begränsar en myndighets möjligheter till behandling av personuppgifter.
Känsliga personuppgifter
I PKU-registret kan det alltså förekomma känsliga personuppgifter om hälsa. Utredningen har ovan gjort bedömningen att behandlingen av personuppgifter i registret är tillåten, eftersom den är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Behandlingen av känsliga personuppgifter får också anses vara nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen och är alltså, i enlighet med vad som anges i avsnitt 9.11.3, förenlig med dataskyddsförordningen.
För att ett undantag ska vara tillåtet med stöd av artikel 9.2 g i dataskyddsförordningen krävs dock att regleringen omfattar bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Bestämmelser om tystnadsplikt kan enligt utredningens bedömning utgöra sådana lämpliga skyddsåtgärder.6 De uppgifter som behandlas i PKU-registret omfattas av bestämmelser om tystnadsplikt i 25 kap. offentlighets- och sekretesslagen (2009:400). Den regleringen tillsammans med regleringen av registret i lagen om biobanker i hälso- och sjukvården m.m. är enligt utredningens bedömning tillräcklig för att uppfylla kravet på skyddsåtgärder.
6 Se undantaget för behandling av känsliga personuppgifter på folkhälsoområdet i artikel 9.2 i dataskyddsförordningen som anger tystnadsplikt som ett exempel på en lämplig och specifik åtgärd för att skydda den registrerades rättigheter och friheter.
Som anges i avsnitt 9.11.6 har några nya kategorier av känsliga personuppgifter tillkommit i dataskyddsförordningen, nämligen genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Eftersom känsliga personuppgifter får behandlas under samma förutsättningar som andra personuppgifter inom den nu aktuella lagstiftningens tillämpningsområde, påverkar det inte regleringen att nya kategorier av personuppgifter kommer att vara att bedöma som känsliga enligt dataskyddsförordningen.
Sammanfattningsvis gör alltså utredningen bedömningen att bestämmelsen i 5 kap. 6 § lagen om biobanker i hälso- och sjukvården m.m. kan och bör behållas.
Uppgiftsskyldighet
Utredningens bedömning: Bestämmelsen om skyldighet att lämna
uppgifter i 5 kap. 7 § lagen om biobanker i hälso- och sjukvården m.m. kan behållas.
En vårdgivare är enligt 5 kap. 7 § lagen om biobanker i hälso- och sjukvården m.m. skyldig att lämna de uppgifter som anges i 5 kap. 6 § till PKU-registret när vävnadsprov har tagits på ett nyfött barn. En förutsättning för uppgiftsskyldigheten är att vårdnadshavaren har fått viss information om registreringen och uttryckligen samtyckt till utlämnandet.
Bestämmelsen innebär alltså en skyldighet att under vissa förutsättningar lämna ut uppgifter. Bestämmelser om uppgiftsskyldighet är, enligt den bedömning utredningen har gjort i avsnitt 9.21, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelser om uppgiftsskyldighet påverkas alltså inte av dataskyddsförordningen. Vid fullgörandet av uppgiftsskyldigheten måste dock den personuppgiftsansvarige iaktta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
En av förutsättningarna för att uppgiftsskyldigheten ska inträda är att ett uttryckligt samtycke har lämnats. Krav på samtycke utgör, enligt den bedömning utredningen har gjort i avsnitt 9.16.2, en form av skyddsåtgärd. Bestämmelser om skyddsåtgärder är tillåtna för myndigheter. Eftersom bestämmelsen avser behandling av person-
uppgifter som sker på grund av en rättslig förpliktelse, får bestämmelsen, i enlighet med vad som anges i det avsnittet, anses tillåten även för enskildas behandling såsom en precisering enligt artikel 6.3 i dataskyddsförordningen. Kravet på samtycke är därmed förenligt med dataskyddsförordningens reglering och kan behållas. Samtycket ska vara uttryckligt, vilket innebär att även känsliga personuppgifter kan lämnas ut. Att samtycket ska föregås av information om den aktuella behandlingen följer av definitionen av samtycke i artikel 4 i dataskyddsförordningen.
12.1.7. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 6 kap. 2 § tredje stycket
lagen om biobanker i hälso- och sjukvården m.m. som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.
Bestämmelsen i 6 kap. 2 § tredje stycket lagen om biobanker i hälso- och sjukvården m.m. innehåller en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör, i enlighet med vad utredningen kommit fram till i avsnitt 9.15.1 och 9.19.1, upphävas.
12.1.8. Tillsyn
Utredningens förslag: Hänvisningen till tillsynsmyndigheten
enligt personuppgiftslagen i 6 kap. 3 § första stycket lagen om biobanker i hälso- och sjukvården m.m. ersätts med en hänvisning till dataskyddslagen.
I 6 kap. 3 § första stycket andra meningen lagen om biobanker i hälso- och sjukvården m.m. anges att den myndighet som är tillsynsmyndighet enligt personuppgiftslagen utövar tillsyn över behandlingen av personuppgifter. Eftersom personuppgiftslagen kommer att upphävas när dataskyddsförordningen börjar tillämpas, behöver hänvisningen tas bort. I stället bör en hänvisning göras till den myndighet som är tillsynsmyndighet enligt dataskyddslagen.
12.1.9. Överklagande
Utredningens förslag: Bestämmelsen om överklagande av be-
slut om rättelse och avslag på ansökan om information i 6 kap. 7 § tredje stycket lagen om biobanker i hälso- och sjukvården m.m. tas bort. I en ny paragraf, 6 kap. 7 a § hänvisas till den föreslagna dataskyddslagens bestämmelser om överklagande.
Utredningens bedömning: I övrigt kan bestämmelserna om över-
klagande behållas.
I 6 kap. 7 § lagen om biobanker i hälso- och sjukvården finns det bestämmelser om överklagande.7 Bestämmelsen i första stycket avser inte beslut som har samband med behandling av personuppgifter och kommer därför inte att beröras.
Av bestämmelsens andra stycke framgår att beslut av Inspektionen för vård och omsorg får överklagas till allmän förvaltningsdomstol. Inspektionen kan komma att fatta beslut som avser behandling av personuppgifter. En annan myndighets beslut om rättelse och avslag på ansökan om information enligt 26 § personuppgiftslagen får enligt tredje stycket också överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs enligt fjärde stycket vid överklagande till kammarrätten. Beslut som Inspektionen för vård och omsorg eller allmän förvaltningsdomstol meddelar enligt lagen om biobanker i hälso- och sjukvården ska enligt femte stycket gälla omedelbart om inte annat anges i beslutet.
Som anges i avsnitt 9.20 bör de föreslagna överklagandebestämmelserna i dataskyddslagen gälla även inom registerförfattningarnas tillämpningsområde. Dataskyddslagens bestämmelser om överklagande bör alltså gälla även för de beslut om behandling av personuppgifter som meddelas av Inspektionen för vård och omsorg som i dag omfattas av bestämmelsen i andra stycket. En sådan ordning innebär enligt utredningens bedömning inte någon materiell ändring, eftersom även de föreslagna bestämmelserna i dataskyddslagen innebär att besluten ska överklagas till allmän förvaltningsdomstol och att det krävs prövningstillstånd vid överklagande till
7 I SOU 2017:40 föreslås vissa ändringar av 6 kap. 7 § lagen om biobanker i hälso- och sjukvården träda i kraft den 1 juni 2018.
kammarrätten. Bestämmelsen i tredje stycket bör därför, i enlighet med utredningens bedömning i avsnitt 9.20, tas bort. I stället bör en hänvisning till den föreslagna dataskyddslagen införas. Eftersom dataskyddslagens överklagandebestämmelser alltså bör gälla även för beslut som fattats av Inspektionen för vård och omsorg i frågor om behandling av personuppgifter, måste bestämmelsen formuleras så att alla myndigheters beslut omfattas. Av tydlighetsskäl bör bestämmelsen införas i en egen paragraf.
Bestämmelsen i femte stycket, som innebär att beslut som Inspektionen för vård och omsorg meddelar enligt biobankslagen ska gälla omedelbart, synes inte omfatta beslut om behandling av personuppgifter. De beslut om behandling av personuppgifter som Inspektionen för vård och omsorg meddelar och som kan överklagas i dag torde vara fattade enligt personuppgiftslagens bestämmelser. Bestämmelsen i femte stycket kan därför vara kvar oförändrad. Övriga bestämmelser om överklagande påverkas inte av dataskyddsförordningen och kan därför behållas.
12.2. Lagen (2006:351) om genetisk integritet m.m.
12.2.1. Inledning
Lagen (2006:351) om genetisk integritet m.m. innehåller bestämmelser om begränsningar i användningen av viss bioteknik som utvecklats för medicinska ändamål såsom bestämmelser om genetiska undersökningar, genetisk information, genterapi, fosterdiagnostik, insemination och befruktning utanför kroppen. Lagen innehåller även vissa bestämmelser om behandling av personuppgifter, nämligen bestämmelser om förhållandet till personuppgiftslagen, skyldighet att göra journalanteckningar, bevarande och uppgiftsskyldighet. I detta avsnitt analyseras om de bestämmelser som berör behandling av personuppgifter behöver ändras med anledning av dataskyddsförordningen. Den tillhörande förordningen (2006:358) om genetisk integritet m.m. innehåller inte några bestämmelser med anknytning till dataskyddsförordningen och kommer därför inte att beröras.
12.2.2. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 1 kap. 4 § lagen om gene-
tisk integritet m.m. ska innehålla en upplysning om att lagen kompletterar dataskyddsförordningen när det gäller behandling av personuppgifter.
Det ska också upplysas om att dataskyddslagen gäller, om inte annat följer av lagen om genetisk integritet m.m. eller föreskrifter som meddelats med stöd av den.
Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
12.2.3. Skyldigheten att föra journal och bevarande
Utredningens bedömning: Bestämmelserna om journalföring
och bevarande i 6 kap. 4 § tredje och fjärde meningarna och 7 kap. 6 § tredje stycket lagen om genetisk integritet m.m. kan och bör behållas.
I 6 kap. 4 § tredje och fjärde meningarna och 7 kap. 6 § tredje stycket anges att uppgifter om en givare av spermier eller ägg vid insemination respektive befruktning utanför kroppen ska antecknas i en särskild journal. Journalen ska bevaras i minst 70 år.
Som anges i avsnitt 10.1.12 är bestämmelserna i 3 kap. patientdatalagen (2008:355) om skyldigheten att föra patientjournal tillämpliga oavsett om patientjournalen förs automatiserat eller manuellt. I den del bestämmelserna tillämpas på helt eller delvis automatiserad behandling eller manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register omfattas behandlingen av dataskyddsförordningens reglering. Detsamma gäller för de nu berörda bestämmelserna.
Att som i de nu aktuella bestämmelserna i lagen om genetisk integritet m.m. specificera vilka uppgifter som ska behandlas i en patientjournal överensstämmer med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Principen innebär att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Med-
lemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen under förutsättning att den aktuella behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen eller därför att de avser en myndighets möjligheter till behandling av personuppgifter. Eftersom även privata aktörer kan medges tillstånd att utföra insemination och befruktning utanför kroppen8, måste det undersökas om behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen.
Patientdatalagen är enligt 1 kap. 1 § den lagen tillämplig vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Med hälso- och sjukvård avses enligt definitionen i 1 kap. 3 § patientdatalagen bl.a. verksamhet enligt lagen om genetisk integritet. Patientdatalagen gäller i vårdgivarens kärnverksamhet, dvs. då vårdgivaren tillhandahåller hälso- och sjukvård åt patienter, såsom åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos människor. I kärnverksamheten ingår även annan närliggande patientverksamhet som insemination, abort, sterilisering, omskärelse, transplantationsingrepp på givare och blodgivning m.m. Behandling av personuppgifter som sker vid forskning omfattas däremot inte av patientdatalagens tillämpningsområde, om det inte är fråga om en vårdgivares s.k. patientnära eller kliniska forskning som innefattar patientjournalföring eller annan dokumentation som hör till vården.9 Insemination och befruktning utanför kroppen utgör sådan närliggande patientverksamhet, vilket innebär att patientdatalagen är tillämplig på behandling av personuppgifter som sker i samband med den verksamheten. Den behandling av personuppgifter som sker vid journalföringen omfattas av de ändamål som anges i 2 kap. 4 § patientdatalagen. Som anges i avsnitt 10.1.7 sker behandlingen av personuppgifter enligt den lagen med stöd av de rättsliga grunderna i artikel 6.1 c eller e (rättslig förpliktelse eller arbetsuppgift av allmänt intresse) i dataskyddsförordningen.
8 Se 6 kap. 2 § och 7 kap. 4 § lagen om genetisk integritet m.m. 9Prop. 2007/08:126 s. 222.
Eftersom behandlingen sker med stöd av de rättsliga grunderna i artikel 6.1 c eller e i dataskyddsförordningen, är det tillåtet enligt artikel 6.2 och 6.3 i dataskyddsförordningen att även för enskildas behandling precisera vilka uppgifter som ska antecknas i journalen. Bestämmelserna utgör särregler i förhållande till patientdatalagen och gäller utöver de grundläggande bestämmelserna om journalföring i 3 kap. patientdatalagen.10 Överväganden kring vilka uppgifter som bör antecknas har gjorts vid tidigare lagstiftningsarbeten och utredningen utgår från att de uppgifter som anges i dessa bestämmelser behövs för de ändamål för vilka uppgifterna i patientjournalen behandlas.
Skyldigheten att anteckna uppgifter om givare innebär att känsliga personuppgifter som rör hälsa kan komma att behandlas. Utredningen har i avsnitt 10.1.10 gjort bedömningen att behandling av känsliga personuppgifter i den verksamhet som patientdatalagen omfattar kan ske med stöd av undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Samma bedömning görs beträffande de nu aktuella uppgifterna. Utredningen har i avsnitt 10.1.10 föreslagit att en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i patientdatalagen. Patientdatalagen är som framgått tillämplig även på den nu aktuella verksamheten. Någon sådan bestämmelse behöver därför inte tas in i lagen om genetisk integritet m.m. Innehållet i bestämmelserna om journalföring behöver därmed inte ändras.
Bestämmelser om gallring och bevarande kan, enligt den bedömning utredningen har gjort i avsnitt 9.17.2, behållas i registerförfattningar om den ursprungliga behandlingen grundar sig på en rättslig förpliktelse, en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Det innebär att även bestämmelserna om bevarande av journaler kan vara kvar.
12.2.4. Uppgiftsskyldigheter
Utredningens bedömning: Bestämmelserna som reglerar upp-
giftsskyldighet i lagen om genetisk integritet m.m. kan behållas.
I 6 kap. 6 § och 7 kap. 8 § lagen om genetisk integritet m.m. finns det bestämmelser om skyldighet att lämna vissa uppgifter till domstol, medan 6 kap. 5 § och 7 kap. 7 § reglerar den enskildes rätt att ta del av uppgifter som antecknats i den särskilda journalen.
Bestämmelser om uppgiftsskyldighet är, enligt den bedömning utredningen har gjort i avsnitt 9.21, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna om uppgiftsskyldighet påverkas alltså inte av dataskyddsförordningen. Vid fullgörandet av uppgiftsskyldigheten måste dock den personuppgiftsansvarige iaktta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
12.3. Lagen (2006:496) om blodsäkerhet och förordningen (2006:497) om blodsäkerhet
12.3.1. Inledning
I lagen om blodsäkerhet och den tillhörande förordningen om blodsäkerhet finns det bestämmelser om blodverksamhet vid blodcentraler. Syftet med lagen är att skydda människors hälsa när blod och blodkomponenter från människor hanteras för att användas vid transfusion eller tillverkning av läkemedel eller medicintekniska produkter. Lagstiftningen innehåller även vissa bestämmelser om behandling av personuppgifter, nämligen bestämmelser om förhållandet till personuppgiftslagen, vissa register som ska föras, rättelse, skadestånd och uppgiftsskyldighet. I detta avsnitt analyseras om de bestämmelser som berör behandling av personuppgifter behöver ändras med anledning av dataskyddsförordningen.
12.3.2. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 5 § lagen om blodsäker-
het ska innehålla en upplysning om att lagen kompletterar dataskyddsförordningen när det gäller behandling av personuppgifter.
Det ska också upplysas om att dataskyddslagen gäller, om inte annat följer av lagen om blodsäkerhet eller föreskrifter som meddelats med stöd av den.
Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
12.3.3. Register som förs av den som har tillstånd att bedriva blodverksamhet
Skyldighet att föra register
Utredningens bedömning: Bestämmelsen om skyldighet att föra
register i 16 § första stycket första och tredje meningarna lagen om blodsäkerhet kan behållas.
I 16 § första stycket lagen om blodsäkerhet anges att den som har tillstånd att bedriva blodverksamhet ska föra ett register med uppgifter om blodverksamheten, blodgivare, blodmottagare och gjorda kontroller av blod och blodkomponenter. Registret får enligt tredje meningen i samma stycke föras med hjälp av automatiserad behandling. Skyldigheten att ha ett system för spårbarhet följer av ett EU-direktiv.11
Dataskyddsförordningen påverkar inte möjligheten att föreskriva att någon ska föra ett visst register. Behandlingen av personuppgifter i registret måste dock vara förenlig med dataskyddsförordningens bestämmelser.
11 Se t.ex. artikel 13.1 i Europaparlamentets och rådets direktiv 2002/98/EG av den 27 januari 2003 om fastställande av kvalitets- och säkerhetsnormer för insamling, kontroll, framställning, förvaring och distribution av humanblod och blodkomponenter och om ändring av direktiv 2001/83/EG.
Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Bestämmelsen om ändamål i 16 §
första stycket andra meningen lagen om blodsäkerhet kan behållas.
Registret över blodverksamheten får enligt 16 § första stycket andra meningen lagen om blodsäkerhet endast ha till ändamål att göra det möjligt att spåra blod och blodkomponenter och att förhindra att smittat blod och blodkomponenter överförs till människor.
Skyldigheten att föra det aktuella registret är en rättslig förpliktelse. Ändamålen grundar sig på den rättsliga förpliktelsen att föra registret och har således stöd i artikel 6.1 c i dataskyddsförordningen. Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte, som utredningen konstaterat i avsnitt 9.10.1. Bestämmelserna uppfyller också, i enlighet med vad som anges i samma avsnitt, de krav på den rättsliga grunden som ställs i artikel 6.3 i dataskyddsförordningen och kan därmed behållas.
Finalitetsprincipen är inte tillämplig
I bestämmelsen anges att registret över blodverksamheten endast får användas för vissa angivna ändamål. Det innebär att finalitetsprincipen inte gäller. Det är alltså inte tillåtet att behandla personuppgifter i registret för andra ändamål än de som anges i bestämmelsen även om dessa andra ändamål inte är oförenliga med det ändamål för vilket uppgifterna har samlats in.
Finalitetsprincipen finns uttryckt i artikel 5.1 b i dataskyddsförordningen. Där framgår bl.a. att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in, vilket motsvarar vad som anges i artikel 6.1 b i dataskyddsdirektivet. Medlemsstaterna får, i enlighet med vad utredningen konstaterat i avsnitt 9.3, med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Det är också, som utredningen konstaterat i
avsnitt 9.2, tillåtet att begränsa myndigheters möjligheter till behandling och utöka deras skyldigheter. Begränsningen av tillåtna ändamål är därmed förenlig med dataskyddsförordningen och kan behållas.
Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelserna om registrets inne-
håll i 16 § andra stycket och 20 § lagen om blodsäkerhet, såvitt avser de register som förs av blodverksamheterna, samt 7 a § förordningen om blodsäkerhet kan och bör behållas.
Begränsning av vilka personuppgifter som får behandlas
I 16 § andra stycket lagen om blodsäkerhet anges de personuppgifter registret får innehålla. Registret får i fråga om personuppgifter endast innehålla uppgifter om blodgivarens identitet, blodgivarens uppgivna sjukdomshistoria, resultatet av gjorda kontroller av blodgivarens blod och blodkomponenter, samt blodmottagarens identitet. Regeringen, eller den myndighet regeringen bestämmer, får enligt 20 § lagen om blodsäkerhet meddela närmare föreskrifter om vilka uppgifter registret ska innehålla. Regeringen har enligt 7 a § förordningen om blodsäkerhet delegerat till Inspektionen för vård och omsorg respektive Läkemedelsverket att meddela närmare föreskrifter om registrets innehåll.
En precisering av vilka personuppgifter som får behandlas är förenlig med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Utredningen utgår från de överväganden kring vilka uppgifter som behöver behandlas i registren som har gjorts vid tidigare lagstiftningsarbeten. Medlemsstaterna tillåts som redan framgått att införa preciseringar i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de begränsar en myndighets möjligheter till behandling av personuppgifter. Bestämmelserna i 16 § andra stycket och 20 § lagen om blodsäkerhet, när det gäller de register som förs av blod-
verksamheterna, samt 7 a § förordningen om blodsäkerhet kan alltså behållas.
Känsliga personuppgifter
De personuppgifter som får behandlas i registret omfattar även uppgifter om hälsa. För att känsliga personuppgifter ska få behandlas i registret krävs det att behandlingen ryms inom något av undantagen i artikel 9.2 i dataskyddsförordningen. Vad som omfattas av hälso- och sjukvårdsundantaget i artikel 9.2 h i dataskyddsförordningen framgår av avsnitt 9.11.4.
Lagen om blodsäkerhet reglerar verksamheten vid blodcentralerna oavsett om blod och blodkomponenter hanteras för att användas vid blodtransfusion eller vid läkemedelstillverkning. Det register som avses i 16 § lagen om blodverksamhet ska föras oberoende av i vilket av dessa syften blodet hanteras. De flesta blodcentraler hanterar blod och blodkomponenter avsedda att användas såväl vid transfusion som vid läkemedelstillverkning.12 När blod hanteras i avsikt att använda det vid transfusion är verksamheten att betrakta som hälso- och sjukvård enligt hälso- och sjukvårdslagen (2017:30). Hantering av blod som ska användas vid läkemedelstillverkning har däremot inte primärt vård- eller behandlingssyfte och är därför inte att betrakta som hälso- och sjukvård enligt hälso- och sjukvårdslagen.13
Utredningen bedömer mot den bakgrunden att behandling av känsliga personuppgifter i de register som förs av blodcentralerna får anses omfattas av undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen när syftet med hanteringen av blodet är att det ska användas vid blodtransfusion. Enligt artikel 9.3 i dataskyddsförordningen krävs det också att uppgifterna behandlas av eller under ansvar av någon som omfattas av tystnadsplikt. Personalen vid blodverksamheterna omfattas av bestämmelser om tystnadsplikt i offentlighets- och sekretesslagen (2009:400), patient-
12Prop. 2005/06:141 s. 71. 13 I prop. 2005/06:141 s. 29–30 hänvisas till den tidigare gällande hälso- och sjukvårdslagen (1982:763). Eftersom definitionen av vad som utgör hälso- och sjukvård är densamma i den nu gällande hälso- och sjukvårdslagen är den bedömning som gjorts i förarbetena fortfarande aktuell.
säkerhetslagen (2010:659) och lagen om blodsäkerhet. I de fall blodverksamhet är att betrakta som hälso- och sjukvård är även bestämmelserna i patientdatalagen (2008:355) tillämpliga.14 Utredningen har i avsnitt 10.1.10 föreslagit att en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i patientdatalagen. Någon sådan bestämmelse behöver därför inte tas in i lagen om blodsäkerhet.
Det är inte lika självklart att den behandling av känsliga personuppgifter som sker i samband med att blod hanteras för att användas vid tillverkning av läkemedel omfattas av hälso- och sjukvårdsundantaget. Behandlingen har troligen tillåtits med stöd av artikel 8.4 i dataskyddsdirektivet, eftersom den behövs med hänsyn till ett viktigt allmänt intresse. Bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet är, i enlighet med vad utredningen konstaterat i avsnitt 9.11.3, förenliga med artikel 9.2 g i dataskyddsförordningen och kan och bör behållas. I artikel 9.2 i i dataskyddsförordningen har det dock, som anges i avsnitt 9.11.5, tillkommit ett nytt undantag från förbudet att behandla känsliga personuppgifter som avser folkhälsoområdet. Som framgår av avsnitt 9.11.5 är behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter exempel på skäl som motiverar behandling av känsliga personuppgifter med stöd av artikeln. Eftersom syftet med det EU-direktiv som genomförts genom lagen om blodsäkerhet är att skydda folkhälsan och hindra överföring av smittsamma sjukdomar, bedöms undantaget i artikel 9.2 i i dataskyddsförordningen mer relevant att tillämpa när det gäller behandling av känsliga personuppgifter som sker i samband med att blod hanteras för att användas vid tillverkning av läkemedel.
Personalen vid blodcentralerna omfattas som anges ovan redan av bestämmelser om tystnadsplikt i offentlighets- och sekretesslagen, patientsäkerhetslagen och lagen om blodsäkerhet. Den regleringen tillsammans med regleringen av registret i lagen om blod-
14 I prop. 2005/06:141 s. 51 anges att det är patientjournallagen och vårdregisterlagen som ska tillämpas parallellt med lagen om blodregister. Eftersom dessa lagar har ersatts av patientdatalagen är det numera den lagen som ska tillämpas.
säkerhet är enligt utredningens bedömning tillräcklig för att tillgodose kravet på skyddsåtgärder i artikel 9.2 i i dataskyddsförordningen. Registret förs på grundval av nationell lagstiftning vilket också är ett krav enligt den artikeln.
Som anges i avsnitt 9.11.6 har några nya kategorier av känsliga personuppgifter tillkommit i dataskyddsförordningen, nämligen genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Eftersom känsliga personuppgifter får behandlas under samma förutsättningar som andra personuppgifter inom den nu aktuella lagstiftningens tillämpningsområde, påverkar det inte regleringen att nya kategorier av personuppgifter kommer att vara att bedöma som känsliga enligt dataskyddsförordningen.
Sammanfattningsvis gör alltså utredningen den bedömningen att känsliga personuppgifter alltjämt kan och bör få behandlas i registret.
Bemyndigande
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på dessa områden och inte heller att föreskriftsrätten delegeras. Även bestämmelserna med bemyndiganden att meddela ytterligare föreskrifter kan därmed behållas.
Gallring och bevarande
Utredningens bedömning: Bestämmelsen om gallring i 16 §
tredje stycket lagen om blodsäkerhet kan behållas. Även delegationsbestämmelserna i 17 § lagen om blodsäkerhet samt 7 b § förordningen om blodsäkerhet kan behållas.
Bestämmelser om gallring och bevarande kan, enligt den bedömning utredningen har gjort i avsnitt 9.17.2, behållas i registerförfattningar om den ursprungliga behandlingen grundar sig på en rättslig förpliktelse, en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Detsamma gäller bemyndiganden att meddela föreskrifter om bevarande. Det innebär att bestämmelsen om gallring i 16 §
tredje stycket lagen om blodsäkerhet samt delegationsbestämmelserna i 17 § lagen om blodsäkerhet samt 7 b § förordningen om blodsäkerhet kan vara kvar.
Personuppgiftsansvar
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om personuppgiftsansvar i 16 § fjärde stycket lagen om blodsäkerhet.
Som framgått av avsnitt 9.7 behöver bestämmelser om personuppgiftsansvar i registerförfattningar inte ändras med anledning av dataskyddsförordningen. Utredningen gör samma bedömning när den gäller bestämmelsen om personuppgiftsansvar i lagen om blodsäkerhet. Bestämmelsen i 16 § fjärde stycket lagen om blodsäkerhet kan och bör därmed behållas.
12.3.4. Register som förs av Inspektionen för vård och omsorg
Skyldighet att föra register
Utredningens bedömning: Bestämmelserna om skyldighet att
föra register i 18 § första stycket första meningen lagen om blodsäkerhet kan behållas.
Inspektionen för vård och omsorg ska, enligt 18 § första stycket första meningen lagen om blodsäkerhet, med hjälp av automatiserad behandling, föra ett register över dem som har tillstånd att bedriva blodverksamhet. Skyldigheten att föra registret härrör från ett EU-direktiv.15
Dataskyddsförordningen påverkar inte möjligheten att föreskriva att någon ska föra ett visst register. Behandlingen av person-
15 Se artikel 13.2 i Europaparlamentets och rådets direktiv 2002/98/EG av den 27 januari 2003 om fastställande av kvalitets- och säkerhetsnormer för insamling, kontroll, framställning, förvaring och distribution av humanblod och blodkomponenter och om ändring av direktiv 2001/83/EG.
uppgifter i registret måste dock vara förenlig med dataskyddsförordningens bestämmelser.
Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Bestämmelserna om ändamål i 18 §
första stycket andra meningen och 18 § andra stycket lagen om blodsäkerhet kan behållas.
Registret som Inspektionen för vård och omsorg ska föra har enligt 18 § första stycket andra meningen lagen om blodsäkerhet till ändamål att ge offentlighet åt vem som har tillstånd, anmälningar om allvarliga avvikande händelser enligt 15 § lagen om blodsäkerhet, anmälningar om händelser som har medfört eller hade kunnat medföra allvarliga vårdskador enligt 3 kap. 5 § patientsäkerhetslagen (2010:659) i samband med blodtransfusion, och tidpunkterna för inspektion och kontroll enligt 12 § lagen om blodsäkerhet. Registret får enligt 18 § andra stycket lagen om blodsäkerhet också användas för tillsyn, forskning och framställning av statistik.
Inspektionen för vård och omsorg är skyldig att föra registret, vilket innebär att förandet av registret är en rättslig förpliktelse. De angivna ändamålen grundar sig på den rättsliga förpliktelsen att föra registret och har därmed stöd i artikel 6.1 c i dataskyddsförordningen. Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte, som utredningen konstaterat i avsnitt 9.10.1. Bestämmelserna uppfyller också, i enlighet med vad som anges i samma avsnitt, de krav på den rättsliga grunden som ställs i artikel 6.3 i dataskyddsförordningen. Bestämmelserna behöver därmed inte ändras med anledning av dataskyddsförordningen.
Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelserna om registrets inne-
håll i 18 § tredje stycket och 20 § lagen om blodsäkerhet, såvitt avser Inspektionen för vård och omsorgs register, samt 7 § förordningen om blodsäkerhet kan och bör behållas.
I registret får, enligt 18 § tredje stycket lagen om blodsäkerhet, personuppgifter inte registreras om andra än dem som har tillstånd att bedriva blodverksamhet och om verksamhetschefen. Regeringen får enligt 20 § lagen om blodsäkerhet meddela närmare föreskrifter om vilka uppgifter registret ska innehålla. Regeringen har i 7 § förordningen om blodsäkerhet föreskrivit att registret, utöver vad som anges i lagen, ska innehålla uppgifter om blodcentralens namn och adress, verksamhetschefens namn och adress, och ändamålet med verksamheten och dess omfattning.
Att på detta sätt precisera vilka personuppgifter som får behandlas stämmer överens med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Utredningen utgår från de överväganden om vilka uppgifter som behöver behandlas i registren som har gjorts vid tidigare lagstiftningsarbeten. Sådana preciseringar är, som redan framgått, tillåtna i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de begränsar en myndighets möjligheter till behandling av personuppgifter. Bestämmelserna i 18 § tredje stycket och 20 § lagen om blodsäkerhet, i fråga om det register som förs av Inspektionen för vård och omsorg, kan och bör därmed behållas. Även bestämmelsen i 7 § förordningen om blodsäkerhet bör vara kvar.
Eftersom det endast är personuppgifter om tillståndsinnehavaren och verksamhetschefen som får förekomma i registret och inte några uppgifter om de som lämnat eller fått blod, ska det inte finnas några känsliga personuppgifter i registret. Det behöver därför inte göras någon bedömning av om det är tillåtet att behandla känsliga personuppgifter i registret.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på dessa områden och inte heller att föreskriftsrätten delegeras.
Även bestämmelserna med bemyndiganden att meddela ytterligare föreskrifter kan därmed behållas.
Personuppgiftsansvar
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om personuppgiftsansvar i 18 § fjärde stycket lagen om blodsäkerhet.
Bestämmelser om personuppgiftsansvar i registerförfattningar behöver, som framgått av avsnitt 9.7, inte ändras med anledning av dataskyddsförordningen. Detsamma gäller enligt utredningens bedömning bestämmelsen om personuppgiftsansvar i lagen om blodsäkerhet. Bestämmelsen i 18 § fjärde stycket lagen om blodsäkerhet kan och bör därmed behållas.
Direktåtkomst
Utredningens bedömning: Bestämmelserna om direktåtkomst i
18 § femte stycket lagen om blodsäkerhet samt 8 a § och 8 b § andra stycket förordningen om blodsäkerhet kan behållas.
Regeringen får enligt 18 § femte stycket lagen om blodsäkerhet meddela föreskrifter om vilken myndighet som får ha direktåtkomst till uppgifterna i Inspektionen för vård och omsorgs register. Av 8 a § förordningen om blodsäkerhet framgår att Socialstyrelsen får medges direktåtkomst till uppgifterna i registret om uppgifterna behövs hos Socialstyrelsen för kunskapsutveckling, statistikframställning, uppföljning, utvärdering eller epidemiologiska studier. Vidare anges i 8 b § andra stycket att Socialstyrelsen har rätt att ta del av uppgifterna genom direktåtkomst. Det finns, som anges i avsnitt 9.16.2, inte några bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske i dataskyddsförordningen. Bestämmelserna om direktåtkomst kan, i enlighet med vad utredningen kommit fram till i det avsnittet, behållas.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Även bemyndigandet kan därmed vara kvar.
12.3.5. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 21 § lagen om blodsäker-
het som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.
Bestämmelsen i 21 § lagen om blodsäkerhet hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör, i enlighet med vad utredningen kommit fram till i avsnitt 9.15.1 och 9.19.1, upphävas.
12.3.6. Uppgiftsskyldighet
Utredningens bedömning: Bestämmelserna som reglerar upp-
giftsskyldighet i lagen och förordningen om blodsäkerhet kan behållas.
Bestämmelser om skyldighet att lämna ut uppgifter finns i 16 a och 18 a §§ lagen om blodsäkerhet. Regeringen får även meddela vissa föreskrifter om uppgiftsskyldighet enligt 19 § lagen om blodsäkerhet. Bestämmelser om uppgiftsskyldighet finns vidare i 8 § och 8 b § första stycket förordningen om blodsäkerhet. I lagen och förordningen finns det även andra bestämmelser om uppgifter som ska lämnas.
Bestämmelser om uppgiftsskyldighet är, enligt den bedömning utredningen har gjort i avsnitt 9.21, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna om uppgiftsskyldighet påverkas alltså inte av dataskyddsförordningen. Vid fullgörandet av uppgiftsskyldigheten måste dock den personuppgiftsansvarige iaktta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
12.4 Lagen ( 2008:286 ) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler och förordningen ( 2008:414 ) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler
12.4.1. Inledning
Lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler och den tillhörande förordningen innehåller bestämmelser om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler avsedda för användning på människor eller för tillverkning av läkemedel avsedda för användning på människor. Lagstiftningen innehåller även vissa bestämmelser om behandling av personuppgifter, nämligen bestämmelser om förhållandet till personuppgiftslagen, vissa register som ska föras, rättelse, skadestånd och uppgiftsskyldighet. I detta avsnitt analyseras om de bestämmelser som berör behandling av personuppgifter behöver ändras med anledning av dataskyddsförordningen.
12.4.2. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 8 § lagen om kvalitets-
och säkerhetsnormer vid hantering av mänskliga vävnader och celler ska innehålla en upplysning om att lagen kompletterar dataskyddsförordningen när det gäller behandling av personuppgifter.
Det ska också upplysas om att dataskyddslagen gäller, om inte annat följer av lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler eller föreskrifter som meddelats med stöd av den.
Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
12.4.3. Register som förs av vävnadsinrättning
Skyldighet att föra register
Utredningens bedömning: Bestämmelserna om skyldighet att
föra register i 21 § första stycket och 21 § andra stycket andra meningen lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan behållas.
I 21 § första stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler anges att den som har tillstånd att bedriva en vävnadsinrättning ska föra ett register med uppgifter om sin verksamhet, givare och mottagare av mänskliga vävnader och celler och kontroller som utförts av mänskliga vävnader och celler. Registret får enligt 21 § andra stycket andra meningen lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler föras med hjälp av automatiserad behandling. Skyldigheten att föra registret följer av ett EU-direktiv.16
Dataskyddsförordningen påverkar inte möjligheten att ålägga någon att föra ett visst register. Behandlingen av personuppgifter i registret måste dock vara förenlig med dataskyddsförordningens bestämmelser.
Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Bestämmelserna om ändamål i 21 §
andra stycket första meningen lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan behållas.
Registret som ska föras av vävnadsinrättningen får enligt 21 § andra stycket första meningen lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler endast ha till ända-
16 Se artikel 10.1 i Europaparlamentets och rådets direktiv 2004/23/EG av den 31 mars 2004 om fastställande av kvalitets- och säkerhetsnormer för donation, tillvaratagande, kontroll, bearbetning, konservering, förvaring och distribution av mänskliga vävnader och celler.
mål att säkerställa spårbarhet av mänskliga vävnader och celler för att förhindra överföring av sjukdomar.
Skyldigheten att föra det aktuella registret innebär en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen. Ändamålen grundar sig på den rättsliga förpliktelsen att föra registret och har således stöd i artikel 6.1 c i dataskyddsförordningen. Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte, som utredningen konstaterat i avsnitt 9.10.1. Bestämmelserna uppfyller också, i enlighet med vad som anges i samma avsnitt, de krav på den rättsliga grunden som ställs i artikel 6.3 i dataskyddsförordningen och kan därmed behållas.
Finalitetsprincipen är inte tillämplig
I bestämmelsen anges att registret som ska föras av vävnadsinrättningen endast får användas för vissa angivna ändamål. Det innebär att finalitetsprincipen inte gäller. Det är alltså inte tillåtet att behandla personuppgifter i registret för andra ändamål än de som anges i bestämmelsen även om dessa andra ändamål inte är oförenliga med det ändamål för vilket uppgifterna har samlats in.
Finalitetsprincipen finns uttryckt i artikel 5.1 b i dataskyddsförordningen. Där framgår bl.a. att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in, vilket motsvarar vad som anges i artikel 6.1 b i dataskyddsdirektivet. Medlemsstaterna får, i enlighet med vad utredningen konstaterat i avsnitt 9.3, med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Det är också, som utredningen konstaterat i avsnitt 9.2, tillåtet att begränsa myndigheters möjligheter till behandling och utöka deras skyldigheter. Begränsningen av tillåtna ändamål är därmed förenlig med dataskyddsförordningen och kan behållas.
Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelserna om registrets inne-
håll i 21 § tredje stycket och 25 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler, såvitt avser vävnadsinrättningarnas register, samt 7 § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan och bör behållas.
Begränsning av vilka personuppgifter som får behandlas
I 21 § tredje stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler anges vilka personuppgifter registret får innehålla. Registret får endast innehålla uppgifter om givarens identitet, givarens uppgivna sjukdomshistoria, resultatet av undersökningar på givaren och av kontroller av de mänskliga vävnaderna och cellerna och mottagarens identitet. Regeringen, eller den myndighet regeringen bestämmer, får enligt 25 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler meddela närmare föreskrifter om vilka uppgifter registret ska innehålla. Regeringen har enligt 7 § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler bemyndigat Socialstyrelsen respektive Läkemedelsverket att meddela närmare föreskrifter om registrets innehåll.
En precisering av vilka personuppgifter som får behandlas är förenlig med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Utredningen utgår från de överväganden kring vilka uppgifter som behöver behandlas i registren som har gjorts vid tidigare lagstiftningsarbeten. Medlemsstaterna tillåts som redan framgått att införa sådana preciseringar i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de begränsar en myndighets möjligheter till behandling av personuppgifter. Bestämmelsen i 21 § tredje stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan och bör därmed behållas. Detsamma gäller bestämmelsen i 25 § lagen om kvalitets- och säkerhetsnormer vid
hantering av mänskliga vävnader och celler i fråga om det register som vävnadsinrättningarna ska föra. Även bestämmelsen i 7 § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan och bör behållas.
Känsliga personuppgifter
De personuppgifter som får behandlas i registret omfattar även uppgifter om hälsa. För att känsliga personuppgifter ska få behandlas i registret krävs det att förandet av registret omfattas av något av undantagen i artikel 9.2 i dataskyddsförordningen. Utredningen har i avsnitt 9.11.4 redogjort för vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter vid hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen.
Lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler reglerar verksamheten vid vävnadsinrättningar oavsett om hanteringen av vävnader och celler sker för att användas på människor eller vid läkemedelstillverkning. Skyldigheten att föra register enligt 21 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler gäller oberoende av i vilket av dessa syften vävnader och celler hanteras. Hantering av mänskliga vävnader och celler som är avsedda för användning på människor får anses ha till syfte att medicinskt förebygga, utreda och behandla sjukdomar och skador och bör därför betraktas som hälso- och sjukvård i hälso- och sjukvårdslagens (2017:30) mening.17 Hantering av vävnader och celler som ska användas vid läkemedelstillverkning är däremot inte, i likhet med vad som anges i avsnitt 12.3.3, att betrakta som hälso- och sjukvård enligt hälso- och sjukvårdslagen.
Utredningen bedömer mot den bakgrunden att behandling av känsliga personuppgifter i registret ryms inom undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen när syftet med hanteringen av vävnaderna och cellerna är att de ska användas på människor. Enligt artikel 9.3 i dataskyddsförordningen
17 I prop. 2007/08:96 s. 42 hänvisas till den tidigare gällande hälso- och sjukvårdslagen (1982:763). Eftersom definitionen av vad som utgör hälso- och sjukvård är densamma i den nu gällande hälso- och sjukvårdslagen är den bedömning som gjorts i förarbetena fortfarande aktuell.
krävs det att uppgifterna behandlas av eller under ansvar av någon som omfattas av tystnadsplikt. Personalen vid vävnadsinrättningarna omfattas av tystnadsplikt enligt bestämmelser i offentlighets- och sekretesslagen (2009:400), patientsäkerhetslagen (2010:659) och lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler. I de fall verksamheten vid vävnadsinrättningen är att betrakta som hälso- och sjukvård är även bestämmelserna i patientdatalagen (2008:355) tillämpliga.18 Utredningen har i avsnitt 10.1.10 föreslagit att en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i patientdatalagen. Någon sådan bestämmelse behöver därför inte tas in i lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler.
När känsliga personuppgifter behandlas i samband med att vävnader och celler hanteras för att användas vid tillverkning av läkemedel är det inte lika givet att behandlingen omfattas av hälso- och sjukvårdsundantaget. Behandlingen har troligen tillåtits med stöd av artikel 8.4 i dataskyddsdirektivet, eftersom den behövs med hänsyn till ett viktigt allmänt intresse. Bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet är, i enlighet med vad utredningen konstaterat i avsnitt 9.11.3, förenliga med artikel 9.2 g i dataskyddsförordningen och kan och bör behållas. I artikel 9.2 i i dataskyddsförordningen har det dock, som anges i avsnitt 9.11.5, tillkommit ett nytt undantag från förbudet att behandla känsliga personuppgifter som avser folkhälsoområdet. Exempel på skäl som motiverar behandling av känsliga personuppgifter med stöd av artikeln är behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter. Eftersom syftet med det EU-direktiv som genomförts genom lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler är att skydda folkhälsan och förhindra att infektionssjukdomar överförs, bedöms undantaget i artikel 9.2 i i dataskyddsförordningen mer relevant att tillämpa när det
18 I prop. 2007/08:96 s. 68 anges att det är patientjournallagen och vårdregisterlagen som ska tillämpas parallellt med lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler. Eftersom dessa lagar har ersatts av patientdatalagen, är det numera den lagen som ska tillämpas.
gäller behandling av känsliga personuppgifter i samband med att vävnader och celler hanteras för att användas vid tillverkning av läkemedel.
Personalen vid vävnadsinrättningarna omfattas som anges ovan redan av bestämmelser om tystnadsplikt i offentlighets- och sekretesslagen, patientsäkerhetslagen och lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler. Den regleringen tillsammans med regleringen av registret i lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler är enligt utredningens bedömning tillräcklig för att tillgodose kravet på skyddsåtgärder i artikel 9.2 i i dataskyddsförordningen. Registret förs på grundval av nationell lagstiftning vilket också är ett krav enligt den artikeln.
Som anges i avsnitt 9.11.6 har några nya kategorier av känsliga personuppgifter tillkommit i dataskyddsförordningen, nämligen genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Eftersom känsliga personuppgifter inom den nu aktuella lagens tillämpningsområde får behandlas under samma förutsättningar som andra personuppgifter, påverkar det inte regleringen att nya kategorier av personuppgifter kommer att vara att bedöma som känsliga enligt dataskyddsförordningen.
Sammanfattningsvis gör alltså utredningen den bedömningen att känsliga personuppgifter alltjämt kan och bör få behandlas i registret.
Bemyndigande
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på dessa områden och inte heller att föreskriftsrätten delegeras. Även bestämmelserna med bemyndiganden att meddela ytterligare föreskrifter kan därmed behållas.
Gallring
Utredningens bedömning: Bestämmelsen om gallring i 21 §
fjärde stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler är förenlig med dataskyddsförordningen och kan behållas. Detsamma gäller delegationsbestämmelserna i 22 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler samt 8 § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler.
Bestämmelser om gallring och bevarande kan, enligt den bedömning utredningen har gjort i avsnitt 9.17.2, behållas i registerförfattningar om den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Detsamma gäller bemyndiganden att meddela föreskrifter om bevarande. Det innebär att bestämmelsen om gallring i 21 § fjärde stycket samt delegationsbestämmelserna i 22 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan behållas. Även delegationsbestämmelserna i 8 § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan vara kvar.
Personuppgiftsansvar
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om personuppgiftsansvar i 21 § femte stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler.
Som framgått av avsnitt 9.7 behöver bestämmelser om personuppgiftsansvar i registerförfattningar inte ändras med anledning av dataskyddsförordningen. Detsamma gäller enligt utredningens bedömning bestämmelsen om personuppgiftsansvar i lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler. Bestämmelsen i 21 § femte stycket lagen om kvalitets-
och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan och bör därför behållas.
12.4.4. Register som förs av Inspektionen för vård och omsorg
Skyldighet att föra register
Utredningens bedömning: Bestämmelserna om skyldighet att
föra register i 23 § första stycket första meningen lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan behållas.
Inspektionen för vård och omsorg ska, enligt 23 § första stycket första meningen lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler, med hjälp av automatiserad behandling föra ett register över dem som har tillstånd att bedriva en vävnadsinrättning. Skyldigheten att föra registret följer av ett EU-direktiv.19
Dataskyddsförordningen påverkar inte möjligheten att föreskriva att någon ska föra ett visst register. Behandlingen av personuppgifter i registret måste dock vara förenlig med dataskyddsförordningens bestämmelser.
Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Bestämmelserna om ändamål i 23 §
första stycket andra meningen och 23 § andra stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan behållas.
Registret har enligt 23 § första stycket andra meningen lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler till ändamål att ge offentlighet åt vilka vävnadsinrätt-
19 Se artikel 10.2 i Europaparlamentets och rådets direktiv 2004/23/EG av den 31 mars 2004 om fastställande av kvalitets- och säkerhetsnormer för donation, tillvaratagande, kontroll, bearbetning, konservering, förvaring och distribution av mänskliga vävnader och celler.
ningar som har tillstånd och för vilken verksamhet dessa har beviljats tillstånd. Registret får enligt 23 § andra stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler också användas för tillsyn, forskning och statistik.
Att Inspektionen för vård och omsorg är skyldig att föra registret innebär att det är en rättslig förpliktelse. De angivna ändamålen grundar sig på den rättsliga förpliktelsen att föra registret och har därmed stöd i artikel 6.1 c i dataskyddsförordningen. Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte, som utredningen konstaterat i avsnitt 9.10.1. Bestämmelserna uppfyller också, i enlighet med vad som anges i samma avsnitt, de krav på den rättsliga grunden som ställs i artikel 6.3 i dataskyddsförordningen. Bestämmelserna behöver därmed inte ändras med anledning av dataskyddsförordningen.
Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelserna om registrets inne-
håll i 23 § tredje stycket och 25 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler, såvitt avser Inspektionen för vård och omsorgs register, samt 9 § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan och bör behållas.
Registret får, enligt 23 § tredje stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler, i fråga om personuppgifter endast innehålla uppgifter om den som har tillstånd att bedriva en vävnadsinrättning och om verksamhetschefen. Regeringen får enligt 25 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler meddela närmare föreskrifter om vilka uppgifter registret ska innehålla. I 9 § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler föreskrivs att registret ska innehålla uppgifter om vävnadsinrättningens namn och adress, verksamhetschefens namn och adress, ändamålet med verksamheten och dess omfattning samt den verksamhet eller de verksamheter som vävnadsinrättningen ska innefatta.
Att begränsa vilka personuppgifter som får behandlas är förenligt med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Utredningen utgår från de överväganden kring vilka uppgifter som behöver behandlas i registren som har gjorts vid tidigare lagstiftningsarbeten. Sådana preciseringar är, som redan framgått, tillåtna i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de begränsar en myndighets möjligheter till behandling av personuppgifter. Bestämmelserna i 23 § tredje stycket kan och bör därmed behållas. Detsamma gäller bestämmelsen i 9 § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler.
Eftersom det endast är personuppgifter om tillståndsinnehavaren och verksamhetschefen som får förekomma i registret och inte några uppgifter om de som lämnat eller fått vävnader eller celler, synes några känsliga personuppgifter inte behandlas där. Någon bedömning av om det är tillåtet att behandla känsliga personuppgifter i registret behöver därför inte göras.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på dessa områden och inte heller att föreskriftsrätten delegeras. Även bestämmelsen med bemyndigande att meddela ytterligare föreskrifter i fråga om det register som förs av Inspektionen för vård och omsorg i 25 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler, kan därmed behållas.
Personuppgiftsansvar
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om personuppgiftsansvar i 23 § fjärde stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler.
Bestämmelser om personuppgiftsansvar i registerförfattningar behöver, som framgått av avsnitt 9.7, inte ändras med anledning av dataskyddsförordningen. Detsamma gäller enligt utredningens bedömning bestämmelsen i lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler. Bestämmelsen i
23 § fjärde stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan och bör därmed behållas.
Direktåtkomst
Utredningens bedömning: Bestämmelserna om direktåtkomst i
24 § andra stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler och 10 § andra stycket förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan behållas.
Regeringen eller den myndighet regeringen bestämmer får enligt 24 § andra stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler meddela föreskrifter om vilka myndigheter som får ha direktåtkomst till uppgifterna i Inspektionen för vård och omsorgs register. I 10 § andra stycket förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler föreskrivs att Läkemedelsverket och Socialstyrelsen får ha direktåtkomst till registret.
Det finns, som anges i avsnitt 9.16.2, inte några bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske i dataskyddsförordningen. Bestämmelserna om direktåtkomst kan, i enlighet med vad utredningen kommit fram till i det avsnittet, behållas.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på dessa områden och inte heller att föreskriftsrätten delegeras. Även bestämmelserna med bemyndiganden att meddela föreskrifter kan därmed behållas.
12.4.5. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 26 § lagen om kvalitets-
och säkerhetsnormer vid hantering av mänskliga vävnader och celler som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.
Bestämmelsen i 26 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör, i enlighet med vad utredningen kommit fram till i avsnitt 9.15.1 och 9.19.1, upphävas.
12.4.6. Uppgiftsskyldigheter
Utredningens bedömning: Bestämmelserna som reglerar upp-
giftsskyldighet i lagen och förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler kan behållas.
Bestämmelser om skyldighet att lämna ut uppgifter finns i 21 a § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler. Regeringen får även meddela vissa föreskrifter om uppgiftsskyldighet enligt 24 § första stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler. Med stöd av den föreskriftsrätten har regeringen meddelat en bestämmelse om uppgiftsskyldighet i 10 § första stycket och 10 a § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler. I lagen och förordningen finns det även andra bestämmelser om uppgifter och information som ska lämnas.
Bestämmelser om uppgiftsskyldighet är, enligt den bedömning utredningen har gjort i avsnitt 9.21, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna om uppgiftsskyldighet påverkas alltså inte av dataskyddsförordningen. Vid fullgörandet av uppgiftsskyldigheten måste dock den personuppgiftsansvarige iaktta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på dessa områden och inte heller att föreskriftsrätten delegeras. Även bestämmelserna med bemyndiganden att meddela ytterligare föreskrifter kan därmed behållas.
12.5. Lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ och förordningen (2012:346) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ
12.5.1. Inledning
Lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ och den tillhörande förordningen innehåller bestämmelser om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ avsedda för transplantation till människokroppen. Lagstiftningen innehåller även vissa bestämmelser om behandling av personuppgifter, nämligen bestämmelser om förhållandet till personuppgiftslagen, register som ska föras av Inspektionen för vård och omsorg, rättelse, skadestånd och uppgiftsskyldighet. I detta avsnitt analyseras om de bestämmelser som berör behandling av personuppgifter behöver ändras med anledning av dataskyddsförordningen.
12.5.2. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Bestämmelsen i 4 § lagen om kvalitets-
och säkerhetsnormer vid hantering av mänskliga organ ska innehålla en upplysning om att lagen kompletterar dataskyddsförordningen när det gäller behandling av personuppgifter.
Det ska också upplysas om att dataskyddslagen gäller, om inte annat följer av lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller föreskrifter som meddelats med stöd av den.
Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av utredningens överväganden i avsnitt 9.6.
12.5.3. Register
Skyldighet att föra register
Utredningens bedömning: Bestämmelsen om skyldighet att föra
register i 7 § första stycket första meningen lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ kan behållas.
Inspektionen för vård och omsorg ska, enligt 7 § första stycket första meningen lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ, med hjälp av automatiserad behandling föra ett register över verksamheten hos vårdgivare som tillvaratar eller transplanterar organ. Skyldigheten att föra ett sådant register följer av ett EU-direktiv.20
Dataskyddsförordningen påverkar inte möjligheten att föreskriva att någon ska föra ett visst register. Behandlingen av personuppgifter i registret måste dock vara förenlig med dataskyddsförordningens bestämmelser.
Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Bestämmelserna om ändamål i 7 §
första stycket andra meningen och 7 § andra stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ kan behållas.
Registret som förs av Inspektionen för vård och omsorg har enligt 7 § första stycket andra meningen lagen om kvalitets- och säkerhetsnormer till ändamål att ge offentlighet åt verksamhet som innefattar tillvaratagande och transplantation av organ. Registret får enligt 7 § andra stycket också användas för tillsyn, i forskning och för framställning av statistik.
Skyldigheten enligt lagen att föra registret är en rättslig förpliktelse. Ändamålsbestämmelserna grundar sig på den rättsliga för-
20 Se artikel 18.1 a i Europaparlamentets och rådets direktiv 2010/53/EU av den 7 juli 2010 om kvalitets- och säkerhetsnormer för mänskliga organ avsedda för transplantation.
pliktelsen att föra registret och har därmed stöd i artikel 6.1 c i dataskyddsförordningen. Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte, som utredningen konstaterat i avsnitt 9.10.1. Bestämmelserna uppfyller också, i enlighet med vad som anges i samma avsnitt, de krav på den rättsliga grunden som ställs i artikel 6.3 i dataskyddsförordningen. Bestämmelserna behöver därmed inte ändras med anledning av dataskyddsförordningen.
Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelserna om registrets inne-
håll i 7 § tredje stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ och 11 § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ kan och bör behållas.
Enligt 7 § tredje stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ får registret i fråga om personuppgifter endast innehålla uppgifter om vårdgivaren och verksamhetschefen. Registret ska enligt 11 § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ innehålla uppgifter om vårdgivarens namn och adress, verksamhetschefens namn och adress, verksamheten och dess omfattning och kontaktuppgifter till verksamheten.
Att på detta sätt begränsa vilka personuppgifter som får behandlas stämmer överens med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Utredningen utgår från de överväganden kring vilka uppgifter som behöver behandlas i registren som har gjorts vid tidigare lagstiftningsarbeten. Preciseringar av vilka personuppgifter som får behandlas är, som redan framgått, tillåtna i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de begränsar en myndighets möjligheter till behandling av personuppgifter. Bestämmelserna i 7 § tredje stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ och 11 § förordningen om kvali-
tets- och säkerhetsnormer vid hantering av mänskliga organ kan och bör alltså behållas.
Eftersom det endast är personuppgifter om vårdgivaren och verksamhetschefen som får förekomma i registret och inte några uppgifter om patienter, ska känsliga personuppgifter inte förekomma i registret. Det behöver därför inte göras någon bedömning av om det är tillåtet att behandla känsliga personuppgifter i registret.
Personuppgiftsansvar
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om personuppgiftsansvar i 7 § fjärde stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ.
Bestämmelser om personuppgiftsansvar i registerförfattningar behöver, som framgått av avsnitt 9.7, inte ändras med anledning av dataskyddsförordningen. Utredningen gör samma bedömning när det gäller bestämmelsen i lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ. Bestämmelsen i 7 § fjärde stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ kan och bör därmed behållas.
Direktåtkomst
Utredningens bedömning: Bestämmelserna om direktåtkomst i
7 § femte stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ och 12 § och 13 § andra stycket förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ kan behållas.
I 7 § femte stycket lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ anges att regeringen får meddela föreskrifter om vilken myndighet som får ha direktåtkomst till uppgifterna i Inspektionen för vård och omsorgs register. Av 12 § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ framgår att Socialstyrelsen får ha direktåtkomst
till registret för vissa ändamål. Socialstyrelsen har vidare enligt 13 § andra stycket förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ rätt att ta del av uppgifterna i registret genom direktåtkomst.
Det finns, som anges i avsnitt 9.16.2, inte några bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske i dataskyddsförordningen. Bestämmelserna om direktåtkomst kan, i enlighet med vad utredningen kommit fram till i det avsnittet, behållas.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Bemyndigandet för regeringen att meddela föreskrifter behöver således inte ändras.
12.5.4. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 8 § lagen om kvalitets-
och säkerhetsnormer vid hantering av mänskliga organ som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.
Bestämmelsen i 8 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd bör, i enlighet med vad utredningen kommit fram till i avsnitt 9.15.1 och 9.19.1, upphävas.
12.5.5. Uppgiftsskyldigheter
Utredningens bedömning: Bestämmelserna som reglerar upp-
giftsskyldighet i lagen och förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ kan behållas.
En bestämmelse om uppgiftsskyldighet finns bl.a. i 13 § första stycket förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ. Av 9 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ framgår att regeringen
eller den myndighet regeringen bestämmer får meddela föreskrifter om skyldighet för vårdgivare att lämna uppgifter till Inspektionen för vård och omsorg. Föreskriftsrätten har i 10 § förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ delegerats till Inspektionen för vård och omsorg.
Bestämmelser om uppgiftsskyldighet är, enligt den bedömning utredningen har gjort i avsnitt 9.21, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna om uppgiftsskyldighet påverkas således inte av dataskyddsförordningen. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Bemyndigandet för regeringen att meddela föreskrifter behöver därmed inte ändras.
12.6. Patientsäkerhetslagen (2010:659) och patientsäkerhetsförordningen (2010:1369)
12.6.1. Inledning
Regleringen i patientsäkerhetslagen och patientsäkerhetsförordningen har till syfte att främja patientsäkerheten och innehåller t.ex. bestämmelser om anmälan av verksamhet, skyldighet att bedriva ett systematiskt patientsäkerhetsarbete och skyldigheter för hälso- och sjukvårdspersonal. Lagstiftningen innehåller även vissa bestämmelser om behandling av personuppgifter, nämligen bestämmelser om register som ska föras av Inspektionen för vård och omsorg samt uppgiftsskyldighet. I detta avsnitt analyseras om de bestämmelser som berör behandling av personuppgifter behöver ändras med anledning av dataskyddsförordningen.
12.6.2. Register
Skyldighet att föra register
Utredningens bedömning: Bestämmelserna om skyldighet att
föra register i 2 kap. 4 § första stycket första meningen och 2 kap. 4 § andra stycket första meningen patientsäkerhetslagen kan behållas.
I 2 kap. 4 § första stycket första meningen patientsäkerhetslagen anges att Inspektionen för vård och omsorg ska föra ett automatiserat register över verksamheter som anmälts enligt 2 kap. patientsäkerhetslagen. Det som avses är alltså sådan verksamhet som omfattas av Inspektionen för vård och omsorgs tillsyn, dvs. hälso- och sjukvården och verksamhet som utförs av den som tar emot vissa uppdrag från hälso- och sjukvården.21 Inspektionen för vård och omsorg ska vidare enligt 2 kap. 4 § andra stycket första meningen föra ett automatiserat register över sjukvårdsinrättningar och enheter som ger vård enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård samt enheter för rättspsykiatrisk undersökning.
Dataskyddsförordningen påverkar inte möjligheten att ålägga någon att föra ett visst register. Behandlingen av personuppgifter i registret måste dock vara förenlig med dataskyddsförordningens bestämmelser.
Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Bestämmelserna om ändamål i 2 kap.
4 § första stycket andra meningen och 2 kap. 4 § andra stycket andra meningen patientsäkerhetslagen kan behållas.
Registren som Inspektionen för vård och omsorg ska föra får enligt 2 kap. 4 § första stycket andra meningen och 2 kap. 4 § andra stycket andra meningen användas för tillsyn och forskning samt för fram-
21 Se 7 kap.1 och 2 §§patientsäkerhetslagen.
ställning av statistik. Registret över sjukvårdsinrättningar och enheter får även användas för placering av patienter.
Utredningen har i avsnitt 10.1.1 konstaterat att dataskyddsförordningen inte är tillämplig på viss behandling av personuppgifter som avser patienter som dömts till rättspsykiatrisk vård. Sådan behandling omfattas i stället av det nya dataskyddsdirektivet. När det register som förs av Inspektionen för vård och omsorg används för placering av patienter som har dömts till rättspsykiatrisk vård, sker behandlingen dock inte direkt i syfte att verkställa en straffrättslig påföljd. Sådan behandling får i stället anses ha ett mer administrativt syfte varför utredningen bedömer att dataskyddsförordningen är tillämplig på all behandling som sker i registret.
Skyldigheten att föra de aktuella registren innebär en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen. Ändamålen grundar sig på den rättsliga förpliktelsen att föra registret och har således stöd i artikel 6.1 c i dataskyddsförordningen. Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte, som utredningen konstaterat i avsnitt 9.10.1. Bestämmelserna uppfyller, i enlighet med vad som anges i samma avsnitt, de krav på den rättsliga grunden som ställs i artikel 6.3 i dataskyddsförordningen. Bestämmelserna kan alltså behållas.
Personuppgiftsansvar
Utredningens bedömning: Dataskyddsförordningen föranleder
inte någon ändring av bestämmelsen om personuppgiftsansvar i 2 kap. 4 § tredje stycket patientsäkerhetslagen.
Som framgått av avsnitt 9.7 behöver bestämmelser om personuppgiftsansvar i registerförfattningar inte ändras med anledning av dataskyddsförordningen. Detsamma gäller enligt utredningens bedömning bestämmelsen i patientsäkerhetslagen. Bestämmelsen 2 kap. 4 § tredje stycket patientsäkerhetslagen kan och bör därför behållas.
Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelserna i 2 kap. 5 § 1 patient-
säkerhetslagen och 2 kap. 3 § patientsäkerhetsförordningen om registrets innehåll kan och bör behållas.
Regeringen får enligt 2 kap. 5 § 1 patientsäkerhetslagen meddela föreskrifter om begränsningar av de uppgifter som registren får innehålla. Av 2 kap. 3 § patientsäkerhetsförordningen följer att registren får innehålla uppgifter om namn eller firma och personnummer eller organisationsnummer för den som bedriver verksamheten, var verksamheten bedrivs, verksamhetens inriktning, verksamhetens omfattning, antalet yrkesutövare och deras yrkestitlar, verksamhetschefens namn, adress och telefonnummer, den patientförsäkring som tecknats för verksamheten, datum för inspektion av verksamheten, datum för Inspektionen för vård och omsorgs beslut i fråga om verksamheten, och datum för anmälan om händelser som har medfört eller skulle kunna medföra en allvarlig vårdskada och annan allvarlig skada till följd av säkerhetsbrister. Registret över sjukvårdsinrättningar och enheter får även innehålla uppgifter om chefsöverläkarens och den säkerhetsansvariges namn, adress och telefonnummer samt säkerhetsanpassning och säkerhetsklassificering. Registren får inte innehålla uppgifter om enskilda patienter.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Bemyndigandet för regeringen att meddela föreskrifter kan därför vara kvar.
Preciseringen av vilka personuppgifter som får behandlas är förenlig med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Utredningen utgår från de överväganden om vilka uppgifter som behöver behandlas i registren som har gjorts vid tidigare lagstiftningsarbeten. Som anges i avsnitt 9.13 kan och bör bestämmelser om behandling av personnummer behållas. Medlemsstaterna tillåts som redan framgått att införa preciseringar i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen eller för att begränsa en myndighets möjligheter till behandling av personuppgifter. Bestämmelserna i 2 kap.
5 § 1 patientsäkerhetslagen och 2 kap. 3 § patientsäkerhetsförordningen kan därmed behållas.
Eftersom uppgifter om enskilda patienter inte får förekomma i registren, synes några känsliga personuppgifter inte behandlas där. Någon bedömning av om det är tillåtet att behandla känsliga personuppgifter behöver därför inte göras.
Gallring
Utredningens bedömning: Bestämmelserna om gallring i 2 kap.
5 § 2 patientsäkerhetslagen och 2 kap. 4 § patientsäkerhetsförordningen kan behållas.
Av 2 kap. 5 § 2 patientsäkerhetslagen framgår att regeringen får meddela föreskrifter om gallring av uppgifter i registren. Gallringsfrister har föreskrivits i 2 kap. 4 § patientsäkerhetsförordningen.
Bestämmelser om gallring och bevarande kan, enligt utredningens bedömning i avsnitt 9.17.2, behållas i registerförfattningar om den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Detsamma gäller bemyndiganden att meddela föreskrifter om bevarande. Det innebär att även bestämmelserna i 2 kap. 5 § 2 patientsäkerhetslagen och 2 kap. 4 § patientsäkerhetsförordningen kan vara kvar.
Direktåtkomst
Utredningens bedömning: Bestämmelserna om direktåtkomst i
2 kap. 4 § fjärde stycket patientsäkerhetslagen och 8 kap.7 och 9 §§patientsäkerhetsförordningen kan behållas.
Enligt 2 kap. 4 § fjärde stycket patientsäkerhetslagen får regeringen meddela föreskrifter om vilken myndighet som får ha direktåtkomst till uppgifterna i registren. Av 8 kap. 7 § patientsäkerhetsförordningen framgår att Socialstyrelsen får ha direktåtkomst till registren för vissa ändamål. Socialstyrelsen har vidare enligt 8 kap. 9 § patient-
säkerhetsförordningen rätt att ta del av uppgifterna i registren genom direktåtkomst.
Bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske finns, som anges i avsnitt 9.16.2, inte i dataskyddsförordningen. I enlighet med vad utredningen anger i det avsnittet behöver inte bestämmelserna om direktåtkomst ändras med anledning av dataskyddsförordningen.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Bemyndigandet behöver därmed inte heller ändras.
12.6.3. Uppgiftsskyldigheter
Utredningens bedömning: Bestämmelserna som reglerar upp-
giftsskyldighet i patientsäkerhetslagen och patientsäkerhetsförordningen kan behållas.
Bestämmelser om skyldighet att lämna ut uppgifter finns i 6 kap. 15 § patientsäkerhetslagen samt 8 kap.8 och 10 §§patientsäkerhetsförordningen. Det finns även andra bestämmelser om underrättelser och information som ska lämnas.
Som anges i avsnitt 9.21 är det utredningens bedömning att bestämmelser om uppgiftsskyldighet är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna om uppgiftsskyldighet påverkas således inte av dataskyddsförordningen. Vid fullgörandet av uppgiftsskyldigheten måste dock den personuppgiftsansvarige iaktta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
12.7. Lagen (2009:366) om handel med läkemedel och förordningen (2009:659) om handel med läkemedel
12.7.1. Inledning
Lagen om handel med läkemedel och den tillhörande förordningen om handel med läkemedel innehåller bestämmelser om bl.a. detaljhandel med läkemedel till konsumenter och partihandel med läkemedel. Lagstiftningen innehåller även vissa bestämmelser om behandling av personuppgifter, nämligen bestämmelser om elektroniskt system för direktåtkomst, uppgiftsskyldighet, skyldighet att lämna uppgifter elektroniskt och skyldighet att föra register. I detta avsnitt analyseras om de bestämmelser som berör behandling av personuppgifter behöver ändras med anledning av dataskyddsförordningen.
12.7.2. Elektroniskt system för direktåtkomst
Utredningens bedömning: Bestämmelsen med krav på ett elek-
troniskt system som möjliggör direktåtkomst i 2 kap. 6 § 6 lagen om handel med läkemedel kan behållas.
I 2 kap. 6 § lagen om handel med läkemedel anges vilka krav som ställs på en verksamhet som bedriver detaljhandel med läkemedel till konsumenter. Bland annat anges i punkt 6 att den som har tillstånd att bedriva detaljhandel med läkemedel till konsument ska ha ett elektroniskt system som gör det möjligt att få direktåtkomst till uppgifter hos E-hälsomyndigheten. Bestämmelsen hänger samman med bestämmelsen om direktåtkomst i 11 § första stycket lagen (1996:1156) om receptregister.
Apoteksdatalagen (2009:367) är enligt 1 § den lagen tillämplig vid behandling av personuppgifter vid öppenvårdsapotekens detaljhandel med läkemedel. Med öppenvårdsapotek avses enligt 3 § apoteksdatalagen en inrättning för detaljhandel med läkemedel som bedrivs med tillstånd enligt 2 kap. 1 § lagen om handel med läkemedel. Behandlingen av personuppgifter i det elektroniska system som möjliggör direktåtkomst omfattas alltså av apoteksdatalagens tillämpningsområde. Sådan behandling omfattas av de ändamål som
anges i 8 § apoteksdatalagen. Som anges i avsnitt 10.5.6 sker behandlingen av personuppgifter i den verksamheten med stöd av de rättsliga grunderna i artikel 6.1 c eller e i dataskyddsförordningen (rättslig förpliktelse eller arbetsuppgift av allmänt intresse).
Det finns, som anges i avsnitt 9.16.2, inte några bestämmelser om hur eller under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske i dataskyddsförordningen. Den nu aktuella bestämmelsen utgör en sådan precisering som är tillåten i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen om direktåtkomst kan därmed, i enlighet med vad utredningen kommit fram till i det avsnittet, behållas.
Genom direktåtkomsten får öppenvårdsapoteken del av känsliga personuppgifter som rör hälsa och skulle kunna behandla dem vidare. Utredningen har i avsnitt 10.5.7 gjort bedömningen att behandling av känsliga personuppgifter i den verksamhet som apoteksdatalagen omfattar kan ske med stöd av undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen.
12.7.3. Avgifter
Utredningens bedömning: Bestämmelsen om avgifter i 8 kap.
2 a § första stycket 2 lagen om handel med läkemedel kan och bör behållas. Detsamma gäller bestämmelsen i 8 kap. 2 a § andra och tredje styckena, såvitt avser avgift för kontroll av det elektroniska systemet för direktåtkomst samt 3 a § andra stycket förordningen om handel med läkemedel.
E-hälsomyndigheten får 8 kap. 2 a § första stycket 2 lagen om handel med läkemedel ta ut en avgift för att kontrollera det elektroniska system för direktåtkomst till uppgifter hos myndigheten som en tillståndshavare ska ha enligt 2 kap. 6 § 6. Avgiften får enligt andra stycket tas ut av tillståndshavaren och regeringen får enligt tredje stycket meddela ytterligare föreskrifter om avgifterna. I 3 a § andra stycket förordningen om handel med läkemedel finns ytterligare föreskrifter om avgiften.
Dataskyddsförordningen reglerar inte frågan om avgifter för åtkomst till personuppgifter eller kontroll av system för åtkomst.
Sådana bestämmelser utgör inte dataskyddsbestämmelser och påverkas därför inte av dataskyddsförordningen.
Dataskyddsförordningen hindrar inte heller att föreskrifter meddelas på detta område eller att föreskriftsrätten delegeras. Det bemyndigande som ges i bestämmelsen behöver därför inte ändras.
12.7.4. Uppgiftsskyldigheter
Utredningens bedömning: Bestämmelserna som reglerar upp-
giftsskyldighet i lagen och förordningen om handel med läkemedel kan behållas.
Bestämmelser om skyldighet att lämna ut uppgifter finns bl.a. i 2 kap. 6 § 5 och 7, 10 b §22, 3 kap. 3 § 2, 4 kap. 2 § 1 lagen om handel med läkemedel samt i 11 och 12 §§ förordningen om handel med läkemedel.
Bestämmelser om uppgiftsskyldighet är, enligt den bedömning utredningen har gjort i avsnitt 9.21, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna om uppgiftsskyldighet påverkas alltså inte av dataskyddsförordningen. Vid fullgörandet av uppgiftsskyldigheten måste dock den personuppgiftsansvarige iaktta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
12.7.5. Skyldighet att lämna ut uppgifter elektroniskt
Utredningens bedömning: Bestämmelsen om elektronisk över-
föring av uppgifter i 13 § förordningen om handel med läkemedel kan behållas.
I 11 och 12 §§ förordningen om handel med läkemedel finns det som angetts i föregående avsnitt bestämmelser om skyldighet att lämna vissa uppgifter till E-hälsomyndigheten i syfte att myndigheten ska kunna föra statistik. Uppgiftsskyldigheten i 11 § gäller
22 I SOU 2017:15 föreslås vissa ändringar av 2 kap. 10 b § lagen om handel med läkemedel och 12 § förordningen om handel med läkemedel träda i kraft den 1 juli 2018.
för den som har tillstånd att bedriva detaljhandel med läkemedel till konsumenter (öppenvårdsapotek) och verkar inte omfatta personuppgifter. Uppgiftsskyldigheten i 12 § avser den som har tillstånd att bedriva partihandel med läkemedel och den som har tillstånd att bedriva detaljhandel med läkemedel till hälso- och sjukvården och omfattar bl.a. uppgift om till vilken fysisk person försäljning skett. Detaljhandel med läkemedel till hälso- och sjukvården får bedrivas av både öppenvårdsapotek och den som har partihandelstillstånd. Av 13 § förordningen om handel med läkemedel följer att uppgifterna ska överföras elektroniskt.
I den mån uppgiftsskyldigheterna även omfattar personuppgifter har utredningen i föregående avsnitt konstaterat att bestämmelserna i 11 och 12 §§ förordningen om handel med läkemedel inte påverkas av dataskyddsförordningen. En bedömning behöver dock göras av om kravet på elektronisk överföring i 13 § är förenligt med dataskyddsförordningen.
Som angetts i avsnitt 9.16.2 innehåller dataskyddsförordningen inte några särskilda bestämmelser om formen för utlämnande av personuppgifter. Utredningen har i det avsnittet därför gjort bedömningen att bestämmelser om utlämnande på medium för automatiserad behandling inte behöver ändras med anledning av dataskyddsförordningen under förutsättning att den aktuella behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen. Detsamma gäller enligt utredningens bedömning en sådan skyldighet att föra över uppgifter elektroniskt som föreskrivs i den nu aktuella bestämmelsen. Behandlingen grundar sig på den rättsliga förpliktelsen enligt 12 § förordningen om handel med läkemedel som enligt vad som framgår av bestämmelsen syftar till att E-hälsomyndigheten ska få uppgifterna för att kunna föra viss statistik. Uppgiftsskyldigheten får enligt utredningens bedömning anses uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas i enlighet med vad som anges i artikel 6.3 andra stycket sista meningen i dataskyddsförordningen. Det innebär att kravet på elektronisk överföring beträffande uppgifterna i 12 § förordningen om handel med läkemedel utgör en tillåten precisering enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen i 13 § förordningen om handel med läkemedel kan därmed behållas.
12.7.6. Skyldighet att föra register
Utredningens bedömning: Bestämmelsen om skyldighet att föra
register enligt 13 a § förordningen om handel med läkemedel kan behållas.
Läkemedelsverket ska enligt 13 a § förordningen om handel med läkemedel föra ett register över förmedlare av humanläkemedel som anmält sin verksamhet. Läkemedelsverket ska avregistrera förmedlare som inte uppfyller vissa krav.
Dataskyddsförordningen påverkar inte möjligheten att ålägga någon att föra ett visst register. För det fall personuppgifter behandlas i registret och registret förs helt eller delvis automatiserat eller utgör en sådan strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, och alltså omfattas av dataskyddsförordningens tillämpningsområde, måste dock behandlingen av personuppgifter i registret utföras i enlighet med dataskyddsförordningens bestämmelser.
12.8. Läkemedelslagen (2015:315) och läkemedelsförordningen (2015:458)
12.8.1. Inledning
Läkemedelslagen och läkemedelsförordningen innehåller den grundläggande regleringen när det gäller läkemedel, såsom bestämmelser om vilka krav som ställs på läkemedel samt krav på godkännande, registrering och tillstånd till försäljning av läkemedel. Lagstiftningen innehåller även vissa bestämmelser om behandling av personuppgifter, nämligen bestämmelser om system för säkerhetsövervakning, personuppgiftsansvar, behandling av personuppgifter som rör hälsa, förandet av hälsodataregister och uppgiftsskyldighet. I övrigt gäller personuppgiftslagen vid behandling av personuppgifter i den verksamhet som läkemedelslagen och läkemedelsförordningen reglerar. I detta avsnitt analyseras om de bestämmelser som berör behandling av personuppgifter i läkemedelslagen och läkemedelsförordningen behöver ändras med anledning av dataskyddsförordningen.
12.8.2. System för säkerhetsövervakning
Läkemedelsverket ska enligt 6 kap. 1 § första stycket läkemedelslagen ansvara för ett system för säkerhetsövervakning som har till syfte att samla in, registrera, lagra och vetenskapligt utvärdera uppgifter om misstänkta biverkningar av läkemedel som godkänts för försäljning. Den som har fått ett läkemedel godkänt för försäljning ska enligt 6 kap. 2 § första stycket läkemedelslagen ha ett system för säkerhetsövervakning och följa utvecklingen på läkemedelsområdet och inom ramen för godkännandet ändra läkemedlet om det behövs. Den som har fått ett läkemedel godkänt ska också, som ett led i säkerhetsövervakningen av läkemedlet, registrera, lagra, utvärdera och rapportera information om misstänkta biverkningar av läkemedlet i enlighet med föreskrifter som regeringen, eller den myndighet som regeringen bestämmer, kan meddela. Av 3 kap. 7 § första stycket läkemedelsförordningen följer vidare att den som innehar ett godkännande eller en registrering för försäljning av ett läkemedel ska föra ett register med uppgifter om misstänkta biverkningar av läkemedlet. Eftersom det i anslutning till bestämmelsen om system för säkerhetsövervakning för innehavare finns en bestämmelse om personuppgiftsansvar, utgår utredningen från att regleringen innebär att systemen för säkerhetsövervakning avses kunna innefatta behandling av personuppgifter på ett sätt som omfattas av personuppgiftslagen.
12.8.3. Personuppgiftsansvar
Utredningens bedömning: Bestämmelserna om personuppgifts-
ansvar i 6 kap. 2 § andra stycket läkemedelslagen och 3 kap. 13 § andra stycket läkemedelsförordningen kan och bör behållas.
Utredningen har i avsnitt 9.7 konstaterat att bestämmelser i registerförfattningar om vem som är personuppgiftsansvarig kan och bör behållas. Utredningen gör samma bedömning beträffande bestämmelserna i 6 kap. 2 § andra stycket läkemedelslagen och 3 kap. 13 § andra stycket läkemedelsförordningen.
12.8.4. Känsliga personuppgifter
Utredningens förslag: Bestämmelsen i 3 kap. 13 § första stycket
läkemedelsförordningen som tillåter behandling av uppgifter som rör hälsa ska även omfatta sådana genetiska och biometriska uppgifter och uppgifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa. Regleringen i 3 kap. 13 § första stycket läkemedelsförordningen kompletteras med en bestämmelse som begränsar möjligheten att behandla personuppgifter som rör hälsa, inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning, för annan än Läkemedelsverket. Sådana uppgifter ska inte utan uttryckligt samtycke från den registrerade få vidarebehandlas för andra ändamål än arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Hänvisningen till personuppgiftslagen tas bort.
Utredningens bedömning: I övrigt kan och bör bestämmelsen i
3 kap. 13 § första stycket läkemedelsförordningen behållas.
I 3 kap. 13 § första stycket läkemedelsförordningen finns det ett undantag från förbudet att behandla känsliga personuppgifter i 13 § personuppgiftslagen. Läkemedelsverket och innehavare av ett godkännande eller en registrering för försäljning får utföra de behandlingar av personuppgifter som rör hälsa och som är nödvändiga för att fullgöra de skyldigheter som föreskrivs i läkemedelslagen eller läkemedelsförordningen.
I förarbetena till den tidigare gällande läkemedelslagen uttalades det att undantaget som medger behandling av känsliga personuppgifter för hälso- och sjukvårdsändamål i 18 § första stycket personuppgiftslagen torde omfatta även den behandling av personuppgifter som utförs av innehavare av godkännanden som ett led i säkerhetsövervakningen. För att det inte skulle råda några oklarheter gjordes dock den bedömningen att ett undantag skulle tas in i läkemedelsförordningen. Som grund angavs att behandlingen behövdes med hänsyn till ett viktigt allmänt intresse.23 Behandling av person-
23Prop. 2005/06:70 s. 144–145.
uppgifter som rör hälsa kan därmed, i enlighet med vad som anges i avsnitt 9.11.3, även fortsättningsvis tillåtas med stöd av undantaget avseende viktiga allmänna intressen i artikel 9.2 g i dataskyddsförordningen. För att ett undantag ska vara tillåtet med stöd av artikel 9.2 g i dataskyddsförordningen krävs dock att lagstiftningen innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Läkemedelsverkets hantering av uppgifter om hälsa inom ramen för säkerhetsövervakningen omfattas av sekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen (2009:400).24 Bestämmelser om tystnadsplikt kan utgöra lämpliga skyddsåtgärder.25 Den aktuella sekretessregleringen får enligt utredningens bedömning anses tillräcklig för att uppfylla kravet på lämpliga och särskilda åtgärder när det gäller Läkemedelsverkets behandling av personuppgifter som rör hälsa.
Innehavare av godkännande eller registrering för försäljning omfattas dock inte av någon lagstadgad tystnadsplikt. Eftersom det rör sig om enskilda företag, omfattas de personuppgifter som behandlas å andra sidan inte heller av tryckfrihetsförordningens bestämmelser om allmänna handlingar. Någon rätt för enskilda att på begäran få ut uppgifterna finns därför inte. För att uppfylla dataskyddsförordningens krav på skyddsåtgärder bedömer utredningen att den behandling av känsliga personuppgifter som innehavare av godkännande eller registrering för försäljning får utföra måste begränsas.
Bestämmelsen i 3 kap. 13 § första stycket läkemedelsförordningen anger för vilka ändamål uppgifterna får behandlas. Behandling får ske om den är nödvändig för att fullgöra de skyldigheter som föreskrivs i läkemedelslagen eller läkemedelsförordningen. Som bestämmelsen är formulerad i dag synes den dock inte hindra att personuppgifterna vidarebehandlas för andra ändamål som inte är oförenliga med de ursprungliga ändamålen. Finalitetsprincipen uttrycks i artikel 5.1 b i dataskyddsförordningen och innebär att det inte är förbjudet att behandla personuppgifter för andra ändamål under förutsättning att det sker på ett sätt som inte är oför-
24 Se SOU 2007:48 s. 202 ff. och Ds 2012:33 s. 110. 25 I undantaget för behandling av känsliga personuppgifter på folkhälsoområdet i artikel 9.2 i i dataskyddsförordningen anges tystnadsplikt som ett exempel på en lämplig och specifik åtgärd för att skydda den registrerades rättigheter och friheter.
enligt med de ändamål för vilka de samlats in. I artikeln anges vidare att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål inte anses oförenlig med de ursprungliga ändamålen.
Läkemedelsindustriföreningen26 har uppgett att innehavare av godkännande eller registrering i vissa fall har behov av att vidarebehandla de personuppgifter som behandlas med stöd av 3 kap. 13 § första stycket läkemedelsförordningen för de ändamål som anges i artikel 5.1 b i dataskyddsförordningen, dvs. arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, bl.a. i syfte att kunna göra uppföljningsstudier. Vidarebehandling för de ändamål som räknas upp i artikel 5.1 b i dataskyddsförordningen bör därför vara tillåten även fortsättningsvis. I skäl 50 till dataskyddsförordningen verkar klargöras att det vid vidarebehandling, som inte är förbjuden enligt finalitetsprincipen, inte krävs någon s.k. rättslig grund för behandlingen för det nya ändamålet utan att det räcker med den som personuppgifterna samlades in med stöd av. Forskningsdatautredningen har analyserat vilka anpassningar som behöver göras av lagen (2003:460) om etikprövning av forskning som avser människor, som kriminaliserar sådan forskning som innefattar behandling av känsliga personuppgifter som inte godkänts vid en etikprövning eller som sker i strid mot ett villkor som har meddelats vid sådan prövning.27
Något beaktansvärt behov för innehavare av godkännande eller registrering för försäljning att vidarebehandla de personuppgifter som rör hälsa som behandlas med stöd av 3 kap. 13 § första stycket läkemedelsförordningen för andra ändamål har inte framkommit. Bestämmelsen bör därför kompletteras med en bestämmelse som innebär att innehavare av godkännande eller registrering för försäljning, som behandlar personuppgifter som rör hälsa med stöd av 3 kap. 13 § första stycket läkemedelsförordningen, inte får vidarebehandla personuppgifterna för några andra ändamål än för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Det innebär att finalitetsprincipen inte kommer att gälla vid den behandling av personupp-
26 Läkemedelsindustriföreningen är en branschorganisation för företag som tillverkar läkemedel. 27SOU 2017:50.
gifter som rör hälsa som utförs av innehavare av godkännande eller registrering för försäljning med stöd av bestämmelsen. På så sätt förhindras att uppgifterna behandlas för andra syften än de som lagstiftaren har angett. Uppgifterna kan därmed inte heller lämnas ut annat än om det följer av en skyldighet i läkemedelslagen eller läkemedelsförordningen eller görs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Genom en sådan reglering bedömer utredningen att dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen uppfylls. Vidarebehandling med stöd av ett uttryckligt samtycke i enlighet med artikel 9.2 a i dataskyddsförordningen bör dock inte hindras. De föreslagna ändringarna i denna del innebär inte något rättsligt stöd i sig för att behandla personuppgifter. I den mån ett sådant stöd krävs eller den tilltänkta vidarebehandlingen är förbjuden enligt annan lagstiftning innebär förslaget i denna del alltså ingen ändring.
Som anges i avsnitt 9.11.6 har utredningen gjort bedömningen att bestämmelser som endast tillåter behandling av någon eller några av kategorierna av känsliga personuppgifter enligt nuvarande definition som utgångspunkt inte bör utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter, dvs. genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten, bör dock någon eller några av de nya kategorierna få fortsätta att behandlas. De olika kategorierna av känsliga personuppgifter kan, som anges i avsnitt 7.5, i viss mån överlappa varandra. Genetiska uppgifter kan t.ex. avslöja en persons hälsotillstånd. Detsamma kan i någon mån antas gälla för de andra nytillkomna kategorierna av känsliga personuppgifter. Sådana uppgifter utgör i dag uppgifter om hälsa, vilket innebär att behandling av uppgifterna är tillåten enligt 3 kap. 13 § första stycket läkemedelsförordningen.
Läkemedelsverket och Läkemedelsindustriföreningen har till utredningen framfört följande behov av att kunna behandla även de nytillkomna kategorierna. En genetisk bedömning eller diagnostik görs inom flera olika områden. En viss genetisk uppsättning innebär t.ex. en ökad risk för allvarliga biverkningar av läkemedel mot
epilepsi. Vidare kan patientens genetiska uppsättning vara avgörande för vilken cancerbehandling som väljs. Genetiska uppgifter behöver därför i vissa fall behandlas i samband med biverkningsrapporteringen. I takt med att läkemedelsbehandlingen blivit mer individanpassad tas allt större hänsyn till den enskilda patientens genetiska förutsättningar för att avgöra risken för biverkningar av olika läkemedel, varför behovet av att liksom i dag kunna behandla genetiska uppgifter sannolikt kommer att öka. Läkemedelsverket har angående behovet av att behandla biometriska uppgifter uppgett att läkemedel kan medföra biverkningar i form av missbildningar som kan ses som unika fysiska biometriska uttryck kopplade till en viss individ. Även uppgifter om enskilda individers kroppsliga avvikelser, röntgen- och ultraljudsfynd och laboratoriediagnostik har angetts som exempel på vad som kan utgöra biometriska uppgifter som kan förekomma i biverkningsrapporter. Läkemedelsindustriföreningen har angett att det i samband med biverkningsrapportering avseende hormonbehandling vid könsbyte kan vara nödvändigt att behandla uppgifter om sexuell läggning.
Mot bakgrund av vad som framkommit gör utredningen bedömningen att det i vissa fall är nödvändigt att fortsätta att behandla genetiska och biometriska uppgifter samt uppgifter om sexuell läggning för att uppfylla kraven i läkemedelslagen och läkemedelsförordningen på ett ändamålsenligt sätt. De uppgifter som det är fråga om är av allt att döma sådana uppgifter som även utgör uppgifter om hälsa (se avsnitt 7.5). Sådana genetiska och biometriska uppgifter och uppgifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa, bör därför även i fortsättningen få behandlas för de ändamål som anges i 3 kap. 13 § läkemedelsförordningen. Detta bör tydliggöras genom att det anges i bestämmelsen att uppgifter om hälsa, inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning, får behandlas. Någon skillnad i sak är således inte avsedd utan förslaget syftar endast till att tydliggöra att samma uppgifter som får behandlas i dag även får behandlas fortsättningsvis. Genetiska och biometriska uppgifter samt uppgifter om sexuell läggning som inte samtidigt utgör uppgifter om hälsa får däremot inte behandlas. Den ändring som nu föreslås innebär förstås inte ett sådant lagstöd som krävs för att i vissa fall få använda eller efterforska genetisk information enligt 2 kap. 1 § lagen (2006:351) om genetisk integritet.
Utredningen gör när det gäller de nytillkomna kategorierna av känsliga personuppgifter samma bedömning i fråga om kravet på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter enligt artikel 9.2 g i dataskyddsförordningen som redovisats ovan när det gäller uppgifter som rör hälsa. Den bestämmelse som föreslås begränsa vidarebehandling av uppgifter om hälsa som behandlas av innehavare av godkännande eller registrering för försäljning bör därför omfatta även sådana genetiska och biometriska uppgifter och uppgifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa.
12.8.5. Hälsodataregister
Utredningens bedömning: Bestämmelsen om hälsodataregister
i 3 kap. 14 § läkemedelsförordningen kan behållas.
Läkemedelsverket får enligt 3 kap. 14 § läkemedelsförordningen föra ett sådant hälsodataregister som anges i 1 § lagen (1998:543) om hälsodataregister. Registret får föras för att tillgodose behovet av uppgifter för de ändamål som anges i 6 kap. 1 § läkemedelslagen. Det som avses är alltså det ovan nämnda systemet för säkerhetsövervakning som har till syfte att samla in, registrera, lagra och vetenskapligt utvärdera uppgifter om misstänkta biverkningar av läkemedel som godkänts för försäljning. Registret får dessutom föras för framställning av statistik och forskning. Ändamålen ryms inom ramen för de ändamål som anges i 3 § lagen om hälsodataregister.
Som anges i avsnitt 11.6.5 anser utredningen att det inte finns skäl att göra en annan bedömning än den lagstiftaren redan gjort när det gäller preciseringen av ändamålen för de hälsodataregister som berörs där. Det finns visserligen inte några begränsningar avseende vilka uppgifter som får behandlas i det nu aktuella registret. Däremot bedöms det ändamål som anges i 6 kap. 1 § läkemedelslagen vara mer preciserat än i många av de andra författningarna om hälsodataregister. Samma bedömning görs därför beträffande den nu aktuella bestämmelsen. I enlighet med vad som anges i det avsnittet får även dessa ändamål anses ha grund i ett allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. De krav på den rätts-
liga grunden för behandling av personuppgifter som har tillkommit i artikel 6.3 i dataskyddsförordningen får, i enlighet med vad utredningen också har konstaterat i det avsnittet, anses vara uppfyllda utan vidare analys.
12.8.6. Uppgiftsskyldigheter
Utredningens bedömning: Bestämmelser som reglerar uppgifts-
skyldighet i läkemedelslagen och läkemedelsförordningen kan behållas.
I läkemedelslagen och läkemedelsförordningen finns det bestämmelser om skyldighet att lämna uppgifter. Som exempel kan nämnas innehavarens skyldighet att rapportera uppgifter om misstänkta biverkningar till Läkemedelsverket enligt 3 kap. 7 § första stycket andra meningen läkemedelsförordningen och bestämmelsen i 7 kap. 3 § läkemedelsförordningen som anger att Läkemedelsverket ska fullgöra de skyldigheter att lämna underrättelser eller att lämna ut uppgifter eller handlingar som följer av två EU-direktiv. Vidare får Läkemedelsverket enligt 9 kap. 6 § läkemedelsförordningen meddela vissa föreskrifter om skyldighet att lämna uppgifter.
I den mån uppgiftsskyldigheterna även omfattar personuppgifter behöver en prövning mot dataskyddsförordningen göras. Som utredningen har konstaterat i avsnitt 9.21 är bestämmelser om uppgiftsskyldighet lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna kan därmed behållas. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
12.9. Förordningen (2013:413) om kosmetiska produkter
12.9.1. Inledning
Förordningen om kosmetiska produkter innehåller en bestämmelse som avser att göra det möjligt för Läkemedelsverket att behandla känsliga personuppgifter om hälsa i syfte att fullgöra de skyldigheter, bl.a. en anmälningsplikt gällande allvarliga oönskade effekter av kosmetiska produkter, som följer av kosmetikaförordningen28. I detta avsnitt analyseras om denna bestämmelse, samt en tillhörande bestämmelse om personuppgiftsansvar, behöver ändras med anledning av dataskyddsförordningen.
12.9.2. Känsliga personuppgifter
Utredningens förslag: Hänvisningen till personuppgiftslagen i
1 § 2 förordningen om kosmetiska produkter ändras till att avse 3 kap. 8 § dataskyddslagen. Hänvisningen till personuppgiftslagen i 5 § första stycket förordningen om kosmetiska produkter tas bort.
Utredningens bedömning: Bestämmelsen i 5 § första stycket
förordningen om kosmetiska produkter kan och bör behållas i sak.
Av 5 § första stycket förordningen om kosmetiska produkter framgår att Läkemedelsverket, trots 13 § andra stycket personuppgiftslagen, får utföra de behandlingar av personuppgifter som rör hälsa och som är nödvändiga för att fullgöra de skyldigheter som föreskrivs i kosmetikaförordningen samt i övrigt utföra de behandlingar av personuppgifter som rör hälsa i den omfattning behandlingen omfattas av Läkemedelsverkets tillsynsverksamhet.
Det aktuella undantaget från 13 § personuppgiftslagen är enligt 1 § 2 förordningen om kosmetiska produkter meddelat med stöd av 20 § personuppgiftslagen. Det innebär att såväl fullgörandet av de
28 Europaparlamentets och rådets förordning (EG) nr 1223/2009 av den 30 november 2009 om kosmetiska produkter (kosmetikaförordningen).
skyldigheter som föreskrivs i den aktuella EU-förordningen som den tillsyn som föranleds av regleringen av kosmetiska produkter har ansetts vara viktiga allmänna intressen.29 Undantaget är därmed, i enlighet med vad som anges i avsnitt 9.11.3, även fortsättningsvis tillåtet med stöd av artikel 9.2 g i dataskyddsförordningen.
Artikel 9.2 g i dataskyddsförordningen kräver att regleringen omfattar skyddsåtgärder. I artikel 9.2 i i dataskyddsförordningen anges tystnadsplikt som ett exempel på en skyddsåtgärd. De personuppgifter som avses i 5 § första stycket förordningen om kosmetiska produkter omfattas av sekretessbestämmelserna i 30 kap.23 och 27 §§offentlighets- och sekretesslagen (2009:400),30 vilket innebär att kravet på skyddsåtgärder får anses vara uppfyllt.
Bestämmelsen bör, i enlighet med den bedömning utredningen har gjort i avsnitt 9.11.6, inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter, dvs. genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Det kommer alltså även fortsättningsvis endast att vara tillåtet att behandla sådana känsliga uppgifter som rör hälsa. Som anges i avsnitt 7.5 förekommer det att de olika kategorierna av känsliga personuppgifter överlappar varandra. Sådana uppgifter som omfattas av någon av de nya kategorierna men som även utgör en uppgift om hälsa, kan enligt utredningens bedömning behandlas med stöd av 5 § första stycket förordningen om kosmetiska produkter. Utredningen har övervägt om detta behöver förtydligas i bestämmelsen på så sätt att det anges att uppgifter som rör hälsa, inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning får behandlas, på samma sätt som föreslås i avsnitt 10.1.11 och 12.8.4. Då det i utredningen inte har framkommit något behov av att behandla sådana uppgifter om hälsa som samtidigt omfattas av någon av de nya kategorierna, saknas det dock enligt utredningens bedömning anledning att införa ett sådant förtydligande.
Utredningen gör sammantaget bedömningen att bestämmelsen i 5 § första stycket förordningen om kosmetiska produkter inte behöver ändras i sak. Hänvisningen till personuppgiftslagen bör dock
29 Se även Ds 2012:33 s. 104. 30Prop. 2012/13:135 s. 36 ff.
tas bort, eftersom lagen kommer att upphävas i samband med att dataskyddsförordningen börjar tillämpas.
Även bemyndigandet i 20 § personuppgiftslagen försvinner i och med att personuppgiftslagen upphävs. Förslaget till ny dataskyddslag innehåller dock ett motsvarande bemyndigande som ger stöd för regeringens föreskrift i 5 § förordningen om kosmetiska produkter.31 Hänvisningen till personuppgiftslagen i 1 § 2 förordningen om kosmetiska produkter bör därför ändras till att avse 3 kap. 8 § dataskyddslagen.
12.9.3. Personuppgiftsansvar
Utredningens bedömning: Bestämmelsen om personuppgifts-
ansvar i 5 § andra stycket förordningen om kosmetiska produkter kan och bör behållas.
Utredningen har i avsnitt 9.7 konstaterat att bestämmelser i registerförfattningar om vem som är personuppgiftsansvarig kan och bör behållas. Utredningen gör samma bedömning beträffande bestämmelsen i 5 § andra stycket förordningen om kosmetiska produkter.
12.10. Lagen (2006:1570) om skydd mot internationella hot mot människors hälsa
12.10.1. Inledning
Lagen om skydd mot internationella hot mot människors hälsa innehåller bestämmelser för att genomföra Världshälsoorganisationens internationella hälsoreglemente som antogs i Genève den 23 maj 2005 (hälsoreglementet). Lagen syftar till att skydda mot internationella hot mot människors hälsa. I lagen finns även bestämmelser om behandling av känsliga personuppgifter och överföring av personuppgifter till Världshälsoorganisationen och tredjeland. Här följer en analys av de bestämmelsernas förenlighet med dataskyddsförordningen.
31SOU 2017:39, förslaget till 3 kap. 8 § dataskyddslagen.
12.10.2. Upplysningsbestämmelse
Utredningens förslag: Hänvisningen till personuppgiftslagen i
12 § andra stycket första meningen lagen om internationella hot mot människors hälsa ändras till att avse dataskyddsförordningen och dataskyddslagen.
Eftersom personuppgiftslagen kommer att upphävas, bör hänvisningar till den lagen tas bort. Eftersom enbart 12 § andra stycket lagen om internationella hot mot människors hälsa handlar om behandling av personuppgifter i en lag som i övrigt reglerar andra förhållanden, är det lämpligt att upplysa om att fler bestämmelser finns i dataskyddsförordningen och dataskyddslagen.
12.10.3. Känsliga personuppgifter
Utredningens bedömning: Bestämmelsen om behandling av per-
sonuppgifter som rör hälsa i 12 § andra stycket tredje meningen lagen om skydd mot internationella hot mot människors hälsa kan och bör behållas.
Av 12 § andra stycket tredje meningen lagen om skydd mot internationella hot mot människors hälsa framgår att uppgifter som rör någons hälsa får behandlas helt eller delvis automatiserat, om det är nödvändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyldighet enligt samma lag.
Regeringen gjorde under lagstiftningsarbetet bedömningen att undantaget för hälso- och sjukvård i 18 § personuppgiftslagen i de allra flesta fall borde kunna tillämpas på utlämnande av personuppgifter i enlighet med åtagandena i det internationella hälsoreglementet.32 Bestämmelsen i 18 § personuppgiftslagen har stöd i artikel 8.3 i dataskyddsdirektivet, som i sin tur motsvaras av artikel 9.2 g i dataskyddsförordningen. I artikel 9.2 i i dataskyddsförordningen har det dock, som anges i avsnitt 9.11.5, tillkommit ett nytt undantag från förbudet att behandla känsliga personuppgifter
som avser folkhälsoområdet. Som framgår av det ovan nämnda avsnittet är behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter exempel på skäl som motiverar behandling av känsliga personuppgifter med stöd av artikeln. Eftersom behandlingen av personuppgifter i det här fallet sker i syfte att upprätta skydd mot internationella hot mot människors hälsa, är undantaget i artikel 9.2 i i dataskyddsförordningen mer relevant att tillämpa.
För att undantaget i artikel 9.2 i i dataskyddsförordningen ska kunna tillämpas krävs att lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.
Regler om tystnadsplikt finns i 25 kap. 1 § första stycket offentlighets- och sekretesslagen (2009:400), där sekretess föreskrivs som huvudregel inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. Detsamma gäller i annan medicinsk verksamhet, såsom t.ex. åtgärder mot smittsamma sjukdomar. Detta har i doktrin tolkats som att verksamhet enligt bl.a. smittskyddslagen (2004:168) omfattas av sekretess i den mån den är individuellt inriktad.33 Regeringen har i förarbetena till lagen om skydd mot internationella hot mot människors hälsa ansett att det inte krävs något kompletterande sekretesskydd utöver det befintliga.34
Utredningen bedömer att sekretessen enligt 25 kap. 1 § första stycket offentlighets- och sekretesslagen i vart fall täcker personuppgifter om hälsa som behandlas i syfte att vidta åtgärder mot smittsamma sjukdomar, dvs. de känsliga personuppgifter som avses i bestämmelsen i 12 § lagen om skydd mot internationella hot mot människors hälsa. I artikel 45 i det internationella hälsoreglementet anges att personuppgifter ska omfattas av sekretess och behandlas anonymiserat när det krävs enligt nationell rätt. Personuppgifter får trots detta behandlas när det är nödvändigt för att bedöma och
33 Lenberg m.fl., Offentlighets- och sekretesslagen (1 juli 2016, Zeteo), kommentaren till 25 kap. 1 § under rubriken Sekretessbestämmelsens räckvidd. 34Prop. 2005/06:215 s. 46.
hantera risker för folkhälsan, men då ställer reglementet upp krav på behandlingen som i allt väsentligt motsvarar de grundläggande kraven i artikel 5 i dataskyddsförordningen. Sammantaget får kravet på åtgärder för att skydda den registrerades rättigheter och friheter anses uppfyllt.
Den nu aktuella behandlingen av personuppgifter sker på grundval av nationell lagstiftning vilket också är ett krav enligt artikel 9.2 i i dataskyddsförordningen. Bestämmelsen i 12 § andra stycket tredje meningen lagen om skydd mot internationella hot mot människors hälsa har därmed stöd i artikel 9.2 i i dataskyddsförordningen och kan behållas. Bestämmelsen bör, i enlighet med den bedömning utredningen har gjort i avsnitt 9.11.6, inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter, dvs. genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Det kommer alltså även fortsättningsvis endast att vara tillåtet att behandla sådana känsliga uppgifter som rör hälsa. Som anges i avsnitt 7.5 förekommer det att de olika kategorierna av känsliga personuppgifter överlappar varandra. Sådana uppgifter som omfattas av någon av de nya kategorierna men även utgör en uppgift om hälsa, kan enligt utredningens bedömning behandlas med stöd av 12 § andra stycket tredje meningen lagen om skydd mot internationella hot mot människors hälsa. Utredningen har övervägt om detta behöver förtydligas i bestämmelsen på så sätt att det anges att uppgifter som rör hälsa, inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning får behandlas, på samma sätt som föreslås i avsnitt 10.1.11 och 12.8.4. Då det i utredningen inte har framkommit något behov av att behandla sådana uppgifter om hälsa som samtidigt omfattas av någon av de nya kategorierna, saknas det dock enligt utredningens bedömning anledning att införa ett sådant förtydligande.
12.10.4. Överföring till tredjeland
Utredningens förslag: Bestämmelsen i 12 § andra stycket andra
meningen lagen om skydd mot internationella hot mot människors hälsa behålls i sak men hänvisningen till 33 § personuppgiftslagen tas bort.
Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting får enligt 12 § andra stycket andra meningen lagen om skydd mot internationella hot mot människors hälsa, oavsett bestämmelserna i 33 § personuppgiftslagen, överföra personuppgifter till Världshälsoorganisationen och tredjeland för att fullgöra sin uppgiftsskyldighet enligt lagen om skydd mot internationella hot mot människors hälsa.
Enligt artikel 49.1 d dataskyddsförordningen, som är direkt tillämplig, får en överföring till ett tredjeland göras när den är nödvändig av viktiga skäl som rör allmänintresset. Internationella utbyten av uppgifter mellan hälsovårdsmyndigheter, t.ex. vid kontaktspårning för smittsamma sjukdomar, är enligt skäl 112 till dataskyddsförordningen en uppgiftsöverföring som krävs och är nödvändig med hänsyn till viktiga allmänintressen. I förarbetena till 12 § andra stycket andra meningen lagen om skydd mot internationella hot mot människors hälsa har överföringen av personuppgifter ansetts motiverad med hänsyn till ett allmänt intresse.35 Det saknas anledning att göra en annan bedömning i förhållande till dataskyddsförordningen.
Kravet enligt artikel 49.4 i dataskyddsförordningen på att allmänintresset är erkänt i unionsrätten eller i nationell rätt är uppfyllt bl.a. genom att internationell överföring av personuppgifter mellan hälsovårdsmyndigheter i syfte att arbeta mot smittspridning särskilt omnämns i skälen till dataskyddsförordningen. I Europarådets sociala stadga är det dessutom ett mål att så långt som möjligt förebygga uppkomsten av epidemier, folksjukdomar och andra sjukdomar samt olycksfall. Personuppgifter kan därmed även enligt dataskyddsförordningen föras över till Världshälsoorganisationen
och tredjeland för fullgörande av uppgiftsskyldigheten enligt lagen om skydd mot internationella hot mot människors hälsa.
En bestämmelse om att överföring av personuppgifter till tredjeland i en viss situation är tillåten behöver, i enlighet med vad utredningen konstaterat i avsnitt 9.14, inte ändras om den i övrigt har stöd i dataskyddsförordningen. Bestämmelsen i 12 § andra stycket andra meningen lagen om skydd mot internationella hot mot människors hälsa kan därmed behållas i sak, men hänvisningen till 33 § personuppgiftslagen bör tas bort.
12.11. Tobakslagen (1993:581)
Utredningens bedömning: Bestämmelsen i 12 e § tobakslagen
om utlämnande och användning av personuppgifter i vissa fall kan behållas.
Av 12 e § tobakslagen framgår att en näringsidkare, som via distansförsäljning tillhandahåller tobaksvaror för försäljning till konsumenter i ett annat land än det land där näringsidkaren har sitt säte eller sin affärsverksamhet, inte får lämna ut personuppgifter om konsumenten till tillverkaren av tobaksvaror eller till företag som ingår i samma koncern eller till andra tredje parter. Personuppgifter får inte heller användas eller överföras för andra ändamål än det aktuella köpet.
Bestämmelsen infördes i tobakslagen i samband med att tobaksproduktdirektivet36 implementerades i svensk lagstiftning. I artikel 18.5 i tobaksproduktdirektivet anges i fråga om gränsöverskridande distansförsäljning att återförsäljningsställen endast ska behandla personuppgifter om konsumenten i enlighet med dataskyddsdirektivet och att dessa uppgifter inte får lämnas ut till tillverkaren av tobaksvaror eller till företag som ingår i samma koncern eller till andra tredje parter. Personuppgifter får inte heller användas eller överföras för andra ändamål än det aktuella köpet.
36 Europaparlamentets och rådets direktiv 2014/40/EU av den 3 april 2014 om tillnärmning av medlemsstaternas lagar och andra författningar om tillverkning, presentation och försäljning av tobaksvaror och relaterade produkter och om upphävande av direktiv 2001/37/EG (tobaksproduktdirektivet).
Detta gäller också om återförsäljningsstället utgör en del av tillverkaren av tobaksvaror. Eftersom begränsningen av återförsäljares möjligheter att behandla personuppgifter inte återspeglas i reglerna i personuppgiftslagen, ansåg regeringen att det var befogat att införa en specialbestämmelse i tobakslagen som hanterar tobaksproduktdirektivets krav på personuppgiftshantering vid gränsöverskridande distansförsäljning av tobaksvaror.37
Begränsningen av tobaksåterförsäljares möjligheter att behandla personuppgifter återspeglas inte heller av bestämmelserna i dataskyddsförordningen. Det är av det skälet befogat att ha kvar specialbestämmelsen i tobakslagen. Eftersom specialbestämmelsen i övrigt överensstämmer med vad som gäller enligt tobaksproduktdirektivet, prövar utredningen inte bestämmelsens förenlighet med dataskyddsförordningen. Det åligger inte medlemsstaterna att pröva tobaksproduktdirektivets förenlighet med dataskyddsförordningen, jämför artikel 98 i dataskyddsförordningen.
12.12. Alkohollagen (2010:1622)
12.12.1. Inledning
Folkhälsomyndigheten har det huvudsakliga ansvaret för tillsynen över efterlevnaden av alkohollagen. För att tillsynen ska kunna utövas effektivt, ska Folkhälsomyndigheten enligt 13 kap. alkohollagen föra ett centralt register som inkluderar uppgifter om personer som har tillstånd eller bedriver verksamhet enligt alkohollagen. Det finns i 9 kap. alkohollagen dessutom bestämmelser om att uppgifter ska lämnas till och från olika myndigheter i syfte att skapa förutsättningar för en effektiv tillsyn. Bestämmelserna i 9 och 13 kap. medför behandling av personuppgifter och nedan följer därför en analys av bestämmelsernas förenlighet med dataskyddsförordningen.
12.12.2. Register
Skyldighet att föra register
Utredningens bedömning: Bestämmelsen om skyldighet att föra
register i 13 kap. 1 § alkohollagen kan behållas.
Av 13 kap. 1 § alkohollagen framgår att Folkhälsomyndigheten med hjälp av automatiserad behandling ska föra ett centralt register för tillsyn, uppföljning och utvärdering av lagens tillämpning samt framställning av statistik.
Dataskyddsförordningen påverkar inte möjligheten att ålägga någon att föra ett visst register. Behandlingen av personuppgifter i registret måste dock vara förenlig med dataskyddsförordningens bestämmelser.
Ändamål och grund för behandling av personuppgifter
Utredningens bedömning: Bestämmelserna om ändamål i 13 kap.
1 § alkohollagen kan behållas.
Av 13 kap. 1 § alkohollagen framgår att Folkhälsomyndigheten ska föra ett register för ändamålen tillsyn, uppföljning och utvärdering av lagens tillämpning samt framställning av statistik.
Skyldigheten att föra det aktuella registret är en rättslig förpliktelse. Ändamålen grundar sig på den rättsliga förpliktelsen att föra registret och har således stöd i artikel 6.1 c i dataskyddsförordningen. Någon ytterligare analys av vilket stöd ändamålen har i dataskyddsförordningen krävs inte, som utredningen konstaterat i avsnitt 9.10.1. Bestämmelserna i alkohollagen uppfyller också, i enlighet med vad som anges i samma avsnitt, de krav på den rättsliga grunden som ställs i artikel 6.3 i dataskyddsförordningen. Det finns således stöd i dataskyddsförordningen för behandlingen av personuppgifter i registret.
Personuppgifter som får behandlas
Utredningens bedömning: Bestämmelserna i 13 kap. 2 § alkohol-
lagen om registrets innehåll kan behållas.
I registret får, enligt 13 kap. 2 § alkohollagen, beträffande dem som har tillstånd eller bedriver verksamhet enligt alkohollagen behandlas uppgifter om namn eller firma, person-, samordnings-, registrerings- eller organisationsnummer, adress och telefonnummer, och den verksamhet som tillståndet avser och om villkor som har meddelats för denna.
En sådan precisering av vilka personuppgifter som får behandlas är förenlig med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Utredningen utgår från de överväganden om vilka uppgifter som behöver behandlas i registren som har gjorts vid tidigare lagstiftningsarbeten. Medlemsstaterna tillåts som redan framgått att införa sådana preciseringar i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de begränsar en myndighets möjligheter till behandling av personuppgifter. Bestämmelserna i 13 kap. 2 § alkohollagen kan därmed behållas.
Några känsliga personuppgifter synes inte behandlas i registret. Någon bedömning av om det är tillåtet att behandla känsliga personuppgifter behöver därför inte göras.
Bemyndigande
Utredningens bedömning: Det bemyndigande som ges i 13 kap.
3 § alkohollagen behöver inte ändras.
Regeringen får enligt 13 kap. 3 § alkohollagen föreskriva att uppgifter till det register som avses i kapitlet får hämtas från register som förs av statlig eller kommunal myndighet.
Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Det
bemyndigande som ges i 13 kap. 3 § alkohollagen är således förenligt med dataskyddsförordningen och behöver inte ändras.
Direktåtkomst
Utredningens bedömning: Bestämmelsen om direktåtkomst i
13 kap. 4 § alkohollagen behöver inte ändras.
I 13 kap. 4 § alkohollagen anges att Skatteverket för sin tillsyn enligt samma lag får ha direktåtkomst till uppgifter om serveringstillstånd i registret som avses i kapitlet.
Eftersom utredningen i avsnitt 9.16.2 har kommit fram till att bestämmelser om direktåtkomst är säkerhetsåtgärder som kan åläggas myndigheter utan hinder av dataskyddsförordningen, behöver bestämmelsen i 13 kap. 4 § alkohollagen inte ändras.
12.12.3. Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 13 kap. 5 § alkohollagen
som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.
Enligt 13 kap. 5 § alkohollagen ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt alkohollagen. Bestämmelsen bör, i enlighet med de slutsatser utredningen drar i avsnitt 9.15.1 och 9.19.1, upphävas.
12.12.4. Uppgiftsskyldigheter
Utredningens bedömning: Bestämmelser om uppgiftsskyldig-
heter behöver inte ändras med anledning av dataskyddsförordningen.
I 9 kap. alkohollagen finns det bestämmelser om olika uppgiftsskyldigheter som i vissa fall kan medföra utlämnande av personuppgifter.
I enlighet med vad som anges i avsnitt 9.21 är det utredningens bedömning att bestämmelser om uppgiftsskyldighet är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna behöver således inte ändras med anledning av dataskyddsförordningen.
12.13. Socialtjänstlagen (2001:453) och socialtjänstförordningen (2001:937)
12.13.1. Inledning
Socialtjänstlagen och den tillhörande socialtjänstförordningen innehåller bl.a. bestämmelser om socialtjänstens arbetsuppgifter, ansvarsfördelning och förutsättningar för rätt till bistånd. Utöver detta finns även bestämmelser om dokumentation, säkerhetsåtgärder, information till registrerade, rättelse, gallring av uppgifter och uppgiftsskyldigheter. Vissa av dessa bestämmelser är tillämpliga på såväl personuppgifter som andra uppgifter och oavsett om dokumentationen sker automatiserat eller manuellt medan andra endast är tillämpliga på helt eller delvis automatiserad behandling av personuppgifter eller manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. I den del bestämmelserna tillämpas på helt eller delvis automatiserad behandling av personuppgifter eller manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register omfattas behandlingen av tillämpningsområdet för dataskyddsförordningen och lagen (2001:454) respektive förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten. Nedan görs därför en analys av om bestämmelserna behöver anpassas till dataskyddsförordningen.
12.13.2. Behandling av personuppgifter
Utredningens bedömning: Behandling av personuppgifter –
inklusive känsliga personuppgifter och uppgifter om lagöverträdelser – med anledning av åtgärder som krävs enligt socialtjänstlagen och socialtjänstförordningen har stöd i dataskyddsförordningen och lagen respektive förordningen om behandling av personuppgifter inom socialtjänsten.
Socialtjänstlagen och den tillhörande förordningen innehåller flera bestämmelser med krav på åtgärder som medför behandling av personuppgifter. I vissa fall rör det sig om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser.
I 11 kap. 1 a § och 5 § första stycket samt 14 kap. 6 § socialtjänstlagen finns det krav på dokumentation av bedömningar av behov av skydd, handläggning av ärenden rörande enskilda, genomförande av beslut om stödinsatser, vård och behandling samt missförhållanden eller en påtaglig risk för ett missförhållande. Socialnämnden ska vidare enligt 7 kap. 1 § första stycket socialtjänstförordningen föra en förteckning över de barn som enligt nämndens beslut vistas i familjehem eller efter nämndens medgivande i något annat enskilt hem. En ansökan om vård enligt lagen (1990:52) med särskilda bestämmelser om vård av unga ska enligt 5 kap. 1 § socialtjänstförordningen innehålla uppgifter om den unge, bl.a. känsliga personuppgifter, och uppgifter om dennes föräldrar. En vårdplan respektive genomförandeplan för den unge ska enligt 5 kap.1 a och 1 b §§socialtjänstförordningen innehålla bl.a. uppgifter om vård och åtgärder. Innan socialnämnden fattar beslut om vård av ett barn i ett familjehem eller jourhem ska socialnämnden enligt 5 kap. 1 b § socialtjänstförordningen inhämta uppgifter från belastningsregistret som förs enligt förordningen (1999:1134) om belastningsregister och uppgifter från misstankeregistret som förs enligt förordningen (1999:1135) om misstankeregister avseende den eller dem som nämnden avser att anlita för vård av ett barn i ett familjehem eller jourhem.
Stöd för den behandling av personuppgifter ovan beskrivna bestämmelser medför, finns i ändamålet i 12 § första stycket 4 förordningen om behandling av personuppgifter inom socialtjänsten, som i sin tur har stöd i artikel 6.1 e i dataskyddsförordningen. I den
mån behandlingen avser känsliga personuppgifter, finns stöd i 7 § första stycket 2 och andra stycket lagen om behandling av personuppgifter inom socialtjänsten, som i sin tur har stöd i artikel 9.2 g i dataskyddsförordningen. Stöd för behandling av uppgifter om lagöverträdelser finns i 7 § första stycket 3 och andra stycket lagen om behandling av personuppgifter inom socialtjänsten och artikel 10 i dataskyddsförordningen. Se mer om lagligt stöd för socialtjänstens behandling av personuppgifter i avsnitt 10.9.5 och 10.10.4.
Utredningen bedömer således att behandling av personuppgifter – inklusive behandling av känsliga personuppgifter och uppgifter om lagöverträdelser – med anledning av åtgärder som krävs enligt socialtjänstförordningen, har stöd i dataskyddsförordningen och lagen respektive förordningen om behandling av personuppgifter inom socialtjänsten.
12.13.3. Register över verksamheter
Skyldighet att föra register
Utredningens bedömning: Bestämmelsen om skyldighet att föra
register i 4 kap. 3 a § socialtjänstförordningen kan behållas.
Enligt 4 kap. 3 a § socialtjänstförordningen ska Inspektionen för vård och omsorg föra ett register över dem som har tillstånd att bedriva verksamhet enligt 7 kap. 1 § första stycket socialtjänstlagen, och dem som har anmält verksamhet enligt 7 kap. 1 § andra stycket socialtjänstlagen. Registret ska utgöra underlag för tillsynsverksamheten.
Dataskyddsförordningen påverkar inte möjligheten att ålägga någon att föra ett visst register. Behandlingen av personuppgifter i registret måste dock ske med beaktande av dataskyddsförordningens bestämmelser. Bestämmelsen kan därmed behållas.
Direktåtkomst
Utredningens bedömning: Bestämmelsen om direktåtkomst i
4 kap. 3 b och 4 kap. 3 c §§ andra stycket socialtjänstförordningen behöver inte ändras med anledning av dataskyddsförordningen.
I 4 kap. 3 b § socialtjänstförordningen finns det en bestämmelse om att Socialstyrelsen får ha direktåtkomst till det register Inspektionen för vård och omsorg för med stöd av 4 kap. 3 a § samma förordning. Socialstyrelsen har enligt 4 kap. 3 c § andra stycket socialtjänstförordningen rätt att ta del av uppgifterna i registret genom direktåtkomst.
Utredningen har i avsnitt 9.16.2 konstaterat att bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske är att anse som säkerhetsåtgärder, som i fråga om myndigheter inte behöver ändras med anledning av dataskyddsförordningen.
12.13.4. Säkerhetsåtgärder
Utredningens bedömning: Bestämmelserna i 11 kap. 5 § andra
stycket och 6 § första meningen socialtjänstlagen behöver inte ändras med anledning av dataskyddsförordningen.
Av 11 kap. 5 § andra stycket socialtjänstlagen framgår att handlingar som rör enskildas personliga förhållanden ska förvaras så att obehöriga inte får tillgång till dem. Enligt 11 kap. 6 § första meningen samma lag ska dokumentationen utformas med respekt för den enskildes integritet. I den mån handlingarna och dokumentationen i övrigt innehåller personuppgifter får detta anses utgöra sådana säkerhetsåtgärder/skyddsåtgärder som – i enlighet med vad utredningen konstaterat i avsnitt 9.16.2 – i fråga om myndigheter inte behöver ändras med anledning av dataskyddsförordningen.
Enligt 7 kap. 3 § socialtjänstlagen gäller bestämmelserna i 11 kap.5 och 6 §§socialtjänstlagen i tillämpliga delar även i enskild verksamhet som står under Inspektionen för vård och omsorgs tillsyn enligt socialtjänstlagen. Eftersom den ursprungliga behandlingen av personuppgifter grundar sig på en arbetsuppgift av allmänt intresse
enligt artikel 6.1 e i dataskyddsförordningen, är det möjligt att med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen föreskriva om särskilda säkerhetsåtgärder/skyddsåtgärder även för enskilda (se avsnitt 9.16.2).
Bestämmelserna i 11 kap.5 och 6 §§socialtjänstlagen behöver således inte ändras med anledning av dataskyddsförordningen.
12.13.5. Information och rättelse
Utredningens bedömning: Bestämmelserna i 11 kap. 6 § andra
och tredje meningarna socialtjänstlagen om information och rättelse kan komplettera bestämmelserna i dataskyddsförordningen.
Information
Enligt 11 kap. 6 § andra meningen socialtjänstlagen bör den enskilde hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom eller henne. Om anteckningarna förs helt eller delvis automatiserat eller manuellt i ett register eller kommer att ingå i ett register, finns ett mer omfattande krav på information till den registrerade till följd av bestämmelserna i dataskyddsförordningen. Även enligt dataskyddsdirektivet finns dock krav på ytterligare information till den registrerade. I förarbetena till bestämmelsen i 11 kap. 6 § socialtjänstlagen har regeringen inte kommenterat förhållandet till personuppgiftslagen.38 I förarbetena till motsvarande bestämmelse i 21 b § lagen (1993:387) om stöd och service till vissa funktionshindrade har regeringen dock konstaterat att personuppgiftslagens bestämmelser om information till den registrerade gäller vid behandling av personuppgifter inom socialtjänsten och att det såvitt framkommit inte har medfört några problem i tillämpningen i förhållande till bestämmelser om insynsrätt m.m. enligt socialtjänstlagen. Regeringen har därför inte sett några hinder för en kompletterande bestämmelse om krav på under-
38Prop. 1996/97:124 s. 151 ff. och prop. 2000/01:80 s. 169.
rättelse i lagen om stöd och service till vissa funktionshindrade.39Samma slutsats får anses vara relevant även i förhållande till 11 kap. 6 § andra meningen socialtjänstlagen (som är en sådan bestämmelse om insynsrätt som regeringen syftar på i förarbetena till lagen om stöd och service för vissa funktionshindrade).
Bestämmelsen i 11 kap. 6 § andra meningen socialtjänstlagen, som i dagsläget kompletterar personuppgiftslagens bestämmelser om information till registrerade, kommer i stället att komplettera motsvarande bestämmelser i dataskyddsförordningen. Regeringens slutsats om att kompletterande bestämmelser inte har medfört några problem i tillämpningen har då motsvarande relevans och bestämmelsen kan därför kvarstå oförändrad.
Rättelse
I 11 kap. 6 § tredje meningen socialtjänstlagen anges att om den enskilde anser att någon uppgift i dokumentationen är oriktig, ska detta antecknas.
Enligt artikel 16 i dataskyddsförordningen införs en ny rätt för registrerade. Med beaktande av ändamålet med behandlingen, ska den registrerade nämligen ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande. Bestämmelsen i 11 kap. 6 § tredje meningen socialtjänstlagen utgör möjligen en utvidgning av den registrerades rättigheter i förhållande till dataskyddsförordningens bestämmelser. Medlemsstaterna tillåts emellertid att införa mer specifika bestämmelser i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen. Att på detta sätt möjligen utvidga den registrerades rätt att få sina synpunkter på behandlingen antecknade får därmed anses förenligt med dataskyddsförordningen. Bestämmelsen i 11 kap. 6 § tredje meningen socialtjänstlagen behöver därmed inte heller ändras med anledning av dataskyddsförordningen.
12.13.6. Uppgiftsskyldigheter
Utredningens bedömning: Uppgiftsskyldigheter i socialtjänst-
lagen och socialtjänstförordningen behöver inte ändras med anledning av dataskyddsförordningen.
I 2 kap. 6 § andra stycket, 2 a kap. 12 §, 11 kap. 11–11 c §§40 och 12 kap.5–10 §§socialtjänstlagen samt 4 kap. 3 c §, 6 kap. 2 § tredje stycket och 7 kap. 1 § tredje stycketsocialtjänstförordningen föreskrivs olika uppgiftsskyldigheter. Regeringen får enligt vissa av bestämmelserna meddela föreskrifter om vilka uppgifter som ska lämnas ut.
Utredningen har i fråga om uppgiftsskyldigheter i avsnitt 9.21 konstaterat att bestämmelser om uppgiftsskyldighet är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på dessa områden och inte heller att föreskriftsrätten delegeras. Det finns därmed inget behov av att ändra bestämmelserna med anledning av dataskyddsförordningen. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
12.13.7. Gallring
Utredningens bedömning: Bestämmelser om bevarande och gall-
ring i socialtjänstlagen behöver inte ändras med anledning av dataskyddsförordningen.
I 7 kap.3–6 §§ och 12 kap.1 och 2 §§socialtjänstlagen finns det bestämmelser om bevarande och gallring. I 7 kap. 2 § socialtjänstförordningen finns det ett förtydligande av vad som gäller enligt 7 kap. 3 a § andra stycket och 12 kap. 2 § tredje stycketsocialtjänstlagen.
Utredningen har i avsnitt 9.17.2 fastslagit att bestämmelser i registerförfattningar om bevarande och gallring inte behöver ändras
4011 kap. 11 c § socialtjänstlagen upphör att gälla den 1 januari 2018, se SFS 2017:590.
i sak under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Eftersom den verksamhet som bedrivs enligt socialtjänstlagen grundar sig på en arbetsuppgift av allmänt intresse, är någon förändring av bestämmelserna i 7 kap.3– 6 §§ och 12 kap.1 och 2 §§socialtjänstlagen respektive 7 kap. 2 § socialtjänstförordningen inte nödvändig.
12.14. Lagen (1993:387) om stöd och service till vissa funktionshindrade och förordningen (1993:1090) om stöd och service till vissa funktionshindrade
12.14.1. Inledning
Lagen om stöd och service till vissa funktionshindrade och den tillhörande förordningen innehåller – utöver bl.a. bestämmelser om insatser till vissa funktionshindrade – bestämmelser om dokumentation, säkerhetsåtgärder, information, rättelse, uppgiftsskyldighet, register och gallring av uppgifter. Dessa bestämmelser är tillämpliga på såväl personuppgifter som andra uppgifter och oavsett om dokumentationen sker automatiserat eller manuellt. I den del bestämmelserna tillämpas på helt eller delvis automatiserad behandling av personuppgifter eller manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register omfattas behandlingen av tillämpningsområdet för dataskyddsförordningen och lagen (2001:454) respektive förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten. Nedan görs en analys av om dessa bestämmelser behöver anpassas till dataskyddsförordningen.
12.14.2. Krav på dokumentation
Utredningens bedömning: Bestämmelsen om dokumentation i
21 a § första stycket lagen om stöd och service till vissa funktionshindrade kan och bör behållas.
Enligt 21 a § första stycket lagen om stöd och service till vissa funktionshindrade ska handläggning av ärenden som rör enskilda samt genomförande av beslut om insatser enligt samma lag dokumenteras. Dokumentationen ska utvisa beslut och åtgärder som vidtas i ärendet samt faktiska omständigheter och händelser av betydelse.
Stöd för den behandling av personuppgifter som dokumentationen innebär finns i ändamålet i 12 § första stycket 4 förordningen om behandling av personuppgifter inom socialtjänsten, som i sin tur har stöd i artikel 6.1 e i dataskyddsförordningen. I den mån behandlingen avser känsliga personuppgifter, finns stöd i 7 § första stycket 2 och andra stycket lagen om behandling av personuppgifter inom socialtjänsten, som i sin tur har stöd i artikel 9.2 g i dataskyddsförordningen. Stöd för behandling av uppgifter om lagöverträdelser finns i 7 § första stycket 3 och andra stycket lagen om behandling av personuppgifter inom socialtjänsten och artikel 10 i dataskyddsförordningen. Se mer om lagligt stöd för socialtjänstens behandling av personuppgifter i avsnitt 10.9.5 och 10.10.4.
Utredningen bedömer således att behandling av personuppgifter – inklusive behandling av känsliga personuppgifter och uppgifter om lagöverträdelser – för ändamål som anges i lagen om stöd och service till vissa funktionshindrade (dokumentation), har lagligt stöd i dataskyddsförordningen och lagen respektive förordningen om behandling av personuppgifter inom socialtjänsten. Bestämmelsen i 21 a § första stycket lagen om stöd och service till vissa funktionshindrade kan och bör därmed behållas.
12.14.3. Säkerhetsåtgärder
Utredningens bedömning: Bestämmelserna i 21 a § andra stycket
och 21 b § lagen om stöd och service till vissa funktionshindrade behöver inte ändras med anledning av dataskyddsförordningen.
Av 21 a § andra stycket lagen om stöd och service till vissa funktionshindrade framgår att handlingar som rör enskildas personliga förhållanden ska förvaras så att obehöriga inte får tillgång till dem. Enligt 21 b § första meningen samma lag ska dokumentationen utformas med respekt för den enskildes integritet. I den mån handlingarna och dokumentationen i övrigt innehåller personuppgifter får detta anses utgöra sådana säkerhetsåtgärder som – i enlighet med vad utredningen konstaterat i avsnitt 9.16.2 – i fråga om myndigheter inte behöver ändras med anledning av dataskyddsförordningen.
Enligt 23 a § första meningen lagen om stöd och service till vissa funktionshindrade gäller bestämmelserna i 21 a och 21 b §§ i tillämpliga delar även i enskild verksamhet. Eftersom den ursprungliga behandlingen av personuppgifter grundar sig på en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen, är det möjligt att med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen föreskriva om särskilda säkerhetsåtgärder/skyddsåtgärder även för enskilda (se avsnitt 9.16.2).
12.14.4. Information och rättelse
Utredningens bedömning: Bestämmelserna i 21 b § andra och
tredje meningarna lagen om stöd och service till vissa funktionshindrade om information och rättelse kan komplettera bestämmelserna i dataskyddsförordningen.
Information
Enligt 21 b § andra meningen lagen om stöd och service till vissa funktionshindrade bör den enskilde hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom
eller henne. Om anteckningarna förs helt eller delvis automatiserat eller manuellt i ett register eller kommer att ingå i ett register, finns ett mer omfattande krav på information till den registrerade till följd av bestämmelserna i dataskyddsförordningen. Även enligt dataskyddsdirektivet finns dock krav på ytterligare information till den registrerade. I förarbetena till bestämmelsen i 21 b § lagen om stöd och service till vissa funktionshindrade har regeringen konstaterat att personuppgiftslagens bestämmelser om information till den registrerade gäller vid behandling av personuppgifter inom socialtjänsten och att det såvitt framkommit inte har medfört några problem i tillämpningen i förhållande till bestämmelser om insynsrätt m.m. enligt socialtjänstlagen (2001:453). Regeringen har därför inte sett några hinder för en kompletterande bestämmelse om krav på underrättelse i lagen om stöd och service till vissa funktionshindrade.41
Bestämmelsen i 21 b § andra meningen lagen om stöd och service till vissa funktionshindrade, som i dagsläget kompletterar personuppgiftslagens bestämmelser om information till registrerade, kommer i stället att komplettera motsvarande bestämmelser i dataskyddsförordningen. Regeringens slutsats om att kompletterande bestämmelser inte har medfört några problem i tillämpningen har då motsvarande relevans och bestämmelsen kan därför kvarstå oförändrad.
Rättelse
I 21 b § tredje meningen lagen om stöd och service till vissa funktionshindrade anges att om den enskilde anser att någon uppgift i dokumentationen är oriktig, ska detta antecknas.
Enligt artikel 16 i dataskyddsförordningen införs en ny rätt för registrerade. Med beaktande av ändamålet med behandlingen, ska den registrerade nämligen ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande. Bestämmelsen i 21 b § tredje meningen lagen om stöd och service utgör möjligen en utvidgning av den registrerades rättigheter i förhållande till dataskyddsförordningens bestämmelser. Medlems-
staterna tillåts emellertid att införa mer specifika bestämmelser i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen. Att på detta sätt möjligen utvidga den registrerades rätt att få sina synpunkter på behandlingen antecknade får därmed anses förenligt med dataskyddsförordningen. Bestämmelsen i 21 b § tredje meningen lagen om stöd och service till vissa funktionshindrade behöver därmed inte heller ändras med anledning av dataskyddsförordningen.
12.14.5. Uppgiftsskyldighet
Utredningens bedömning: Bestämmelsen i 15 a § lagen om stöd
och service till vissa funktionshindrade behöver inte ändras med anledning av dataskyddsförordningen.
I 15 a § lagen om stöd och service till vissa funktionshindrade anges att kommunen ska lämna ut vissa personuppgifter beträffande enskilda till Socialstyrelsen för framställning av officiell statistik. Regeringen meddelar föreskrifter om vilka uppgifter som ska lämnas ut.
I enlighet med vad som anges i avsnitt 9.21 är det utredningens bedömning att bestämmelser om uppgiftsskyldighet är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. Bestämmelsen behöver således inte ändras med anledning av dataskyddsförordningen. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
12.14.6. Register över verksamheter
Skyldighet att föra register
Utredningens bedömning: Bestämmelsen om skyldighet att föra
register i 11 b § förordningen om stöd och service till vissa funktionshindrade kan behållas.
Enligt 11 b § förordningen om stöd och service till vissa funktionshindrade ska Inspektionen för vård och omsorg föra ett register över dem som har tillstånd att bedriva enskild verksamhet och dem som har anmält verksamhet enligt 23 § lagen om stöd och service till vissa funktionshindrade.
Dataskyddsförordningen påverkar inte möjligheten att ålägga någon att föra ett visst register. Behandlingen av personuppgifter i registret måste dock utföras med beaktande av dataskyddsförordningens bestämmelser. Bestämmelsen kan därmed behållas.
Om registret innehåller uppgifter om personer med vård- och omsorgsbehov (jämför 7 och 8 §§ förordningen om stöd och service till vissa funktionshindrade) finns stöd för behandling av personuppgifter i 12 § första stycket 4 förordningen om behandling av personuppgifter inom socialtjänsten. För behandling av känsliga personuppgifter finns stöd i 7 § första stycket 2 och andra stycket lagen om behandling av personuppgifter inom socialtjänsten. Se mer om bestämmelserna i lagen respektive förordningen om behandling av personuppgifter inom socialtjänsten och deras förenlighet med dataskyddsförordningen i avsnitt 10.9.5 och 10.10.4.
Direktåtkomst
Utredningens bedömning: Bestämmelserna om direktåtkomst i
11 c § och 11 d § andra stycket förordningen om stöd och service till vissa funktionshindrade behöver inte ändras med anledning av dataskyddsförordningen.
Av 11 c § förordningen om stöd och service till vissa funktionshindrade framgår att Inspektionen för vård och omsorg under vissa förutsättningar ska låta Socialstyrelsen ha direktåtkomst till det register som avses i 11 b § förordningen om stöd och service till vissa funktionshindrade. Socialstyrelsen har enligt 11 d § andra stycket rätt att ta del av uppgifterna genom direktåtkomst.
Av avsnitt 9.16.2 framgår att bestämmelser om direktåtkomst är säkerhetsåtgärder som utan hinder av dataskyddsförordningen kan åläggas myndigheter. Bestämmelsen i 11 c § förordningen om stöd och service till vissa funktionshindrade behöver således inte ändras med anledning av dataskyddsförordningen.
Uppgiftsskyldighet
Utredningens bedömning: Bestämmelsen om skyldighet att
lämna ut uppgifter i 11 d § första stycket förordningen om stöd och service till vissa funktionshindrade behöver inte ändras med anledning av dataskyddsförordningen.
Av 11 d § första stycket förordningen om stöd och service till vissa funktionshindrade framgår att Inspektionen för vård och omsorg under vissa förutsättningar ska lämna ut uppgifterna i registret till Socialstyrelsen.
Av avsnitt 9.21 framgår att befintliga uppgiftsskyldigheter är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelsen i 11 d § första stycket förordningen om stöd och service till vissa funktionshindrade behöver således inte ändras med anledning av dataskyddsförordningen. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
12.14.7. Gallring
Utredningens bedömning: Bestämmelser om bevarande och gall-
ring i lagen om stöd och service till vissa funktionshindrade och förordningen om stöd och service till vissa funktionshindrade behöver inte ändras med anledning av dataskyddsförordningen.
I 21 c, 21 d och 23 a–23 e §§ lagen om stöd och service till vissa funktionshindrade finns bestämmelser om bevarande och gallring. I 12 § förordningen om stöd och service till vissa funktionshindrade finns ett förtydligande av vad som gäller enligt 21 d § andra stycket och 23 b § andra stycket lagen om stöd och service till vissa funktionshindrade.
Utredningen har i avsnitt 9.17.2 fastslagit att bestämmelser i registerförfattningar om bevarande och gallring inte behöver ändras i sak under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i
dataskyddsförordningen. Eftersom den verksamhet som bedrivs enligt lagen om stöd och service till vissa funktionshindrade grundar sig på en arbetsuppgift av allmänt intresse, är någon förändring av bestämmelserna i 21 c, 21 d och 23 a–23 e §§ lagen om stöd och service till vissa funktionshindrade respektive 12 § förordningen om stöd och service till vissa funktionshindrade inte nödvändig.
12.15. Förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter
Utredningens förslag: Hänvisningen till personuppgiftslagen i
1 § förordningen om skyldighet för socialnämnderna att lämna statistiska uppgifter ändras till att avse dataskyddsförordningen.
Utredningens bedömning: Bestämmelserna om uppgiftsskyldig-
het för socialnämnderna och bemyndigande att meddela föreskrifter behöver inte ändras med anledning av dataskyddsförordningen.
I 1 § förordningen om skyldighet för socialnämnderna att lämna statistiska uppgifter finns en hänvisning till personuppgiftslagen. Eftersom personuppgiftslagen upphävs när dataskyddsförordningen ska börja tillämpas, bör hänvisningen ändras till att avse dataskyddsförordningen.
De uppgiftsskyldigheter som regleras i 2 och 3 §§ förordningen om skyldighet för socialnämnderna att lämna statistiska uppgifter är, enligt den bedömning utredningen har gjort i avsnitt 9.21, lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelserna om uppgiftsskyldighet behöver alltså inte ändras med anledning av dataskyddsförordningen. Vid fullgörandet av uppgiftsskyldigheten måste dock den personuppgiftsansvarige iaktta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
Enligt 4 § förordningen om skyldighet för socialnämnderna att lämna statistiska uppgifter får Socialstyrelsen, efter samråd med Sveriges Kommuner och Landsting, meddela närmare föreskrifter om uppgiftslämnandet enligt förordningen. Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och
inte heller att föreskriftsrätten delegeras. Det finns således inget behov av att ändra bestämmelsen med anledning av dataskyddsförordningen.
12.16. Förordningen (2010:425) om ersättning för kostnader för sjuklön
Utredningens bedömning: Bestämmelsen i 3 § förordningen
om ersättning för kostnader för sjuklön behöver inte ändras med anledning av dataskyddsförordningen.
I 3 § förordningen om ersättning för kostnader för sjuklön anges att beslut om ersättning enligt 17 § lagen (1991:1047) om sjuklön får fattas genom automatiserad behandling av Försäkringskassan när skälen för beslutet får utelämnas enligt 20 § första stycket 1 förvaltningslagen (1986:223).
Det automatiserade beslutsfattande som avses i bestämmelsen inkluderar inte profilering, som enligt definitionen i artikel 4.4 i dataskyddsförordningen är varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar. Det aktuella förfarandet påverkas därför, i enlighet med vad utredningen angett i avsnitt 9.15.1 om automatiserat och individuellt beslutsfattande, inte av vad som anges i artikel 22 i dataskyddsförordningen. Den behandling av personuppgifter som sker genom beslutsfattandet omfattas av bestämmelserna i 114 kap. socialförsäkringsbalken. Bestämmelsen i 3 § förordningen om ersättning för kostnader för sjuklön behöver därmed inte ändras med anledning av dataskyddsförordningen.
12.17. Förordningen (1998:562) med vissa bemyndiganden för Försäkringskassan
Utredningens bedömning: Bemyndigandena i 2 § 2 och 8 för-
ordningen med vissa bemyndiganden för Försäkringskassan behöver inte ändras med anledning av dataskyddsförordningen.
I 2 § 2 förordningen med vissa bemyndiganden för Försäkringskassan ges Försäkringskassan möjlighet att meddela föreskrifter om att uppgifter om sjukdomsfall enligt 12 § första stycket lagen (1991:1047) om sjuklön får lämnas genom automatiserad behandling.
Enligt 12 § första stycket lagen om sjuklön ska arbetsgivaren till Försäkringskassan anmäla sjukdomsfall som har gett arbetstagare hos honom rätt till sjuklön, om sjukperioden och anställningen fortsätter efter sjuklöneperiodens utgång. Anmälan ska innehålla uppgifter om bl.a. arbetstagarens personnummer eller samordningsnummer och det datum när sjuklöneperioden började. De uppgifter som ska lämnas till Försäkringskassan utgör således delvis uppgifter om hälsa, dvs. känsliga personuppgifter.
Om uppgifterna lämnas automatiserat, medför det en behandling av personuppgifter som omfattas av dataskyddsförordningens tillämpningsområde. Stöd för behandlingen av personuppgifter finns i artikel 6.1 c i dataskyddsförordningen, eftersom arbetsgivaren har en rättslig skyldighet att lämna uppgifterna. Behandlingen av känsliga personuppgifter enligt förordningen med vissa bemyndiganden för Försäkringskassan får enligt utredningens bedömning i vart fall anses nödvändig av hänsyn till ett viktigt allmänt intresse – en fungerande administration av socialförsäkringen. Behandling av känsliga personuppgifter är därmed tillåten med stöd av undantaget i artikel 9.2 g i dataskyddsförordningen.
Det finns således inget hinder mot att meddela föreskrifter om att arbetsgivare får lämna uppgifter till Försäkringskassan genom automatiserad behandling. Detta förutsätter naturligtvis att bl.a. kraven på skyddsåtgärder enligt artikel 9.2 g i dataskyddsförordningen iakttas. Dataskyddsförordningen hindrar inte heller att föreskriftsrätten delegeras. Bestämmelsen i 2 § 2 förordningen med
vissa bemyndiganden för Försäkringskassan behöver därmed inte ändras.
Enligt 2 § 8 förordningen med vissa bemyndiganden för Försäkringskassan får Försäkringskassan också meddela föreskrifter om i vilken utsträckning en enskild inom Försäkringskassans verksamhetsområde får använda självbetjäningstjänster enligt 111 kap. 4 § socialförsäkringsbalken samt om användningen av elektroniska underskrifter, certifikat och andra metoder för identifiering enligt 5 och 6 §§ samma kapitel. Detta bemyndigande avser bestämmelser om säkerhetsåtgärder. Dataskyddsförordningen hindrar inte att föreskrifter meddelas i fråga om säkerhetsåtgärder och inte heller att föreskriftsrätten delegeras. Bestämmelsen i 2 § 8 förordningen med vissa bemyndiganden för Försäkringskassan behöver därmed inte ändras.
12.18. Lagen (1991:1047) om sjuklön
Utredningens bedömning: Bestämmelsen i 17 c § lagen om sjuk-
lön behöver inte ändras med anledning av dataskyddsförordningen.
Av 17 c § lagen om sjuklön framgår att när Försäkringskassan har beviljat ersättning enligt 17 § ska Försäkringskassan lämna Skatteverket de uppgifter som behövs för kreditering på arbetsgivarens skattekonto, oavsett om sekretess gäller. Uppgifterna får lämnas på medium för automatiserad behandling.
I enlighet med vad som anges i avsnitt 9.21 är det utredningens bedömning att bestämmelser om uppgiftsskyldighet är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. När uppgiftsskyldigheten fullgörs automatiserat måste dock bestämmelser om dataskydd beaktas.
Försäkringskassans utlämnande av personuppgifter omfattas av regleringen i 114 kap. socialförsäkringsbalken. Av 114 kap. 9 § 1 socialförsäkringsbalken framgår att Försäkringskassan får behandla personuppgifter som behandlas för primära ändamål för att automatiserat tillhandahålla information utanför den egna myndigheten på grund av uppgiftsskyldigheter. Eventuella känsliga personuppgifter kan lämnas ut automatiserat med stöd av 114 kap. 11 § första
stycket socialförsäkringsbalken. Bestämmelserna i 114 kap. 9 § 1 och 11 § första stycket socialförsäkringsbalken har stöd i dataskyddsförordningen (avsnitt 10.13.5 och 10.13.6). En bestämmelse om att personuppgifter får lämnas på medium för automatiserad behandling får anses vara en sådan mer specifik, eller särskild, bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse enligt artikel 6.1 c eller e i dataskyddsförordningen. Det är således möjligt att föreskriva att Försäkringskassan med anledning av en uppgiftsskyldighet får lämna personuppgifter på medium för automatiserad behandling. Bestämmelsen i 17 c § lagen om sjuklön behöver därmed inte ändras med anledning av dataskyddsförordningen.
12.19. Bostadsbidragsförordningen (1993:739)
Utredningens bedömning: Bestämmelsen i 1 b § första stycket
bostadsbidragsförordningen behöver inte ändras med anledning av dataskyddsförordningen.
Av 1 b § första stycket bostadsbidragsförordningen följer att Centrala studiestödsnämnden på begäran ska lämna Försäkringskassan uppgifter om utbetalda studiemedel i form av studiebidrag, utom när det gäller den del som avser tilläggsbidrag. Uppgifterna ska lämnas på medium för automatiserad behandling.
I enlighet med vad som anges i avsnitt 9.21 är det utredningens bedömning att bestämmelser om uppgiftsskyldighet är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. När uppgiftsskyldigheten fullgörs automatiserat måste dock bestämmelser om dataskydd beaktas.
När Centrala studiestödsnämnden lämnar ut personuppgifter på medium för automatiserad behandling, omfattas behandlingen av studiestödsdatalagen (2009:287). Av 4 § andra stycket studiestödsdatalagen framgår att personuppgifter som behandlas för primära ändamål inom Centrala studiestödsnämnden även får behandlas genom att lämnas ut i den utsträckning skyldighet för Centrala studiestödsnämnden att lämna uppgifter följer av lag eller förord-
ning. Eventuella känsliga personuppgifter kan lämnas ut med stöd av 6 § andra stycket studiestödsdatalagen.42 En bestämmelse om att personuppgifter ska lämnas på medium för automatiserad behandling får anses vara en sådan mer specifik, eller särskild, bestämmelse som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen (uppgiftslämnandet grundar sig på en uppgiftsskyldighet, dvs. en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen). Det är således möjligt att föreskriva att Centrala studiestödsnämnden med stöd av uppgiftsskyldighet ska lämna personuppgifter på medium för automatiserad behandling. Bestämmelsen i 1 b § första stycket bostadsbidragsförordningen behöver därmed inte ändras med anledning av dataskyddsförordningen.
12.20. Förordningen (1996:1036) om underhållsstöd
Utredningens bedömning: Bestämmelsen i 5 § förordningen
om underhållsstöd behöver inte ändras med anledning av dataskyddsförordningen.
Av 5 § förordningen om underhållsstöd framgår att Centrala studiestödsnämnden ska, för fastställande av underhållsstöd och betalningsskyldighet, på medium för automatiserad behandling lämna Försäkringskassan uppgift om studiemedel i form av studiebidrag som har betalats ut till någon av föräldrarna. Uppgiften ska inte innefatta tilläggsbidrag.
I enlighet med vad som anges i avsnitt 9.21 är det utredningens bedömning att bestämmelser om uppgiftsskyldighet är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. När uppgiftsskyldigheten fullgörs automatiserat måste dock bestämmelser om dataskydd beaktas.
När Centrala studiestödsnämnden lämnar ut personuppgifter på medium för automatiserad behandling, omfattas behandlingen av studiestödsdatalagen (2009:287). Av 4 § andra stycket studiestödsdatalagen framgår att personuppgifter som behandlas för primära
42 I SOU 2017:49 har föreslagits ett nytt andra stycke i 6 § studiestödsdatalagen. Nuvarande 6 § andra stycket studiestödslagen blir enligt förslaget i stället 6 § tredje stycket studiestödsdatalagen.
ändamål inom Centrala studiestödsnämnden även får behandlas genom att lämnas ut i den utsträckning skyldighet för Centrala studiestödsnämnden att lämna uppgifter följer av lag eller förordning. Eventuella känsliga personuppgifter kan lämnas ut med stöd av 6 § andra stycket studiestödsdatalagen.43 En bestämmelse om att personuppgifter ska lämnas på medium för automatiserad behandling får anses vara en sådan mer specifik, eller särskild, bestämmelse som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen (uppgiftslämnandet grundar sig på en uppgiftsskyldighet, dvs. en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen). Det är således möjligt att föreskriva att Centrala studiestödsnämnden med stöd av uppgiftsskyldighet ska lämna personuppgifter på medium för automatiserad behandling. Bestämmelsen i 5 § förordningen om underhållsstöd behöver därmed inte ändras med anledning av dataskyddsförordningen.
12.21. Förordningen (1998:1340) om inkomstgrundad ålderspension
Utredningens bedömning: Bestämmelserna i 4 och 5 §§ förord-
ningen om inkomstgrundad ålderspension behöver inte ändras med anledning av dataskyddsförordningen.
Av 4 § förordningen om inkomstgrundad ålderspension framgår att Pensionsmyndigheten ska underrätta Skatteverket om anmälan om överföring eller upphörande av överföring av pensionsrätt enligt 61 kap.11–16 §§socialförsäkringsbalken. Uppgifterna får lämnas på medium för automatiserad behandling. Enligt 5 § förordningen om inkomstgrundad ålderspension får även uppgifter som Totalförsvarets rekryteringsmyndighet ska lämna till Pensionsmyndigheten enligt 110 kap. 35 § första stycket socialförsäkringsbalken lämnas på medium för automatiserad behandling.
I enlighet med vad som anges i avsnitt 9.21 är det utredningens bedömning att bestämmelser om uppgiftsskyldighet är lika tillåtna
43 I SOU 2017:49 har föreslagits ett nytt andra stycke i 6 § studiestödsdatalagen. Nuvarande 6 § andra stycket studiestödslagen blir enligt förslaget i stället 6 § tredje stycket studiestödsdatalagen.
enligt dataskyddsförordningen som enligt dataskyddsdirektivet. När uppgiftsskyldigheten fullgörs automatiserat måste dock bestämmelser om dataskydd beaktas.
Pensionsmyndighetens utlämnande av personuppgifter omfattas av regleringen i 114 kap. socialförsäkringsbalken. Av 114 kap. 9 § 1 socialförsäkringsbalken framgår att Pensionsmyndigheten får behandla personuppgifter som behandlas för primära ändamål för att automatiserat tillhandahålla information utanför den egna myndigheten på grund av uppgiftsskyldigheter. Eventuella känsliga personuppgifter kan lämnas ut automatiserat med stöd av 114 kap. 11 § första stycket socialförsäkringsbalken. Bestämmelserna i 114 kap. 9 § 1 och 11 § första stycket socialförsäkringsbalken har stöd i dataskyddsförordningen (avsnitt 10.13.5 och 10.13.6).
Lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga, som omfattar utlämnande av personuppgifter från Totalförsvarets rekryteringsmyndighet, anger endast primära ändamål (5 §). Det är inte angett för vilka ändamål personuppgifter kan lämnas ut och det finns ingen hänvisning till finalitetsprincipen (9 § första stycket d och andra stycket personuppgiftslagen), men det framgår av 4 § att personuppgiftslagen ska tillämpas om inget annat följer av lagen. I lagens förarbeten förs ett resonemang om att utlämnande av personuppgifter är en behandling enligt personuppgiftslagen och att den därför inte får ske om det är oförenligt med de ändamål som angavs vid insamlandet.44 Avsikten torde därmed ha varit att finalitetsprincipen ska kunna tillämpas. Det får förutsättas att det, när 5 § förordningen om inkomstgrundad ålderspension infördes, bedömdes förenligt med finalitetsprincipen och lagen om behandling av personuppgifter om totalförsvarspliktiga att lämna ut de aktuella uppgifterna automatiserat.45 Utlämnandet avser inte några känsliga personuppgifter (se 110 kap. 35 § första stycket och 60 kap. 17 §socialförsäkringsbalken).
Bestämmelser om att personuppgifter får lämnas ut på medium för automatiserad behandling får anses vara sådana mer specifika, eller särskilda, bestämmelser som är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen (uppgiftslämnandet grundar sig på en
44Prop. 1997/98:80 s. 70. 45 Lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga är föremål för översyn av Utredningen om behandlingen av personuppgifter om totalförsvarspliktiga (Fö 2016:01). Eventuella ändringar i lagen bör beaktas i det fortsatta lagstiftningsarbetet.
uppgiftsskyldighet, dvs. en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen). Det är således möjligt att föreskriva att de aktuella uppgifterna får lämnas ut på medium för automatiserad behandling. Bestämmelserna i 4 och 5 §§ förordningen om inkomstgrundad ålderspension behöver därmed inte ändras med anledning av dataskyddsförordningen.
12.22. Förordningen (2008:193) om statligt tandvårdsstöd
Utredningens bedömning: Bestämmelserna i 17 och 19 a §§ för-
ordningen om statligt tandvårdsstöd behöver inte ändras med anledning av dataskyddsförordningen.
Av 17 § första stycket förordningen om statligt tandvårdsstöd framgår att uppgifter, som vårdgivaren ska lämna enligt uppgiftsskyldigheter i 15 och 16 §§ samt i ansökan om förhandsprövning och ansökan om ersättning enligt lagen (2008:145) om statligt tandvårdsstöd, ska lämnas på elektronisk väg. Enligt 19 a § förordningen om statligt tandvårdsstöd ska Försäkringskassan lämna uppgifter till Tandvårds- och läkemedelsförmånsverket. Uppgifterna får lämnas på medium för automatiserad behandling.
I enlighet med vad som anges i avsnitt 9.21 är det utredningens bedömning att bestämmelser om uppgiftsskyldighet är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. När uppgiftsskyldigheten fullgörs automatiserat måste dock bestämmelser om dataskydd beaktas.
När en vårdgivare lämnar ut personuppgifter på elektronisk väg, är patientdatalagen (2008:355) tillämplig på behandlingen av personuppgifter. Enligt 2 kap. 5 § patientdatalagen får personuppgifter som behandlas för primära ändamål även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen ger också stöd för att lämna ut eventuella känsliga personuppgifter. Bestämmelsen i 2 kap. 5 § patientdatalagen har stöd i dataskyddsförordningen (avsnitt 10.1.7).
Försäkringskassans utlämnande av personuppgifter omfattas av regleringen i 114 kap. socialförsäkringsbalken. Av 114 kap. 9 § 1 socialförsäkringsbalken framgår att Försäkringskassan får behandla
personuppgifter som behandlas för primära ändamål för att automatiserat tillhandahålla information utanför den egna myndigheten på grund av uppgiftsskyldigheter. Eventuella känsliga personuppgifter kan lämnas ut automatiserat med stöd av 114 kap. 11 § första stycket socialförsäkringsbalken. Bestämmelserna i 114 kap. 9 § 1 och 11 § första stycket socialförsäkringsbalken har stöd i dataskyddsförordningen (avsnitt 10.13.5 och 10.13.6).
En bestämmelse om att personuppgifter ska lämnas ut på elektronisk väg alternativt medium för automatiserad behandling får anses vara en sådan mer specifik, eller särskild, bestämmelse som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Det är således möjligt att föreskriva att vårdgivare respektive Försäkringskassan med stöd av en uppgiftsskyldighet ska lämna ut personuppgifter på elektronisk väg respektive på medium för automatiserad behandling. Bestämmelserna i 17 och 19 a §§ förordningen om statligt tandvårdsstöd behöver därmed inte ändras med anledning av dataskyddsförordningen.
13. Författningar med uppgiftsskyldigheter
Utredningens bedömning: Befintliga uppgiftsskyldigheter är lika
tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet och bör inte ändras.
Inom Socialdepartementets verksamhetsområde finns det en stor mängd författningar som reglerar uppgiftsskyldigheter. Det handlar om författningar som enbart gäller skyldigheten att lämna uppgifter, t.ex. förordningen (1980:995) om skyldighet för Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra myndigheter, förordningen (2004:16) om utlämnande av uppgifter som avser stöd och service till vissa funktionshindrade och förordningen (2008:975) om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453), men även om författningar som innehåller bl.a. en eller flera bestämmelser om uppgiftsskyldigheter, t.ex. tandvårdsförordningen (1998:1338), lagen (2007:606) om utredningar avseende vissa dödsfall och lagen (2008:145) om statligt tandvårdsstöd.
Utan att redogöra för varje enskild bestämmelse konstaterar utredningen, i enlighet med vad som framgår av avsnitt 9.21, att befintliga uppgiftsskyldigheter är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet och att de inte bör ändras med anledning av dataskyddsförordningen. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
14. Obsoleta författningar
14.1. Förordningen (1994:565) om vårdnadsbidragsregister
Utredningens förslag: Förordningen om vårdnadsbidrag bör inte
anpassas till dataskyddsförordningen utan i stället upphävas.
Den 1 juli 1994 trädde lagen (1994:553) om vårdnadsbidrag i kraft. Vårdnadsbidrag skulle enligt lagen handläggas av Riksförsäkringsverket och de allmänna försäkringskassorna. Eftersom lagen (1994:1517) om socialförsäkringsregister krävde att regeringen utfärdade en förordning för att Riksförsäkringsverket och de allmänna försäkringskassorna skulle få föra ett s.k. personregister som användes för handläggning av förmåner, utfärdade regeringen en ny förordning (1994:565) om vårdnadsbidragsregister.
Lagen om vårdnadsbidrag upphävdes den 1 januari 1995 (SFS 1994:1567). Enligt övergångsbestämmelser gäller den upphävda lagen dock fortfarande i fråga om ärenden om vårdnadsbidrag som kommit in till Försäkringskassan före den 1 januari 1995 och som avser tid före nämnda datum. Förordningen om vårdnadsbidragsregister upphävdes inte i anslutning till att lagen om vårdnadsbidrag upphävdes och kommenterades inte heller i förarbetena.1
Enligt 9 § förordningen om vårdnadsbidragsregister ska registerinformation som inte behövs för handläggning av ett ärende om vårdnadsbidrag gallras under tredje kalenderåret efter det att uppgiften registrerades. Kontrolluppgift om utbetalda bidrag ska gallras efter tio år.
Den 1 januari 1998 trädde en ändring i förordningen om vårdnadsbidragsregister i kraft. Ändringen innebar att ytterligare uppgifter – som behövs för att beräkna och redovisa skatteavdrag enligt skattebetalningslagen (1997:483) – får registreras i vårdnadsbidragsregistret. Detta antyder att registret och förordningen, tre år efter att vårdnadsbidraget avskaffats, fortfarande användes. Ändringen kommenterades inte i förarbetena.2
Därefter har inga ytterligare ändringar gjorts i förordningen om vårdnadsbidragsregister. Förordningen uppdaterades t.ex. inte när datalagen (1973:289) upphävdes och personuppgiftslagen trädde i kraft i oktober 1998, när Riksförsäkringsverket och de allmänna försäkringskassorna slogs ihop till en myndighet i januari 2005 eller när skattebetalningslagen upphävdes i januari 2012.
Lagen om socialförsäkringsregister upphävdes den 1 januari 1998 och sedan dess har det inte funnits något krav på en särskild förordning för socialförsäkringsregister. Socialförsäkringsregisterlagen gällde 1 januari 1998–1 december 2003 och var tillämplig på personregister för sådan verksamhet i fråga om socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen ankommer på de allmänna försäkringskassorna, Premiepensionsmyndigheten eller Riksförsäkringsverket (socialförsäkringsregister). Förordningen om vårdnadsbidragsregister omnämndes inte i förarbetena till socialförsäkringsregisterlagen.3 Lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration gällde 1 december 2003– 1 januari 2011 och var tillämplig på behandling av personuppgifter i verksamhet som gäller socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten (socialförsäkringens administration). Förordningen om vårdnadsbidragsregister omnämndes inte heller i förarbetena till denna lag.4 Från och med januari 2011 omfattas motsvarande behandling av personuppgifter av 114 kap. socialförsäkringsbalken.
Den 1 juli 2008 trädde en ny lag om vårdnadsbidrag i kraft – lagen (2008:307) om kommunalt vårdnadsbidrag. Den här gången var det
2Prop. 1996/97:100. 3Prop. 1996/97:155. 4Prop. 2002/03:135.
dock inte Försäkringskassan som ansvarade för handläggningen utan kommunerna. Lagen upphävdes vid utgången av januari 2016.
Sammantaget konstaterar utredningen att förordningen om vårdnadsbidragsregister är obsolet och kan upphävas.
14.2. Förordningen (1998:156) med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister
Utredningens förslag: Förordningen med bemyndigande för
Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister bör inte anpassas till dataskyddsförordningen utan i stället upphävas.
Socialförsäkringsregisterlagen (1997:934) trädde i kraft den 1 januari 1998. Av 22 § framgår att regeringen eller den myndighet regeringen bestämmer får meddela säkerhetsföreskrifter för socialförsäkringsregister. Ett halvår senare utfärdade regeringen förordningen (1998:156) med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister.
Socialförsäkringsregisterlagen upphävdes den 1 december 2003 och ersattes av lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration, som i sin tur ersattes av 114 kap. socialförsäkringsbalken den 1 januari 2011. Såväl lagen om behandling av personuppgifter inom socialförsäkringens administration som socialförsäkringsbalken innehåller bemyndiganden som motsvarar bemyndigandet i 22 § socialförsäkringsregisterlagen. Regeringen har dock i 8 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration bemyndigat Försäkringskassan att meddela föreskrifter rörande olika säkerhetsaspekter. Försäkringskassan har utfärdat sådana föreskrifter i Riksförsäkringsverkets föreskrifter (RFFS 2004:1) om behandling av personuppgifter inom socialförsäkringens administration. Datainspektionen har å sin sida inga gällande föreskrifter som avser behandling av personuppgifter hos Försäkringskassan.
Sammantaget anser utredningen att förordningen med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister är obsolet och kan upphävas.
AVSLUTANDE DEL
15. Ikraftträdande och övergångsbestämmelser
15.1. Ikraftträdande
Utredningens förslag: Författningsändringarna till följd av data-
skyddsförordningen ska träda i kraft den 25 maj 2018.
Vid samma tidpunkt ska förordningen om vårdnadsbidragsregister och förordningen med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister upphöra att gälla.
Författningsändringarna till följd av den föreslagna brottsdatalagen ska träda i kraft den 1 maj 2018.
Dataskyddsförordningen träder enligt artikel 99.1 i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016. Enligt artikel 99.2 i dataskyddsförordningen ska den börja tillämpas den 25 maj 2018. De författningsändringar som föranleds av att dataskyddsförordningen ska börja tillämpas bör träda i kraft vid samma tidpunkt.
Registerförfattningarna inom Socialdepartementets verksamhetsområde gäller i dag utöver personuppgiftslagen. Utredningens förslag utgår från att den författningstekniken behålls. Registerförfattningarna föreslås således gälla utöver den föreslagna dataskyddslagen, se bl.a. avsnitt 9.6. Det innebär att bestämmelserna i den föreslagna dataskyddslagen ska tillämpas om inget annat framgår av registerförfattningarna. Den valda författningstekniken bygger på att vissa bestämmelser i den generella nationella regleringen tillämpas vid sidan av registerförfattningarna. Registerförfattningarna innehåller därför inte alla bestämmelser som är nödvändiga. En förutsättning för att de författningsändringar utredningen föreslår ska
kunna träda i kraft den 25 maj 2018 är därmed att även dataskyddslagen träder i kraft vid den tidpunkten. Dataskyddsutredningen har föreslagit att dataskyddslagen ska träda i kraft den 25 maj 2018.1 Om dataskyddslagen av någon anledning inte kan träda i kraft vid den tidpunkten, bör även ikraftträdandet av de författningsändringar utredningen föreslår till följd av dataskyddsförordningen senareläggas.
Utredningen föreslår att patientdatalagen vid rättspsykiatrisk vård ska gälla utöver den föreslagna brottsdatalagen. Utredningen föreslår också att lagen om behandling av personuppgifter inom socialtjänsten och den tillhörande förordningen inte ska gälla vid sådan behandling av personuppgifter som omfattas av den föreslagna brottsdatalagen. Utredningen om 2016 års dataskyddsdirektiv har föreslagit att brottsdatalagen ska träda i kraft den 1 maj 2018.2Den föreslagna brottsdatalagen är subsidiär i förhållande till andra författningar och skulle således vika för de nuvarande bestämmelserna i de nämnda författningarna inom Socialdepartementets verksamhetsområde. De bestämmelser som utredningen föreslår med koppling till brottsdatalagen bör därför träda i kraft redan den 1 maj 2018. Om brottsdatalagen av någon anledning inte kan träda i kraft vid den föreslagna tidpunkten, bör även ikraftträdandet av de författningsändringar utredningen föreslår i denna del senareläggas.
Utredningen föreslår i avsnitt 14.1 och 14.2 att förordningen om vårdnadsbidragsregister och förordningen med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister ska upphävas. Dessa förslag lämnas mot bakgrund av att författningarna bedöms vara obsoleta och har inget samband med att dataskyddsförordningen ska börja tillämpas. Det finns därför i och för sig inte något hinder mot att dessa båda förordningar upphävs före den 25 maj 2018, men utredningen har ändå funnit det lämpligt att de rensas ut det datumet.
15.2. Övergångsbestämmelser
Utredningens förslag: Övergångsbestämmelser med innebörden
att äldre föreskrifter fortfarande ska gälla för överklagande av beslut som har meddelats före ikraftträdandet införs till de bestämmelser om överklagande som utredningen föreslår ska upphävas. Även äldre föreskrifter om skadestånd ska fortfarande gälla om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.
Utredningens bedömning: I övrigt behövs inte några särskilda
övergångsbestämmelser utom i ett par fall, vilket framgår av de avsnitt som avser respektive författning.
15.2.1. Regleringen i dataskyddsförordningen
Dataskyddsförordningen ska som anges ovan börja tillämpas först två år efter det att den har trätt i kraft. I övrigt innehåller dataskyddsförordningen inte några övergångsbestämmelser. I skäl 171 till dataskyddsförordningen anges att behandling som redan pågår den dag då dataskyddsförordningen börjar tillämpas bör bringas i överensstämmelse med dataskyddsförordningen inom en period av två år från ikraftträdandetidpunkten. De personuppgiftsansvariga förutsätts alltså ha anpassat sin behandling av personuppgifter till regleringen i dataskyddsförordningen vid den tidpunkt när den ska börja tillämpas. Det innebär t.ex. att en begäran om information i form av ett s.k. registerutdrag som kommit in men inte besvarats före den 25 maj 2018 ska hanteras enligt dataskyddsförordningens bestämmelser, inklusive bestämmelserna om när i förhållande till begäran registerutdraget senast ska lämnas. Enligt utredningens bedömning kan skäl 171 till dataskyddsförordningen dock inte anses hindra övergångsbestämmelser avseende behandling av personuppgifter som utförts före det att dataskyddsförordningen börjar tillämpas.
15.2.2. Överklagande av myndighetsbeslut
Enligt allmänna förvaltningsrättsliga principer gäller att de föreskrifter som är i kraft när prövningen hos en myndighet eller förvaltningsdomstol sker som huvudregel ska tillämpas, i fråga om både förfarandet och prövningen i sak. Detta gäller även om ett överklagat beslut har fattats före ikraftträdandet. Principen är inte undantagslös och det kan också följa av övergångsbestämmelser eller motiven till lagstiftningen att en annan ordning är avsedd.3 Utredningen konstaterar att det är lämpligt att de beslut om behandling av personuppgifter som fattas av en personuppgiftsansvarig myndighet överklagas enligt de regler som gällde när beslutet fattades.
I några av de författningar som ingått i utredningens översyn finns bestämmelser om överklagande av beslut om behandling av personuppgifter som fattats av en personuppgiftsansvarig myndighet. Överklagandebestämmelserna i lagen om behandling av personuppgifter inom socialtjänsten och lagen om biobanker i hälso- och sjukvården m.m. infördes innan det fanns överklagandebestämmelser i personuppgiftslagen och anger därför vilka beslut som får överklagas. I patientdatalagen och socialförsäkringsbalken finns bestämmelser som upplyser om att personuppgiftslagens överklagandebestämmelser ska tillämpas. Upplysningsbestämmelserna kompletteras av bestämmelser som innebär att andra beslut inte får överklagas. Utredningen föreslår i avsnitt 10.1.20, 10.9.8, 10.13.15 och 12.1.9 att överklagandebestämmelserna ska upphävas och att bestämmelser som upplyser om att det finns bestämmelser om överklagande av beslut om behandling av personuppgifter i den föreslagna dataskyddslagen ska införas i vissa fall. För att det ska bli tydligt att de äldre föreskrifterna om överklagande ska tillämpas vid överklagande av beslut som meddelats före ikraftträdandet bedömer utredningen att övergångsbestämmelser bör införas.
Dataskyddsutredningen har föreslagit en övergångsbestämmelse till dataskyddslagen med innebörden att personuppgiftslagen, personuppgiftsförordningen och föreskrifter som meddelats med stöd av dessa författningar fortfarande ska gälla för överklagande av beslut som meddelats med stöd av samma författningar.4 Ett smidigt
3RÅ 1996 ref. 57 och RÅ 1988 ref. 132. 4SOU 2017:39 s. 340–342.
alternativ till att införa särskilda övergångsbestämmelser i registerförfattningar vore förstås att låta den av Dataskyddsutredningen föreslagna övergångsbestämmelsen gälla även all annan lagstiftning som kompletterat personuppgiftslagen, dvs. även bestämmelserna i den lagstiftningen skulle ses som ”äldre föreskrifter”.
15.2.3. Skadestånd
Det anses följa av allmänna rättsgrundsatser att de skadeståndsbestämmelser som gäller vid tidpunkten för skadefallet är tillämpliga. Detta behöver alltså inte regleras i särskilda övergångsbestämmelser.5
Bestämmelsen om skadestånd i 48 § personuppgiftslagen har genom särskilda bestämmelser i registerförfattningarna gjorts tillämplig även vid behandling av personuppgifter enligt registerförfattningarna. Utredningen föreslår att dessa bestämmelser i registerförfattningarna ska upphävas i samband med att personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas (se bl.a. avsnitt 9.19.1). Skadeståndsbestämmelsen i personuppgiftslagen bör dock fortfarande gälla om den omständighet som yrkandet hänför sig till har inträffat före det att bestämmelsen upphävs.
Dataskyddsutredningen har föreslagit en övergångsbestämmelse som innebär att äldre föreskrifter – personuppgiftslagen, personuppgiftsförordningen och föreskrifter som meddelats med stöd av dessa – om skadestånd fortfarande ska gälla för skada som orsakats före dataskyddsförordningens ikraftträdande. Som skäl för detta har Dataskyddsutredningen anfört att det är lämpligt med en så tydlig reglering som möjligt, bl.a. mot bakgrund av att ett stort antal sektorsspecifika författningar innehåller hänvisningar till skadeståndsbestämmelsen i personuppgiftslagen.6 Den föreslagna övergångsbestämmelsen i dataskyddslagen omfattar enligt utredningens bedömning inte bestämmelser i registerförfattningar som innebär att skadeståndsbestämmelsen i personuppgiftslagen ska tillämpas vid brott mot bestämmelser i dessa författningar. Mot bakgrund av den föreslagna övergångsbestämmelsen till dataskyddslagen finns
5Prop. 1972:5 s. 593. 6SOU 2017:39 s. 342–343.
det en risk att det blir otydligt för tillämparen om inte övergångsbestämmelser införs även i registerförfattningarna. Utredningen föreslår därför att övergångsbestämmelser införs till de bestämmelser i registerförfattningarna som innebär att personuppgiftslagens skadeståndsbestämmelse är tillämplig på behandling av personuppgifter som sker enligt registerförfattningen. Övergångsbestämmelserna bör ange att det är tidpunkten för den omständighet som yrkandet hänför sig som är avgörande för vilka skadeståndsbestämmelser som ska tillämpas.
15.2.4. Övriga övergångsbestämmelser
I avsnitt 10.14 föreslår utredningen en övergångsbestämmelse som avser förslaget till ändring i förordningen om behandling av personuppgifter inom socialförsäkringens administration. Dessutom föreslår utredningen i avsnitt 10.15 en ändring i en befintlig övergångsbestämmelse i lagen om införande av socialförsäkringsbalken. Övervägandena framgår av de avsnitt som avser respektive författning.
I övrigt bedömer utredningen att det inte finns något behov av övergångsbestämmelser med anledning av de förslag som lämnas.
16. Konsekvenser av att utredningens förslag genomförs
16.1. Inledning
Utredningen ska enligt utredningsdirektiven redovisa förslagens konsekvenser enligt 14–15 a §§kommittéförordningen (1998:1474). Det innebär att om förslagen i betänkandet påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Även samhällsekonomiska konsekvenser i övrigt ska redovisas. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Vidare ska eventuella konsekvenser för den kommunala självstyrelsen, för brottsligheten och det brottsförebyggande arbetet, samt för sysselsättning och offentlig service i olika delar av landet redovisas. Detsamma gäller små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag, för jämställdheten mellan kvinnor och män eller för möjligheten att nå de integrationspolitiska målen. Om ett betänkande innehåller förslag till nya eller ändrade regler, ska förslagens kostnadsmässiga och andra konsekvenser anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.
Utredningen ska enligt utredningsdirektiven också redovisa förslagens konsekvenser för den personliga integriteten.
16.2. Uppdraget och de ändringar som föreslås
Utredningen har i uppdrag att analysera vilka konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde samt föreslå behövliga och lämpliga anpassningar av författningar inom verksamhetsområdet till följd av den nya förordningen. I avsnitt 7 finns det en generell redogörelse för konsekvenserna av att dataskyddsförordningen börjar tillämpas. I detta avsnitt – avsnitt 16 – tar utredningen upp konsekvenserna av utredningens förslag, om de genomförs.
Dataskyddsförordningen innehåller till stor del samma eller i vart fall liknande bestämmelser som dataskyddsdirektivet och personuppgiftslagen. Dataskyddsförordningen är dock direkt tillämplig och gäller – till skillnad från personuppgiftslagen som är subsidiär – oavsett vad som regleras i en nationell registerförfattning. Bestämmelser i nationell lagstiftning är därför tillåtna endast om det finns särskilt stöd för sådana bestämmelser i dataskyddsförordningen. En översyn och anpassning av nationell lagstiftning på området är således nödvändig för att den inte ska strida mot den direkt tillämpliga EU-förordningen.
Utgångspunkten för översynen har varit att behandling av personuppgifter som i dag är laglig ska kunna fortsätta även efter att dataskyddsförordningen börjar tillämpas den 25 maj 2018 (se avsnitt 6.1). Det är inte några ofullkomligheter i lagstiftningen, eller ifrågasatta integritetskränkningar, som har föranlett utredningsuppdraget utan enbart den kommande nya EU-regleringen av behandling av personuppgifter. De förslag till författningsändringar som utredningen lämnar avser därför att så långt det är möjligt bibehålla, dvs. varken inskränka eller utöka, befintliga möjligheter att behandla personuppgifter.
Utredningen har gått igenom samtliga bestämmelser som innehåller reglering av behandling av personuppgifter inom Socialdepartementets verksamhetsområde och föreslår ett stort antal författningsändringar som har till syfte att anpassa den svenska lagstiftningen till dataskyddsförordningen. Av utredningens överväganden framgår vilka möjligheter som finns till nationell lagstiftning på området och vilka ändringar som är nödvändiga för att regleringen ska överensstämma med dataskyddsförordningen. Utredningen har genom-
gående bedömt det vara möjligt att behålla bestämmelser vars syfte är att ge en mer preciserad eller avvikande reglering i förhållande till den generella regleringen. Ett tillägg i form av en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. I övrigt föreslås ändringar av lagteknisk karaktär eller i upplysande syfte. De flesta av förslagen är rena följder av att dataskyddsförordningen ska börja tillämpas och att personuppgiftslagen upphävs. Det gäller t.ex. förslag att upphäva hänvisningar till personuppgiftslagen och bestämmelser avseende sådant som regleras direkt i dataskyddsförordningen eller i den föreslagna dataskyddslagen. Dessa förslag, och de förslag som anger författningarnas förhållande till dataskyddsförordningen och dataskyddslagen, bidrar till att minska eventuell dubbelreglering och klargör de olika regleringarnas förhållande till varandra.
Konsekvensanalysen utgår från de förändringar som förslagen medför i relation till vad som gäller enligt nuvarande reglering, dvs. enligt befintliga registerförfattningar, övrig reglering som avser behandling av personuppgifter inom Socialdepartementets verksamhetsområde och personuppgiftslagen.
Utredningens förslag innebär att den föreslagna brottsdatalagen kommer att tillämpas vid behandling av personuppgifter i samband med verkställighet av vissa vårdpåföljder som i dag omfattas av lagen om behandling av personuppgifter inom socialtjänsten. Brottsdatalagen ska också tillämpas vid behandling av personuppgifter inom rättspsykiatrisk vård om det inte finns avvikande bestämmelser i patientdatalagen. Konsekvenserna av den föreslagna brottsdatalagen framgår av det betänkande som Utredningen om 2016 års dataskyddsdirektiv har lämnat och kommer inte att beröras här.1
16.3. Konsekvenser enligt kommittéförordningen
Utredningens bedömning: Utredningens förslag leder inte till
att möjligheten att behandla personuppgifter förändras, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Förslagen medför inte heller några ekonomiska eller andra konsekvenser.
Såväl statliga myndigheter, kommuner, landsting, företag och andra enskilda berörs av de författningar i vilka utredningen föreslår ändringar. Följden av ändringarna blir emellertid, med endast ett undantag, att möjligheten att behandla personuppgifter blir oförändrad, vilket innebär att förslagen inte medför några konsekvenser, vare sig ekonomiska eller andra.
Utredningen lämnar dock ett förslag som påverkar framför allt företag och andra enskilda. För innehavare av godkännande eller registrering för försäljning av läkemedel föreslås en begränsning av möjligheterna att behandla känsliga personuppgifter i syfte att uppfylla dataskyddsförordningens krav på skyddsåtgärder. Bestämmelsen i 3 kap. 13 § första stycket läkemedelsförordningen föreslås kompletteras med en bestämmelse som innebär att innehavare av godkännande eller registrering för försäljning, som behandlar personuppgifter som rör hälsa, inte får vidarebehandla personuppgifterna för några andra ändamål än för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Konsekvensen blir att innehavare av godkännande eller registrering för försäljning förhindras att vidarebehandla uppgifterna för andra syften än de som lagstiftaren har angett. Uppgifterna kan därmed t.ex. inte lämnas ut annat än om det följer av en skyldighet i läkemedelslagen eller läkemedelsförordningen. Den föreslagna ändringen av bestämmelsen i 3 kap. 13 § läkemedelsförordningen motsvarar enligt utredningens bedömning de behov som finns hos de aktuella företagen. Företagen får således behandla de uppgifter som de har behov av i dag även efter att dataskyddsförordningen börjar tillämpas. Inte heller detta förslag förväntas därför medföra några ekonomiska konsekvenser.
Utredningens förslag får inte några konsekvenser för den kommunala självstyrelsen eller för sysselsättning och offentlig service i olika delar av landet. Författningsförslagen är könsneutralt utfor-
made och förväntas inte få några konsekvenser för jämställdheten mellan kvinnor och män. Förslagen får inte heller i övrigt några sådana konsekvenser som avses i 14–15 a §§kommittéförordningen.
16.4. Konsekvenser för den personliga integriteten
Utredningens bedömning: Den skyddsåtgärd som föreslås in-
föras i läkemedelsförordningen innebär ett förstärkt skydd av den personliga integriteten. I övrigt medför förslagen inte några konsekvenser för den personliga integriteten.
Eftersom utredningen har eftersträvat att nuvarande ordning ska bestå (se avsnitt 6.1), medför de förslag som lämnas i huvudsak varken utökade eller inskränkta möjligheter att behandla personuppgifter. Det föreslås ingen ändring i befintliga ändamålsbestämmelser i registerförfattningar som tillåter behandling av personuppgifter, vilket innebär att det inte blir aktuellt att göra en analys i förhållande till bestämmelserna i 2 kap. 6 § andra stycket och 20 och 21 §§regeringsformen om möjligheterna att med stöd av lag göra betydande intrång i den personliga integriteten. Utredningen har i sina bedömningar utgått från tidigare avvägningar mellan integritetsskyddet och andra intressen. Förslagen får alltså i huvudsak inte några konsekvenser för den personliga integriteten.
För innehavare av godkännande eller registrering för försäljning av läkemedel föreslås dock som anges ovan en begränsning av möjligheterna att behandla känsliga personuppgifter i syfte att uppfylla dataskyddsförordningens krav på skyddsåtgärder. Förslaget motiveras av dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa att den registrerades grundläggande rättigheter och intressen uppfylls. Som anges ovan innebär förslaget att personuppgifter inte får vidarebehandlas för några andra ändamål än vad som anges i bestämmelsen. Detta förslag medför därmed ett förstärkt skydd av den personliga integriteten.
17. Författningskommentar
I kapitel 10–14 har registerförfattningarna och behovet av ändringar i dem analyserats i separata avsnitt för varje författning. Samtliga bestämmelser i registerförfattningarna gås igenom i huvudsak i den ordning de förekommer i respektive författning. Motiven för och kommentarer till föreslagna författningsändringar, ofta i form av hänvisningar till specifika avsnitt i de för flera författningar generella övervägandena i kapitel 9, framgår där. Eftersom de ändringar utredningen föreslår i huvudsak är av formell karaktär, är det inte motiverat att kommentera dessa utöver vad som framgår i de ovan angivna kapitlen. I detta kapitel – kapitel 17 – finns därför, såsom författningskommentar till respektive föreslagen ändring, endast hänvisningar till avsnittet med kommentarer till ändringen i kapitel 10–14.
Kommentarerna till bestämmelserna om ikraftträdande och övergångsbestämmelserna finns i avsnitt 15.1 respektive 15.2.
17.1. Förslaget till lag om ändring i socialförsäkringsbalken
Bestämmelse Kommentarerna finns i avsnitt
114 kap.
1 § Förslaget föranleds dels av förslag till ändring i 6 § och dels av redaktionella skäl.
6 § 10.13.3
6 a § 10.13.4
10 § 10.13.5
11 § 10.13.6
12 § 10.13.6
13 § 10.13.6
15 § 10.13.6
16 § 10.13.6
27 § 10.13.7
29 § 10.13.9
30 § 10.13.10
31 § 10.13.11
33 § 10.13.13
36 § 10.13.15
17.2. Förslaget till ändringar i förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen
Bestämmelse Kommentarerna finns i avsnitt
2 § 10.17.2
3 § 10.17.2
5 § 10.17.2
7 § 10.17.2
8 § 10.17.2
15 § 10.17.2
16 § 10.17.2
17 § 10.17.2
17.3. Förslaget till lag om ändring i lagen (1996:1156) om receptregister
Bestämmelse Kommentarerna finns i avsnitt
3 § 11.1.3
7 § 11.1.6
20 § 11.1.11
24 § 11.1.13
17.4. Förslaget till lag om ändring i lagen (1998:543) om hälsodataregister
Bestämmelse Kommentarerna finns i avsnitt
2 § 11.6.4
11 § 11.6.11
17.5. Förslaget till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
Bestämmelse Kommentarerna finns i avsnitt
1 § Förslaget föranleds av förslaget till ändring av 3 §.
3 § 10.9.1
4 § 10.9.2
7 § 10.9.5
7 a § 10.9.5
9 § 10.9.7
10 § 10.9.8
17.6. Förslaget till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.
Bestämmelse Kommentarerna finns i avsnitt
4 kap.
4 a § 12.1.4
6 kap.
2 § 12.1.7
3 § 12.1.8
7 § 12.1.9
7 a § 12.1.9
17.7. Förslaget till lag om ändring i lagen (2005:258) om läkemedelsförteckning
Bestämmelse Kommentarerna finns i avsnitt
2 § 11.3.4
4 a § 11.3.7
8 § 11.3.9
10 § 11.3.11
11 § 11.3.12
13 § 11.3.14
17.8. Förslaget till lag om ändring i lagen (2006:351) om genetisk integritet m.m.
Bestämmelse Kommentarerna finns i avsnitt
1 kap.
4 § 12.2.2
17.9. Förslaget till lag om ändring i lagen (2006:496) om blodsäkerhet
Bestämmelse Kommentarerna finns i avsnitt
5 § 12.3.2
21 § 12.3.5
17.10. Förslaget till lag om ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa
Bestämmelse Kommentarerna finns i avsnitt
12 § 12.10
17.11. Förslaget till lag om ändring i lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler
Bestämmelse Kommentarerna finns i avsnitt
8 § 12.4.2
26 § 12.4.5
17.12. Förslaget till lag om ändring i patientdatalagen (2008:355)
Bestämmelse Kommentarerna finns i avsnitt
1 kap.
1 § 10.1.1
4 § 10.1.3
5 § 10.1.3
2 kap.
5 § 10.1.7
7 § 10.1.9
7 a § 10.1.10
8 § 10.1.11
7 kap.
3 § 10.1.16
8 § 10.1.16
10 § 10.1.16
8 kap.
3 § 10.1.17
6 § 10.1.17
7 § 10.1.17
10 kap.
1 § 10.1.19
2 § 10.1.20
17.13. Förslaget till lag om ändring i apoteksdatalagen (2009:367)
Bestämmelse Kommentarerna finns i avsnitt
5 § 10.5.3
9 § 10.5.6
9 a § 10.5.7
15 § 10.5.10
16 § 10.5.11
17.14. Förslaget till lag om ändring i lagen (2010:111) om införande av socialförsäkringsbalken
Bestämmelse Kommentarerna finns i avsnitt
9 kap.
22 § 10.15
23 § 10.15
17.15. Förslaget till lag om ändring i alkohollagen (2010:1622)
Bestämmelse Kommentarerna finns i avsnitt
13 kap.
5 § 12.12.3
17.16. Förslaget till lag om ändring i lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ
Bestämmelse Kommentarerna finns i avsnitt
4 § 12.5.2
8 § 12.5.4
17.17. Förslaget till lag om ändring i lagen (2012:453) om register över nationella vaccinationsprogram
Bestämmelse Kommentarerna finns i avsnitt
3 § 11.7.2
6 § 11.7.5
12 § 11.7.10
13 § 11.7.11
17.18. Förslaget till lag om ändring i lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel
Bestämmelse Kommentarerna finns i avsnitt
4 § 10.7.2
9 § 10.7.6
9 a § 10.7.7
20 § 10.7.11
21 § 10.7.12
17.19. Förslaget till förordning om ändring i förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter
Bestämmelse Kommentarerna finns i avsnitt
1 § 12.15
17.20. Förslaget till förordning om ändring i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten
Bestämmelse Kommentarerna finns i avsnitt
1 § Förslaget föranleds av förslaget till 1 a §.
1 a § 10.10.1
2 § 10.10.2
4 § 10.10.2
12 § 10.10.5
17.21. Förslaget till förordning om ändring i förordningen (2001:707) om patientregister hos Socialstyrelsen
Bestämmelse Kommentarerna finns i avsnitt
7 § 11.6.12
17.22. Förslaget till förordning om ändring i förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen
Bestämmelse Kommentarerna finns i avsnitt
7 § 11.6.12
17.23. Förslaget till förordning om ändring i förordningen (2001:709) om cancerregister hos Socialstyrelsen
Bestämmelse Kommentarerna finns i avsnitt
7 § 11.6.12
17.24. Förslaget till förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration
Bestämmelse Kommentarerna finns i avsnitt
3 c § 10.14
8 § 10.14
17.25. Förslaget till förordning om ändring i förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen
Bestämmelse Kommentarerna finns i avsnitt
6 § 11.6.12
17.26. Förslaget till förordning om ändring i förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården
Bestämmelse Kommentarerna finns i avsnitt
6 § 11.6.12
17.27. Förslaget till förordning om ändring i förordningen (2006:196) om register över hälso- och sjukvårdspersonal
Bestämmelse Kommentarerna finns i avsnitt
2 § 11.5.2
8 § 11.5.9
9 § 11.5.10
17.28. Förslaget till förordning om ändring i förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen
Bestämmelse Kommentarerna finns i avsnitt
6 § 11.6.12
17.29. Förslaget till förordning om ändring i förordningen (2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag
Bestämmelse Kommentarerna finns i avsnitt
1 § 10.11.1
3 § 10.11.3
4 § 10.11.4
5 § 10.11.5
7 § 10.11.7
17.30. Förslaget till förordning om ändring i förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län
Bestämmelse Kommentarerna finns i avsnitt
6 § 11.6.11
17.31. Förslaget till förordning om ändring i förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet
Bestämmelse Kommentarerna finns i avsnitt
3 § 10.16.3
4 § 10.16.4
9 § 10.16.9
17.32. Förslaget till förordning om ändring i förordningen (2013:413) om kosmetiska produkter
Bestämmelse Kommentarerna finns i avsnitt
1 § 12.9.2
5 § 12.9.2
17.33. Förslaget till förordning om ändring i läkemedelsförordningen (2015:458)
Bestämmelse Kommentarerna finns i avsnitt
3 kap.
13 § 12.8.4
17.34. Förslaget till förordning om upphävande av förordningen (1994:565) om vårdnadsbidragsregister
17.35. Förslaget till förordning om upphävande av förordningen (1998:156) med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister
Referenser
Offentligt tryck
Utskottsbetänkanden
Konstitutionsutskottets betänkande 1990/91:KU11 Offentlighet,
integritet och ADB.
Propositioner
Prop. 1990/91:60om offentlighet, integritet och ADB. Prop. 1994/95:61Vårdnadsbidraget. Garantidagarna. Enskild barn-
omsorg.
Prop. 1996/97:100 Ett nytt system för skattebetalningar, m.m. Prop. 1996/97:124 Ändring i socialtjänstlagen . Prop. 1996/97:155 Enhetlig registerlagstiftning på socialförsäkrings-
området, m.m.
Prop. 1997/98:44 Personuppgiftslag. Prop. 1997/98:80 Lag om behandling av personuppgifter om total-
försvarspliktiga.
Prop. 1997/98:108 Hälsodata- och vårdregister. Prop. 1998/99:72 Rättspsykiatriskt forskningsregister. Prop. 2000/01:80 Ny socialtjänstlag m.m. Prop. 2001/02:44 Biobanker inom hälso- och sjukvården m.m. Prop. 2002/03:135 Behandling av personuppgifter inom socialförsäk-
ringens administration.
Prop. 2004/05:39 Kvalitet, dokumentation och anmälningsplikt i
lagen ( 1993:387 ) om stöd och service till vissa funktionshindrade (LSS), m.m.
Prop. 2004/05:70 Ökad patientsäkerhet på läkemedelsområdet. Prop. 2005/06:64 Genetisk integritet m.m. Prop. 2005/06:70 Ändringar i läkemedelslagstiftningen m.m. Prop. 2005/06:141 Genomförande av EG-direktivet om kvalitet och
säkerhet hos blod och blodkomponenter.
Prop. 2005/06:173 Översyn av personuppgiftslagen . Prop. 2005/06:215 Skydd mot internationella hot mot människors
hälsa.
Prop. 2007/08:96 Genomförande av EG-direktivet om mänskliga
vävnader och celler.
Prop. 2007/08:126 Patientdatalag m.m. Prop. 2008/09:145 Omreglering av apoteksmarknaden. Prop. 2009/10:138 Ökad kvalitet vid läkemedelsförskrivning. Prop. 2011/12:123 Ny ordning för nationella vaccinationsprogram. Prop. 2012/13:135 Kompletterande bestämmelser till EU-förordningen
om kosmetiska produkter.
Prop. 2012/13:163 Vissa register för forskning om vad arv och miljö
betyder för människors hälsa.
Prop. 2013/14:202 Förbättrad informationshantering avseende vissa
patienter inom hälso- och sjukvården.
Prop. 2014/15:147 Det kommunala vårdnadsbidraget avskaffas. Prop. 2015/16:82 Åtgärder för ökad folkhälsa på tobaksområdet –
genomförandet av EU:s tobaksproduktdirektiv.
Prop. 2015/16:143 Läkemedel för särskilda behov. Prop. 2015/16:156 Ändringar i lagen om tillämpning av Europeiska
unionens statsstödsregler.
Prop. 2016/17:180 En modern och rättssäker förvaltning – ny förvalt-
ningslag.
Statens offentliga utredningar
SOU 1974:90 Alkoholpolitik del 1. SOU 1997:39 Integritet ∙ Offentlighet ∙ Informationsteknik. SOU 2001:47 En handläggningslag – förfarandet hos försäkrings-
kassorna.
SOU 2006:82 Patientdatalag. SOU 2007:48 Patientdata och läkemedel m.m. SOU 2014:45 Unik kunskap genom registerforskning. SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäk-
ringen.
SOU 2014:75Automatiserade beslut – färre regler ger tydligare reglering. SOU 2015:39Myndighetsdatalagen. SOU 2017:15Kvalitet och säkerhet på apoteksmarknaden. SOU 2017:29Brottsdatalag. SOU 2017:39Ny dataskyddslag. Kompletterande bestämmelser till
EU:s dataskyddsförordning.
SOU 2017:40För dig och för alla. SOU 2017:49EU:s dataskyddsförordning och utbildningsområdet. SOU 2017:50Personuppgiftsbehandling för forskningsändamål. SOU 2017:55En ny kamerabevakningslag.
Departementsserien
Ds 2001:67 Behandling av personuppgifter i den arbetsmarknads-
politiska verksamheten.
Ds 2012:33 Ändringar med anledning av förordningen (EG)
nr 1223/2009 om kosmetiska produkter.
Ds 2016:44 Nationell läkemedelslista. Ds 2017:3 Genomförande av ICT-direktivet.
Promemorior
Socialdepartementets promemoria Upphävande av bestämmelse om
direktåtkomst, dnr S2004/07368/RS.
Kommittédirektiv
Dir. 2016:15 Dataskyddsförordningen. Dir. 2016:21 Genomförande av EU:s direktiv om skydd av person-
uppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet.
Dir. 2016:41 En ändamålsenlig reglering för biobanker. Dir. 2016:54 Tilläggsdirektiv till Utredningen om kameraöver-
vakning – brottsbekämpning och integritetsskydd (Ju 2015:14).
Dir. 2016:63 Personuppgiftsbehandling inom utbildningsområdet. Dir. 2016:65 Personuppgiftsbehandling för forskningsändamål. Dir. 2016:75 Stärkt integritet i Rättsmedicinalverkets verksamhet. Dir. 2017:67 Tilläggsdirektiv till Socialdataskyddsutredningen
(S 2016:05).
Litteratur
Lenberg, Eva, Geijer, Ulrika och Tansjö, Anna, Offentlighets- och
sekretesslagen – En kommentar (1 juli 2016, Zeteo).
Öman, Sören och Lindblom, Hans-Olof, Personuppgiftslagen
– En kommentar (15 september 2016, Zeteo).
Domar
EU-domstolens dom av den 15 juli 1964, Costa 6/64, EU:C:1964:66. EU-domstolens dom av den 17 december 1970, Internationale
Handelsgesellschaft 11/70, EU:C:1970:114. EU-domstolens dom av den 7 februari 1973, kommissionen mot
Italien 39/72, EU:C:1973:13.
EU-domstolens dom av den 2 februari 1977, Amsterdam Bulb
50/76, EU:C:1977:13. EU-domstolens dom av den 9 mars 1978, Simmenthal 106/77,
EU:C:1978:49. EU-domstolens dom av den 20 maj 2003, Österreichischer Rundfunk
m.fl. C-465/00, C-138/01 och C-139/01, EU:C:2003:294. EU-domstolens dom av den 16 december 2008, Huber C-524/06,
EU:C:2008:724.
Övrigt
Artikel 29-gruppens yttrande 15/2011 om definitionen av begreppet
samtycke. Datainspektionens rapport 2002:1 Nationella kvalitetsregister. Datainspektionens rapport 2005:3 Övervakning i arbetslivet
– Kontroll av de anställdas Internet- och e-postanvändning m.m.
Datainspektionen informerar Samtycke enligt personuppgiftslagen. eSam, Elektroniskt informationsutbyte – en vägledning för utläm-
nande i elektronisk form.
Kommittédirektiv 2016:52
Dataskyddsförordningen – behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde
Beslut vid regeringssammanträde den 16 juni 2016
Sammanfattning
EU har beslutat om en förordning som utgör en ny generell reglering för personuppgiftsbehandling inom EU.
En särskild utredare ska analysera vilka konsekvenser förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen, medför i fråga om personuppgiftsbehandling inom Socialdepartementets verksamhetsområde samt föreslå behövliga och lämpliga anpassningar av författningar inom verksamhetsområdet till följd av den nya förordningen.
Utredaren ska bl.a. – undersöka vilka konsekvenser dataskyddsförordningen medför
i fråga om personuppgiftsbehandling inom Socialdepartementets verksamhetsområde, – undersöka vilka anpassningar som är behövliga eller lämpliga
med anledning av den nya förordningen, – överväga behovet av anpassningar av bestämmelser om undantag
från förbudet att behandla särskilda kategorier av personuppgifter,
– undersöka om det behövs nationella anpassningar avseende skyl-
digheter och rättigheter enligt dataskyddsförordningen, t.ex. rätten för den registrerade att göra invändningar mot behandling av personuppgifter, – undersöka om det behövs kompletterande föreskrifter för vissa
myndigheter och verksamheter som i dag saknar särskilda registerförfattningar.
Om utredaren bedömer att författningar behöver ändras, ska utredaren lämna förslag till författningsändringar. Uppdraget ska redovisas senast den 31 augusti 2017.
Den nuvarande och den nya regleringen
Dataskyddsdirektivet – den nuvarande EU-regleringen
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Dataskyddsdirektivet gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, t.ex. allmän säkerhet och försvar samt statens verksamhet på straffrättens område.
Dataskyddsförordningen
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och ersätter det nuvarande dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018. Det
huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.
Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men innebär även en rad nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag.
Av artikel 6.2 framgår exempelvis att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen för sådan personuppgiftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse eller utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Medlemsstaterna får i fråga om sådan behandling närmare fastställa specifika krav och andra åtgärder för att säkerställa en laglig och rättvis behandling av uppgifterna. Enligt artikel 6.3 i förordningen ska i dessa fall grunden för behandlingen fastställas i enlighet med unionsrätten eller nationell rätt.
Personuppgiftslagen – den nuvarande svenska regleringen
Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade.
Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen är samtidigt subsidiär vilken innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns
en stor mängd sådana bestämmelser i s.k. särskilda registerförfattningar som främst reglerar hur olika myndigheter får behandla personuppgifter.
Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling
I 2 kap. 6 § andra stycket regeringsformen anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § regeringsformen under vissa förutsättningar göras genom lag. Regleringen i regeringsformen innebär att viss personuppgiftsbehandling måste regleras i lag.
Särskilda registerförfattningar inom Socialdepartementets verksamhetsområde
Inom Socialdepartementets verksamhetsområde finns ett stort antal författningar som innehåller bestämmelser om personuppgiftsbehandling av olika slag. Exempelvis kan följande författningar nämnas: lagen (1996:1156) om receptregister, lagen (1998:543) om hälsodataregister med flera tillhörande s.k. hälsodataförordningar, lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, lagen (2002:297) om biobanker i hälso- och sjukvården m.m., lagen (2005:258) om läkemedelsförteckning, lagen (2006:496) om blodsäkerhet, lagen (2006:1570) om internationella hot mot människors hälsa, lagen (2008:286) om kvalitets- och säkerhetnormer vid hantering av mänskliga vävnader och celler, patientdatalagen (2008:355), apoteksdatalagen (2009:367), socialförsäkringsbalken, lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ, lagen (2012:453) om register över nationella vaccinationsprogram samt läkemedelslagen (2015:315).
Regeringen har vidare föreslagit en ny lag om behandling av personuppgifter i ärenden om licens för läkemedel, se prop. 2015/16:143.
I författningar tillhörande Socialdepartementets verksamhetsområde finns dessutom hänvisningar till personuppgiftslagen exempelvis i lagen (2006:351) om genetisk integritet m.m. och alkohollagen (2010:1622).
Uppdraget
Allmänna riktlinjer för uppdraget
Dataskyddsförordningen kommer att utgöra grunden för generell personuppgiftsbehandling inom EU. I egenskap av förordning har den allmän giltighet och är bindande och direkt tillämplig i medlemsstaterna. Utgångspunkten är att en EU-förordning inte ska genomföras nationellt, men förordningen kan innebära behov av att anpassa nationella författningar och t.ex. upphäva nationella bestämmelser som står i strid med förordningen. Den nya dataskyddsförordningen medför bl.a. att personuppgiftslagen och personuppgiftsförordningen samt Datainspektionens föreskrifter i anslutning till denna reglering måste upphävas.
Regeringen har bedömt att det finns ett behov av att ta fram en nationell reglering som på ett generellt plan kompletterar förordningen och har därför tillsatt en utredning som ska lämna sådana förslag (Ju 2016:04). Utredningen ska bl.a. undersöka vilka kompletterande nationella föreskrifter, exempelvis processuella bestämmelser, som förordningen kräver och överväga vilka kompletterande bestämmelser om t.ex. behandling av känsliga personuppgifter och personnummer som bör införas i den svenska generella regleringen. Det nämnda uppdraget omfattar däremot inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bl.a. finns i de särskilda registerförfattningarna.
Inom Socialdepartementets verksamhetsområde finns som redovisats tidigare flera särskilda registerförfattningar och andra författningar som reglerar departementets myndigheters personuppgiftsbehandling eller personuppgiftsbehandling i övrigt inom departementets verksamhetsområden.
Regeringen anser att det finns behov av att samlat undersöka vilka konsekvenser dataskyddsförordningen medför i fråga om personuppgiftsbehandling inom Socialdepartementets verksamhetsområde samt analysera vilka anpassningar av författningar som krävs eller bör göras med anledning av den nya EU-regleringen och personuppgiftslagens upphävande. Inom ramen för en sådan undersökning behöver bl.a. förutsättningarna för att behålla eller införa nationell reglering i enlighet med artikel 6.2 i dataskyddsförordningen analyseras. Om utredaren bedömer att författningar måste
eller bör ändras, ska utredaren lämna förslag till författningsändringar.
Utifrån den utredningstid som finns tillgänglig för att hinna utreda och ta fram förslag till ändringar i författningar som är behövliga för att det ska finns rättsligt stöd för befintlig personuppgiftsbehandling och anpassa de befintliga registerförfattningarna till dataskyddsförordningen så bedöms det att utredningens arbete behöver inrikta sig på sådana ändringar. Möjligheter att utreda och föreslå andra materiella ändringar, dvs. mer allmänna översyner, är därmed begränsad.
Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning, vilket t.ex. innebär att termer, uttryck och struktur samt hänvisningar till dataskyddsförordningen är enhetliga. Detta ska utredaren beakta i sitt uppdrag.
Vid utförandet av uppdraget är det också viktigt att – i den mån utrymme finns på nationell nivå – hitta lämpliga avvägningar mellan skyddet för den personliga integriteten och myndigheters, företags och enskildas behov av att kunna behandla personuppgifter eller att använda informations- och kommunikationsteknik inom olika områden.
Den enskilde har exempelvis intresse av att få sina ärenden hos myndigheter handlagda effektivt och att få tillgång till olika samhälleliga verksamheter, t.ex. inom hälso- och sjukvården, på ett för denne lämpligt sätt. För näringslivet finns det intresse av att undvika onödiga hinder som försvårar sådan personuppgiftsbehandling som behövs för att kunna erbjuda befintliga och utveckla nya innovativa tjänster och produkter av god kvalitet genom att använda informations- och kommunikationsteknik.
I många av verksamheterna inom Socialdepartementets verksamhetsområde hanteras barns personuppgifter i stor utsträckning. Mot bakgrund av åtaganden i FN:s konvention om barnets rättigheter bör utredaren i möjligaste mån och där det är relevant också uppmärksamma barns rättigheter inom ramarna för utredningsuppdraget.
Utredaren får inte avvika från generellt och direkt tillämplig unionsrätt eller på annat sätt lämna förslag som medför en konflikt med unionsrätten, dvs. utredarens förslag ska överensstämma med unionsrätten.
Utredaren ska – undersöka vilka konsekvenser dataskyddsförordningen medför
i fråga om personuppgiftsbehandling inom Socialdepartementets verksamhetsområde, – undersöka vilka anpassningar av de författningar som hör till
Socialdepartementets verksamhetsområde som krävs eller bör göras med anledning av dataskyddsförordningen, och – lämna behövliga och lämpliga författningsförslag.
Behov av anpassningar av författningar som reglerar behandling av särskilda kategorier av personuppgifter
Dataskyddsförordningen innehåller i likhet med dataskyddsdirektivet och personuppgiftslagen ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden (artikel 9.1). I dataskyddsförordningen finns också definitioner av vad som exempelvis avses med genetiska uppgifter, biometriska uppgifter och uppgifter om hälsa (artikel 4). Av dessa kategorier är genetiska uppgifter, biometriska uppgifter och uppgifter om en persons sexuella läggning nya i förhållande till dataskyddsdirektivet.
Från förbudet finns ett antal viktiga undantag (artikel 9.2). För att vissa av undantagen ska vara tillämpliga krävs att grunden för sådana behandlingar på olika sätt kommer till uttryck i unionsrätten eller i nationell rätt.
I dag finns vissa undantagsbestämmelser i 15–19 §§personuppgiftslagen och det ingår i uppdraget för den utredning som ska ta fram en kompletterande generell nationell reglering till förordningen att överväga vilka kompletterande bestämmelser om undantag från förbudet som också bör finnas i en sådan reglering, se dir. 2016:15 s. 16 och 17.
Inom Socialdepartementets verksamhetsområde förekommer omfattande personuppgiftsbehandling som förutsätter att myndigheter eller privata utförare får behandla särskilda kategorier av personuppgifter. Det gäller exempelvis inom hälso- och sjukvården och socialtjänsten. Behandlingen av sådana personuppgifter behövs t.ex. i ärendehantering och för att faktiskt tillhandahålla hälso- och sjukvård eller insatser inom socialtjänsten. Vidare finns olika former av register som innehåller särskilda kategorier av personuppgifter för att en eller flera myndigheter ska kunna bedriva sin verksamhet eller för att andra aktörer ska kunna få del av uppgifterna för t.ex. forskning eller epidemiologiska undersökningar. I uppdraget som rör Socialdepartementets verksamhetsområde är det därför särskilt viktigt att överväga behov av anpassningar av bestämmelser om undantag från förbudet att behandla vissa särskilda kategorier av personuppgifter, t.ex. med anledning av de nytillförda kategorierna.
En utgångspunkt för uppdraget i denna del är att de befintliga förutsättningarna för ändamålsenlig behandling av personuppgifter inom Socialdepartementets verksamhetsområde inte försämras.
Utredaren ska – överväga behov av anpassningar av bestämmelser om undantag
från förbudet att behandla särskilda kategorier av personuppgifter i de författningar som hör till Socialdepartementets verksamhetsområde, och – lämna behövliga och lämpliga författningsförslag.
Nationella begränsningar av vissa skyldigheter och rättigheter
Den registrerade har enligt artikel 21 i dataskyddsförordningen i vissa fall rätt att göra invändningar mot behandling av personuppgifter som grundar sig på t.ex. artikel 6.1 e behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Den personuppgiftsansvarige får i dessa fall inte längre behandla personuppgifter såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det som sker för fastställande, utövande eller försvar av rättsliga anspråk. Senast vid den första kom-
munikationen med den registrerade ska den rätt till invändning uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information. Om personuppgifter behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, ska den registrerade på motsvarande sätt ha rätt att göra invändningar mot behandling avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.
I vissa författningar inom Socialdepartementets verksamhetsområden finns bestämmelser som innebär att den enskilde har rätt att motsätta sig behandling av personuppgifter (opt-out), se exempelvis 6 kap. 2 § och 7 kap. 2 §patientdatalagen. Men det förekommer också bestämmelser som innebär att personuppgiftsbehandling är tillåten även om den enskilde motsätter sig det, se exempelvis 2 kap. 2 § patientdatalagen. Förutsättningarna för att behålla eller införa sådana bestämmelser regleras av bl.a. artikel 23 i dataskyddsförordningen och det behöver analyseras om detta föranleder behov av att anpassa lagstiftningen på det aktuella området.
Den registrerade ska vidare enligt artikel 22 dataskyddsförordningen ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Detta ska dock inte tillämpas t.ex. om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen eller grundar sig på den registrerades uttryckliga samtycke.
I 112 kap. 7 § socialförsäkringsbalken (SFB) föreskrivs att beslut om allmän ålderspension får fattas genom automatiserad behandling av Pensionsmyndigheten när skälen för beslutet får utelämnas enligt 20 § förvaltningslagen (1986:223). Detsamma gäller i tillämpliga delar för Pensionsmyndighetens beslut om efterlevandepension och efterlevandestöd.
Skatteverkets beslut om pensionsgrundande inkomst får fattas genom automatiserad behandling när skälen för beslutet får utelämnas enligt 20 § förvaltningslagen (112 kap. 6 § SFB). Mot bakgrund av förekomsten av automatiserat beslutsfattande i verksamheter som omfattas av Socialdepartementets verksamhetsområde
behöver det analyseras om bestämmelserna i dataskyddsförordningen innebär behov av att anpassa eller införa nationell reglering.
Genom artikel 23.1 i dataskyddsförordningen ges medlemsstaterna möjlighet att under vissa förhållanden begränsa omfattningen av vissa av de andra skyldigheter och rättigheter som förordningen föreskriver. Utöver de rättigheter som berörts ovan gäller detta bl.a. rätten till information och tillgång till personuppgifter (artikel 12–15) samt rättelse, radering och begränsning av behandling (artikel 16–19).
I det nuvarande dataskyddsdirektivet finns motsvarande reglering om undantag i artikel 13. Undantag med stöd av den bestämmelsen tas ofta in i sektorsspecifik lagstiftning, Dataskyddsförordningens bestämmelser är dock mer omfattande än direktivets bl.a. när det gäller tillämpningsområden för de skyldigheter och rättigheter som kan begränsas.
Utredaren ska – undersöka om det behövs anpassningar i nuvarande författningar
avseende de rättigheter som dataskyddsförordningen ger den registrerade vad gäller dennes rätt att göra invändningar mot behandling av personuppgifter och att inte bli föremål för automatiserat individuellt beslutsfattande, – analysera om det finns behov av att anpassa eller införa natio-
nella begränsningar av vissa andra skyldigheter och rättigheter, och – lämna behövliga och lämpliga författningsförslag.
Behov av kompletterande regler om behandling av personuppgifter hos vissa myndigheter och verksamheter som saknar särskilda registerförfattningar?
För några av de myndigheter och verksamheter som hör till Socialdepartementet saknas i dag särskilda registerförfattningar med bestämmelser för den personuppgiftsbehandling som dessa utför. Detta gäller exempelvis Myndigheten för vård- och omsorgsanalys, Inspektionen för socialförsäkringen (ISF), Myndigheten för familjerätt och föräldraskapsstöd och Folkhälsomyndigheten som därmed tillämpar personuppgiftslagen vid sin personuppgiftsbehandling.
I fråga om ISF:s personuppgiftsbehandling har Utredningen om personuppgiftsbehandling vid ISF i betänkandet Inbyggd integritet inom Inspektionen för socialförsäkringen (SOU 2014:67) bl.a. lämnat ett förslag till ny lag om behandling av personuppgifter inom ISF:s verksamhet. Betänkandet bereds inom Regeringskansliet. Utredaren bör överväga vilka anpassningar som till följd av dataskyddsförordningen kan behöva göras av de förslag som lämnats i betänkandet SOU 2014:67.
Utredaren ska – undersöka om det till följd av personuppgiftslagens upphävande
och regleringen i dataskyddsförordningen behövs kompletterande föreskrifter för vissa myndigheter och verksamheter som i dag saknar särskilda registerförfattningar, och – lämna behövliga och lämpliga författningsförslag.
Övriga frågor
Utredaren är oförhindrad att inom de ramar som anges i de allmänna riktlinjerna belysa även andra frågeställningar och lämna förslag som är relevanta för uppdraget.
Om utredaren kommer fram till att det krävs eller är lämpligt med kompletterande bestämmelser i andra delar än de som ska utredas särskilt, får sådana föreslås.
Konsekvensbeskrivningar
Ekonomiska och andra konsekvenser för enskilda personer, för företag och för det allmänna av de förslag som lämnas ska redovisas. Förslagens konsekvenser ska redovisas enligt 14–15 a §§kommittéförordningen (1998:1474). Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska också redovisa förslagens konsekvenser för den personliga integriteten.
Samråd och redovisning av uppdraget
Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning eftersträvas. Utredaren ska därför hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och inom EU. Detta innebär bl.a. att utredaren ska följa och i lämplig omfattning samråda med övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk.
Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, också inhämta synpunkter och upplysningar från de myndigheter och andra organisationer som kan vara berörda av aktuella frågor.
Uppdraget ska redovisas senast den 31 augusti 2017.
(Socialdepartementet)
679
Bilaga 2
I
(Lagstiftningsakter)
FÖRORDNINGAR
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679
av den 27 april 2016
om skydd för fysiska personer med avseende på behandling av personuppgifter och om
det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän
dataskyddsförordning)
(Text av betydelse för EES)
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),
med beaktande av Regionkommitténs yttrande (2),
i enlighet med det ordinarie lagstiftningsförfarandet (3), och
av följande skäl:
(1)
Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i
Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget
om Europeiska unionens funktionssätt (EUF-fördraget) föreskriver att var och en har rätt till skydd av de
personuppgifter som rör honom eller henne.
(2)
Principerna och reglerna för skyddet för fysiska personer vid behandling av deras personuppgifter bör, oavsett
deras medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, särskilt deras rätt till
skydd av personuppgifter. Avsikten med denna förordning är att bidra till att skapa ett område med frihet,
säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och
konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande.
(3)
Europaparlamentets och rådets direktiv 95/46/EG (4) syftar till att harmonisera skyddet av fysiska personers
grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av
personuppgifter mellan medlemsstaterna.
4.5.2016
L 119/1
Europeiska unionens officiella tidning
SV
(1) EUT C 229, 31.7.2012, s. 90.
(2) EUT C 391, 18.12.2012, s. 127.
(3) Europaparlamentets ståndpunkt av den 12 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av
den 8 april 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 14 april 2016.
(4) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling
av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).
680
SOU 2017:66
Bilaga 2
(4)
Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter
är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande
rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter
och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för
privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och
religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk
domstol samt kulturell, religiös och språklig mångfald.
(5)
Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande
ökning av de gränsöverskridande flödena av personuppgifter. Utbytet av personuppgifter mellan offentliga och
privata aktörer, inbegripet fysiska personer, sammanslutningar och företag, över hela unionen har ökat. Nationella
myndigheter i medlemsstaterna uppmanas i unionsrätten att samarbeta och utbyta personuppgifter för att vara i
stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.
(6)
Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av
personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det
möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en
helt ny omfattning. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, världen över.
Tekniken har omvandlat både ekonomin och det sociala livet, och bör ytterligare underlätta det fria flödet av
personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt
som en hög skyddsnivå säkerställs för personuppgifter.
(7)
Dessa förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av
kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala
ekonomin över hela den inre marknaden. Fysiska personer bör ha kontroll över sina egna personuppgifter. Den
rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.
(8)
Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom
medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för
samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på,
införliva delar av denna förordning i nationell rätt.
(9)
Målen och principerna för direktiv 95/46/EG är fortfarande giltiga, men det har inte kunnat förhindra bristande
enhetlighet i genomförandet av dataskyddet i olika delar av unionen, rättsosäkerhet eller allmänt spridda
uppfattningar om att betydande risker kvarstår för fysiska personer, särskilt med avseende på användning av
internet. Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter, särskilt rätten till skydd av
personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av
personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk
verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina
skyldigheter enligt unionsrätten. De varierande skyddsnivåerna beror på skillnader i genomförandet och
tillämpningen av direktiv 95/46/EG.
(10)
För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av
personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling
av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna
om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör
säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för
att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgift
sansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa
hur bestämmelserna i denna förordning ska tillämpas. Jämte den allmänna och övergripande lagstiftning om
dataskydd varigenom direktiv 95/46/EG genomförs har medlemsstaterna flera sektorsspecifika lagar på områden
som kräver mer specifika bestämmelser. Denna förordning ger dessutom medlemsstaterna handlingsutrymme att
specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade
känsliga uppgifter). Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare
omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig
behandling av personuppgifter.
4.5.2016
L 119/2
Europeiska unionens officiella tidning
SV
681
SOU 2017:66
Bilaga 2
(11)
Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och
specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av
personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att
reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i
medlemsstaterna.
(12)
I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för
fysiska personer när det gäller behandling av personuppgifter och bestämmelser om den fria rörligheten för
personuppgifter.
(13)
För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som
hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar
rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag,
och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt
ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling
av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyn
digheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs att det fria flödet av
personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknytning till skydd för fysiska
personer med avseende på behandling av personuppgifter. För att ta hänsyn till mikroföretagens samt de små och
medelstora företagens särskilda situation innehåller denna förordning ett undantag för organisationer som
sysselsätter färre än 250 personer med avseende på registerföring. Dessutom uppmanas unionens institutioner
och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta
hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppen mikroföretag
samt små och medelstora företag bör bygga på artikel 2 i bilagan till kommissionens rekommendation
2003/361/EG (1).
(14)
Det skydd som ska tillhandahållas enligt denna förordning bör tillämpas på fysiska personer, oavsett
medborgarskap eller hemvist, med avseende på behandling av deras personuppgifter. Denna förordning omfattar
inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer,
exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter.
(15)
För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara
teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara
tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller
är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt
särskilda kriterier, bör inte omfattas av denna förordning.
(16)
Denna förordning är inte tillämplig på frågor som rör skyddet av grundläggande rättigheter och friheter eller det
fria flödet av personuppgifter på områden som inte omfattas av unionsrätten, såsom verksamhet rörande
nationell säkerhet. Denna förordning är inte tillämplig på medlemsstaternas behandling av personuppgifter när de
agerar inom ramen för unionens gemensamma utrikes- och säkerhetspolitik.
(17)
Europaparlamentets och rådets förordning (EG) nr 45/2001 (2) är tillämplig på den behandling av
personuppgifter som sker i unionens institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av
unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter bör anpassas till
principerna och bestämmelserna i den här förordningen och tillämpas mot bakgrund av den här förordningen.
För att tillhandahålla en stark och sammanhängande ram för dataskyddet inom unionen bör nödvändiga
anpassningar av förordning (EG) nr 45/2001 göras när den här förordningen har antagits, så att de båda
förordningarna kan tillämpas samtidigt.
(18)
Denna förordning är inte tillämplig på fysiska personers behandling av personuppgifter som ett led i verksamhet
som är helt och hållet privat eller har samband med personens hushåll och därmed saknar koppling till yrkes-
eller affärsmässig verksamhet. Privat verksamhet eller verksamhet som har samband med hushållet kan omfatta
4.5.2016
L 119/3
Europeiska unionens officiella tidning
SV
(1) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (K(2003) 1422)
(EUT L 124, 20.5.2003, s. 36).
(2) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu
tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001,
s. 1).
682
SOU 2017:66
Bilaga 2
korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan
verksamhet. Denna förordning är dock tillämplig på personuppgiftsansvariga eller personuppgiftsbiträden som
tillhandahåller utrustning för behandling av personuppgifter för sådan privat verksamhet eller hushålls
verksamhet.
(19)
Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att
förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda
mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter,
säkerställs på unionsnivå av en särskild unionsrättsakt. Därför bör denna förordning inte vara tillämplig på
behandling av personuppgifter för dessa ändamål. Personuppgifter som myndigheter behandlar enligt denna
förordning och som används för de ändamålen bör emellertid regleras genom en mer specifik unionsrättsakt,
nämligen Europaparlamentets och rådets direktiv (EU) 2016/680 (1). Medlemsstaterna får anförtro behöriga
myndigheter i den mening som avses i direktiv (EU) 2016/680 uppgifter som inte nödvändigtvis utförs för att
förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda
mot samt förebygga och förhindra hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för
dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för denna
förordning.
Vad gäller dessa behöriga myndigheters behandling av personuppgifter för ändamål som omfattas av
tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika
bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det
fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra
ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur.
När privata organs behandling av personuppgifter omfattas av tillämpningsområdet för denna förordning, bör
denna förordning ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och
rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för
att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning,
avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande
och förhindrande av hot mot den allmänna säkerheten. Detta är exempelvis relevant i samband med bekämpning
av penningtvätt eller verksamhet vid kriminaltekniska laboratorier.
(20)
Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter,
skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden
för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av
personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter
när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets
oberoende när det utför sin rättsskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att
anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka
framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets
medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling
av uppgifter.
(21)
Denna förordning påverkar inte tillämpningen av Europaparlamentets och rådets direktiv 2000/31/EG (2), särskilt
bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. Syftet med det
direktivet är att bidra till att den inre marknaden fungerar väl genom att säkerställa fri rörlighet för informations
samhällets tjänster mellan medlemsstaterna.
(22)
All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller personupp
giftsbiträdens verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om
behandlingen i sig äger rum inom unionen. Verksamhetsställe innebär det faktiska och reella utförandet av
verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial
eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende.
4.5.2016
L 119/4
Europeiska unionens officiella tidning
SV
(1) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga
myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga
påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (se sidan 89 i detta nummer av
EUT).
(2) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster,
särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).
683
SOU 2017:66
Bilaga 2
(23)
För att fysiska personer inte ska fråntas det skydd som denna förordning ger dem bör sådan behandling av
personuppgifter om registrerade personer som befinner sig i unionen vilken utförs av en personuppgiftsansvarig
eller ett personuppgiftsbiträde som inte är etablerad inom unionen omfattas av denna förordning, om
behandlingen avser utbjudande av varor eller tjänster inom unionen till de registrerade, oavsett om detta är
kopplat till en betalning. I syfte att avgöra om en personuppgiftsansvarig eller ett personuppgiftsbiträde erbjuder
varor eller tjänster till registrerade som befinner sig i unionen bör man fastställa om det är uppenbart att den
personuppgiftsansvarige eller personuppgiftsbiträdet avser att erbjuda tjänster till registrerade i en eller flera av
unionens medlemsstater. Medan enbart åtkomlighet till den personuppgiftsansvariges, personuppgiftsbiträdets
eller en mellanhands webbplats i unionen, till en e-postadress eller andra kontaktuppgifter eller användning av ett
språk som allmänt används i det tredjeland där den personuppgiftsansvarige är etablerad inte är tillräckligt för att
fastställa en sådan avsikt, kan faktorer som användning av ett språk eller en valuta som allmänt används i en eller
flera medlemsstater med möjlighet att beställa varor och tjänster på detta andra språk, eller omnämnande av
kunder eller användare som befinner sig i unionen, göra det uppenbart att den personuppgiftsansvarige avser att
erbjuda varor eller tjänster till registrerade inom unionen.
(24)
Den behandling av personuppgifter som avser registrerade som befinner sig i unionen som utförs av en
personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen bör också omfattas av
denna förordning, om den hör samman med övervakningen av de registrerade personernas beteende när de
befinner sig i unionen. För att avgöra huruvida en viss behandling kan anses övervaka beteendet hos registrerade,
bör det fastställas om fysiska personer spåras på internet, och om personuppgifterna därefter behandlas med
hjälp av teknik som profilerar fysiska personer, i synnerhet för att fatta beslut rörande honom eller henne eller för
att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.
(25)
Om medlemsstaternas nationella rätt är tillämplig i kraft av folkrätten, bör denna förordning också vara tillämplig
på personuppgiftsansvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska
beskickning eller konsulat.
(26)
Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person.
Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att
kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om
en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den
personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt
identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att
användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader
och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som
den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen
information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som
anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör
därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller
forskningsändamål.
(27)
Denna förordning gäller inte behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får
fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer.
(28)
Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och
hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett
uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för
dataskydd.
(29)
För att skapa incitament för tillämpning av pseudonymisering vid behandling av personuppgifter bör åtgärder för
pseudonymisering som samtidigt medger en allmän analys vara möjliga inom samma personuppgiftsansvarigs
verksamhet, när den personuppgiftsansvarige har vidtagit de tekniska och organisatoriska åtgärder som är
nödvändiga för att se till att denna förordning genomförs för berörd uppgiftsbehandling och att kompletterande
uppgifter för tillskrivning av personuppgifterna till en specifik registrerad person förvaras separat. Den
personuppgiftsansvarige som behandlar personuppgifterna bör ange behöriga personer inom samma personupp
giftsansvarigs verksamhet.
4.5.2016
L 119/5
Europeiska unionens officiella tidning
SV
684
SOU 2017:66
Bilaga 2
(30)
Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och
protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår
som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas
för att skapa profiler för fysiska personer och identifiera dem.
(31)
Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig
förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter
eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte
betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild
utredning av allmänt intresse, i enlighet med unionsrätten eller medlemstaternas nationella rätt. Offentliga
myndigheters begäranden om att uppgifter ska lämnas ut ska alltid vara skriftliga och motiverade, läggas fram i
enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters
behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser för dataskydd som är
tillämpliga på behandlingens ändamål.
(32)
Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och
otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter
rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan
inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på
informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i
sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter.
Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all
behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för
samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara
tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.
(33)
Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga
forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till
vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas.
Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av
forskningsprojekt i den utsträckning det avsedda syftet medger detta.
(34)
Genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade
genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför
allt kromosom-, DNA- eller RNA-analys eller av en annan form av analys som gör det möjligt att inhämta
motsvarande information.
(35)
Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd
som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.
Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhanda
hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv
2011/24/EU (1), ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att
identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en
kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om
exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades
fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan
sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.
(36)
Den personuppgiftsansvariges huvudsakliga verksamhetsställe i unionen bör vara den plats i unionen där den
personuppgiftsansvarige har sin centrala förvaltning, såvida inte beslut om ändamålen och medlen för behandling
av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen; i sådant fall
4.5.2016
L 119/6
Europeiska unionens officiella tidning
SV
(1) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande
hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).
685
SOU 2017:66
Bilaga 2
bör det andra verksamhetsstället anses vara det huvudsakliga verksamhetsstället. En personuppgiftsansvarigs
huvudsakliga verksamhetsställe inom unionen bör avgöras med beaktande av objektiva kriterier och bör
inbegripa den faktiska och reella ledning som fattar de huvudsakliga besluten vad avser ändamål och medel för
behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt av om behandlingen av
personuppgifter utförs på detta ställe. Att tekniska medel och teknik för behandling av personuppgifter eller
behandlingsverksamhet finns och används visar i sig inte att det rör sig om ett huvudsakligt verksamhetsställe
och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Personuppgiftsbiträdets
huvudsakliga verksamhetsställe bör vara den plats i unionen där denne har sin centrala förvaltning eller, om
denne inte har någon central förvaltning inom unionen, den plats inom unionen där den huvudsakliga
behandlingen sker. I fall som omfattar både en personuppgiftsansvarig och ett personuppgiftsbiträde bör den
behöriga ansvariga tillsynsmyndigheten fortfarande vara tillsynsmyndigheten i den medlemsstat där den
personuppgiftsansvarige har sitt huvudsakliga verksamhetsställe, men den tillsynsmyndighet som gäller för
personuppgiftsbiträdet bör betraktas som en berörd tillsynsmyndighet och den tillsynsmyndigheten bör delta i det
samarbetsförfarande som föreskrivs i denna förordning. Om utkastet till beslut endast gäller den personuppgift
sansvarige, bör tillsynsmyndigheterna i den eller de medlemsstater där personuppgiftsbiträdet har ett eller flera
verksamhetsställen inte under några omständigheter betraktas som berörda tillsynsmyndigheter. Om
behandlingen utförs av en koncern bör det kontrollerande företagets huvudsakliga verksamhetsställe betraktas
som koncernens huvudsakliga verksamhetsställe, utom då behandlingens ändamål och de medel med vilka den
utförs fastställs av ett annat företag.
(37)
En koncern bör innefatta ett kontrollerande företag och de företag som detta företag kontrollerar (kontrollerade
företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på de
övriga företagen i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av
eller befogenheten att införa regler som rör personuppgiftsskyddet. Ett företag med kontroll över behandlingen av
personuppgifter vid företag som är underställda detta företag bör, tillsammans med dessa företag, anses utgöra en
koncern.
(38)
Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker,
följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt
skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa
personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som
erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas
för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.
(39)
Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska
personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i
vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all
information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och
lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till
registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information
för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse
på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna
om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de
kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna
behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.
Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de
behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är
begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte
rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt
bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder
bör vidtas för att rätta eller radera felaktiga uppgifter. Personuppgifter bör behandlas på ett sätt som säkerställer
lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig
användning av personuppgifter och den utrustning som används för behandlingen.
(40)
För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från den berörda registrerade
eller på någon annan legitim grund som fastställts i lag, antingen i denna förordning eller i annan unionsrätt eller
4.5.2016
L 119/7
Europeiska unionens officiella tidning
SV
686
SOU 2017:66
Bilaga 2
medlemsstaternas nationella rätt enligt denna förordning, vilket inbegriper att de rättsliga skyldigheter som åligger
den personuppgiftsansvarige måste fullgöras eller att ett avtal i vilket den registrerade är part måste genomföras
eller att åtgärder på begäran av den registrerade måste vidtas innan avtalet ingås.
(41)
När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis
en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella
ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och
precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid
Europeiska unionens domstol (nedan kallad domstolen) och Europeiska domstolen för de mänskliga rättigheterna.
(42)
När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade
har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det
finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt
samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (1) bör en förklaring om samtycke som den
personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med
användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den
registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för
vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har
någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.
(43)
För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av
personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp
giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att
samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke
antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av
personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet
tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant
genomförande.
(44)
Behandling bör vara laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett
avtal.
(45)
Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling
som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i
unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag
för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en
rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift
av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten
eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings
allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personupp
giftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till
vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra
en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan
huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighets
utövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentlig
rättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål,
såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning,
exempelvis en yrkesorganisation.
(46)
Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av
avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på
4.5.2016
L 119/8
Europeiska unionens officiella tidning
SV
(1) Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).
687
SOU 2017:66
Bilaga 2
grundval av en annan fysisk persons grundläggande intressen bör i princip endast äga rum om behandlingen inte
uppenbart kan ha en annan rättslig grund. Vissa typer av behandling kan tjäna både viktiga allmänintressen och
intressen som är av grundläggande betydelse för den registrerade, till exempel när behandlingen är nödvändig av
humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer,
särskilt vid naturkatastrofer eller katastrofer orsakade av människan.
(47)
En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken
personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de
registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de
registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. Ett sådant berättigat
intresse kan till exempel finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och
den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den
personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning, som
inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med
detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske. Den registrerades
intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än den personuppgiftsansvariges
intressen, om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig
någon ytterligare behandling. Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den
rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte
gälla den behandling de utför som ett led i fullgörandet av sina uppgifter. Sådan behandling av personuppgifter
som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personupp
giftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.
(48)
Personuppgiftsansvariga som ingår i en koncern eller institutioner som är underställda ett centralt organ kan ha
ett berättigat intresse att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland
annat för behandling av kunders eller anställdas personuppgifter. De allmänna principerna för överföring av
personuppgifter, inom en koncern, till företag i tredjeland påverkas inte.
(49)
Behandling av personuppgifter utgör ett berättigat intresse för berörd personuppgiftsansvarig i den mån den är
absolut nödvändig och proportionell för att säkerställa nät- och informationssäkerhet, dvs. förmågan hos ett nät
eller ett informationssystem att vid en viss tillförlitlighetsnivå tåla olyckshändelser, olagliga handlingar eller
illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade
eller överförda personuppgifter och säkerheten hos besläktade tjänster som tillhandahålls av – eller är tillgängliga
via – dessa nät och system, av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av
datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och
tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta att förhindra obehörigt
tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastnings
attacker och skador på datasystem och elektroniska kommunikationssystem.
(50)
Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara
tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall
krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter
medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i
myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller
medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling
bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga
eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av
uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten eller i
medlemsstaternas nationella rätt kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa
om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna
ursprungligen insamlades bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den
ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen
med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de
registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den
4.5.2016
L 119/9
Europeiska unionens officiella tidning
SV
688
SOU 2017:66
Bilaga 2
art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga
skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.
Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på
medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i
syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att
behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Under alla
omständigheter bör tillämpningen av principerna i denna förordning, särskilt informationen till den registrerade
om dessa andra ändamål och om dennes rättigheter, inbegripet rätten att göra invändningar, säkerställas. Om den
personuppgiftsansvarige anmäler möjliga brott eller hot mot den allmänna säkerheten och i enskilda fall eller i
flera fall som rör samma brott eller hot mot den allmänna säkerheten överför dessa personuppgifter till en
behörig myndighet, ska detta betraktas som att den personuppgiftsansvarige agerar i ett berättigat intresse. Sådan
överföring i den personuppgiftsansvariges berättigade intresse eller ytterligare behandling av personuppgifter bör
emellertid vara förbjuden, om behandlingen inte är förenlig med lagstadgad eller yrkesmässig tystnadsplikt eller
annan bindande tystnadsplikt.
(51)
Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter
bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de
grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som
avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen
godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte
systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras
som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av
en fysisk person. Sådana personuppgifter bör inte behandlas, såvida inte behandling medges i särskilda fall som
fastställs i denna förordning, med beaktande av att det i medlemsstaternas lagstiftning får införas särskilda
bestämmelser om dataskydd för att anpassa tillämpningen av bestämmelserna i denna förordning i syfte att
fullgöra en rättslig skyldighet eller en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den
personuppgiftsansvarige har fått i uppgift att utföra. Utöver de särskilda kraven för sådan behandling, bör de
allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för
laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av
personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller
för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som
bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.
(52)
Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i
unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda
personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, i synnerhet i fråga om
behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner, och för
hälsosäkerhetsändamål, övervaknings- och varningssyften, förebyggande eller kontroll av smittsamma sjukdomar
och andra allvarliga hot mot hälsan. Detta undantag får göras för hälsoändamål, inbegripet folkhälsa och
förvaltningen av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de
förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet,
eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska
ändamål. Genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för
fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller
inom ett administrativt eller ett utomrättsligt förfarande.
(53)
Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i
hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort,
särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system,
inbegripet behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana
uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell
och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av
kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller
hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt
intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten
eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs
av allmänt intresse på folkhälsoområdet. Denna förordning bör därför innehålla harmoniserade villkor för
behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när
behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade
4.5.2016
L 119/10
Europeiska unionens officiella tidning
SV
689
SOU 2017:66
Bilaga 2
yrkesmässig tystnadsplikt. Unionsrätten eller medlemsstaternas nationella rätt bör föreskriva särskilda och
lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. Medlemsstaterna
bör få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska
uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom
unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter.
(54)
På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier
av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och
särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas
enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 (1), nämligen alla aspekter som
rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans
bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och
allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.
Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för
andra ändamål av tredje part, exempelvis arbetsgivare eller försäkrings- och bankföretag.
(55)
Myndigheters behandling av personuppgifter på officiellt erkända religiösa sammanslutningars vägnar i syften
som fastställs i grundlag eller i folkrätten anses också grunda sig på ett allmänt intresse.
(56)
Om det för att det demokratiska systemet ska fungera i samband med allmänna val är nödvändigt att politiska
partier i vissa medlemsstater samlar in personuppgifter om fysiska personers politiska uppfattningar, får
behandling av sådana uppgifter tillåtas med hänsyn till ett allmänt intresse, på villkor att lämpliga skyddsåtgärder
fastställs.
(57)
Om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denne att identifiera
en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att
kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning.
Den personuppgiftsansvarige bör dock inte vägra att ta emot kompletterande uppgifter som den registrerade
lämnat som stöd för utövandet av sina rättigheter. Identifiering bör omfatta digital identifiering av en registrerad,
till exempel genom en autentiseringsmekanism, exempelvis samma identifieringsinformation som används av den
registrerade för att logga in på den nättjänst som tillhandahålls av den personuppgiftsansvarige.
(58)
Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad,
lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder
visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till
allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten
gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in,
vem som gör det och för vilket syfte, exempelvis i fråga om reklam på nätet. Eftersom barn förtjänar särskilt
skydd, bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk
som barnet lätt kan förstå.
(59)
Förfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning,
inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller
radering av personuppgifter samt för att utöva rätten att göra invändningar. Den personuppgiftsansvarige bör
också tillhandahålla hjälpmedel för elektroniskt ingivna framställningar, särskilt i fall då personuppgifter
behandlas elektroniskt. Personuppgiftsansvariga bör utan onödigt dröjsmål och senast inom en månad vara
skyldiga att besvara registrerades önskemål och lämna en motivering, om de inte avser att uppfylla sådana
önskemål.
4.5.2016
L 119/11
Europeiska unionens officiella tidning
SV
(1) Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och
hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).
690
SOU 2017:66
Bilaga 2
(60)
Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och
syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs
för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika
omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt
om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör denne även
informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna
om han eller hon inte lämnar dem. Denna information får tillhandahållas kombinerad med standardiserade
symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen.
Om sådana symboler visas elektroniskt bör de vara maskinläsbara.
(61)
Information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid
den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från
en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan
lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till
denna mottagare. Om den personuppgiftsansvarige avser att behandla personuppgifter för ett annat ändamål än
det för vilket uppgifterna insamlades, bör denne före ytterligare behandling informera den registrerade om detta
andra syfte och lämna annan nödvändig information. Om personuppgifternas ursprung inte kan meddelas den
registrerade på grund av att olika källor har använts, bör allmän information ges.
(62)
Det är dock inte nödvändigt att införa någon skyldighet att tillhandahålla information, om den registrerade redan
innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag
eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registrerade
informationen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av
allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör
antalet registrerade, uppgifternas ålder och lämpliga skyddsåtgärder beaktas.
(63)
Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och
med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna
kontrollera att den är laglig. Detta innefattar rätten för registrerade att få tillgång till uppgifter om sin hälsa,
exempelvis uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande
läkare och eventuella vårdbehandlingar eller interventioner. Alla registrerade bör därför ha rätt att få kännedom
och underrättelse om framför allt orsaken till att personuppgifterna behandlas, om möjligt vilken tidsperiod
behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk
behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan
behandling. Om möjligt bör den personuppgiftsansvarige kunna ge fjärråtkomst till ett säkert system genom
vilket den registrerade kan få direkt åtkomst till sina personuppgifter. Denna rätt bör inte inverka menligt på
andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt
som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all
information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den
personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken
behandling en framställan avser, innan informationen lämnas ut.
(64)
Personuppgiftsansvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär
tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte
behålla personuppgifter enbart för att kunna agera vid en potentiell begäran.
(65)
Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av
uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den
personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och
kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för
vilka de samlats in eller på annat sätt behandlats, om en registrerad har återtagit sitt samtycke till behandling eller
invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller
4.5.2016
L 119/12
Europeiska unionens officiella tidning
SV
691
SOU 2017:66
Bilaga 2
hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt
relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna
med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna
utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock
vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig
förpliktelse, för att utföra en uppgift i av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts
den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av
allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande,
utövande eller försvar av rättsliga anspråk.
(66)
För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att personuppgift
sansvariga som offentliggjort personuppgifter är förpliktigade att vidta rimliga åtgärder, däribland tekniska
åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den
registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I
samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik
och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera
de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.
(67)
Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda
personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller
tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av
behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för
ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör
klart anges inom systemet.
(68)
För att ytterligare förbättra kontrollen över sina egna uppgifter bör den registrerade, om personuppgifterna
behandlas automatiskt, också tillåtas att motta de personuppgifter som rör honom eller henne, som han eller hon
har tillhandahållit den personuppgiftsansvarige, i ett strukturerat, allmänt använt, maskinläsbart och kompatibelt
format och överföra dessa till en annan personuppgiftsansvarig. Personuppgiftsansvariga bör uppmuntras att
utveckla kompatibla format som möjliggör dataportabilitet. Denna rättighet bör vara tillämplig om den
registrerade har tillhandahållit uppgifterna efter att ha lämnat sitt samtycke eller om behandlingen är nödvändig
för att ett avtal ska kunna genomföras. Den bör inte vara tillämplig om behandlingen utgår från en annan rättslig
grund än samtycke eller avtal. På grund av sin art bör denna rättighet inte utövas mot personuppgiftsansvariga
som behandlar personuppgifter som ett led i myndighetsutövning. Därför bör den inte vara tillämplig när
behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp
giftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs
av den personuppgiftsansvarige. Den registrerades rätt att överföra eller motta personuppgifter som rör honom
eller henne innebär inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla
behandlingssystem som är tekniskt kompatibla. Om mer än en registrerad berörs inom en viss uppsättning
personuppgifter, bör rätten att motta personuppgifterna inte inverka på andra registrerades rättigheter och
friheter enligt denna förordning. Denna rättighet bör inte heller påverka den registrerades rätt att få till stånd
radering av personuppgifter och de inskränkningar av denna rättighet vilka anges i denna förordning och bör i
synnerhet inte medföra radering av personuppgifter om den registrerade som denne har lämnat för
genomförande av ett avtal, i den utsträckning och så länge som personuppgifterna krävs för genomförande av
avtalet. Om det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en
personuppgiftsansvarig till en annan.
(69)
När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av
allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, eller på
grund av en personuppgiftsansvarigs eller en tredje parts berättigade intressen, bör alla registrerade ändå ha rätt
att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör
ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den
registrerades intressen eller grundläggande rättigheter och friheter.
(70)
Om personuppgifter behandlas för direktmarknadsföring, bör den registrerade, oavsett om det handlar om
inledande eller ytterligare behandling, ha rätt att när som helst kostnadsfritt invända mot sådan behandling,
inbegripet profilering, i den mån denna är kopplad till direktmarknadsföring. Denna rättighet bör uttryckligen
meddelas den registrerade och redovisas tydligt, klart och åtskilt från annan information.
4.5.2016
L 119/13
Europeiska unionens officiella tidning
SV
692
SOU 2017:66
Bilaga 2
(71)
Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av
personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför
rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett
automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling
omfattar ”profilering” i form av automatisk behandling av personuppgifter med bedömning av personliga
aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades
arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende,
vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i
betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering,
bör dock tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt som den
personuppgiftsansvarige omfattas av, inbegripet för sådan övervakning och sådant förebyggande av bedrägerier
och skatteundandragande som genomförs i enlighet med unionsinstitutionernas eller de nationella
tillsynsorganens bestämmelser, standarder och rekommendationer samt för att sörja för tillförlitlighet hos en
tjänst som tillhandahålls av den personuppgiftsansvarige, eller när det krävs för ingående eller genomförande av
ett avtal mellan den registrerade och en personuppgiftsansvarig eller den registrerade har gett sitt uttryckliga
samtycke. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga
skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att
framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att
överklaga beslutet. Sådana åtgärder bör inte gälla barn.
I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av
omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige
använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och
organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter
korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar
potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande
effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse,
medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder
som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av
personuppgifter bör endast tillåtas på särskilda villkor.
(72)
Profilering omfattas av denna förordnings bestämmelser om behandling av personuppgifter, såsom de rättsliga
grunderna för behandlingen och principer för dataskydd. Europeiska dataskyddsstyrelsen som inrättas genom
denna förordning (nedan kallad styrelsen) bör kunna utfärda riktlinjer i detta avseende.
(73)
Begränsningar med avseende på specifika principer och rätten till information, tillgång till och rättelse eller
radering av personuppgifter, rätten till dataportabilitet, rätten att göra invändningar, profileringsbaserade beslut
samt information till den registrerade om personuppgiftsincidenter och vissa av den personuppgiftsansvariges
relaterade skyldigheter kan införas genom unionsrätten eller medlemsstaternas nationella rätt, i den mån de är
nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten,
exempelvis för att skydda människoliv, särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid
förebyggande, förhindrande, utredning och lagföring av brott eller verkställande av straffrättsliga sanktioner,
inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten eller
överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga viktiga mål
av allmänt intresse, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en
medlemsstat, förande av offentliga register som förs av hänsyn till ett allmänt intresse, ytterligare behandling av
arkiverade personuppgifter för att tillhandahålla specifik information om politiskt beteende under tidigare
totalitära regimer eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd,
folkhälsa och humanitära skäl. Dessa begränsningar bör överensstämma med kraven i stadgan och den europeiska
konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.
(74)
Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs
på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och
kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör
inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska
personers rättigheter och friheter.
4.5.2016
L 119/14
Europeiska unionens officiella tidning
SV
693
SOU 2017:66
Bilaga 2
(75)
Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till
följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i
synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat
anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt
hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas
sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter
behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i
fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt
överträdelser eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms,
framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa,
personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa
eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer,
framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal
registrerade.
(76)
Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån
behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv
bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.
(77)
Vägledning för den personuppgiftsansvariges eller personuppgiftsbiträdets genomförande av lämpliga åtgärder
och för påvisande av att behandlingen är förenlig med denna förordning, särskilt när det gäller att kartlägga den
risk som är förknippad med behandlingen och bedöma dess ursprung, art, sannolikhetsgrad och allvar samt
fastställa bästa praxis för att minska risken, kan framför allt ges genom godkända uppförandekoder, godkänd
certifiering, riktlinjer från styrelsen eller genom anvisningar från ett dataskyddsombud. Styrelsen kan också
utfärda riktlinjer för uppgiftsbehandling som inte bedöms medföra någon hög risk för fysiska personers
rättigheter och friheter samt ange vilka åtgärder som i sådana fall kan vara tillräckliga för att bemöta en sådan
risk.
(78)
Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att
lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna
visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt
för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat
bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet
om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbe
handlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Vid
utveckling, utformning, urval och användning av applikationer, tjänster och produkter som är baserade på
behandling av personuppgifter eller behandlar personuppgifter för att uppfylla sitt syfte bör producenterna av
dessa produkter, tjänster och applikationer uppmanas att beakta rätten till dataskydd när sådana produkter,
tjänster och applikationer utvecklas och utformas och att, med tillbörlig hänsyn till den tekniska utvecklingen,
säkerställa att personuppgiftsansvariga och personuppgiftsbiträden kan fullgöra sina skyldigheter avseende
dataskydd. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga
upphandlingar.
(79)
Skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbi
trädenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt
fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt
fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en
behandling utförs på en personuppgiftsansvarigs vägnar.
(80)
När personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade inom unionen behandlar
personuppgifter om registrerade som befinner sig inom unionen och det bakomliggande syftet med uppgiftsbe
handlingen är att erbjuda de registrerade personerna i unionen varor eller tjänster, oberoende av om de
registrerade personerna måste betala för dem, eller att övervaka deras beteende i den mån beteendet äger rum i
unionen, bör de personuppgiftsansvariga eller personuppgiftsbiträdena utnämna en företrädare, såvida inte
behandlingen endast är tillfällig, inte omfattar behandling i stor omfattning av särskilda kategorier av
personuppgifter eller behandling av personuppgifter om fällande domar i brottmål samt överträdelser och det är
4.5.2016
L 119/15
Europeiska unionens officiella tidning
SV
694
SOU 2017:66
Bilaga 2
osannolikt att den inbegriper en risk för fysiska personers rättigheter och friheter, med beaktande av
behandlingens art, sammanhang, omfattning och ändamål eller om den personuppgiftsansvarige är en myndighet
eller ett organ. Företrädaren bör agera på den personuppgiftsansvariges eller på personuppgiftsbiträdets vägnar
och kan kontaktas av samtliga tillsynsmyndigheter. Företrädaren bör uttryckligen utses genom en skriftlig
fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet att agera på dennes vägnar med
avseende på dennes skyldigheter enligt denna förordning. Utnämningen av företrädaren inverkar inte på den
personuppgiftsansvariges eller på personuppgiftsbiträdets ansvar enligt denna förordning. Företrädaren bör utföra
sina uppgifter i enlighet med erhållen fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet,
vilket inbegriper samarbete med de behöriga tillsynsmyndigheterna i fråga om alla åtgärder som vidtas för att
sörja för efterlevnad av denna förordning. Den utsedda företrädaren bör underkastas verkställighetsförfaranden i
händelse den personuppgiftsansvarige eller personuppgiftsbiträdet inte uppfyller sina skyldigheter.
(81)
För att se till att kraven i denna förordning uppfylls vad gäller behandling som av ett personuppgiftsbiträde ska
utföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige, när denne anförtror behandling åt
ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga
om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller
kraven i denna förordning, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter. Personuppgifts
biträdets anslutning till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan användas som ett
sätt att påvisa att den personuppgiftsansvarige fullgör sina skyldigheter. När uppgifter behandlas av ett
personuppgiftsbiträde, bör hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller
medlemsstaternas nationella rätt mellan personuppgiftsbiträdet och den personuppgiftsansvarige, där föremålet
för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av
registrerade anges, med beaktande av personuppgiftsbiträdets specifika arbets- och ansvarsuppgifter inom ramen
för den behandling som ska utföras och risken med avseende på den registrerades rättigheter och friheter. Den
personuppgiftsansvarige och personuppgiftsbiträdet får välja att använda sig av ett enskilt avtal eller standardav
talsklausuler som antingen antas direkt av kommissionen eller av en tillsynsmyndighet i enlighet med
mekanismen för enhetlighet och därefter antas av kommissionen. Efter det att behandlingen på den personupp
giftsansvariges vägnar har avslutats, bör personuppgiftsbiträdet återlämna eller radera personuppgifterna,
beroende på vad den personuppgiftsansvarige väljer, såvida inte lagring av personuppgifterna krävs enligt den
unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av.
(82)
För att påvisa att denna förordning följs bör de personuppgiftsansvariga eller personuppgiftsbiträdena föra
register över behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgiftsbiträden
bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt, så
att det kan tjäna som grund för övervakningen av behandlingen.
(83)
För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgift
sansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom
kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet,
med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ
av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker
som personuppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller
otillåtna handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts,
lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.
(84)
I syfte att sörja för bättre efterlevnad av denna förordning när behandlingen sannolikt kan innebära en hög risk
för fysiska personers rättigheter och friheter, bör den personuppgiftsansvarige vara ansvarig för att en konsekvens
bedömning utförs avseende datasskydd för att bedöma framför allt riskens ursprung, art, särdrag och allvar.
Resultatet av denna bedömning bör beaktas vid fastställandet av de lämpliga åtgärder som ska vidtas för att visa
att behandlingen av personuppgifter är förenlig med denna förordning. I de fall en konsekvensbedömning
avseende dataskydd ger vid handen att uppgiftsbehandlingen medför en hög risk, som den personuppgift
sansvarige inte kan begränsa genom lämpliga åtgärder med avseende på tillgänglig teknik och genomförande
kostnader, bör ett samråd med tillsynsmyndigheten ske före behandlingen.
(85)
En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk,
materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till
begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt
hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som
omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. Så
4.5.2016
L 119/16
Europeiska unionens officiella tidning
SV
695
SOU 2017:66
Bilaga 2
snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personupp
giftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål och, om så
är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i
enlighet med ansvarsprincipen, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra
en risk för fysiska personers rättigheter och friheter. Om en sådan anmälan inte kan ske inom 72 timmar, bör
skälen till fördröjningen åtfölja anmälan och information får lämnas i omgångar utan otillbörligt vidare dröjsmål.
(86)
Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgift
sincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens
rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva
personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de
potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt,
i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra
relevanta myndigheter, exempelvis brottsbekämpande myndigheter. Till exempel kräver behovet av att mildra en
omedelbar skaderisk att de registrerade underrättas omedelbart, medan behovet av att vidta lämpliga åtgärder vid
fortlöpande eller likartade personuppgiftsincidenter däremot kan motivera längre tid för underrättelsen.
(87)
Det bör undersökas huruvida alla lämpliga tekniska skyddsåtgärder och alla lämpliga organisatoriska åtgärder har
vidtagits för att omedelbart fastställa om en personuppgiftsincident har ägt rum och skyndsamt informera
tillsynsmyndigheten och den registrerade. Att en anmälan gjordes utan onödigt dröjsmål bör fastställas med
hänsyn tagen bl.a. till personuppgiftsincidentens art och svårighetsgrad och dess följder och negativa effekter för
den registrerade. En sådan anmälan kan leda till ett ingripande från tillsynsmyndighetens sida i enlighet med dess
uppgifter och befogenheter enligt denna förordning.
(88)
När ingående regler fastställs för format och förfaranden för anmälan av personuppgiftsincidenter, bör vederbörlig
hänsyn tas till omständigheterna kring incidenten, däribland om personuppgifterna var skyddade av lämpliga
tekniska skyddsåtgärder, som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av
missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade
intressen, där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring en
personuppgiftsincident.
(89)
Direktiv 95/46/EG föreskrev en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndighe
terna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personupp
giftsskyddet. Sådana övergripande och allmänna anmälningsskyldigheter bör därför avskaffas och ersättas av
effektiva förfaranden och mekanismer som i stället inriktas på de typer av behandlingar som sannolikt innebär en
hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål.
Dessa behandlingar kan vara sådana som särskilt inbegriper användning av ny teknik eller är av en ny typ, för
vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgift
sansvarige, eller som blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen.
(90)
I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art,
omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende
dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung.
Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska
minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.
(91)
Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder
personuppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal
registrerade och sannolikt kommer att innebära en hög risk, exempelvis till följd av uppgifternas känsliga natur,
där i enlighet med den uppnådda nivån av teknisk kunskap en ny teknik används storskaligt, samt på annan
behandling som innebär en hög risk för registrerades rättigheter och friheter, framför allt när denna behandling
gör det svårare för de registrerade att utöva sina rättigheter. En konsekvensbedömning avseende dataskydd bör
4.5.2016
L 119/17
Europeiska unionens officiella tidning
SV
696
SOU 2017:66
Bilaga 2
också göras, där personuppgifter behandlas i syfte att fatta beslut om specifika fysiska personer efter en
systematisk och omfattande bedömning av fysiska personers personliga aspekter på grundval av profilering av
dessa uppgifter eller efter behandling av särskilda kategorier av personuppgifter, biometriska uppgifter eller
uppgifter om fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder.
Likaså krävs en konsekvensbedömning avseende dataskydd för övervakning av allmän plats i stor omfattning,
särskilt vid användning av optisk-elektroniska anordningar, eller för all annan behandling där den behöriga
tillsynsmyndigheten anser att behandlingen sannolikt kommer att innebära en hög risk för de registrerades
rättigheter och friheter, framför allt på grund av att den hindrar de registrerade från att utöva en rättighet eller
använda en tjänst eller ett avtal eller på grund av att den systematiskt genomförs i stor omfattning. Behandling av
personuppgifter bör inte anses vara storskalig, om det är fråga om personuppgifter från patienter eller klienter
som behandlas av enskilda läkare, andra yrkesverksamma på hälsoområdet eller juridiska ombud. I dessa fall bör
en konsekvensbedömning avseende dataskydd inte vara obligatorisk.
(92)
Ibland kan det vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende dataskydd inriktar sig på
ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam
tillämpnings- eller behandlingsplattform eller när flera personuppgiftsansvariga planerar att införa en gemensam
tillämpnings- eller behandlingsmiljö för en hel bransch eller ett helt segment eller för en allmänt utnyttjad
horisontell verksamhet.
(93)
Medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning före behandlingen i samband med
antagandet av medlemsstaters nationella rätt som ligger till grund för utförandet av myndighetens eller det
offentliga organets uppgifter och reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder.
(94)
Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan skyddsåtgärder,
säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers
rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan begränsas genom åtgärder som
är rimliga med avseende på tillgänglig teknik och genomförandekostnader, bör samråd hållas med tillsynsmyndig
heten innan behandlingen inleds. En sådan hög risk kommer sannolikt att orsakas av vissa typer av behandling
samt av en viss omfattning och frekvens för behandlingen, vilket även kan leda till skador för eller kränkningar av
fysiska personers rättigheter och friheter. Tillsynsmyndigheten bör inom en fastställd tid svara på en begäran om
samråd. Ett uteblivet svar från tillsynsmyndigheten inom denna tid bör dock inte hindra ett eventuellt ingripande
från tillsynsmyndighetens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning, inbegripet
befogenheten att förbjuda behandling. Som en del av denna samrådsprocess får resultatet av en konsekvens
bedömning avseende dataskydd som utförs med avseende på behandlingen i fråga överlämnas till tillsynsmyndig
heten, framför allt de åtgärder som planeras för att minska risken för fysiska personers rättigheter och friheter.
(95)
Personuppgiftsbiträdet bör vid behov och på begäran bistå den personuppgiftsansvarige med fullgörande av de
skyldigheter som härrör från utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd
med tillsynsmyndigheten.
(96)
Ett samråd med tillsynsmyndigheten bör även ske som ett led i det förberedande arbetet med en lagstift
ningsåtgärd som stadgar om behandling av personuppgifter i syfte att säkerställa att den avsedda behandlingen
överensstämmer med denna förordning och framför allt för att minska den risk den medför för den registrerade.
(97)
När en behandling utförs av en myndighet, med undantag av domstolar eller oberoende rättsliga myndigheter
som en del av deras dömande verksamhet, eller när en behandling utförs i den privata sektorn av en personupp
giftsansvarig vars kärnverksamhet består av behandlingsverksamhet som kräver regelbunden och systematisk
övervakning av de registrerade i stor omfattning, eller när den personuppgiftsansvariges eller personuppgifts
biträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och
uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om
dataskyddslagstiftning och -förfaranden bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att
övervaka den interna efterlevnaden av denna förordning. I den privata sektorn avser personuppgiftsansvarigas
kärnverksamhet deras primära verksamhet och inte behandling av personuppgifter som kompletterande
verksamhet. Den nödvändiga nivån på sakkunskapen bör fastställas särskilt i enlighet med den uppgiftsbehandling
4.5.2016
L 119/18
Europeiska unionens officiella tidning
SV
697
SOU 2017:66
Bilaga 2
som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige eller
personuppgiftsbiträdet. Denna typ av dataskyddsombud bör, oavsett om de är anställda av den personuppgift
sansvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt.
(98)
Sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts
biträden bör uppmuntras att utarbeta uppförandekoder inom gränserna för denna förordning, så att
tillämpningen av denna förordning effektiviseras, med beaktande av särdragen hos den behandling som sker inom
vissa sektorer och de särskilda behov som finns inom mikroföretag samt inom små och medelstora företag. I
synnerhet skulle man genom sådana uppförandekoder kunna anpassa personuppgiftsansvarigas och personupp
giftsbiträdens skyldigheter, med beaktande av den risk som behandlingen sannolikt innebär för fysiska personers
rättigheter och friheter.
(99)
Vid utformningen av en uppförandekod eller vid ändring eller utvidgning av en befintlig sådan kod bör
sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts
biträden samråda med berörda intressenter, i möjligaste mån inbegripet registrerade, och beakta de inlagor som
mottas och de åsikter som framförs som svar på samråden.
(100) För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer
och dataskyddsförsegling och dataskyddsmärkning uppmuntras, så att registrerade snabbt kan bedöma nivån på
relevanta produkters och tjänsters dataskydd.
(101) Flöden av personuppgifter till och från länder utanför unionen och till och från internationella organisationer är
nödvändiga för utvecklingen av internationell handel och internationellt samarbete. Ökningen av dessa flöden har
medfört nya utmaningar och nya farhågor när det gäller skyddet av personuppgifter. Det är viktigt att den
skyddsnivå som fysiska personer säkerställs inom unionen genom denna förordning inte undergrävs när
personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare
i tredjeland eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från
tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma
eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och
internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna
förordning. En överföring kan endast ske, om de villkor som fastställs i bestämmelserna i denna förordning om
överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personupp
giftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.
(102) Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av
personuppgifter, däribland lämpliga skyddsåtgärder för de registrerade. Medlemsstaterna får ingå internationella
avtal som innefattar överföring av personuppgifter till tredjeländer eller internationella organisationer i den mån
sådana avtal inte påverkar denna förordning eller andra bestämmelser i unionsrätten och innehåller en skälig nivå
av skydd för de registrerades grundläggande rättigheter.
(103) Kommissionen kan med verkan för hela unionen fastställa att ett tredjeland, ett territorium eller en specificerad
sektor i ett tredjeland eller en internationell organisation erbjuder en adekvat dataskyddsnivå och på så sätt skapa
rättslig säkerhet och enhetlighet i hela unionen vad gäller tredjelandet eller den internationella organisationen
som anses tillhandahålla en sådan skyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet
eller den internationella organisationen ske utan ytterligare tillstånd. Kommissionen kan också, efter att ha
underrättat tredjelandet eller den internationella organisationen och lämnat en fullständig motivering, besluta att
ett sådant beslut ska återkallas.
(104) I enlighet med de grundläggande värderingar som unionen bygger på, bl.a. skyddet av mänskliga rättigheter, bör
kommissionen i sin bedömning av tredjelandet eller ett territorium eller en specificerad sektor i ett tredjeland
beakta hur ett visst tredjeland respekterar rättsstatsprincipen, tillgången till rättslig prövning samt internationella
människorättsnormer och -standarder samt landets allmänna lagstiftning och sektorslagstiftning, inklusive
lagstiftning om allmän säkerhet, försvar och nationell säkerhet samt allmän ordning och straffrätt. Vid antagandet
av ett beslut om adekvat skyddsnivå avseende ett territorium eller en specificerad sektor i ett tredjeland bör
hänsyn tas till tydliga och objektiva kriterier, t.ex. specifik behandling och tillämpningsområdet för tillämpliga
rättsliga standarder och gällande lagstiftning i tredjelandet. Tredjelandet bör erbjuda garantier som säkerställer en
4.5.2016
L 119/19
Europeiska unionens officiella tidning
SV
698
SOU 2017:66
Bilaga 2
tillfredsställande skyddsnivå som i huvudsak motsvarar den som säkerställs i unionen, i synnerhet när
personuppgifter behandlas inom en eller flera specifika sektorer. Tredjelandet bör framför allt säkerställa en
effektiv oberoende dataskyddsövervakning och sörja för samarbetsmekanismer med medlemsstaternas dataskydds
myndigheter, och de registrerade bör tillförsäkras effektiva och lagstadgade rättigheter samt effektiv administrativ
och rättslig prövning.
(105) Utöver de internationella åtaganden som tredjelandet eller den internationella organisationen har gjort bör
kommissionen beakta de skyldigheter som följer av tredjelandets eller den internationella organisationens
deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter och genomförandet av
dessa skyldigheter. Framför allt bör tredjelandets anslutning till Europarådets konvention av den 28 januari 1981
om skydd för enskilda vid automatisk behandling av personuppgifter och dess tilläggsprotokoll beaktas.
Kommissionen bör samråda med styrelsen vid bedömningen av skyddsnivån i tredjeländer eller internationella
organisationer.
(106) Kommissionen bör övervaka hur beslut om skyddsnivå i ett tredjeland, ett territorium eller en specificerad sektor
i ett tredjeland eller en internationell organisation fungerar, och övervaka hur beslut som antas på grundval av
artikel 25.6 eller 26.4 i direktiv 95/46/EG fungerar. Kommissionen bör i sina beslut om adekvat skyddsnivå
föreskriva en mekanism för periodisk översyn av hur de fungerar. Denna periodiska översyn bör genomföras
i samråd med det berörda tredjelandet eller den berörda internationella organisationen, med beaktande av all
relevant utveckling i tredjelandet eller den internationella organisationen. Vid övervakningen och genomförandet
av den periodiska översynen bör kommissionen ta hänsyn till synpunkter och resultat från Europaparlamentet
och rådet samt andra relevanta organ och källor. Kommissionen bör inom rimlig tid utvärdera hur de sistnämnda
besluten fungerar och rapportera alla relevanta resultat till den kommitté, i den mening som avses i Europapar
lamentets och rådets förordning (EU) nr 182/2011 (1), som inrättats enligt denna förordning och till Europapar
lamentet och rådet.
(107) Kommissionen kan konstatera att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland
eller en internationell organisation inte längre säkerställer en adekvat dataskyddsnivå. Överföring av
personuppgifter till detta tredjeland eller till denna internationella organisation bör då förbjudas, såvida inte
kraven i denna förordning avseende överföring med stöd av lämpliga skyddsåtgärder, inbegripet bindande
företagsbestämmelser och undantag för särskilda situationer, är uppfyllda. I så fall bör det finnas möjlighet till
samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Kommissionen bör i god
tid informera tredjelandet eller den internationella organisationen om skälen och inleda samråd med tredjelandet
eller organisationen för att avhjälpa situationen.
(108) Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder
för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den
registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standard
bestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits
av en tillsynsmyndighet eller avtalsbestämmelser som godkänts av en tillsynsmyndighet. Dessa skyddsåtgärder bör
säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för
behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är
tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva
kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för
behandling av personuppgifter samt principerna om inbyggt dataskydd och dataskydd som standard. Överföring
av uppgifter kan också utföras av offentliga myndigheter eller organ till offentliga myndigheter eller organ i
tredjeländer eller internationella organisationer med motsvarande skyldigheter eller uppgifter, inbegripet på
grundval av bestämmelser som ska införas i administrativa överenskommelser, t.ex. samförståndsavtal, som
föreskriver verkställbara och faktiska rättigheter för de registrerade. Tillstånd från den behöriga tillsynsmyndighe
ten bör erhållas när skyddsåtgärder föreskrivs i icke rättsligt bindande administrativa arrangemang.
(109) Personuppgiftsansvarigas eller personuppgiftsbiträdens möjlighet att använda standardiserade dataskyddsbe
stämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar
4.5.2016
L 119/20
Europeiska unionens officiella tidning
SV
(1) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer
för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).
699
SOU 2017:66
Bilaga 2
standardiserade dataskyddsbestämmelser i ett vidare avtal, såsom ett avtal mellan personuppgiftsbiträdet och ett
annat personuppgiftsbiträde, eller lägger till andra bestämmelser eller ytterligare skyddsåtgärder, under
förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausuler som antagits av
kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter.
Personuppgiftsansvariga och personuppgiftsbiträden bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder
via avtalsmässiga åtaganden som kompletterar de standardiserade skyddsbestämmelserna.
(110) En koncern eller en grupp av företag som deltar i en gemensam ekonomisk verksamhet bör kunna använda sig
av godkända bindande företagsbestämmelser för sina internationella överföringar från unionen till organisationer
inom samma koncern eller grupp av företag som deltar i en gemensam ekonomisk verksamhet, under
förutsättning att företagsbestämmelserna inbegriper alla nödvändiga principer och bindande rättigheter som
säkerställer lämpliga skyddsåtgärder för överföringar eller kategorier av överföringar av personuppgifter.
(111) Det bör införas bestämmelser som ger möjlighet att under vissa omständigheter göra överföringar, om den
registrerade har lämnat sitt uttryckliga samtycke, när överföringen är tillfällig och nödvändig med hänsyn till ett
avtal eller ett rättsligt anspråk, oavsett om detta sker inom ett rättsligt förfarande eller i ett administrativt eller
utomrättsligt förfarande, inbegripet förfaranden inför tillsynsorgan. Det bör också införas bestämmelser som ger
möjlighet till överföringar om viktiga allmänintressen fastställda genom unionsrätten eller medlemsstaternas
nationella rätt så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att
konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring
inte omfatta alla personuppgifter eller hela kategorier av uppgifter i registret, och överföringen bör endast göras
när registret är avsett att vara tillgängligt för personer med ett berättigat intresse, på begäran av dessa personer
eller om de själva är mottagarna, med full hänsyn till de registrerades intressen och grundläggande rättigheter.
(112) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till
viktiga allmänintressen, exempelvis vid internationella utbyten av uppgifter mellan konkurrensmyndigheter,
skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter,
till exempel vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning
inom idrott. En överföring av personuppgifter bör också betraktas som laglig, om den är nödvändig för att
skydda ett intresse som är väsentligt för den registrerades eller en annan persons vitala intressen, inklusive dennes
fysiska integritet och liv, om den registrerade är oförmögen att ge sitt samtycke. Saknas beslut om adekvat
skyddsnivå får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen
uttryckligen fastställa gränser för överföringen av särskilda kategorier av uppgifter till ett tredjeland eller en
internationell organisation. Medlemsstaterna bör underrätta kommissionen om sådana bestämmelser. Varje
överföring till en internationell humanitär organisation av personuppgifter rörande en registrerad som är fysiskt
eller rättsligt förhindrad att ge sitt samtycke, i syfte att utföra en uppgift inom ramen för Genèvekonventionerna
eller vara förenlig med internationell humanitär rätt, vilken är tillämplig vid väpnade konflikter, skulle kunna
anses vara nödvändig för ett betydande allmänintresse eller för att den är av vitalt intresse för den registrerade.
(113) Överföringar som kan anses vara icke återkommande och endast gäller ett begränsat antal registrerade kan också
vara möjliga när personuppgiftsansvarigas tvingande berättigade intressen motiverar detta, om inte den
registrerades intressen eller rättigheter och friheter väger tyngre än dessa intressen, och den personuppgift
sansvarige har bedömt alla omständigheter kring uppgiftsöverföringen. Den personuppgiftsansvarige bör ta
särskild hänsyn till personuppgifternas art, den eller de avsedda behandlingarnas ändamål och varaktighet samt
situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet och bör tillhandahålla lämpliga
åtgärder för att skydda fysiska personers grundläggande rättigheter och friheter vid behandlingen av deras
personuppgifter. Sådana överföringar bör endast vara möjliga i vissa fall där inget av de andra skälen till
överföring är tillämpligt. För vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör hänsyn
tas till samhällets legitima förväntningar i fråga om ökad kunskap. Den personuppgiftsansvarige bör informera
tillsynsmyndigheten och den registrerade om överföringen.
(114) Om kommissionen inte har fattat beslut om adekvat dataskyddsnivå i ett tredjeland, bör den personuppgift
sansvarige eller personuppgiftsbiträdet i alla fall använda sig av lösningar som ger de registrerade verkställbara
och effektiva rättigheter vad gäller behandlingen av deras personuppgifter inom unionen när dessa uppgifter väl
har överförts, så att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärder fortsatt gäller i
förhållande till dem.
4.5.2016
L 119/21
Europeiska unionens officiella tidning
SV
700
SOU 2017:66
Bilaga 2
(115) Vissa tredjeländer antar lagar och andra författningar som syftar till att direkt reglera behandling som genomförs
av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Detta kan inkludera rättsliga avgöranden
eller beslut av administrativa myndigheter i tredjeländer med krav på att personuppgiftsansvariga eller personupp
giftsbiträden överför eller överlämnar personuppgifter, vilka inte grundar sig på något gällande internationellt
avtal, såsom ett fördrag om ömsesidig rättshjälp, mellan det begärande tredjelandet och unionen eller en
medlemsstat. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt
och inverka menligt på det skydd av fysiska personer som säkerställs inom unionen genom denna förordning.
Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda.
Detta kan vara fallet bl.a. när utlämnande är nödvändigt på grund av ett viktigt allmänintresse som erkänns
i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.
(116) När personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan
utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande
av denna information. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller
göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att arbeta tillsammans
över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, oenhetliga rättsliga
regelverk och praktiska hinder, som exempelvis bristande resurser. Närmare samarbete mellan dataskyddstillsyn
smyndigheter bör därför främjas för att hjälpa dem att utbyta information och utföra utredningar med sina
internationella motparter. I syfte att bygga upp internationella samarbetsmekanismer för att underlätta och
tillhandahålla ömsesidig internationell hjälp med att kontrollera efterlevnaden av lagstiftningen till skydd för
personuppgifter, bör kommissionen och tillsynsmyndigheterna utbyta information och samarbeta, inom
verksamhet som rör utövandet av deras befogenheter, med behöriga myndigheter i tredjeländer, på grundval av
ömsesidighet och i överensstämmelse med denna förordning.
(117) Ett väsentligt inslag i skyddet av fysiska personer vid behandlingen av personuppgifter är att medlemsstaterna
inrättar tillsynsmyndigheter med behörighet att utföra sina uppgifter och utöva sina befogenheter under
fullständigt oberoende. Medlemsstaterna bör kunna inrätta fler än en tillsynsmyndighet om det behövs för att ta
hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen.
(118) Tillsynsmyndigheternas oberoende bör dock inte innebära att deras utgifter inte kan underkastas kontroll- eller
övervakningsmekanismer eller bli föremål för domstolsprövning.
(119) Om en medlemsstat inrättar flera tillsynsmyndigheter, bör den genom lagstiftning säkerställa att dessa
tillsynsmyndigheter effektivt deltar i mekanismen för enhetlighet. Medlemsstaten bör i synnerhet utnämna en
tillsynsmyndighet som fungerar som samlande kontaktpunkt för dessa myndigheters effektiva deltagande i
mekanismen för att säkra ett snabbt och smidigt samarbete med övriga tillsynsmyndigheter, styrelsen och
kommissionen.
(120) Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den
infrastruktur som är nödvändig för att den effektivt ska kunna utföra sina uppgifter, däribland de uppgifter som
är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. Varje
tillsynsmyndighet bör ha en separat offentlig årlig budget, som kan ingå i den övergripande statsbudgeten eller
nationella budgeten.
(121) De allmänna villkoren för tillsynsmyndighetens ledamot eller ledamöter bör fastställas genom varje medlemsstats
lagstiftning och där bör i synnerhet föreskrivas att ledamöterna ska utnämnas genom ett öppet förfarande
antingen av medlemsstatens parlament, regering eller statschef, på grundval av ett förslag från regeringen, en
ledamot av regeringen, parlamentet eller en av parlamentets kammare eller av ett oberoende organ som enligt
medlemsstaternas nationella rätt har anförtrotts utnämningen. I syfte att säkerställa tillsynsmyndighetens
oberoende bör ledamoten eller ledamöterna handla med integritet, avstå från alla handlingar som står i strid med
deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som
står i strid med deras uppdrag. Tillsynsmyndigheten bör ha egen personal, som valts ut av tillsynsmyndigheten
eller ett oberoende organ som fastställs i medlemsstaternas nationella rätt, vilken uteslutande bör vara underställd
tillsynsmyndighetens ledamot eller ledamöter.
(122) Varje tillsynsmyndighet bör ha behörighet att inom sin medlemsstats territorium utöva de befogenheter och
utföra de uppgifter som den tilldelats i enlighet med denna förordning. Detta bör framför allt omfatta behandling
4.5.2016
L 119/22
Europeiska unionens officiella tidning
SV
701
SOU 2017:66
Bilaga 2
inom ramen för verksamhet vid den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhetsställen
inom den egna medlemsstatens territorium, behandling av personuppgifter som utförs av myndigheter eller
privata organ som agerar i ett allmänt intresse, behandling som påverkar registrerade på dess territorium eller
behandling som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i
unionen när den rör registrerade som är bosatta på dess territorium. Detta bör inbegripa att hantera klagomål
som lämnas in av en registrerad, genomföra undersökningar om tillämpningen av denna förordning samt främja
allmänhetens medvetenhet om risker, bestämmelser, skyddsåtgärder och rättigheter när det gäller behandlingen av
personuppgifter.
(123) Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i denna förordning och bidra till att
tillämpningen blir enhetlig över hela unionen, för att skydda fysiska personer vid behandling av deras
personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För detta
ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen, utan att det behövs
något avtal mellan medlemsstaterna om tillhandahållande av ömsesidigt bistånd eller om sådant samarbete.
(124) Om behandlingen av personuppgifter sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett
personuppgiftsbiträdes verksamhetsställe i unionen och den personuppgiftsansvarige eller personuppgiftsbiträdet
är etablerad i mer än en medlemsstat, eller om behandling som sker inom ramen för verksamhet vid ett enda
verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen i väsentlig grad
påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat, bör tillsyns
myndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller
för detta enda verksamhetsställe tillhörande den personuppgiftsansvarige eller personuppgiftsbiträdet agera som
ansvarig myndighet. Denna bör samarbeta med de övriga myndigheter som berörs, eftersom den personuppgift
sansvarige eller personuppgiftsbiträdet har ett verksamhetsställe inom deras medlemsstats territorium, eftersom
registrerade som är bosatta på deras territorium i väsentlig grad påverkas eller eftersom ett klagomål har lämnats
in till dem. Även när en registrerad som inte är bosatt i medlemsstaten har lämnat in ett klagomål, bör den
tillsynsmyndighet som klagomålet har lämnats in till också vara en berörd tillsynsmyndighet. Styrelsen bör inom
ramen för sina uppgifter kunna utfärda riktlinjer för alla frågor som rör tillämpningen av denna förordning,
framför allt för vilka kriterier som ska beaktas för att konstatera om behandlingen i fråga i väsentlig grad
påverkar registrerade i mer än en medlemsstat och för vad som utgör en relevant och motiverad invändning.
(125) Den ansvariga myndigheten bör ha behörighet att anta bindande beslut om åtgärder inom ramen för de
befogenheter som den tilldelats i enlighet med denna förordning. I egenskap av ansvarig myndighet bör tillsyns
myndigheten nära involvera och samordna de berörda tillsynsmyndigheterna i beslutsfattandet. Om man beslutar
att helt eller delvis avslå den registrerades klagomål, bör detta beslut antas av den tillsynsmyndighet som
klagomålet har lämnats in till.
(126) Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna bör gemensamt enas om beslutet, som
bör rikta sig till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda
verksamhetsställe och vara bindande för den personuppgiftsansvarige och personuppgiftsbiträdet. Den personupp
giftsansvarige eller personuppgiftsbiträdet bör vidta de åtgärder som krävs för att säkerställa efterlevnad av denna
förordning och genomförande av det beslut som den ansvariga tillsynsmyndigheten har anmält till den
personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe vad gäller behandling i
unionen.
(127) Varje tillsynsmyndighet som inte agerar som ansvarig tillsynsmyndighet bör vara behörig att behandla lokala fall,
om den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat men ärendet
för den specifika behandlingen endast avser behandling som utförs i en enda medlemsstat och endast omfattar
registrerade i denna enda medlemsstat, till exempel om ärendet avser behandling av anställdas personuppgifter
inom ramen för en medlemsstats specifika anställningsförhållanden. I sådana fall bör tillsynsmyndigheten utan
dröjsmål underrätta den ansvariga tillsynsmyndigheten om detta ärende. Efter att ha underrättats bör den
ansvariga tillsynsmyndigheten besluta huruvida den kommer att hantera ärendet i enlighet med bestämmelsen om
samarbete mellan den ansvariga tillsynsmyndigheten och andra berörda tillsynsmyndigheter (nedan kallad
mekanismen för en enda kontaktpunkt), eller om den tillsynsmyndighet som underrättade den bör behandla ärendet
på lokal nivå. När den ansvariga tillsynsmyndigheten beslutar huruvida den kommer att behandla ärendet, bör
den ta hänsyn till om den personuppgiftsansvarige eller personuppgiftsbiträdet har ett verksamhetsställe i den
medlemsstat där den tillsynsmyndighet som underrättade den ansvariga myndigheten är belägen för att säkerställa
ett effektivt genomförande av ett beslut gentemot den personuppgiftsansvarige eller personuppgiftsbiträdet. När
den ansvariga tillsynsmyndigheten beslutar att behandla ärendet, bör den tillsynsmyndighet som underrättade den
4.5.2016
L 119/23
Europeiska unionens officiella tidning
SV
702
SOU 2017:66
Bilaga 2
ha möjlighet att lämna in ett förslag till beslut, som den ansvariga tillsynsmyndigheten bör ta största möjliga
hänsyn till när den utarbetar utkastet till beslut inom ramen för mekanismen för en enda kontaktpunkt.
(128) Bestämmelserna om den ansvariga tillsynsmyndigheten och mekanismen för en enda kontaktpunkt bör inte
tillämpas om behandlingen utförs av myndigheter eller privata organ i ett allmänt intresse. I sådana fall bör den
enda tillsynsmyndighet som är behörig att utöva de befogenheter som den tilldelas i enlighet med denna
förordning vara tillsynsmyndigheten i den medlemsstat där myndigheten eller det privata organet är etablerat.
(129) För att denna förordning ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndighe
terna i alla medlemsstater ha samma uppgifter och effektiva befogenheter, bl.a. undersökningsbefogenheter,
korrigerande befogenheter och befogenheter att ålägga sanktioner samt befogenheter att utfärda tillstånd och ge
råd, särskilt vid klagomål från fysiska personer och, utan att det påverkar åklagarmyndigheternas befogenheter
enligt medlemsstaternas nationella rätt, att upplysa de rättsliga myndigheterna om överträdelser av denna
förordning och delta i rättsliga förfaranden. Dessa befogenheter bör även omfatta en befogenhet att införa en
tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. Medlemsstaterna får fastställa andra
uppgifter med anknytning till skyddet av personuppgifter enligt denna förordning. Tillsynsmyndigheternas
befogenheter bör utövas opartiskt, rättvist och inom rimlig tid i överensstämmelse med lämpliga rättssäkerhets
garantier i unionsrätten och i medlemsstaternas nationella rätt. Framför allt bör varje åtgärd vara lämplig,
nödvändig och proportionell för att säkerställa efterlevnad av denna förordning, med beaktande av
omständigheterna i varje enskilt fall, samt respektera varje persons rätt att bli hörd innan några enskilda åtgärder
som påverkar honom eller henne negativt vidtas och vara utformad så att onödiga kostnader och alltför stora
olägenheter för de berörda personerna undviks. Undersökningsbefogenheten när det gäller tillträde till lokaler bör
utövas i enlighet med särskilda krav i medlemsstaternas nationella processrätt, såsom kravet på att inhämta
förhandstillstånd från rättsliga myndigheter. Varje rättsligt bindande åtgärd som vidtas av tillsynsmyndigheten bör
vara skriftlig, klar och entydig, innehålla information om vilken tillsynsmyndighet som har utfärdat åtgärden och
datum för utfärdandet, vara undertecknad av tillsynsmyndighetens chef eller en av dess ledamöter efter dennes
bemyndigande samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel.
Detta bör inte utesluta ytterligare krav enligt medlemsstaternas nationella processrätt. Antagande av ett rättsligt
bindande beslut innebär att det kan bli föremål för domstolsprövning i den medlemsstat till vilken den
tillsynsmyndighet som antog beslutet hör.
(130) Om den tillsynsmyndighet till vilken klagomålet har ingetts inte är den ansvariga tillsynsmyndigheten, bör den
ansvariga tillsynsmyndigheten nära samarbeta med den tillsynsmyndighet till vilken klagomålet har ingetts i
enlighet med de bestämmelser om samarbete och enhetlighet som fastställs i denna förordning. I sådana fall bör
den ansvariga tillsynsmyndigheten när den vidtar åtgärder avsedda att ha rättsverkan, inbegripet utdömandet av
administrativa sanktionsavgifter, ta största hänsyn till synpunkter från den tillsynsmyndighet till vilken klagomålet
har ingetts, vilken bör kvarstå som behörig för genomförande av utredningar på den egna medlemsstatens
territorium i samverkan med den behöriga tillsynsmyndigheten.
(131) Om en annan tillsynsmyndighet bör agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller
personuppgiftsbiträdets behandling men den sakfråga som klagomålet gäller eller den möjliga överträdelsen
endast rör den personuppgiftsansvariges eller personuppgiftsbiträdets behandling i den medlemsstat där
klagomålet har ingetts eller den eventuella överträdelsen har upptäckts, och frågan inte i väsentlig grad påverkar
eller inte sannolikt i väsentlig grad kommer att påverka registrerade i andra medlemsstater, bör den
tillsynsmyndighet som mottar ett klagomål eller upptäcker eller på annat sätt informeras om situationer som
innebär eventuella överträdelser av denna förordning försöka få till stånd en uppgörelse i godo med den
personuppgiftsansvarige och, om detta inte lyckas, utöva sina befogenheter fullt ut. Detta bör omfatta särskild
behandling som utförs inom tillsynsmyndighetens medlemsstats territorium eller med avseende på registrerade
inom denna medlemsstats territorium, behandling som utförs inom ramen för ett erbjudande om varor eller
tjänster som särskilt riktar sig till registrerade inom tillsynsmyndighetens medlemsstats territorium eller
behandling som måste bedömas med beaktande av relevanta rättsliga skyldigheter enligt medlemsstaternas
nationella rätt.
(132) Medvetandehöjande kampanjer från tillsynsmyndigheters sida riktade till allmänheten bör innefatta särskilda
åtgärder riktade dels till personuppgiftsansvariga och personuppgiftsbiträden, inbegripet mikroföretag samt små
och medelstora företag, dels till fysiska personer, särskilt i utbildningssammanhang.
4.5.2016
L 119/24
Europeiska unionens officiella tidning
SV
703
SOU 2017:66
Bilaga 2
(133) Tillsynsmyndigheterna bör hjälpa varandra att utföra sina uppgifter och ge ömsesidigt bistånd så att denna
förordning tillämpas och verkställs enhetligt på den inre marknaden. En tillsynsmyndighet som begärt ömsesidigt
bistånd får anta en provisorisk åtgärd, om den inte har fått något svar på en begäran om ömsesidigt bistånd inom
en månad från det att begäran mottogs av den andra tillsynsmyndigheten.
(134) Alla tillsynsmyndigheter bör om lämpligt delta i gemensamma insatser med andra tillsynsmyndigheter. Den
anmodade tillsynsmyndigheten bör vara skyldig att besvara en begäran inom en fastställd tidsperiod.
(135) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet när det gäller
samarbete mellan tillsynsmyndigheterna skapas. Denna mekanism bör främst tillämpas när en tillsynsmyndighet
avser att anta en åtgärd som är avsedd att ha rättsverkan gällande behandlingar som i väsentlig grad påverkar ett
betydande antal registrerade i flera medlemsstater. Den bör också tillämpas när en berörd tillsynsmyndighet eller
kommissionen begär att ett sådant ärende ska hanteras inom ramen för mekanismen för enhetlighet. Mekanismen
bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt
fördragen.
(136) Vid tillämpningen av mekanismen för enhetlighet bör styrelsen inom en fastställd tidsperiod avge ett yttrande,
om en majoritet av dess ledamöter så beslutar eller om någon berörd tillsynsmyndighet eller kommissionen begär
detta. Styrelsen bör också ges befogenhet att anta rättsligt bindande beslut vid tvister mellan tillsynsmyndigheter.
För detta ändamål bör den, normalt med två tredjedelars majoritet av sina ledamöter, utfärda rättsligt bindande
beslut i tydligt fastställda fall då tillsynsmyndigheter har olika uppfattningar, framför allt när det gäller
mekanismen för samarbete mellan den ansvariga tillsynsmyndigheten och berörda tillsynsmyndigheter om
sakförhållandena, i synnerhet om huruvida denna förordning har överträtts.
(137) Det kan uppstå brådskande behov att agera för att skydda registrerades rättigheter och friheter, särskilt när fara
föreligger att säkerställandet av en registrerad persons rättighet kan komma att försvåras avsevärt. En
tillsynsmyndighet bör därför kunna vidta vederbörligen motiverade provisoriska åtgärder inom sitt territorium
med en viss giltighetsperiod, som inte bör överskrida tre månader.
(138) Tillämpningen av en sådan mekanism bör vara ett villkor för lagligheten av en åtgärd som är avsedd att ha
rättsverkan och som vidtas av tillsynsmyndigheten i de fall där denna tillämpning är obligatorisk. I andra ärenden
som inbegriper flera länder bör samarbetsmekanismen mellan den ansvariga tillsynsmyndigheten och berörda
tillsynsmyndigheter tillämpas, och ömsesidigt bistånd och gemensamma insatser kan utföras mellan de berörda
tillsynsmyndigheterna på bilateral eller multilateral basis utan att mekanismen för enhetlighet utlöses.
(139) I syfte att främja en enhetlig tillämpning av denna förordning bör styrelsen inrättas som ett oberoende
unionsorgan. För att styrelsen ska kunna uppfylla sina mål bör den vara en juridisk person. Styrelsen bör
företrädas av sin ordförande. Den bör ersätta arbetsgruppen för skydd av fysiska personer med avseende på
behandlingen av personuppgifter, som inrättades genom direktiv 95/46/EG. Den bör bestå av chefen för en
tillsynsmyndighet i varje medlemsstat och Europeiska datatillsynsmannen eller deras respektive företrädare.
Kommissionen bör delta i styrelsens verksamhet utan att ha rösträtt, och Europeiska datatillsynsmannen bör ha
specifik rösträtt. Styrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att
lämna råd till kommissionen, särskilt vad gäller skyddsnivån i tredjeländer eller internationella organisationer, och
främja samarbetet mellan tillsynsmyndigheterna i hela unionen. Styrelsen bör agera oberoende när den utför sina
uppgifter.
(140) Styrelsen bör biträdas av ett sekretariat som tillhandahålls av Europeiska datatillsynsmannen. Den personal vid
Europeiska datatillsynsmannen som medverkar i utförandet av de uppgifter som enligt denna förordning
anförtros styrelsen bör för sina uppgifter uteslutande ta emot instruktioner från styrelsens ordförande och
rapportera till denne.
(141) Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat
där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan,
4.5.2016
L 119/25
Europeiska unionens officiella tidning
SV
704
SOU 2017:66
Bilaga 2
om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om tillsyns
myndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så
är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för
eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör
inom rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om
ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet, bör den registrerade
underrättas även om detta. För att förenkla inlämningen av klagomål bör varje tillsynsmyndighet vidta åtgärder,
såsom att tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att
andra kommunikationsformer utesluts.
(142) Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon
ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som
har inrättats i enlighet med en medlemsstats nationella rätt, som har stadgeenliga mål av allmänt intresse och
bedriver verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål
till en tillsynsmyndighet, om detta föreskrivs i medlemsstatens nationella rätt, att på den registrerades vägnar
utöva rätten till domstolsprövning eller att på den registrerades vägnar utöva rätten att ta emot ersättning. En
medlemsstat får föreskriva att ett sådant organ, en sådan organisation eller en sådan sammanslutning ska ha rätt
att lämna in ett klagomål i den medlemsstaten, oberoende av en registrerad persons mandat, och ha rätt till ett
effektivt rättsmedel, om det eller den har skäl att anse att en registrerad persons rättigheter har kränkts till följd
av behandling av personuppgifter som strider mot denna förordning. Detta organ, denna organisation eller denna
sammanslutning får inte ges rätt att kräva ersättning på en registrerad persons vägnar oberoende av den
registrerades mandat.
(143) Varje fysisk eller juridisk person har rätt att väcka ogiltighetstalan mot styrelsens beslut vid domstolen enligt de
villkor som föreskrivs i artikel 263 i EUF-fördraget. I sin egenskap av adressater för sådana beslut måste, i
enlighet med artikel 263 i EUF-fördraget, de berörda tillsynsmyndigheter som önskar överklaga dessa väcka talan
inom två månader efter det att beslutet meddelats dem. Om styrelsens beslut direkt och personligen berör en
personuppgiftsansvarig, ett personuppgiftsbiträde eller en enskild, kan den enskilde väcka ogiltighetstalan mot
besluten inom två månader efter det att de har offentliggjorts på styrelsens webbplats, i enlighet med artikel 263
i EUF-fördraget. Utan att det påverkar denna rätt inom ramen för artikel 263 i EUF-fördraget bör varje fysisk eller
juridisk person ha rätt till ett effektivt rättsmedel vid den behöriga nationella domstolen mot ett beslut av en
tillsynsmyndighet som har rättsliga följder för denna person. Sådana beslut avser särskilt tillsynsmyndighetens
utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål.
Rätten till ett effektivt rättsmedel inbegriper dock inte åtgärder som vidtagits av tillsynsmyndigheter när dessa inte
är rättsligt bindande, såsom yttranden som avgivits eller rådgivning som tillhandahållits av tillsynsmyndigheten.
Talan mot beslut som har fattats av en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där
tillsynsmyndigheten har sitt säte och bör genomföras i enlighet med den medlemsstatens nationella processrätt.
Dessa domstolar bör ha fullständig behörighet, vilket bör omfatta behörighet att pröva alla fakta och rättsliga
frågor som rör den tvist som anhängiggjorts vid dem.
Om talan avslås eller avvisas av en tillsynsmyndighet, kan den enskilde väcka talan vid domstolarna i samma
medlemsstat. I samband med rättsmedel som avser tillämpningen av denna förordning kan eller, i det fall som
anges i artikel 267 i EUF-fördraget, måste nationella domstolar som anser att ett beslut om ett förhandsavgörande
är nödvändigt för att de ska kunna döma begära att domstolen meddelar ett förhandsavgörande om tolkningen
av unionsrätten, inbegripet denna förordning. Om dessutom ett beslut av en tillsynsmyndighet om genomförande
av ett beslut av styrelsen överklagas till en nationell domstol och giltigheten av styrelsens beslut ifrågasätts, har
inte den nationella domstolen befogenhet att förklara styrelsens beslut ogiltigt utan måste hänskjuta frågan om
giltighet till domstolen i enlighet med artikel 267 i EUF-fördraget såsom den tolkats av domstolen, närhelst den
anser att beslutet är ogiltigt. En nationell domstol får dock inte hänskjuta en fråga om giltigheten av styrelsens
beslut på begäran av en fysisk eller juridisk person som haft tillfälle att väcka ogiltighetstalan mot beslutet,
i synnerhet inte om denna person direkt och personligen berördes av beslutet men inte gjorde detta inom den
frist som anges i artikel 263 i EUF-fördraget.
(144) Om en domstol där ett förfarande inletts mot beslut som har fattats av en tillsynsmyndighet har skäl att tro att
ett förfarande rörande samma behandling, såsom samma sakfråga vad gäller behandling av samma personuppgift
sansvarige eller samma personuppgiftsbiträde, eller samma händelseförlopp, har inletts vid en annan behörig
domstol i en annan medlemsstat, bör den kontakta denna domstol i syfte att bekräfta förekomsten av sådana
relaterade förfaranden. Om relaterade förfaranden pågår vid en domstol i en annan medlemsstat får alla andra
4.5.2016
L 119/26
Europeiska unionens officiella tidning
SV
705
SOU 2017:66
Bilaga 2
domstolar än den domstol där förfarandet först inleddes låta förfarandena vila eller på en av parternas begäran
förklara sig obehöriga till förmån för den domstol där förfarandet först inleddes, om den domstolen har
behörighet i förfarandet i fråga och dess lagstiftning tillåter förening av sådana relaterade förfaranden.
Förfarandena anses vara relaterade, om de är så nära förenade att en gemensam handläggning och dom är
påkallad för att undvika att oförenliga domar meddelas som en följd av att förfarandena prövas i olika
rättegångar.
(145) När det gäller ett rättsligt förfarande mot en personuppgiftsansvarig eller ett personuppgiftsbiträde bör käranden
kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den personuppgiftsansvarige eller
personuppgiftsbiträdet är etablerad eller där den registrerade är bosatt, såvida inte den personuppgiftsansvarige är
en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.
(146) Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida
till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgifts
biträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för
skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut
återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra
bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Behandling som strider mot denna
förordning omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i
enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna
förordnings bestämmelser. Registrerade bör få full och effektiv ersättning för den skada de lidit. Om personupp
giftsansvariga eller personuppgiftsbiträden medverkat vid samma behandling, bör varje personuppgiftsansvarig
eller personuppgiftsbiträde hållas ansvarig för hela skadan. Om de är förenade i samma rättsliga förfarande i
enlighet med medlemsstaternas nationella rätt, kan ersättningen dock fördelas i enlighet med varje personuppgift
sansvarigs eller personuppgiftsbiträdes ansvar för den genom behandlingen uppkomna skadan, förutsatt att den
registrerade som lidit skada tillförsäkras full och effektiv ersättning. Varje personuppgiftsansvarig eller personupp
giftsbiträde som har betalat full ersättning får därefter inleda förfaranden för återkrav mot andra personuppgift
sansvariga eller personuppgiftsbiträden som medverkat vid samma behandling.
(147) Om särskilda bestämmelser om behörighet fastställs i denna förordning, framför allt vad gäller förfaranden för att
begära rättslig prövning som inbegriper ersättning mot en personuppgiftsansvarig eller ett personuppgiftsbiträde,
bör inte allmänna bestämmelser om behörighet, såsom bestämmelserna i Europaparlamentets och rådets
förordning (EU) nr 1215/2012 (1), påverka tillämpningen av sådana särskilda bestämmelser.
(148) För att stärka verkställigheten av denna förordning bör det utdömas sanktioner, inbegripet administrativa
sanktionsavgifter, för överträdelser av denna förordning utöver eller i stället för de lämpliga åtgärder som tillsyns
myndigheten vidtar i enlighet med denna förordning. Vid en mindre överträdelse eller om den sanktionsavgift
som sannolikt skulle utdömas skulle innebära en oproportionell börda för en fysisk person får en reprimand
utfärdas i stället för sanktionsavgifter. Vederbörlig hänsyn bör dock tas till överträdelsens karaktär, svårighetsgrad
och varaktighet och huruvida den har skett uppsåtligen, vilka åtgärder som vidtagits för att lindra skadan, graden
av ansvar eller eventuella tidigare överträdelser av relevans, det sätt på vilket överträdelsen kom till tillsynsmyn
dighetens kännedom, efterlevnad av åtgärder som förordnats mot den personuppgiftsansvarige eller personupp
giftsbiträdet, tillämpning av en uppförandekod och eventuella andra försvårande eller förmildrande faktorer.
Utdömandet av sanktioner, inbegripet administrativa sanktionsavgifter, bör underkastas adekvata rättssäkerhets
garantier i överensstämmelse med allmänna principer inom unionsrätten och stadgan, vilket inbegriper ett
effektivt rättsligt skydd och korrekt rättsligt förfarande.
(149) Medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder för överträdelser av denna
förordning, inbegripet för överträdelser av nationella bestämmelser som antagits i enlighet med och inom ramen
för denna förordning. Dessa straffrättsliga påföljder kan även inbegripa en möjlighet att förverka den vinning som
gjorts genom överträdelser av denna förordning. Utdömandet av straffrättsliga påföljder för överträdelser av
sådana nationella bestämmelser och administrativa sanktioner bör dock inte medföra ett åsidosättande av
principen ne bis in idem enligt domstolens tolkning.
(150) För att förstärka och harmonisera de administrativa sanktionerna för överträdelser av denna förordning bör
samtliga tillsynsmyndigheter ha befogenhet att utfärda administrativa sanktionsavgifter. Det bör i denna
4.5.2016
L 119/27
Europeiska unionens officiella tidning
SV
(1) Europaparlamentets och rådets förordning (EU) nr 1215/2012 av den 12 december 2012 om domstols behörighet och om erkännande
och verkställighet av domar på privaträttens område (EUT L 351, 20.12.2012, s. 1).
706
SOU 2017:66
Bilaga 2
förordning anges vilka överträdelserna är, den övre gränsen för och kriterierna för fastställande av de
administrativa sanktionsavgifterna, som i varje enskilt fall bör bestämmas av den behöriga tillsynsmyndigheten
med beaktande av alla relevanta omständigheter i det särskilda fallet, med vederbörlig hänsyn bl.a. till
överträdelsens karaktär, svårighetsgrad och varaktighet samt till dess följder och till de åtgärder som vidtas för att
sörja för fullgörandet av skyldigheterna enligt denna förordning och för att förebygga eller lindra konsekvenserna
av överträdelsen. Om de administrativa sanktionsavgifterna åläggs ett företag, bör ett företag i detta syfte anses
vara ett företag i den mening som avses i artiklarna 101 och 102 i EUF-fördraget. Om de administrativa
sanktionsavgifterna åläggs personer som inte är ett företag, bör tillsynsmyndigheten ta hänsyn till den allmänna
inkomstnivån i medlemsstaten och personens ekonomiska situation, när den överväger lämplig sanktionsavgift.
Mekanismen för enhetlighet kan också tillämpas för att främja en enhetlig tillämpning av administrativa
sanktionsavgifter. Medlemsstaterna bör fastställa om och i vilken utsträckning myndigheter ska omfattas av
administrativa sanktionsavgifter. Utfärdande av administrativa sanktionsavgifter eller utdelning av en varning
påverkar inte tillämpningen av tillsynsmyndigheternas övriga befogenheter eller av andra sanktioner enligt denna
förordning.
(151) Danmarks och Estlands rättssystem tillåter inte administrativa sanktionsavgifter i enlighet med denna förordning.
Bestämmelserna om administrativa sanktionsavgifter kan tillämpas så att sanktionsavgiften i Danmark utdöms
som en straffrättslig påföljd av en behörig nationell domstol och att den i Estland utdöms av tillsynsmyndigheten
inom ramen för ett förseelseförfarande, under förutsättning att en sådan tillämpning av bestämmelserna i dessa
medlemsstater har en effekt som är likvärdig med administrativa sanktionsavgifter som utdöms av tillsynsmyn
digheter. De behöriga nationella domstolarna bör därför beakta rekommendationen från den tillsynsmyndighet
som initierar sanktionsavgiften. De sanktionsavgifter som utdöms bör i alla händelser vara effektiva, proportionella
och avskräckande.
(152) Om denna förordning inte harmoniserar administrativa sanktioner eller om nödvändigt i andra fall, till exempel
vid fall av allvarliga överträdelser av denna förordning, bör medlemsstaterna genomföra ett system med effektiva,
proportionella och avskräckande sanktioner. Dessa sanktioners art, straffrättsliga eller administrativa, bör
fastställas i medlemsstaternas nationella rätt.
(153) Medlemsstaterna bör i sin lagstiftning sammanjämka bestämmelserna om yttrandefrihet och informationsfrihet,
vilket inbegriper journalistiska, akademiska, konstnärliga och/eller litterära uttrycksformer, med rätten till skydd
av personuppgifter i enlighet med denna förordning. Behandling av personuppgifter enbart för journalistiska,
akademiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att
rätten till skydd av personuppgifter vid behov kan förenas med rätten till yttrandefrihet och informationsfrihet,
som följer av artikel 11 i stadgan. Detta bör särskilt gälla vid behandling av personuppgifter inom det
audiovisuella området och i nyhetsarkiv och pressbibliotek. Medlemsstaterna bör därför anta lagstiftningsåtgärder
som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter.
Medlemsstaterna bör fastställa sådana undantag med avseende på allmänna principer, de registrerades rättigheter,
personuppgiftsansvariga och personuppgiftsbiträden, överföring av uppgifter till tredjeländer eller internationella
organisationer, de oberoende tillsynsmyndigheterna, samarbete och enhetlighet samt specifika situationer där
personuppgifter behandlas. Om sådana undantag varierar från en medlemsstat till en annan, ska den nationella
rätten i den medlemsstat vars lag den personuppgiftsansvarige omfattas av tillämpas. För att beakta vikten av
rätten till yttrandefrihet i varje demokratiskt samhälle måste det göras en bred tolkning av vad som innefattas i
denna frihet, som till exempel journalistik.
(154) Denna förordning gör det möjligt att vid tillämpningen av den ta hänsyn till principen om allmänhetens rätt att
få tillgång till allmänna handlingar. Allmänhetens rätt att få tillgång till allmänna handlingar kan betraktas som
ett allmänt intresse. Personuppgifter i handlingar som innehas av en myndighet eller ett offentligt organ bör
kunna lämnas ut offentligt av denna myndighet eller detta organ, om utlämning stadgas i unionsrätten eller
i medlemsstatens nationella rätt som är tillämplig på myndigheten eller det offentliga organet. Denna rätt bör
sammanjämka allmänhetens rätt att få tillgång till allmänna handlingar och vidareutnyttjande av information från
den offentliga sektorn med rätten till skydd av personuppgifter och får därför innehålla föreskrifter om den
nödvändiga sammanjämkningen med rätten till skydd av personuppgifter enligt denna förordning. Hänvisningen
till offentliga myndigheter och organ bör i detta sammanhang omfatta samtliga myndigheter eller andra organ
som omfattas av medlemsstaternas nationella rätt om allmänhetens tillgång till handlingar. Europaparlamentets
och rådets direktiv 2003/98/EG (1) ska inte på något sätt påverka skyddsnivån för fysiska personer med avseende
4.5.2016
L 119/28
Europeiska unionens officiella tidning
SV
(1) Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga
sektorn (EUT L 345, 31.12.2003, s. 90).
707
SOU 2017:66
Bilaga 2
på behandling av personuppgifter enligt bestämmelserna i unionsrätten och i medlemsstaternas nationella rätt
och i synnerhet ändras inte de skyldigheter och rättigheter som anges i denna förordning genom det direktivet. I
synnerhet ska direktivet inte vara tillämpligt på handlingar till vilka, med hänsyn till skyddet av personuppgifter,
tillgång enligt tillgångsbestämmelserna är utesluten eller begränsad eller på delar av handlingar som är tillgängliga
enligt dessa bestämmelser men som innehåller personuppgifter vilkas vidareutnyttjande i lag har fastställts som
oförenligt med lagstiftningen om skydd för fysiska personer vid behandling av personuppgifter.
(155) En medlemsstatsnationella rätt eller kollektivavtal, inbegripet ”verksamhetsöverenskommelser”, får föreskriva
särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det
gäller villkoren för hur personuppgifter i anställningsförhållanden får behandlas på grundval av samtycke från
den anställde, rekrytering, genomförande av anställningsavtalet, inklusive befrielse från i lag eller kollektivavtal
stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen,
men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och
förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.
(156) Behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska
forskningsändamål eller statistiska ändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades
rättigheter och friheter enligt denna förordning. Skyddsåtgärderna bör säkerställa att tekniska och organisatoriska
åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Ytterligare behandling av
personuppgifter för arkivändamål av allmänintresse, vetenskapliga eller historiska forskningsändamål eller
statistiska ändamål bör genomföras, när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa
ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de
registrerade, förutsatt att det finns lämpliga skyddsåtgärder (t. ex. pseudonymisering av personuppgifter).
Medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av
allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Medlemsstaterna bör
på särskilda villkor med förbehåll för lämpliga skyddsåtgärder för de registrerade ha rätt att specificera och göra
undantag från kraven på information, rätten till rättelse eller radering av personuppgifter, rätten att bli bortglömd,
rätten till begränsning av behandlingen, rätten till dataportabilitet och rätten att göra invändning i samband med
behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska
forskningsändamål eller statistiska ändamål. Villkoren och säkerhetsåtgärderna i fråga kan medföra att de
registrerade måste följa särskilda förfaranden för att utöva dessa rättigheter, om det är lämpligt med hänsyn till
den särskilda behandlingens syfte tillsammans med tekniska och organisatoriska åtgärder som syftar till att
minimera behandlingen av personuppgifter i enlighet med principerna om proportionalitet och nödvändighet.
Behandling av personuppgifter för vetenskapliga ändamål bör även vara förenlig med annan relevant lagstiftning,
exempelvis om kliniska prövningar.
(157) Genom att koppla samman information från olika register kan forskare erhålla ny kunskap av stort värde med
avseende på medicinska tillstånd som exempelvis hjärt-kärlsjukdomar, cancer och depression. På grundval av
registren kan forskningsresultaten förbättras, eftersom de bygger på en större befolkningsgrupp. Forskning inom
samhällsvetenskap som bedrivs på grundval av register gör det möjligt för forskare att få grundläggande
kunskaper om sambandet på lång sikt mellan ett antal sociala villkor, exempelvis arbetslöshet och utbildning, och
andra livsförhållanden. Forskningsresultat som erhållits på grundval av register utgör en stabil, högkvalitativ
kunskap, som kan ligga till grund för utformningen och genomförandet av kunskapsbaserad politik, förbättra
livskvaliteten för ett antal personer och förbättra de sociala tjänsternas effektivitet. För att underlätta vetenskaplig
forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor
och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt.
(158) Om personuppgifter behandlas för arkivändamål, bör denna förordning också gälla denna behandling, med
beaktande av att denna förordning inte bör gälla för avlidna personer. Offentliga myndigheter eller offentliga eller
privata organ som innehar uppgifter av allmänt intresse bör vara tillhandahållare som, i enlighet med
unionsrätten eller medlemsstaternas nationella rätt, har en rättslig skyldighet att förvärva, bevara, bedöma,
organisera, beskriva, kommunicera, främja, sprida och ge tillgång till uppgifter av bestående värde för
allmänintresset. Medlemsstaterna bör också ha rätt att föreskriva att personuppgifter får vidarebehandlas för
arkivering, exempelvis i syfte att tillhandahålla specifik information om politiskt beteende under tidigare totalitära
regimer, folkmord, brott mot mänskligheten, särskilt Förintelsen, eller krigsförbrytelser.
4.5.2016
L 119/29
Europeiska unionens officiella tidning
SV
708
SOU 2017:66
Bilaga 2
(159) Om personuppgifter behandlas för vetenskapliga forskningsändamål, bör denna förordning också gälla denna
behandling. Behandling av personuppgifter för vetenskapliga forskningsändamål bör i denna förordning ges en
vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning
och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt
artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga
forskningsändamål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att
tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål
bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom
ramen för vetenskapliga forskningsändamål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och
sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse, bör de allmänna reglerna i
denna förordning tillämpas på dessa åtgärder.
(160) Om personuppgifter behandlas för historiska forskningsändamål, bör denna förordning också gälla denna
behandling. Detta bör även omfatta forskning för historiska och genealogiska ändamål, med beaktande av att
denna förordning inte bör gälla för avlidna personer.
(161) När det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar, bör de
relevanta bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 536/2014 (1) tillämpas.
(162) Om personuppgifter behandlas för statistiska ändamål, bör denna förordning gälla denna behandling.
Unionsrätten eller medlemsstaternas nationella rätt bör, inom ramen för denna förordning, fastställa statistiskt
innehåll, kontroll av tillgång, specifikationer för behandling av personuppgifter för statistiska ändamål och
lämpliga åtgärder till skydd för den registrerades rättigheter och friheter och för att säkerställa insynsskydd för
statistiska uppgifter. Med statistiska ändamål avses varje åtgärd som vidtas för den insamling och behandling av
personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat.
Dessa statistiska resultat kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett
statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter,
utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller
beslut som avser en särskild fysiskperson.
(163) De konfidentiella uppgifter som unionens myndigheter och nationella statistikansvariga myndigheter samlar in
för att framställa officiell europeisk och officiell nationell statistik bör skyddas. Europeisk statistik bör utvecklas,
framställas och spridas i enlighet med de statistiska principerna i artikel 338.2 i EUF-fördraget, medan
hanteringen av nationell statistik även bör överensstämma med medlemsstaternas nationella rätt. Europapar
lamentets och rådets förordning (EG) nr 223/2009 (2) innehåller ytterligare preciseringar om statistisk konfiden
tialitet för europeisk statistik.
(164) Vad beträffar tillsynsmyndigheternas befogenheter att från personuppgiftsansvariga eller personuppgiftsbiträden få
tillgång till personuppgifter och tillträde till lokaler, får medlemsstaterna, inom gränserna för denna förordning,
genom lagstiftning anta särskilda regler för att skydda yrkesmässig eller annan motsvarande tystnadsplikt, i den
mån detta är nödvändigt för att jämka samman rätten till skydd av personuppgifter med tystnadsplikten. Detta
påverkar inte tillämpningen av medlemsstaternas befintliga skyldigheter att anta bestämmelser om tystnadsplikt,
där detta krävs enligt unionsrätten.
(165) Denna förordning är förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och
religiösa sammanslutningar eller samfund har i medlemsstaterna enligt gällande grundlag i enlighet med
artikel 17 i EUF-fördraget.
(166) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter
och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra det fria flödet av
4.5.2016
L 119/30
Europeiska unionens officiella tidning
SV
(1) Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om
upphävande av direktiv 2001/20/EG (EUT L 158, 27.5.2014, s. 1).
(2) Europaparlamentets och rådets förordning (EG) nr 223/2009 av den 11 mars 2009 om europeisk statistik och om upphävande av
Europaparlamentets och rådets förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till
Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG,
Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program (EUT L 87, 31.3.2009, s. 164).
709
SOU 2017:66
Bilaga 2
personuppgifter inom unionen, bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget
delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller kriterier och krav vad gäller
certifieringsmekanismer, information som ska ges med användning av standardiserade symboler och förfaranden
för att tillhandahålla sådana symboler. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under
sitt förberedande arbete, inklusive på expertnivå. När kommissionen förbereder och utarbetar delegerade akter bör
den se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så
snabbt som möjligt och på lämpligt sätt.
(167) För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen ges genomförande
befogenheter i enlighet med denna förordning. Dessa befogenheter bör utövas i enlighet med förordning (EU)
nr 182/2011. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora
företag.
(168) Granskningsförfarandet bör användas vid antagande av genomförandeakter om standardavtalsklausuler mellan
personuppgiftsansvariga och personuppgiftsbiträden och mellan personuppgiftsbiträden, uppförandekoder,
tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland, ett
territorium eller av en specificerad sektor inom det tredjelandet eller en internationell organisation,
standardiserade skyddsbestämmelser, format och förfaranden för elektroniskt utbyte av information mellan
personuppgiftsansvariga, personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser,
ömsesidigt bistånd och tillvägagångssätt för elektroniskt utbyte av information mellan tillsynsmyndigheter samt
mellan tillsynsmyndigheter och styrelsen.
(169) Kommissionen bör när det föreligger tvingande skäl till skyndsamhet anta omedelbart tillämpliga
genomförandeakter, när tillgängliga bevis visar att ett tredjeland, ett territorium eller en specificerad sektor inom
det tredjelandet eller en internationell organisation inte upprätthåller en adekvat skyddsnivå.
(170) Eftersom målet för denna förordning, nämligen att säkerställa en likvärdig nivå för skyddet av fysiska personer
och det fria flödet av personuppgifter inom hela unionen, inte i tillräcklig utsträckning kan uppnås av
medlemsstaterna utan snarare, på grund av åtgärdens omfattning eller verkningar, kan uppnås bättre på
unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om
Europeiska unionen (EU-fördraget). I enlighet med proportionalitetsprincipen i samma artikel går denna
förordning inte utöver vad som är nödvändigt för att uppnå detta mål.
(171) Direktiv 95/46/EG bör upphävas genom denna förordning. Behandling som redan pågår den dag då denna
förordning börjar tillämpas bör bringas i överensstämmelse med denna förordning inom en period av två år från
det att denna förordning träder i kraft. Om behandlingen grundar sig på samtycke enligt direktiv 95/46/EG, är
det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna
fortsätta med behandlingen i fråga efter det att denna förordning börjar tillämpas, om det sätt på vilket samtycket
gavs överensstämmer med villkoren i denna förordning. Beslut av kommissionen som antagits och tillstånd från
tillsynsmyndigheterna som utfärdats på grundval av direktiv 95/46/EG ska fortsatt vara giltiga tills de ändras,
ersätts eller upphävs.
(172) Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 och avgav ett
yttrande den 7 mars 2012 (1).
(173) Denna förordning bör vara tillämplig på alla frågor som gäller skyddet av grundläggande rättigheter och friheter i
förhållande till behandlingen av personuppgifter, vilka inte omfattas av särskilda skyldigheter med samma mål
som anges i Europaparlamentets och rådets direktiv 2002/58/EG (2), däribland den personuppgiftsansvariges
skyldigheter och fysiska personers rättigheter. För att klargöra förhållandet mellan denna förordning och direktiv
2002/58/EG bör det direktivet ändras. När denna förordning har antagits, bör direktiv 2002/58/EG ses över,
framför allt för att säkerställa konsekvens med denna förordning.
4.5.2016
L 119/31
Europeiska unionens officiella tidning
SV
(1) EUT C 192, 30.6.2012, s. 7.
(2) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom
sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).
710
SOU 2017:66
Bilaga 2
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
Allmänna bestämmelser
Artikel 1
Syfte
1.
I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av
personuppgifter och om det fria flödet av personuppgifter.
2.
Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av
personuppgifter.
3.
Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för
fysiska personer med avseende på behandlingen av personuppgifter.
Artikel 2
Materiellt tillämpningsområde
1.
Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk
väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2.
Denna förordning ska inte tillämpas på behandling av personuppgifter som
a) utgör ett led i en verksamhet som inte omfattas av unionsrätten,
b) medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget,
c) en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes
hushåll,
d) behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa
straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna
säkerheten.
3.
Förordning (EG) nr 45/2001 är tillämplig på den behandling av personuppgifter som sker i EU:s institutioner,
organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan
behandling av personuppgifter ska anpassas till principerna och bestämmelserna i denna förordning i enlighet med
artikel 98.
4.
Denna förordning påverkar inte tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstele
vererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.
Artikel 3
Territoriellt tillämpningsområde
1.
Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs
av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs
i unionen eller inte.
4.5.2016
L 119/32
Europeiska unionens officiella tidning
SV
711
SOU 2017:66
Bilaga 2
2.
Denna förordning ska tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i
unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen,
om behandlingen har anknytning till
a) utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds
kostnadsfritt eller inte, eller
b) övervakning av deras beteende så länge beteendet sker inom unionen.
3.
Denna förordning ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som
inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.
Artikel 4
Definitioner
I denna förordning avses med
1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en
registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med
hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidenti
fikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska,
psykiska, ekonomiska, kulturella eller sociala identitet,
2. behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av
personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering,
strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring,
spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,
3. begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i
framtiden,
4. profilering: varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används
för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna
fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet,
beteende, vistelseort eller förflyttningar,
5. pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan
tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa
kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer
att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person,
6. register: en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om
samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,
7. personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt
eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om
ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den
personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i
medlemsstaternas nationella rätt,
8. personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar
personuppgifter för den personuppgiftsansvariges räkning,
9. mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personupp
gifterna utlämnas, vare sig det är en tredje part eller inte; offentliga myndigheter som kan komma att motta
4.5.2016
L 119/33
Europeiska unionens officiella tidning
SV
712
SOU 2017:66
Bilaga 2
personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella
rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig
med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte,
10. tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade,
den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller
personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna,
11. samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den
registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av
personuppgifter som rör honom eller henne,
12. personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller
till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt
behandlats,
13. genetiska uppgifter: alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk
person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från
en analys av ett biologiskt prov från den fysiska personen i fråga,
14. biometriska uppgifter: personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons
fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna
fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter,
15. uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhanda
hållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus,
16. huvudsakligt verksamhetsställe:
a) när det gäller en personuppgiftsansvarig med verksamhetsställen i mer än en medlemsstat, den plats i unionen
där vederbörande har sin centrala förvaltning, om inte besluten om ändamålen och medlen för behandlingen av
personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen och det
sistnämnda verksamhetsstället har befogenhet att få sådana beslut genomförda, i vilket fall det verksamhetsställe
som har fattat sådana beslut ska betraktas som det huvudsakliga verksamhetsstället,
b) när det gäller ett personuppgiftsbiträde med verksamhetsställen i mer än en medlemsstat, den plats i unionen där
vederbörande har sin centrala förvaltning eller, om personuppgiftsbiträdet inte har någon central förvaltning i
unionen, det av personuppgiftsbiträdets verksamhetsställen i unionen där den huvudsakliga behandlingen inom
ramen för verksamheten vid ett av personuppgiftsbiträdets verksamhetsställen sker, i den utsträckning som
personuppgiftsbiträdet omfattas av särskilda skyldigheter enligt denna förordning,
17. företrädare: en i unionen etablerad fysisk eller juridisk person som skriftligen har utsetts av den personuppgift
sansvarige eller personuppgiftsbiträdet i enlighet med artikel 27 och företräder denne i frågor som gäller dennes
skyldigheter enligt denna förordning,
18. företag: en fysisk eller juridisk person som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket
inbegriper partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet,
19. koncern: ett kontrollerande företag och dess kontrollerade företag,
20. bindande företagsbestämmelser: strategier för skydd av personuppgifter som en personuppgiftsansvarig eller ett
personuppgiftsbiträde som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en
uppsättning av överföringar av personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett
eller flera tredjeländer inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet,
21. tillsynsmyndighet: en oberoende offentlig myndighet som är utsedd av en medlemsstat i enlighet med artikel 51,
4.5.2016
L 119/34
Europeiska unionens officiella tidning
SV
713
SOU 2017:66
Bilaga 2
22. berörd tillsynsmyndighet: en tillsynsmyndighet som berörs av behandlingen av personuppgifter på grund av att
a) den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad på tillsynsmyndighetens medlemsstats
territorium,
b) registrerade som är bosatta i den tillsynsmyndighetens medlemsstat i väsentlig grad påverkas eller sannolikt i
väsentlig grad kommer att påverkas av behandlingen, eller
c) ett klagomål har lämnats in till denna tillsynsmyndighet,
23. gränsöverskridande behandling:
a) behandling av personuppgifter som äger rum inom ramen för verksamhet vid verksamhetsställen i mer än en
medlemsstat tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen, när den personupp
giftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller
b) behandling av personuppgifter som äger rum inom ramen för verksamhet vid ett enda verksamhetsställe
tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen men som i väsentlig grad
påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat,
24. relevant och motiverad invändning: en invändning mot ett förslag till beslut avseende frågan huruvida det föreligger en
överträdelse av denna förordning eller huruvida den planerade åtgärden i förhållande till den personuppgift
sansvarige eller personuppgiftsbiträdet är förenlig med denna förordning, av vilken invändning det tydligt framgår
hur stora risker utkastet till beslut medför när det gäller registrerades grundläggande rättigheter och friheter samt
i tillämpliga fall det fria flödet av personuppgifter inom unionen,
25. informationssamhällets tjänster: alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv
(EU) 2015/1535 (1),
26. internationell organisation: en organisation och dess underställda organ som lyder under folkrätten, eller ett annat
organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera länder.
KAPITEL II
Principer
Artikel 5
Principer för behandling av personuppgifter
1.
Vid behandling av personuppgifter ska följande gälla:
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet
och öppenhet).
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som
är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller
historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de
ursprungliga ändamålen (ändamålsbegränsning).
c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgifts
minimering).
d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att
personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål
(korrekthet).
4.5.2016
L 119/35
Europeiska unionens officiella tidning
SV
(1) Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska
föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 17.9.2015, s. 1).
714
SOU 2017:66
Bilaga 2
e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är
nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i
den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska
forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska
och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades
rättigheter och friheter (lagringsminimering).
f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig
eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga
tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
2.
Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).
Artikel 6
Laglig behandling av personuppgifter
1.
Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika
ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på
begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för
en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsan
svariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade
intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver
skydd av personuppgifter, särskilt när den registrerade är ett barn.
Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.
2.
Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av
bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare
fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling,
inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.
3.
Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med
a) unionsrätten, eller
b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara
nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets
utövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i
denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken
typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut
och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling,
inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda
4.5.2016
L 119/36
Europeiska unionens officiella tidning
SV
715
SOU 2017:66
Bilaga 2
situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse
och vara proportionell mot det legitima mål som eftersträvas.
4.
Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på
den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och
proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgift
sansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personupp
gifterna ursprungligen samlades in bland annat beakta följande:
a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare
behandlingen.
b) Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den
personuppgiftsansvarige.
c) Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9
eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.
d) Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.
e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.
Artikel 7
Villkor för samtycke
1.
Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har
samtyckt till behandling av sina personuppgifter.
2.
Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om
samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt
tillgänglig form, med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna
förordning, ska denna del inte vara bindande.
3.
De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka
lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den
registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.
4.
Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet
av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av
personuppgifter som inte är nödvändig för genomförandet av det avtalet.
Artikel 8
Villkor som gäller barns samtycke avseende informationssamhällets tjänster
1.
Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a
behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska
sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har
föräldraansvar för barnet.
Medlemsstaterna får i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder
inte är under 13 år.
4.5.2016
L 119/37
Europeiska unionens officiella tidning
SV
716
SOU 2017:66
Bilaga 2
2.
Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller
godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik.
3.
Punkt 1 ska inte påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om
giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.
Artikel 9
Behandling av särskilda kategorier av personuppgifter
1.
Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk
övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt
identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska
vara förbjuden.
2.
Punkt 1 ska inte tillämpas om något av följande gäller:
a) Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera
specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte
kan upphävas av den registrerade.
b) Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina
skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd,
i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som
antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades
grundläggande rättigheter och intressen fastställs.
c) Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen
när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.
d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening
eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att
behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av
organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan
den registrerades samtycke.
e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
f) Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av
domstolarnas dömande verksamhet.
g) Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller
medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det
väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att
säkerställa den registrerades grundläggande rättigheter och intressen.
h) Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin,
bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård,
behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på
grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på
hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.
i) Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett
skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård
och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt,
där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt
tystnadsplikt.
4.5.2016
L 119/38
Europeiska unionens officiella tidning
SV
717
SOU 2017:66
Bilaga 2
j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål
eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella
rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till
dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades
grundläggande rättigheter och intressen.
3.
Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna
behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller
medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person
som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som
fastställs av nationella behöriga organ.
4.
Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller
biometriska uppgifter eller uppgifter om hälsa.
Artikel 10
Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser
Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande
säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt
unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och
friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
Artikel 11
Behandling som inte kräver identifiering
1.
Om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre
kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara
tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att
följa denna förordning.
2.
Om den personuppgiftsansvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att denne inte är i stånd att
identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana
fall ska artiklarna 15–20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa
artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.
KAPITEL III
Den registrerades rättigheter
Avsnitt 1
Insyn och villkor
Artikel 12
Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av
den registrerades rättigheter
1.
Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information
som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en
koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för
information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form,
inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas
muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.
4.5.2016
L 119/39
Europeiska unionens officiella tidning
SV
718
SOU 2017:66
Bilaga 2
2.
Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter i enlighet med
artiklarna 15–22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den
registrerades begäran om att utöva sina rättigheter enligt artiklarna 15–22, om inte den personuppgiftsansvarige visar att
han eller hon inte är i stånd att identifiera den registrerade.
3.
Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en
månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt
artiklarna 15–22. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad
begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan
förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade
lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade
inte begär något annat.
4.
Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige
utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder
inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.
5.
Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas
enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart
ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen
a) ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den
åtgärd som begärts, eller
b) vägra att tillmötesgå begäran.
Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.
6.
Utan att det påverkar tillämpningen av artikel 11 får den personuppgiftsansvarige, om denne har rimliga skäl att
betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 15–21, begära att ytterligare
information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls.
7.
Den information som ska tillhandahållas de registrerade i enlighet med artiklarna 13 och 14 får tillhandahållas
kombinerad med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över
den planerade behandlingen. Om sådana symboler visas elektroniskt ska de vara maskinläsbara.
8.
Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 för att fastställa vilken
information som ska visas med hjälp av symboler och förfaranden för att tillhandahålla sådana symboler.
Avsnitt 2
Information och tillgång till personuppgif ter
Artikel 13
Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade
1.
Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgift
sansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:
a) Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.
b) Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.
c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för
behandlingen.
4.5.2016
L 119/40
Europeiska unionens officiella tidning
SV
719
SOU 2017:66
Bilaga 2
d) Om behandlingen är baserad på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.
e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.
f) I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en
internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas
eller, när det gäller de överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga
eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.
2.
Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personupp
gifterna lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och transparent
behandling:
a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som
används för att fastställa denna period.
b) Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av
personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt
rätten till dataportabilitet.
c) Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, att det föreligger en rätt att när som helst återkalla
sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.
d) Rätten att inge klagomål till en tillsynsmyndighet.
e) Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är
nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de
möjliga följderna av att sådana uppgifter inte lämnas.
f) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det
åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda
följderna av sådan behandling för den registrerade.
3.
Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för
vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information
om detta andra syfte samt ytterligare relevant information enligt punkt 2.
4.
Punkterna 1, 2 och 3 ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen.
Artikel 14
Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade
1.
Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den
registrerade med följande information:
a) Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.
b) Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.
c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för
behandlingen.
d) De kategorier av personuppgifter som behandlingen gäller.
e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.
4.5.2016
L 119/41
Europeiska unionens officiella tidning
SV
720
SOU 2017:66
Bilaga 2
f) I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i ett tredjeland
eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller
saknas eller, när det gäller de överföringar som avses i artiklarna 46, 47 eller artikel 49.1 andra stycket, hänvisning
till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.
2.
Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande
information, vilken krävs för att säkerställa rättvis och transparent behandling när det gäller den registrerade:
a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som
används för att fastställa denna period.
b) Om behandlingen grundar sig på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.
c) Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av
personuppgifter eller begränsning av behandling som rör den registrerade och att invända mot behandling samt
rätten till dataportabilitet.
d) Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, rätten att när som helst återkalla sitt samtycke, utan
att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.
e) Rätten att inge klagomål till en tillsynsmyndighet.
f) Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga
källor.
g) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det
åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda
följderna av sådan behandling för den registrerade.
3.
Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2
a) inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de
särskilda omständigheter under vilka personuppgifterna behandlas,
b) om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första
kommunikationen med den registrerade, eller
c) om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången.
4.
Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för
vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information
om detta andra syfte samt ytterligare relevant information enligt punkt 2.
5.
Punkterna 1–4 ska inte tillämpas i följande fall och i den mån
a) den registrerade redan förfogar över informationen,
b) tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning,
särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller
statistiska ändamål i enlighet med artikel 89.1, eller i den mån den skyldighet som avses i punkt 1 i den här artikeln
sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen; i
sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och
friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten,
c) erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats
nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades
berättigade intressen, eller
d) personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas
nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.
4.5.2016
L 119/42
Europeiska unionens officiella tidning
SV
721
SOU 2017:66
Bilaga 2
Artikel 15
Den registrerades rätt till tillgång
1.
Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör
honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:
a) Ändamålen med behandlingen.
b) De kategorier av personuppgifter som behandlingen gäller.
c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt
mottagare i tredjeländer eller internationella organisationer.
d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt,
de kriterier som används för att fastställa denna period.
e) Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller
begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.
f) Rätten att inge klagomål till en tillsynsmyndighet.
g) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter
kommer.
h) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det
åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda
följderna av sådan behandling för den registrerade.
2.
Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha
rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.
3.
Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under
behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig
avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska
informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något
annat.
4.
Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.
Avsnitt 3
Rättelse och radering
Artikel 16
Rätt till rättelse
Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som
rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att
komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.
Artikel 17
Rätt till radering (”rätten att bli bortglömd”)
1.
Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter
raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något
av följande gäller:
a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
4.5.2016
L 119/43
Europeiska unionens officiella tidning
SV
722
SOU 2017:66
Bilaga 2
b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och
det finns inte någon annan rättslig grund för behandlingen.
c) Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för
behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.
d) Personuppgifterna har behandlats på olagligt sätt.
e) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas
nationella rätt som den personuppgiftsansvarige omfattas av.
f) Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i
artikel 8.1.
2.
Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera
personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för
genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som
behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller
reproduktioner av dessa personuppgifter.
3.
Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:
a) För att utöva rätten till yttrande- och informationsfrihet.
b) För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats
nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller
som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.
c) För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.
d) För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt
artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar
uppnåendet av syftet med den behandlingen.
e) För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
Artikel 18
Rätt till begränsning av behandling
1.
Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av
följande alternativ är tillämpligt:
a) Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige
möjlighet att kontrollera om personuppgifterna är korrekta.
b) Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en
begränsning av deras användning.
c) Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den
registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
d) Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den
personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.
2.
Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring,
endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller
för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för
unionen eller för en medlemsstat.
4.5.2016
L 119/44
Europeiska unionens officiella tidning
SV
723
SOU 2017:66
Bilaga 2
3.
En registrerad som har fått behandling begränsad i enlighet med punkt 1 ska underrättas av den personuppgift
sansvarige innan begränsningen av behandlingen upphör.
Artikel 19
Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av
behandling
Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella
rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 16, 17.1
och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige
ska informera den registrerade om dessa mottagare på den registrerades begäran.
Artikel 20
Rätt till dataportabilitet
1.
Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har
tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att
överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits
personuppgifterna hindrar detta, om
a) behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a eller på ett avtal enligt artikel 6.1 b, och
b) behandlingen sker automatiserat.
2
Vid utövandet av sin rätt till dataportabilitet i enlighet med punkt 1 ska den registrerade ha rätt till överföring av
personuppgifterna direkt från en personuppgiftsansvarig till en annan, när detta är tekniskt möjligt.
3.
Utövandet av den rätt som avses i punkt 1 i den här artikeln ska inte påverka tillämpningen av artikel 17. Den
rätten ska inte gälla i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är
ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.
4.
Den rätt som avses i punkt 1 får inte påverka andras rättigheter och friheter på ett ogynnsamt sätt.
Avsnitt 4
Rätt att göra invändningar och automatiserat individuellt beslutsfattande
Artikel 21
Rätt att göra invändningar
1.
Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra
invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f,
inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla
personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den
registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga
anspråk.
2.
Om personuppgifterna behandlas för direkt marknadsföring ska den registrerade ha rätt att när som helst invända
mot behandling av personuppgifter som avser honom eller henne för sådan marknadsföring, vilket inkluderar profilering
i den utsträckning som denna har ett samband med sådan direkt marknadsföring.
3.
Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre
behandlas för sådana ändamål.
4.5.2016
L 119/45
Europeiska unionens officiella tidning
SV
724
SOU 2017:66
Bilaga 2
4.
Senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkterna 1 och 2
uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.
5.
När det gäller användningen av informationssamhällets tjänster, och trots vad som sägs i direktiv 2002/58/EG, får
den registrerade utöva sin rätt att göra invändningar på automatiserat sätt med användning av tekniska specifikationer.
6.
Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i
enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att
göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig
för att utföra en uppgift av allmänt intresse.
Artikel 22
Automatiserat individuellt beslutsfattande, inbegripet profilering
1.
Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling,
inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar
honom eller henne.
2.
Punkt 1 ska inte tillämpas om beslutet
a) är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige,
b) tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som
fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, eller
c) grundar sig på den registrerades uttryckliga samtycke.
3.
I fall som avses i punkt 2 a och c ska den personuppgiftsansvarige genomföra lämpliga åtgärder för att säkerställa
den registrerades rättigheter, friheter och rättsliga intressen, åtminstone rätten till personlig kontakt med den personupp
giftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.
4.
Beslut enligt punkt 2 får inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1,
såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har
vidtagits.
Avsnitt 5
Begränsningar
Artikel 23
Begränsningar
1.
Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller
personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter
och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de
rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för
andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett
demokratiskt samhälle i syfte att säkerställa
a) den nationella säkerheten,
b) försvaret,
c) den allmänna säkerheten,
4.5.2016
L 119/46
Europeiska unionens officiella tidning
SV
725
SOU 2017:66
Bilaga 2
d) förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga
sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,
e) andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en
medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa
och social trygghet,
f) skydd av rättsväsendets oberoende och rättsliga åtgärder,
g) förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för
lagreglerade yrken,
h) en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall
som nämns i a–e och g,
i) skydd av den registrerade eller andras rättigheter och friheter,
j) verkställighet av civilrättsliga krav.
2.
Framför allt ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så
är relevant, avseende
a) ändamålen med behandlingen eller kategorierna av behandling,
b) kategorierna av personuppgifter,
c) omfattningen av de införda begränsningarna,
d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,
e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,
f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller
kategorierna av behandling,
g) riskerna för de registrerades rättigheter och friheter, och
h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.
KAPITEL IV
Personuppgiftsansvarig och personuppgiftsbiträde
Avsnitt 1
Allmänna skyldigheter
Artikel 24
Den personuppgiftsansvariges ansvar
1.
Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolik
hetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga
tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna
förordning. Dessa åtgärder ska ses över och uppdateras vid behov.
2.
Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsan
svariges genomförande av lämpliga strategier för dataskydd.
3.
Tillämpningen av godkända uppförandekoder som avses i artikel 40 eller godkända certifieringsmekanismer som
avses i artikel 42 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.
4.5.2016
L 119/47
Europeiska unionens officiella tidning
SV
726
SOU 2017:66
Bilaga 2
Artikel 25
Inbyggt dataskydd och dataskydd som standard
1.
Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning,
sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och
friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva
behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vilka är
utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integrering av
de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades
rättigheter skyddas.
2.
Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet,
säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den
skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras
tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes
medverkan görs tillgängliga för ett obegränsat antal fysiska personer.
3.
En godkänd certifieringsmekanism i enlighet med artikel 42 får användas för att visa att kraven i punkterna 1
och 2 i den här artikeln följs.
Artikel 26
Gemensamt personuppgiftsansvariga
1.
Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska
de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt
respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den
registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13
och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs
genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för
arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.
2.
Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas
respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt
för den registrerade.
3.
Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna
förordning med avseende på och emot var och en av de personuppgiftsansvariga.
Artikel 27
Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i
unionen
1.
Om artikel 3.2 tillämpas ska den personuppgiftsansvarige eller personuppgiftsbiträdet skriftligen utse en
företrädare i unionen.
2.
Skyldigheten enligt punkt 1 i denna artikel ska inte gälla
a) tillfällig behandling som inte omfattar behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i
artikel 9.1, eller behandling av personuppgifter avseende fällande domar i brottmål samt överträdelser, som avses i
artikel 10, och som sannolikt inte kommer att medföra en risk för fysiska personers rättigheter och friheter, med
hänsyn till behandlingens art, sammanhang, omfattning och ändamål, eller
b) en offentlig myndighet eller ett offentligt organ.
4.5.2016
L 119/48
Europeiska unionens officiella tidning
SV
727
SOU 2017:66
Bilaga 2
3.
Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade, vars personuppgifter behandlas i
samband med att de erbjuds varor eller tjänster, eller vars beteende övervakas, befinner sig.
4.
Företrädaren ska på den personuppgiftsansvariges eller personuppgiftsbiträdets uppdrag, utöver eller i stället för
den personuppgiftsansvarige eller personuppgiftsbiträdet, fungera som kontaktperson för i synnerhet tillsynsmyndigheter
och registrerade, i alla frågor som har anknytning till behandlingen, i syfte att säkerställa efterlevnad av denna
förordning.
5.
Att den personuppgiftsansvarige eller personuppgiftsbiträdet utser en företrädare ska inte påverka de rättsliga
åtgärder som skulle kunna inledas mot den personuppgiftsansvarige eller personuppgiftsbiträdet.
Artikel 28
Personuppgiftsbiträden
1.
Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast
anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska
åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer att den registrerades
rättigheter skyddas.
2.
Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt
förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska
personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgifts
biträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot
sådana förändringar.
3.
När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan
rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med
avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och
ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och
rättigheter anges. I det avtalet eller den rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet
a) endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet
när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna
behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas
av, och i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan
uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt
denna rätt,
b) säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller
omfattas av en lämplig lagstadgad tystnadsplikt,
c) ska vidta alla åtgärder som krävs enligt artikel 32,
d) ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbiträde,
e) med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och
organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att
svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,
f) ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32–36 fullgörs, med
beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå,
g) beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den
personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga
kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt, och
h) ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs
i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av
den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.
4.5.2016
L 119/49
Europeiska unionens officiella tidning
SV
728
SOU 2017:66
Bilaga 2
Med avseende på led h i första stycket ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om
han anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas
dataskyddsbestämmelser.
4.
I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av specifik behandling
på den personuppgiftsansvariges vägnar ska det andra personuppgiftsbiträdet, genom ett avtal eller en annan rättsakt
enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som
de som fastställs i avtalet eller den andra rättsakten mellan den personuppgiftsansvarige och personuppgiftsbiträdet
enligt punkt 3, och framför allt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska
åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning. Om det andra personuppgiftsbiträdet
inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig
gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.
5.
Ett personuppgiftsbiträdes anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd
certifieringsmekanism som avses i artikel 42 får användas för att visa att tillräckliga garantier tillhandahålls, så som avses
punkterna 1 och 4 i den här artikeln.
6.
Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 i den här artikeln får, utan att det påverkar
tillämpningen av ett enskilt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, helt eller delvis baseras
på sådana standardavtalsklausuler som avses i punkterna 7 och 8 i den här artikeln, inbegripet när de ingår i en
certifiering som i enlighet med artiklarna 42 och 43 beviljats den personuppgiftsansvarige eller personuppgiftsbiträdet.
7.
Kommissionen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här artikeln,
i enlighet med det granskningsförfarande som avses i artikel 93.2.
8.
En tillsynsmyndighet får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här
artikeln, i enlighet med den mekanism för enhetlighet som avses i artikel 63.
9.
Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 ska upprättas skriftligen, inbegripet i ett
elektroniskt format.
10.
Om ett personuppgiftsbiträde överträder denna förordning genom att fastställa ändamålen med och medlen för
behandlingen, ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen, utan att
det påverkar tillämpningen av artiklarna 82, 83 och 84.
Artikel 29
Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende
Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets
överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgift
sansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.
Artikel 30
Register över behandling
1.
Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som
utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:
a) Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgift
sansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.
b) Ändamålen med behandlingen.
c) En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
4.5.2016
L 119/50
Europeiska unionens officiella tidning
SV
729
SOU 2017:66
Bilaga 2
d) De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i
tredjeländer eller i internationella organisationer.
e) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet
identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i
artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
f) Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
g) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.
2.
Varje personuppgiftsbiträde och, i tillämpliga fall, dennes företrädare ska föra ett register över alla kategorier av
behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:
a) Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgift
sansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller
personuppgiftsbiträdets företrädare samt dataskyddsombudet.
b) De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.
c) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet
identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i
artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
d) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.
3.
De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.
4.
På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgift
sansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten.
5.
De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter
färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades
rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som
avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt överträdelser som avses i artikel 10.
Artikel 31
Samarbete med tillsynsmyndigheten
Den personuppgiftsansvarige och personuppgiftsbiträdet samt, i tillämpliga fall, deras företrädare ska på begäran
samarbeta med tillsynsmyndigheten vid utförandet av dennes uppgifter.
Avsnitt 2
Säkerhet för personuppgif ter
Artikel 32
Säkerhet i samband med behandlingen
1.
Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning,
sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och
friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder
för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
a) pseudonymisering och kryptering av personuppgifter,
4.5.2016
L 119/51
Europeiska unionens officiella tidning
SV
730
SOU 2017:66
Bilaga 2
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlings
systemen och -tjänsterna,
c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk
incident,
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska
åtgärder som ska säkerställa behandlingens säkerhet.
2.
Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i
synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig
åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
3.
Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som
avses i artikel 42 får användas för att visa att kraven i punkt 1 i den här artikeln följs.
4.
Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person
som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till
personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller
medlemsstaternas nationella rätt ålägger honom eller henne att göra det.
Artikel 33
Anmälan av en personuppgiftsincident till tillsynsmyndigheten
1.
Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte
senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är
behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska
personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en
motivering till förseningen.
2.
Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap
om en personuppgiftsincident.
3.
Den anmälan som avses i punkt 1 ska åtminstone
a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet
registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information
kan erhållas,
c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
d) beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsin
cidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
4.
Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen
tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
5.
Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring
personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det
möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.
Artikel 34
Information till den registrerade om en personuppgiftsincident
1.
Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den
personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.
4.5.2016
L 119/52
Europeiska unionens officiella tidning
SV
731
SOU 2017:66
Bilaga 2
2.
Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar
beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 33.3 b, c
och d.
3.
Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:
a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder
tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra
uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.
b) Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades
rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.
c) Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande
åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.
4.
Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får
tillsynsmyndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att
personuppgiftsbiträdet gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.
Avsnitt 3
Konsekvensbedömning avseende dataskydd samt föregående samråd
Artikel 35
Konsekvensbedömning avseende dataskydd
1.
Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning,
sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den
personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för
skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga
risker.
2.
Den personuppgiftsansvarige ska rådfråga dataskyddsombudet, om ett sådant utsetts, vid genomförande av en
konsekvensbedömning avseende dataskydd.
3.
En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska särskilt krävas i följande fall:
a) En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk
behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller
på liknande sätt i betydande grad påverkar fysiska personer.
b) Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter
som rör fällande domar i brottmål och överträdelser som avses i artikel 10.
c) Systematisk övervakning av en allmän plats i stor omfattning.
4.
Tillsynsmyndigheten ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som
omfattas av kravet på en konsekvensbedömning avseende dataskydd i enlighet med punkt 1. Tillsynsmyndigheten ska
översända dessa förteckningar till den styrelse som avses i artikel 68.
5.
Tillsynsmyndigheten får också upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter
som inte kräver någon konsekvensbedömning avseende dataskydd. Tillsynsmyndigheten ska översända dessa
förteckningar till styrelsen.
6.
Innan de förteckningar som avses i punkterna 4 och 5 antas ska den behöriga tillsynsmyndigheten tillämpa den
mekanism för enhetlighet som avses i artikel 63 om en sådan förteckning inbegriper behandling som rör erbjudandet av
varor eller tjänster till registrerade, eller övervakning av deras beteende i flera medlemsstater, eller som väsentligt kan
påverka den fria rörligheten för personuppgifter i unionen.
4.5.2016
L 119/53
Europeiska unionens officiella tidning
SV
732
SOU 2017:66
Bilaga 2
7.
Bedömningen ska innehålla åtminstone
a) en systematisk beskrivning av den planerade behandlingen och behandlingens syften, inbegripet, när det är lämpligt,
den personuppgiftsansvariges berättigade intresse,
b) en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,
c) en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och
d) de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att
säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de
registrerades och andra berörda personers rättigheter och berättigade intressen.
8.
De berörda personuppgiftsansvarigas eller personuppgiftsbiträdenas efterlevnad av godkända uppförandekoder
enligt artikel 40 ska på lämpligt sätt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av
dessa personuppgiftsansvariga eller personuppgiftsbiträden, framför allt när det gäller att ta fram en konsekvens
bedömning avseende dataskydd.
9.
Den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras
företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller
behandlingens säkerhet.
10.
Om behandling enligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella
rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller
serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en
allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, ska punkterna 1–7 inte gälla, om
inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.
11.
Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i
enlighet med konsekvensbedömningen avseende dataskydd åtminstone när den risk som behandlingen medför förändras.
Artikel 36
Förhandssamråd
1.
Den personuppgiftsansvarige ska samråda med tillsynsmyndigheten före behandling om en konsekvensbedömning
avseende dataskydd enligt artikel 35 visar att behandlingen skulle leda till en hög risk om inte den personuppgift
sansvarige vidtar åtgärder för att minska risken.
2.
Om tillsynsmyndigheten anser att den planerade behandling som avses i punkt 1 skulle strida mot denna
förordning, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska tillsyns
myndigheten inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgift
sansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har
enligt artikel 58. Denna period får förlängas med sex veckor beroende på hur komplicerad den planerade behandlingen
är. Tillsynsmyndigheten ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en
sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till
förseningen. Dessa perioder får tillfälligt upphöra att löpa i avvaktan på att tillsynsmyndigheten erhåller den information
som den har begärt med tanke på samrådet.
3.
Vid samråd med tillsynsmyndigheten enligt punkt 1 ska den personuppgiftsansvarige till tillsynsmyndigheten
lämna
a) i tillämpliga fall de respektive ansvarsområdena för de personuppgiftsansvariga, gemensamt personuppgiftsansvariga
och personuppgiftsbiträden som medverkar vid behandlingen, framför allt vid behandling inom en koncern,
b) ändamålen med och medlen för den avsedda behandlingen,
c) de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt
denna förordning,
d) i tillämpliga fall kontaktuppgifter till dataskyddsombudet,
4.5.2016
L 119/54
Europeiska unionens officiella tidning
SV
733
SOU 2017:66
Bilaga 2
e) konsekvensbedömningen avseende dataskydd enligt artikel 35, och
f) all annan information som begärs av tillsynsmyndigheten.
4.
Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av ett förslag till lagstiftningsåtgärd som
ska antas av ett nationellt parlament eller av en regleringsåtgärd som grundar sig på en sådan lagstiftningsåtgärd som rör
behandling.
5.
Trots vad som sägs i punkt 1 får det i medlemsstaternas nationella rätt krävas att personuppgiftsansvariga ska
samråda med, och erhålla förhandstillstånd av, tillsynsmyndigheten när det gäller en personuppgiftsansvarigs behandling
för utförandet av en uppgift som den personuppgiftsansvarige utför av allmänt intresse, inbegripet behandling avseende
social trygghet och folkhälsa.
Avsnitt 4
Dataskyddsombud
Artikel 37
Utnämning av dataskyddsombudet
1.
Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna
ett dataskyddsombud om
a) behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av
domstolarnas dömande verksamhet,
b) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av
sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de
registrerade i stor omfattning, eller
c) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av
särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och
överträdelser, som avses i artikel 10.
2.
En koncern får utnämna ett enda dataskyddsombud om det på varje etableringsort är lätt att nå ett
dataskyddsombud.
3.
Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet eller ett offentligt organ, får ett enda
dataskyddsombud utnämnas för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och
storlek.
4.
I andra fall än de som avses i punkt 1 får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella
rätt, ska den personuppgiftsansvarige eller personuppgiftsbiträdet eller sammanslutningar och andra organ som
företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utnämna ett dataskyddsombud. Dataskydd
sombudet får agera för sådana sammanslutningar och andra organ som företräder personuppgiftsansvariga eller
personuppgiftsbiträden.
5.
Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om
lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39.
6.
Dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal, eller utföra
uppgifterna på grundval av ett tjänsteavtal.
7.
Den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter
och meddela dessa till tillsynsmyndigheten.
Artikel 38
Dataskyddsombudets ställning
1.
Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt
och i god tid deltar i alla frågor som rör skyddet av personuppgifter.
4.5.2016
L 119/55
Europeiska unionens officiella tidning
SV
734
SOU 2017:66
Bilaga 2
2.
Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet i utförandet av de
uppgifter som avses i artikel 39 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt
tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.
3.
Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot
instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av
den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska
rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.
4.
Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes
personuppgifter och utövandet av dennes rättigheter enligt denna förordning.
5.
Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller
konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.
6.
Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgifts
biträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.
Artikel 39
Dataskyddsombudets uppgifter
1.
Dataskyddsombudet ska ha minst följande uppgifter:
a) Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som
behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskydds
bestämmelser.
b) Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbe
stämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter,
inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande
granskning.
c) Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den
enligt artikel 35.
d) Att samarbeta med tillsynsmyndigheten.
e) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd
som avses i artikel 36, och vid behov samråda i alla andra frågor.
2.
Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade
med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.
Avsnitt 5
Uppförandekod och cer tif iering
Artikel 40
Uppförandekoder
1.
Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra utarbetandet av
uppförandekoder avsedda att bidra till att denna förordning genomförs korrekt, med hänsyn till särdragen hos de olika
sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag.
2.
Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts
biträden får utarbeta uppförandekoder, eller ändra eller utöka sådana koder, i syfte att specificera tillämpningen av denna
förordning, till exempel när det gäller
a) rättvis och öppen behandling,
4.5.2016
L 119/56
Europeiska unionens officiella tidning
SV
735
SOU 2017:66
Bilaga 2
b) personuppgiftsansvarigas berättigade intressen i särskilda sammanhang,
c) insamling av personuppgifter,
d) pseudonymisering av personuppgifter,
e) information till allmänheten och de registrerade,
f) utövande av registrerades rättigheter,
g) information till och skydd av barn samt metoderna för att erhålla samtycke från de personer som har föräldraansvar
för barn,
h) åtgärder och förfaranden som avses i artiklarna 24 och 25 samt åtgärder för att säkerställa säkerhet vid behandling i
enlighet med artikel 32,
i) anmälan av personuppgiftsincidenter till tillsynsmyndigheter och meddelande av sådana personuppgiftsincidenter till
registrerade,
j) överföring av personuppgifter till tredjeländer eller internationella organisationer,
k) utomrättsliga förfaranden och andra tvistlösningsförfaranden för lösande av tvister mellan personuppgiftsansvariga
och registrerade när det gäller behandling, utan att detta påverkar registrerades rättigheter enligt artiklarna 77
och 79.
3.
Uppförandekoder som är godkända i enlighet med punkt 5 i denna artikel och som har allmän giltighet enligt
punkt 9 i denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas
av denna förordning, även iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som inte omfattas av denna
förordning enligt artikel 3, för att tillhandahålla lämpliga garantier inom ramen för överföringar av personuppgifter till
tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 e. Sådana personuppgiftsansvariga eller
personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande
instrument, att tillämpa dessa lämpliga garantier inbegripet när det gäller registrerades rättigheter.
4.
Den uppförandekod som avses i punkt 2 i den här artikeln ska innehålla mekanismer som gör det möjligt för det
organ som avses i artikel 41.1 att utföra den obligatoriska övervakningen av att dess bestämmelser efterlevs av
personuppgiftsansvariga och personuppgiftsbiträden som tillämpar den, utan att det påverkar uppgifter eller
befogenheter för de tillsynsmyndigheter som är behöriga enligt artikel 55 eller 56.
5.
Sammanslutningar och andra organ som avses i punkt 2 i den här artikeln som avser att utarbeta en
uppförandekod eller ändra eller utöka befintliga uppförandekoder ska inge utkastet till uppförandekod, ändringen eller
utökningen till den tillsynsmyndighet som är behörig enligt artikel 55. Tillsynsmyndigheten ska yttra sig om huruvida
utkastet till uppförandekod, ändring eller utökning överensstämmer med denna förordning och ska godkänna ett det
utkastet till kod, ändring eller utökning om den finner att tillräckliga garantier tillhandahålls.
6.
Om utkastet till kod, eller en ändring eller utökning, godkänns i enlighet med punkt 5, och om den berörda
uppförandekoden inte avser behandling i flera medlemsstater, ska tillsynsmyndigheten registrera och offentliggöra
uppförandekoden.
7.
Om ett utkast till uppförandekod avser behandling i flera medlemsstater ska den tillsynsmyndighet som är behörig
enligt artikel 55 innan den godkänner utkastet till kod, ändring eller utökning, inom ramen för det förfarande som avses
i artikel 63 överlämna det till styrelsen som ska avge ett yttrande om huruvida utkastet till kod, ändring eller utökning
är förenlig med denna förordning eller, i de fall som avses i punkt 3 i den här artikeln, tillhandahåller lämpliga garantier.
8.
Om det i det yttrande som avses i punkt 7 bekräftas att utkastet till kod, ändring eller utökning är förenligt med
denna förordning, eller, i de fall som avses i punkt 3, tillhandahåller lämpliga garantier, ska styrelsen inlämna sitt
yttrande till kommissionen.
9.
Kommissionen får, genom genomförandeakter, besluta att den godkända koden, ändringen eller utökningen som
getts in till den enligt punkt 8 i den här artikeln har allmän giltighet inom unionen. Dessa genomförandeakter ska antas
i enlighet med det granskningsförfarande som avses i artikel 93.2.
4.5.2016
L 119/57
Europeiska unionens officiella tidning
SV
736
SOU 2017:66
Bilaga 2
10.
Kommissionen ska se till att de godkända koder om vilka det har beslutats att de har allmän giltighet enligt
punkt 9 offentliggörs på lämpligt sätt.
11.
Styrelsen ska samla alla godkända uppförandekoder, ändringar och utökningar i ett register och offentliggöra dem
på lämpligt sätt.
Artikel 41
Övervakning av godkända uppförandekoder
1.
Utan att det påverkar den berörda tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58 får
övervakningen av efterlevnaden av en uppförandekod i enlighet med artikel 40 utföras av ett organ som har en lämplig
expertnivå i förhållande till kodens syfte och som ackrediteras för detta ändamål av den behöriga tillsynsmyndigheten.
2.
Ett organ som avses i punkt 1 får ackrediteras för att övervaka efterlevnaden av en uppförandekod om detta organ
har
a) visat sitt oberoende och sin expertis i förhållande till uppförandekodens syfte på ett sätt som den behöriga tillsyns
myndigheten finner tillfredsställande,
b) upprättat förfaranden varigenom det kan bedöma de berörda personuppgiftsansvarigas och personuppgiftsbiträdenas
lämplighet för att tillämpa uppförandekoden, övervaka att de efterlever dess bestämmelser och regelbundet se över
hur den fungerar,
c) upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av uppförandekoden eller det sätt på
vilket uppförandekoden har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde,
och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och
d) på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att dess uppgifter och uppdrag inte
leder till en intressekonflikt.
3.
Den behöriga tillsynsmyndigheten ska inlämna utkastet till kriterier för ackreditering av ett organ som avses i
punkt 1 i den här artikeln till styrelsen i enlighet med den mekanism för enhetlighet som avses i artikel 63.
4.
Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter och tillämpningen av
bestämmelserna i kapitel VIII ska ett organ som avses i punkt 1 i denna artikel, med förbehåll för tillräckliga
skyddsåtgärder, vidta lämpliga åtgärder i fall av en personuppgiftsansvarigs eller ett personuppgiftsbiträdes överträdelse
av uppförandekoden, inbegripet avstängning eller uteslutande av den personuppgiftsansvarige eller personuppgifts
biträdet från uppförandekoden. Det ska informera den behöriga tillsynsmyndigheten om sådana åtgärder och skälen för
att de vidtagits.
5.
Den behöriga tillsynsmyndigheten ska återkalla ackrediteringen av ett organ som avses i punkt 1 om villkoren för
ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet strider mot denna förordning.
6.
Denna artikel ska inte gälla behandling som utförs av offentliga myndigheter och organ.
Artikel 42
Certifiering
1.
Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra, särskilt på unionsnivå,
införandet av certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som syftar till att visa att
personuppgiftsansvarigas eller personuppgiftsbiträdens behandling är förenlig med denna förordning. De särskilda
behoven hos mikroföretag samt små och medelstora företag ska beaktas.
4.5.2016
L 119/58
Europeiska unionens officiella tidning
SV
737
SOU 2017:66
Bilaga 2
2.
Certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som är godkända enligt punkt 5 i
denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas av denna
förordning, inrättas för att visa att det föreligger lämpliga garantier som tillhandahålls av personuppgiftsansvariga och
personuppgiftsbiträden som inte omfattas av denna förordning enligt artikel 3, inom ramen för överföringar av
personuppgifter till tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 f. Sådana personuppgift
sansvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt
bindande instrument, att tillämpa dessa lämpliga garantier, inbegripet när det gäller registrerades rättigheter.
3.
Certifieringen ska vara frivillig och tillgänglig via ett öppet förfarande.
4.
En certifiering i enlighet med denna artikel minskar inte den personuppgiftsansvariges eller personuppgiftsbiträdets
ansvar för att denna förordning efterlevs och påverkar inte uppgifter och befogenheter för de tillsynsmyndigheter som är
behöriga enligt artikel 55 eller 56.
5.
En certifiering i enlighet med denna artikel ska utfärdas av de certifieringsorgan som avses i artikel 43 eller av den
behöriga tillsynsmyndigheten på grundval av kriterier som godkänts av den behöriga myndigheten enligt artikel 58.3
eller av styrelsen enligt artikel 63. Om kriterierna har godkänts av styrelsen får detta leda till en gemensam certifiering,
det europeiska sigillet för dataskydd.
6.
Den personuppgiftsansvarige eller det personuppgiftsbiträde som låter sin behandling av uppgifter omfattas av
certifieringsmekanismen ska förse det certifieringsorgan som avses i artikel 43 eller, i tillämpliga fall, den behöriga
tillsynsmyndigheten, med all information och tillgång till behandlingsförfaranden som krävs för att genomföra certifier
ingsförfarandet.
7.
Certifiering ska utfärdas till en personuppgiftsansvarig eller ett personuppgiftsbiträde för en period på högst tre år
och får förnyas på samma villkor under förutsättning att kraven fortsätter att vara uppfyllda. Certifiering ska,
i tillämpliga fall, återkallas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten om
kraven för certifieringen inte eller inte längre uppfylls.
8.
Styrelsen ska samla alla certifieringsmekanismer och sigill och märkningar för dataskydd i ett register och
offentliggöra dem på lämpligt sätt.
Artikel 43
Certifieringsorgan
1.
Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58
ska certifieringsorgan som har lämplig nivå av expertis i fråga om dataskydd, efter att ha informerat tillsynsmyndigheten
för att den ska kunna utöva sina befogenheter enligt artikel 58.2 h när så är nödvändigt, utfärda och förnya certifiering.
Medlemsstat ska säkerställa att dessa certifieringsorgan är ackrediterade av en av eller båda följande:
a) Den tillsynsmyndighet som är behörig enligt artikel 55 eller 56,
b) det nationella ackrediteringsorgan som utsetts i enlighet med Europaparlamentets och rådets förordning (EG)
nr 765/2008 (1) i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av den
tillsynsmyndighet som är behörig enligt artikel 55 eller 56.
2.
Certifieringsorgan som avses i punkt 1 får ackrediteras i enlighet med den punkten endast om de har
a) visat oberoende och expertis i förhållande till certifieringens syfte på ett sätt som den behöriga tillsynsmyndigheten
finner tillfredsställande,
4.5.2016
L 119/59
Europeiska unionens officiella tidning
SV
(1) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i
samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).
738
SOU 2017:66
Bilaga 2
b) förbundit sig att respektera de kriterier som avses i artikel 42.5 och godkänts av den tillsynsmyndighet som är
behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63,
c) upprättat förfaranden för utfärdande, periodisk översyn och återkallande av certifiering, sigill och märkningar för
dataskydd,
d) upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av certifieringen eller det sätt på vilket
certifieringen har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och för att
göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och
e) på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att deras uppgifter och uppdrag inte
leder till en intressekonflikt.
3.
Ackrediteringen av certifieringsorgan som avses i punkterna 1 och 2 i denna artikel ska ske på grundval av
kriterier som godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt
artikel 63. I händelse av ackreditering enligt punkt 1 b i den här artikeln ska dessa krav komplettera dem som föreskrivs
i förordning (EG) nr 765/2008 och de tekniska regler som beskriver certifieringsorganens metoder och förfaranden.
4.
De certifieringsorgan som avses i punkt 1 ska ansvara för den korrekta bedömning som leder till certifieringen
eller återkallelsen av certifieringen, utan att det påverkar den personuppgiftsansvariges eller personuppgiftsbiträdets
ansvar att efterleva denna förordning. Ackrediteringen ska utfärdas för en period på högst fem år och får förnyas på
samma villkor under förutsättning att certifieringsorganet uppfyller de krav som anges i denna artikel.
5.
De certifieringsorgan som avses i punkt 1 ska informera de behöriga tillsynsmyndigheterna om orsakerna till
beviljandet eller återkallelsen av den begärda certifieringen.
6.
De krav som avses i punkt 3 i den här artikeln och de kriterier som avses i artikel 42.5 ska offentliggöras av
tillsynsmyndigheten i ett lättillgängligt format. Tillsynsmyndigheterna ska också översända dessa krav och kriterier till
styrelsen. Styrelsen ska samla alla certifieringsmekanismer och sigill för dataskydd i ett register och offentliggöra dem på
lämpligt sätt.
7.
Utan att det påverkar tillämpningen av kapitel VIII ska den behöriga tillsynsmyndigheten eller det nationella ackre
diteringsorganet återkalla ett certifieringsorgans ackreditering enligt punkt 1 i denna artikel om villkoren för
ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av certifieringsorganet strider mot denna
förordning.
8.
Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 i syfte att närmare ange de
krav som ska tas i beaktande för de certifieringsmekanismer för dataskydd som avses i artikel 42.1.
9.
Kommissionen får anta genomförandeakter för att fastställa tekniska standarder för certifieringsmekanismer och
sigill och märkningar för dataskydd samt rutiner för att främja och erkänna dessa certifieringsmekanismer, sigill och
märkningar. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.
KAPITEL V
Överföring av personuppgifter till tredjeländer eller internationella organisationer
Artikel 44
Allmän princip för överföring av uppgifter
Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett
tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och
personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel,
inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat
tredjeland eller en annan internationell organisation. Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att
den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.
4.5.2016
L 119/60
Europeiska unionens officiella tidning
SV
739
SOU 2017:66
Bilaga 2
Artikel 45
Överföring på grundval av ett beslut om adekvat skyddsnivå
1.
Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat
att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella
organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva något särskilt tillstånd.
2.
När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta
a) rättsstatsprincipen, respekten för de mänskliga rättigheterna och de grundläggande friheterna, relevant lagstiftning,
både allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och
straffrätt och offentliga myndigheters tillgång till personuppgifter samt tillämpningen av sådan lagstiftning,
dataskyddsregler, yrkesregler och säkerhetsbestämmelser, inbegripet regler för vidare överföring av personuppgifter till
ett annat tredjeland eller en annan internationell organisation, som ska följas i det landet eller den internationella
organisationen, rättspraxis samt faktiska och verkställbara rättigheter för registrerade och effektiv administrativ och
rättslig prövning för de registrerade vars personuppgifter överförs,
b) huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet, eller som utövar
tillsyn över den internationella organisationen, som har ansvar för att säkerställa och kontrollera att dataskyddsregler
följs, inklusive lämpliga verkställighetsbefogenheter, ge de registrerade råd och assistans när det gäller utövandet av
deras rättigheter och samarbeta med medlemsstaternas tillsynsmyndigheter, och
c) vilka internationella åtaganden det berörda tredjelandet eller den berörda internationella organisationen har gjort,
eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i
multilaterala eller regionala system, särskilt rörande skydd av personuppgifter.
3.
Kommissionen får, efter att ha bedömt om det föreligger en adekvat skyddsnivå, genom en genomförandeakt
besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en
internationell organisation säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här artikeln.
Genomförandeakten ska inrätta en mekanism för regelbunden översyn, minst vart fjärde år, som ska beakta all relevant
utveckling i det tredjelandet eller den internationella organisationen. Beslutets territoriella och sektorsmässiga tillämpning
ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken eller vilka myndigheter som är
tillsynsmyndighet(er) enligt punkt 2 b i den här artikeln. Genomförandeakten ska antas i enlighet med det gransknings
förfarande som avses i artikel 93.2.
4.
Kommissionen ska fortlöpande övervaka utveckling i tredjeländer och internationella organisationer vilken kan
påverka hur beslut som antagits enligt punkt 3 i den här artikeln och beslut som antagits på grundval av artikel 25.6 i
direktiv 95/46/EG fungerar.
5.
Kommissionen ska, när tillgänglig information visar, i synnerhet efter den översyn som avses i punkt 3 i den här
artikeln, att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom tredjelandet i fråga eller en
internationell organisation inte längre säkerställer adekvat skydd i den mening som avses i punkt 2 i den här artikeln
och, i den mån det behövs, genom genomförandeakter återkalla, ändra eller upphäva det beslut som avses i punkt 3 i
den här artikeln utan retroaktiv verkan. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande
som avses i artikel 93.2.
När det föreligger vederbörligen motiverade och tvingande skäl till skyndsamhet ska kommissionen anta omedelbart
tillämpliga genomförandeakter i enlighet med det förfarande som avses i artikel 93.3.
6.
Kommissionen ska samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den
situation som lett till beslutet enligt punkt 5.
7.
Beslut enligt punkt 5 i den här artikeln ska inte påverka överföring av personuppgifter till tredjelandet, ett
territorium eller en eller flera specificerade sektorer inom tredjelandet, eller den internationella organisationen i fråga
enligt artiklarna 46–49.
8.
Kommissionen ska i Europeiska unionens officiella tidning och på sin webbplats offentliggöra en förteckning över de
tredjeländer och de territorier och specificerade sektorer i ett givet tredjeland samt de internationella organisationer för
vilka den har fastställt att en adekvat skyddsnivå inte eller inte längre säkerställs.
4.5.2016
L 119/61
Europeiska unionens officiella tidning
SV
740
SOU 2017:66
Bilaga 2
9.
De beslut som antas av kommissionen på grundval av artikel 25.6 i direktiv 95/46/EG ska förbli i kraft tills de
ändrats, ersatts eller upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 3 eller 5 i den här artikeln.
Artikel 46
Överföring som omfattas av lämpliga skyddsåtgärder
1.
I avsaknad av ett beslut i enlighet med artikel 45.3, får en personuppgiftsansvarig eller ett personuppgiftsbiträde
endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga
skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns
tillgängliga.
2.
Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från en övervakningsmyndighet, ta
formen av
a) ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ,
b) bindande företagsbestämmelser i enlighet med artikel 47,
c) standardiserade dataskyddsbestämmelser som antas av kommissionen i enlighet med det granskningsförfarande som
avses i artikel 93.2,
d) standardiserade dataskyddsbestämmelser som antagits av en tillsynsmyndighet och godkänts av kommissionen i
enlighet med det granskningsförfarande som avses i artikel 93.2,
e) en godkänd uppförandekod enlig artikel 40 tillsammans med rättsligt bindande och verkställbara åtaganden för den
personuppgiftsansvarige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det
gäller registrerades rättigheter, eller
f) en godkänd certifieringsmekanism enlig artikel 42 tillsammans med rättsligt bindande och verkställbara åtaganden
för den personuppgiftsansvarige, personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när
det gäller de registrerades rättigheter.
3.
Med förbehåll för tillstånd från den behöriga tillsynsmyndigheten, får lämpliga skyddsåtgärder enligt punkt 1 också
i synnerhet ta formen av
a) avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige,
personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen,
eller
b) bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka
inbegriper verkställbara och faktiska rättigheter för registrerade.
4.
Tillsynsmyndigheten ska tillämpa den mekanism för enhetlighet som avses i artikel 63 i de fall som avses i punkt 3
i den här artikeln.
5.
Tillstånd från en medlemsstat eller tillsynsmyndighet på grundval av artikel 26.2 i direktiv 95/46/EG ska förbli
giltigt tills det, vid behov, ändrats, ersatts eller upphävts av den tillsynsmyndigheten. De beslut som fattas av
kommissionen på grundval av artikel 26.4 i direktiv 95/46/EG ska förbli i kraft tills de, vid behov, ändrats, ersatts eller
upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 2 i den här artikeln.
Artikel 47
Bindande företagsbestämmelser
1.
Den behöriga tillsynsmyndigheten ska godkänna bindande företagsbestämmelser i enlighet med den mekanism för
enhetlighet som föreskrivs i artikel 63 under förutsättning att de
a) är rättslig bindande, tillämpas på, och verkställs av alla delar som berörs inom den koncern eller grupp av företag
som deltar i gemensam ekonomisk verksamhet, inklusive deras anställda,
4.5.2016
L 119/62
Europeiska unionens officiella tidning
SV
741
SOU 2017:66
Bilaga 2
b) innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter när det gäller behandlingen av deras
personuppgifter, och
c) uppfyller villkoren i punkt 2.
2.
De bindande företagsbestämmelser som avses i punkt 1 ska närmare ange åtminstone följande:
a) struktur och kontaktuppgifter för den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet
och för var och en av dess medlemmar,
b) vilka överföringar eller uppsättningar av överföringar av uppgifter som omfattas, inklusive kategorierna av
personuppgifter, typen av behandling och dess ändamål, den typ av registrerade som berörs samt vilket eller vilka
tredjeländer som avses,
c) bestämmelsernas rättsligt bindande natur, såväl internt som externt,
d) tillämpningen av allmänna principer för dataskydd, särskilt avgränsning av syften, uppgiftsminimering, begränsade
lagringsperioder, datakvalitet, inbyggt dataskydd och dataskydd som standard, rättslig grund för behandling,
behandling av särskilda kategorier av personuppgifter, åtgärder för att säkerställa datasäkerhet och villkoren när det
gäller vidare överföring av uppgifter till organ som inte är bundna av bindande företagsbestämmelser,
e) de registrerades rättigheter avseende behandling och medlen för att utöva dessa rättigheter, inklusive rätten att inte
bli föremål för beslut grundade enbart på automatisk behandling, inklusive profilering, enligt artikel 22, rätten att
inge klagomål till den behöriga tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 79,
rätten till prövning samt i förekommande fall rätten till kompensation för överträdelse av de bindande företagsbe
stämmelserna,
f) att den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerad inom en medlemsstats territorium tar
på sig ansvaret om en berörd enhet som inte är etablerad inom unionen bryter mot de bindande företagsbestäm
melserna; den personuppgiftsansvarige eller personuppgiftsbiträdet får helt eller delvis undantas från denna
skyldighet endast på villkor att det kan visas att den berörda enheten i företagsgruppen inte kan hållas ansvarig för
den skada som har uppkommit,
g) hur de registrerade ska informeras om innehållet i de bindande företagsbestämmelserna, särskilt de bestämmelser
som avses i leden d, e och f i denna punkt utöver den information som avses i artiklarna 13 och 14,
h) uppgifterna för varje dataskyddsombud som utsetts i enlighet med artikel 37, eller varje annan person eller enhet
med ansvar för kontrollen av att de bindande företagsbestämmelserna följs inom den koncern eller grupp av företag
som deltar i gemensam ekonomisk verksamhet, samt i fråga om utbildning och hantering av klagomål,
i) förfaranden för klagomål,
j) rutinerna inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet för att kontrollera
att de bindande företagsreglerna följs; sådana rutiner ska inbegripa dataskyddstillsyn och metoder för att säkerställa
korrigerande åtgärder för att skydda de registrerades rättigheter; resultaten av sådana kontroller bör meddelas den
person eller enhet som avses i led h och styrelsen i det kontrollerande företaget i koncernen eller gruppen av företag
som deltar i gemensam ekonomisk verksamhet, och bör på begäran vara tillgänglig för den behöriga tillsynsmyndig
heten,
k) rutinerna för att rapportera och dokumentera ändringar i bestämmelserna, samt rutinerna för att rapportera dessa
ändringar till tillsynsmyndigheten,
l) rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla medlemmar i den koncern eller grupp
av företag som deltar i gemensam ekonomisk verksamhet följer reglerna, särskilt genom att meddela tillsynsmyndig
heten resultaten av kontroller av de åtgärder som avses i led j,
m) rutinerna för att till den behöriga tillsynsmyndigheten rapportera alla rättsliga krav som en medlem i koncernen eller
gruppen av företag som deltar i gemensam ekonomisk verksamhet är underkastad i ett tredjeland och som sannolikt
kommer att ha en avsevärd negativ inverkan på de garantier som ges genom de bindande företagsbestämmelserna,
och
n) lämplig utbildning om dataskydd för personal som har ständig eller regelbunden tillgång till personuppgifter.
4.5.2016
L 119/63
Europeiska unionens officiella tidning
SV
742
SOU 2017:66
Bilaga 2
3.
Kommissionen får närmare ange vilket format och vilka rutiner som ska användas för de personuppgiftsansvarigas,
personuppgiftsbiträdenas och tillsynsmyndigheternas utbyte av information om bindande företagsbestämmelser i den
mening som avses i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som
avses i artikel 93.2.
Artikel 48
Överföringar och utlämnanden som inte är tillåtna enligt unionsrätten
Domstolsbeslut eller beslut från myndigheter i tredjeland där det krävs att en personuppgiftsansvarig eller ett personupp
giftsbiträde överför eller lämnar ut personuppgifter får erkännas eller genomföras på något som helst sätt endast om det
grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp, som gäller mellan det
begärande tredjelandet och unionen eller en medlemsstat, utan att detta påverkar andra grunder för överföring enligt
detta kapitel.
Artikel 49
Undantag i särskilda situationer
1.
Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3, eller om lämpliga skyddsåtgärder
enligt artikel 46, inbegripet bindande företagsbestämmelser, får en överföring eller uppsättning av överföringar av
personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av följande villkor är uppfyllt:
a) Den registrerade har uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de
eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat
skyddsnivå eller lämpliga skyddsåtgärder.
b) Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för
att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.
c) Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan
fysisk eller juridisk person i den registrerades intresse.
d) Överföringen är nödvändig av viktiga skäl som rör allmänintresset.
e) Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
f) Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den
registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.
g) Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge
allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett
berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt
angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.
När en överföring inte skulle kunna grundas på en bestämmelse i artikel 45 eller 46, inklusive bestämmelserna om
bindande företagsbestämmelser, och inget av undantagen för en särskild situation som avses i första stycket i den här
punkten är tillämpligt, får en överföring till ett tredjeland eller en internationell organisation äga rum endast
omöverföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nödvändig för ändamål som rör den
personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte
väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och
på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter. Den personuppgift
sansvarige ska informera tillsynsmyndigheten om överföringen. Den personuppgiftsansvarige ska utöver tillhanda
hållande av den information som avses i artiklarna 13 och 14 informera den registrerade om överföringen och om de
tvingande berättigade intressen som eftersträvas.
2.
En överföring enligt led g i punkt 1 första stycket får inte omfatta alla personuppgifter eller hela kategorier av
personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse
ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.
4.5.2016
L 119/64
Europeiska unionens officiella tidning
SV
743
SOU 2017:66
Bilaga 2
3.
Leden a, b och c i punkt 1 första stycket samt andra stycket i samma punkt ska inte gälla åtgärder som vidtas av
offentliga myndigheter som ett led i myndighetsutövning.
4.
Det allmänintresse som avses i led d i punkt 1 första stycket ska vara erkänt i unionsrätten eller i den nationella
rätt som den personuppgiftsansvarige omfattas av.
5.
Saknas beslut om adekvat skyddsnivå, får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till
viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett
tredjeland eller en internationell organisation. Medlemsstaterna ska underrätta kommissionen om sådana bestämmelser.
6.
Den personuppgiftsansvarige eller personuppgiftsbiträdet ska bevara uppgifter både om bedömningen och om de
lämpliga skyddsåtgärder som avses i punkt 1 andra stycket i den här artikeln i det register som avses i artikel 30.
Artikel 50
Internationellt samarbete för skydd av personuppgifter
När det gäller tredjeländer och internationella organisationer ska kommissionen och tillsynsmyndigheterna vidta
lämpliga åtgärder för att
a) utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om
skydd av personuppgifter,
b) på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av
personuppgifter, bland annat genom underrättelse, hänskjutande av klagomål, bistånd vid utredningar samt
informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt skyddet av andra
grundläggande rättigheter och friheter,
c) involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det
gäller tillämpningen av lagstiftningen om skydd av personuppgifter,
d) främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter, inklusive avseende
behörighetskonflikter med tredjeländer.
KAPITEL VI
Oberoende tillsynsmyndigheter
Avsnitt 1
Oberoende ställning
Artikel 51
Tillsynsmyndighet
1.
Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka
tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband
med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).
2.
Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta
ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII.
3.
Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska
företräda dessa myndigheter i styrelsen; medlemsstaten ska också upprätta en rutin för att se till att övriga myndigheter
följer reglerna för den mekanism för enhetlighet som avses i artikel 63.
4.
Varje medlemsstat ska senast den 25 maj 2018 anmäla till kommissionen vilka nationella bestämmelser den antar
i enlighet med detta kapitel, och alla framtida ändringar som rör dessa bestämmelser ska anmälas utan dröjsmål.
4.5.2016
L 119/65
Europeiska unionens officiella tidning
SV
744
SOU 2017:66
Bilaga 2
Artikel 52
Oberoende
1.
Varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina
befogenheter i enlighet med denna förordning.
2.
Varje tillsynsmyndighets ledamot eller ledamöter ska i utförandet av sina uppgifter och utövandet av sina
befogenheter i enlighet med denna förordning stå fria från utomstående påverkan, direkt såväl som indirekt, och får
varken begära eller ta emot instruktioner av någon.
3.
Tillsynsmyndighetens ledamöter ska avhålla sig från alla handlingar som är oförenliga med deras skyldigheter och
under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras
tjänsteutövning.
4.
Varje medlemsstat ska säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och finansiella
resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och
utöva sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i styrelsens
verksamhet.
5.
Varje medlemsstat ska säkerställa att varje tillsynsmyndighet väljer och förfogar över egen personal, som ska ta
instruktioner uteslutande från den berörda tillsynsmyndighetens ledamot eller ledamöter.
6.
Varje medlemsstat ska säkerställa att varje tillsynsmyndighet blir föremål för finansiell kontroll, utan att detta
påverkar tillsynsmyndighetens oberoende och att de förfogar över en separat, offentlig årsbudget som kan ingå i den
övergripande statsbudgeten eller nationella budgeten.
Artikel 53
Allmänna villkor för tillsynsmyndighetens ledamöter
1.
Medlemsstaterna ska föreskriva att varje ledamot av deras tillsynsmyndigheter ska utnämnas genom ett genom ett
öppet förfarande med insyn av
— deras parlament,
— deras regering,
— deras statschef, eller
— ett oberoende organ som genom medlemsstatens nationella rätt anförtrotts utnämningen.
2.
Varje ledamot ska ha de kvalifikationer, den erfarenhet och den kompetens, särskilt på området skydd av
personuppgifter, som krävs för att ledamoten ska kunna utföra sitt uppdrag och utöva sina befogenheter.
3.
En ledamots uppdrag ska upphöra då mandattiden löper ut eller om ledamoten avgår eller avsätts från sin tjänst i
enlighet med den berörda medlemsstatens nationella rätt.
4.
En ledamot får avsättas endast på grund av grov försummelse eller när ledamoten inte längre uppfyller de villkor
som krävs för att utföra uppdraget.
Artikel 54
Regler för inrättandet av en tillsynsmyndighet
1.
Varje medlemsstat ska fastställa följande i lag:
a) Varje tillsynsmyndighets inrättande.
4.5.2016
L 119/66
Europeiska unionens officiella tidning
SV
745
SOU 2017:66
Bilaga 2
b) De kvalifikationer och de villkor för lämplighet som krävs för att någon ska kunna utnämnas till ledamot av en
tillsynsmyndighet.
c) Regler och förfaranden för att utse varje tillsynsmyndighets ledamot eller ledamöter.
d) Mandattiden för varje tillsynsmyndighets ledamot eller ledamöter, vilken inte får understiga fyra år, utom vid
tillsättandet av de första ledamöterna efter den 24 maj 2016, då ett stegvis tillsättningsförfarande med kortare
perioder för några av ledamöterna får tillämpas om detta är nödvändigt för att säkerställa myndighetens oberoende.
e) Huruvida varje tillsynsmyndighets ledamot eller ledamöter får ges förnyat mandat, och om så är fallet, för hur många
perioder.
f) Vilka villkor som gäller för de skyldigheter som varje tillsynsmyndighets ledamot eller ledamöter och personal har,
förbud mot handlingar, yrkesverksamhet och förmåner som står i strid därmed under och efter mandattiden och
vilka bestämmelser som gäller för anställningens upphörande.
2.
Varje tillsynsmyndighets ledamot eller ledamöter och personal ska i enlighet med unionsrätten eller
medlemsstaternas nationella rätt omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell
information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under
mandatperioden ska denna tystnadsplikt i synnerhet gälla rapportering från fysiska personer om överträdelser av denna
förordning.
Avsnitt 2
Behörighet, uppgif ter och befogenheter
Artikel 55
Behörighet
1.
Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt
denna förordning inom sin egen medlemsstats territorium.
2.
Om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e ska
tillsynsmyndigheten i den berörda medlemsstaten vara behörig. I sådana fall ska artikel 56 inte tillämpas.
3.
Tillsynsmyndigheterna ska inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin
dömande verksamhet.
Artikel 56
Den ansvariga tillsynsmyndighetens behörighet
1.
Utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller
personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig
tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling
i enlighet med det förfarande som föreskrivs i artikel 60.
2.
Genom undantag från punkt 1 ska varje tillsynsmyndighet vara behörig att behandla ett klagomål som lämnats in
till denna eller en eventuell överträdelse av denna förordning, om sakfrågan i ärendet endast rör ett verksamhetsställe i
medlemsstaten eller i väsentlig grad påverkar registrerade endast i medlemsstaten.
3.
I de fall som avses i punkt 2 i den här artikeln ska tillsynsmyndigheten utan dröjsmål informera den ansvariga
tillsynsmyndigheten om detta ärende. Inom tre veckor från det att den underrättats ska den ansvariga tillsynsmyndighe
ten besluta huruvida den kommer att behandla ärendet i enlighet med det förfarande som föreskrivs i artikel 60, med
hänsyn till huruvida den personuppgiftsansvarige eller personuppgiftsbiträdet har eller inte har ett verksamhetsställe som
är beläget i den medlemsstat där den tillsynsmyndighet som lämnat informationen är belägen.
4.5.2016
L 119/67
Europeiska unionens officiella tidning
SV
746
SOU 2017:66
Bilaga 2
4.
Om den ansvariga tillsynsmyndigheten beslutar att behandla ärendet ska det ske i enlighet med det förfarande som
föreskrivs i artikel 60. Den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten får lämna in ett utkast
till beslut till den ansvariga tillsynsmyndigheten. Den ansvariga tillsynsmyndigheten ska ta största möjliga hänsyn till
detta utkast till beslut när det utarbetar det utkast till beslut som avses i artikel 60.3.
5.
Om den ansvariga tillsynsmyndigheten beslutar att inte behandla ärendet ska den tillsynsmyndighet som
underrättade den ansvariga tillsynsmyndigheten behandla ärendet i enlighet med artiklarna 61 och 62.
6.
Den ansvariga tillsynsmyndigheten ska vara den personuppgiftsansvariges eller personuppgiftsbiträdets enda
motpart när det gäller den registreringsansvariges eller den personuppgiftsbiträdets gränsöverskridande behandling.
Artikel 57
Uppgifter
1.
Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt
territorium ansvara för följande:
a) Övervaka och verkställa tillämpningen av denna förordning.
b) Öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om
behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn.
c) I enlighet med medlemsstatens nationella rätt ge rådgivning åt det nationella parlamentet, regeringen och andra
institutioner och organ om lagstiftningsåtgärder och administrativa åtgärder rörande skyddet av fysiska personers
rättigheter och friheter när det gäller behandling.
d) Öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt denna
förordning.
e) På begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter enligt denna förordning,
och om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål.
f) Behandla klagomål från en registrerad eller från ett organ, en organisation eller en sammanslutning enligt artikel 80,
och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde
om hur undersökningen fortskrider och om resultatet, i synnerhet om det krävs ytterligare undersökningar eller
samordning med en annan tillsynsmyndighet.
g) Samarbeta, inbegripet utbyta information, med och ge ömsesidigt bistånd till andra tillsynsmyndigheter för att se till
att denna förordning tillämpas och verkställs på ett enhetligt sätt.
h) Utföra undersökningar om tillämpningen av denna förordning, inbegripet på grundval av information som erhålls
från en annan tillsynsmyndighet eller annan myndighet.
i) Följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunika
tionsteknik och affärspraxis.
j) Anta sådana standardavtalsklausuler som avses i artiklarna 28.8 och 46.2 d.
k) Upprätta och föra en förteckning när det gäller kravet på en konsekvensbedömning avseende dataskydd enligt
artikel 35.4.
l) Ge råd om behandling av personuppgifter enligt artikel 36.2.
m) Främja framtagande av uppförandekoder enligt artikel 40.1 samt yttra sig över och godkänna sådana
uppförandekoder som tillhandahåller tillräckliga garantier, i enlighet med artikel 40.5.
n) Uppmuntra till inrättandet av certifieringsmekanismer för dataskydd och av sigill och märkningar för dataskydd i
enlighet med artikel 42.1 samt godkänna certifieringskriterierna i enlighet med artikel 42.5.
o) I tillämpliga fall genomföra en periodisk översyn av certifieringar som utfärdats i enlighet med artikel 42.7.
4.5.2016
L 119/68
Europeiska unionens officiella tidning
SV
747
SOU 2017:66
Bilaga 2
p) Utarbeta och offentliggöra kriterier för ackreditering av ett organ för övervakning av uppförandekoder enligt
artikel 41 och ett certifieringsorgan enligt artikel 43.
q) Ackreditera ett organ för övervakning av uppförandekoder enligt artikel 41 och ett certifieringsorgan enligt
artikel 43.
r) Godkänna sådana avtalsklausuler och bestämmelser som avses i artikel 46.3.
s) Godkänna sådana bindande företagsbestämmelser som avses i artikel 47.
t) Bidra till styrelsens verksamhet.
u) Hålla arkiv över överträdelser av denna förordning och åtgärder som vidtagits i enlighet med artikel 58.2.
v) Utföra eventuella andra uppgifter som rör skyddet av personuppgifter.
2.
Varje tillsynsmyndighet ska underlätta inlämningen av klagomål enligt punkt 1 f genom åtgärder såsom ett särskilt
formulär för ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.
3.
Utförandet av alla tillsynsmyndigheters uppgifter ska vara avgiftsfritt för den registrerade och, i tillämpliga fall, för
dataskyddsombudet.
4.
Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, får tillsynsmyn
digheten ta ut en rimlig avgift grundad på de administrativa kostnaderna eller vägra att tillmötesgå begäran. Det åligger
tillsynsmyndigheten att visa att begäran är uppenbart ogrundad eller orimlig.
Artikel 58
Befogenheter
1.
Varje tillsynsmyndighet ska ha samtliga följande utredningsbefogenheter
a) Beordra den personuppgiftsansvarige eller personuppgiftsbiträdet, och i tillämpliga fall den personuppgiftsansvariges
eller personuppgiftsbiträdets företrädare, att lämna all information som myndigheten behöver för att kunna fullgöra
sina uppgifter.
b) Genomföra undersökningar i form av dataskyddstillsyn.
c) Genomföra en översyn av certifieringar som utfärdats i enlighet med artikel 42.7.
d) Meddela den personuppgiftsansvarige eller personuppgiftsbiträdet om en påstådd överträdelse av denna förordning.
e) Från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information
som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter.
f) Få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till
all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionens processrätt
eller medlemsstaternas nationella processrätt.
2.
Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter
a) Utfärda varningar till en personuppgiftsansvarig eller personuppgiftsbiträdet om att planerade behandlingar sannolikt
kommer att bryta mot bestämmelserna i denna förordning.
b) Utfärda reprimander till en personuppgiftsansvarig eller personuppgiftsbiträdet om behandling bryter mot
bestämmelserna i denna förordning.
c) Förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få
utöva sina rättigheter enligt denna förordning.
4.5.2016
L 119/69
Europeiska unionens officiella tidning
SV
748
SOU 2017:66
Bilaga 2
d) Förelägga en personuppgiftsansvarig eller ett personuppgiftsbiträde att se till att behandlingen sker i enlighet med
bestämmelserna i denna förordning och om så krävs på ett specifikt sätt och inom en specifik period,
e) Förelägga den personuppgiftsansvarige att meddela den registrerade att en personuppgiftsincident har inträffat.
f) Införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.
g) Förelägga om rättelse eller radering av personuppgifter samt begränsning av behandling enligt artiklarna 16, 17
och 18 och underrätta mottagare till vilka personuppgifterna har lämnats ut om dessa åtgärder enligt artiklarna 17.2
och 19.
h) Återkalla en certifiering eller beordra certifieringsorganet att återkalla en certifiering som utfärdats enligt artikel 42
eller 43, eller beordra certifieringsorganet att inte utfärda certifiering om kraven för certifiering inte eller inte längre
uppfylls.
i) Påföra administrativa sanktionsavgifter i enlighet med artikel 83 utöver eller i stället för de åtgärder som avses i detta
stycke, beroende på omständigheterna i varje enskilt fall.
j) Förelägga om att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas.
3.
Varje tillsynsmyndighet ska ha samtliga följande befogenheter att utfärda tillstånd och att ge råd:
a) Ge råd till den personuppgiftsansvarige i enlighet med det förfarande för förhandssamråd som avses i artikel 36.
b) På eget initiativ eller på begäran avge yttranden till det nationella parlamentet, medlemsstatens regering eller, i
enlighet med medlemsstatens nationella rätt, till andra institutioner och organ samt till allmänheten, i frågor som rör
skydd av personuppgifter.
c) Ge tillstånd till behandling enligt artikel 36.5 om medlemsstatens rätt kräver ett sådant förhandstillstånd.
d) Avge ett yttrande om och godkänna utkast till uppförandekoder enligt artikel 40.5.
e) Ackreditera certifieringsorgan i enlighet med artikel 43.
f) Utfärda certifieringar och godkänna kriterier för certifiering i enlighet med artikel 42.5.
g) Anta standardiserade dataskyddsbestämmelser enligt artiklarna 28.8 och 46.2 d.
h) Godkänna avtalsklausuler enligt artikel 46.3 a.
i) Godkänna administrativa överenskommelser enligt artikel 46.3 b.
j) Godkänna bindande företagsbestämmelser enligt artikel 47.
4.
Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga
skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas
nationella rätt i enlighet med stadgan.
5.
Varje medlemsstat ska i lagstiftning fastställa att dess tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga
myndigheterna om överträdelser av denna förordning och vid behov att inleda eller på övrigt vis delta i rättsliga
förfaranden, för att verkställa bestämmelserna i denna förordning.
6.
Varje medlemsstat får i lagstiftning föreskriva att dess tillsynsmyndighet ska ha ytterligare befogenheter utöver dem
som avses i punkterna 1, 2 och 3. Utövandet av dessa befogenheter ska inte påverka den effektiva tillämpningen av
kapitel VII.
Artikel 59
Verksamhetsrapporter
Varje tillsynsmyndighet ska upprätta en årlig rapport om sin verksamhet, vilken kan omfatta en förteckning över typer
av anmälda överträdelser och typer av åtgärder som vidtagits i enlighet med artikel 58.2. Rapporterna ska översändas till
det nationella parlamentet, regeringen och andra myndigheter som utsetts genom medlemsstatens nationella rätt. De ska
göras tillgängliga för allmänheten, kommissionen och styrelsen.
4.5.2016
L 119/70
Europeiska unionens officiella tidning
SV
749
SOU 2017:66
Bilaga 2
KAPITEL VII
Samarbete och enhetlighet
Avsnitt 1
Samarbete
Artikel 60
Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna
1.
Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med
denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheter
na ska utbyta all relevant information med varandra.
2.
Den ansvariga tillsynsmyndigheten får när som helst begära att andra berörda tillsynsmyndigheter ger ömsesidigt
bistånd i enlighet med artikel 61 och får genomföra gemensamma insatser i enlighet med artikel 62, i synnerhet för att
utföra utredningar eller övervaka genomförandet av en åtgärd som avser en personuppgiftsansvarig eller ett personupp
giftsbiträde som är etablerad i en annan medlemsstat.
3.
Den ansvariga tillsynsmyndigheten ska utan dröjsmål meddela de andra berörda tillsynsmyndigheterna den
relevanta informationen i ärendet. Den ska utan dröjsmål lägga fram ett utkast till beslut för de andra berörda tillsyns
myndigheterna så att de kan avge ett yttrande och ta vederbörlig hänsyn till deras synpunkter.
4.
Om någon av de andra berörda tillsynsmyndigheterna inom en period av fyra veckor efter att de har rådfrågats i
enlighet med punkt 3 i den här artikeln uttrycker en relevant och motiverad invändning mot utkastet till beslut ska den
ansvariga tillsynsmyndigheten, om den inte instämmer i den relevanta och motiverade invändningen eller anser att
invändningen inte är relevant eller motiverad, överlämna ärendet till den mekanism för enhetlighet som avses
i artikel 63.
5.
Om den ansvariga tillsynsmyndigheten avser att följa den relevanta och motiverade invändningen ska den till de
andra berörda tillsynsmyndigheterna överlämna ett reviderat utkast till beslut så att de kan avge ett yttrande. Detta
reviderade utkast till beslut ska omfattas av det förfarande som avses i punkt 4 inom en period av två veckor.
6.
Om ingen av de andra berörda tillsynsmyndigheterna har gjort invändningar mot det utkast till beslut som den
ansvariga tillsynsmyndigheten har lagt fram inom den period som avses i punkterna 4 och 5 ska den ansvariga tillsyns
myndigheten och de berörda tillsynsmyndigheterna anses samtycka till detta utkast till beslut och ska vara bundna av
det.
7.
Den ansvariga tillsynsmyndigheten ska anta och meddela beslutet till den personuppgiftsansvariges eller
personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe, allt efter omständigheterna, och underrätta de andra
berörda tillsynsmyndigheterna och styrelsen om beslutet i fråga, inbegripet en sammanfattning av relevanta fakta och en
relevant motivering. Den tillsynsmyndighet till vilken ett klagomål har lämnats in ska underrätta den enskilde om
beslutet.
8.
Om ett klagomål avvisas eller avslås ska den tillsynsmyndighet till vilken klagomålet lämnades in, genom undantag
från punkt 7, anta beslutet och meddela den enskilde samt informera den personuppgiftsansvarige.
9.
Om den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna är överens om att avvisa eller avslå
delar av ett klagomål och att vidta åtgärder beträffande andra delar av klagomålet ska ett separat beslut antas för var och
en av dessa delar av frågan. Den ansvariga tillsynsmyndigheten ska anta beslutet om den del som gäller åtgärder som
avser den personuppgiftsansvarige och meddela det till den personuppgiftsansvariges eller personuppgiftsbiträdets
huvudsakliga eller enda verksamhetsställe på medlemsstatens territorium och underrätta den enskilde om detta, medan
den enskildes tillsynsmyndighet ska anta beslutet för den del som gäller avvisande av eller avslag på klagomålet och
meddela det till den enskilde och underrätta den personuppgiftsansvarige eller personuppgiftsbiträdet om detta.
10.
Efter att den personuppgiftsansvarige eller personuppgiftsbiträdet har meddelats om den ansvariga myndighetens
beslut i enlighet med punkterna 7 och 9 ska den personuppgiftsansvarige eller personuppgiftsbiträdet vidta nödvändiga
åtgärder för att se till att beslutet efterlevs vad gäller behandling med koppling till alla deras verksamhetsställen i
unionen. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska meddela den ansvariga tillsynsmyndigheten vilka
åtgärder som har vidtagits för att efterleva beslutet, och den ansvariga tillsynsmyndigheten ska informera de andra
berörda tillsynsmyndigheterna.
4.5.2016
L 119/71
Europeiska unionens officiella tidning
SV
750
SOU 2017:66
Bilaga 2
11.
Om en berörd tillsynsmyndighet under exceptionella omständigheter har skäl att anse att det finns ett brådskande
behov av att agera för att skydda registrerades intressen ska det skyndsamma förfarande som avses i artikel 66 tillämpas.
12.
Den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna ska förse varandra med den
information som krävs enligt denna artikel på elektronisk väg med användning av ett standardiserat format.
Artikel 61
Ömsesidigt bistånd
1.
Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och
tillämpa denna förordning på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det
ömsesidiga biståndet ska i synnerhet omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden
om utförande av förhandstillstånd och förhandssamråd, inspektioner och utredningar.
2.
Varje tillsynsmyndighet ska vidta lämpliga åtgärder som krävs för att besvara en begäran från en annan
tillsynsmyndighet utan onödigt dröjsmål och inte senare än en månad efter det att den tagit emot begäran. Till sådana
åtgärder hör bland annat att översända relevant information om genomförandet av en pågående utredning.
3.
En begäran om bistånd ska innehålla all nödvändig information, inklusive syftet med begäran och skälen till denna.
Information som utbytts får endast användas för det syfte för vilket den har begärts.
4.
Den tillsynsmyndighet som tar emot en begäran får endast vägra att tillmötesgå begäran om
a) den inte är behörig att behandla den sakfråga som begäran avser eller de åtgärder som det begärs att den ska utföra,
eller
b) det skulle stå i strid med denna förordning eller unionsrätten eller den nationella rätt i en medlemsstat som tillsyns
myndigheten omfattas av att tillmötesgå begäran.
5.
Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om
resultatet eller, allt efter omständigheterna, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider. Den
tillsynsmyndighet som tagit emot begäran ska redogöra för sina skäl för att vägra tillmötesgå begäran i enlighet med
punkt 4.
6.
Den tillsynsmyndighet som tar emot en begäran ska som regel tillhandahålla den information som begärts av
andra tillsynsmyndigheter på elektronisk väg med användning av ett standardiserat format.
7.
Tillsynsmyndigheter som tar emot en begäran får inte ta ut någon avgift för åtgärder som vidtagits av dem till följd
av en begäran om ömsesidigt bistånd. Tillsynsmyndigheter får i undantagsfall komma överens med andra tillsynsmyn
digheter om regler för ersättning från varandra för vissa utgifter i samband med tillhandahållande av ömsesidigt bistånd.
8.
Om en tillsynsmyndighet inte tillhandahåller den information som avses i punkt 5 i denna artikel inom en månad
efter det att den erhållit begäran från en annan tillsynsmyndighet får den begärande myndigheten anta en provisorisk
åtgärd på sin medlemsstats territorium i enlighet med artikel 55.1. I detta fall ska det brådskande behov av att agera
enligt artikel 66.1 anses vara uppfyllt och kräva ett brådskande bindande beslut från styrelsen i enlighet med
artikel 66.2.
9.
Kommissionen får genom genomförandeakter närmare ange format och förfaranden för sådant ömsesidigt bistånd
som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt
mellan tillsynsmyndigheter och styrelsen, i synnerhet det standardiserade format som avses i punkt 6 i den här artikeln.
Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.
Artikel 62
Tillsynsmyndigheters gemensamma insatser
1.
Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och
gemensamma verkställighetsåtgärder i vilka ledamöter eller personal från andra medlemsstaters tillsynsmyndigheter
deltar.
4.5.2016
L 119/72
Europeiska unionens officiella tidning
SV
751
SOU 2017:66
Bilaga 2
2.
Om den personuppgiftsansvarige eller personuppgiftsbiträdet har verksamhetsställen i flera medlemsstater eller om
ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att
uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma
insatserna. Den tillsynsmyndighet som är behörig enligt artikel 56.1 eller 56.4 ska bjuda in tillsynsmyndigheterna i var
och en av de berörda medlemsstaterna att delta i de gemensamma insatserna och ska utan dröjsmål svara på en annan
tillsynsmyndighets begäran att få delta.
3.
En tillsynsmyndighet får, i enlighet med medlemsstatens nationella rätt och efter godkännande från ursprung
slandets tillsynsmyndighet, tilldela befogenheter, inklusive utredningsbefogenheter, till ledamöter eller personal från
ursprungslandets tillsynsmyndighet som deltar i gemensamma insatser eller, i den mån lagstiftningen i den medlemsstat
som är värdland för tillsynsmyndigheten tillåter detta, medge att ursprungslandets tillsynsmyndighets ledamöter eller
personal utövar utredningsbefogenheter enligt lagstiftningen i ursprungslandets tillsynsmyndighets medlemsstat. Sådana
utredningsbefogenheter får endast utövas under vägledning och i närvaro av ledamöter eller personal från värdlandets
tillsynsmyndighet. Ledamöter och personal från ursprungslandets tillsynsmyndighet ska omfattas av den medlemsstats
nationella rätt som gäller för värdlandets tillsynsmyndighet.
4.
Om personal från ursprungslandets tillsynsmyndighet verkar i en annan medlemsstat i enlighet med punkt 1 ska
värdtillsynsmyndighetens medlemsstat ansvara för deras handlingar, vilket inbegriper ansvar för skador som personalen
vållar i samband med insatserna, i enlighet med rätten i den medlemsstat på vars territorium personalen verkar.
5.
Den medlemsstat på vars territorium skadorna förorsakades ska ersätta sådana skador enligt de villkor som gäller
för skador som förorsakas av dess egen personal. Den medlemsstat vars tillsynsmyndighets tjänstemän har orsakat en
person skada på någon annan medlemsstats territorium ska fullt ut ersätta den andra medlemsstaten för det belopp som
denna har betalat ut till den personens rättsinnehavare.
6.
Utan att det påverkar rättigheterna gentemot tredje man och tillämpningen av punkt 5, ska varje medlemsstat i de
fall som nämns i punkt 1 avstå från att kräva ersättning från en annan medlemsstat för skador som avses i punkt 4.
7.
Om en gemensam insats planeras och en tillsynsmyndighet inte inom en månad har uppfyllt sin skyldighet enligt
punkt 2 i den här artikeln, andra meningen får övriga tillsynsmyndigheter anta provisoriska åtgärder på sina respektive
medlemsstaters territorium i enlighet med artikel 55. I detta fall ska det brådskande behov av att agera enligt artikel 66.1
anses vara uppfyllt och kräva ett yttrande eller ett brådskande bindande beslut från styrelsen i enlighet med artikel 66.2.
Avsnitt 2
Enhetlighet
Artikel 63
Mekanism för enhetlighet
För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med
varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta
avsnitt.
Artikel 64
Yttrande från Styrelsen
1.
Styrelsen ska avge ett yttrande när en behörig tillsynsmyndighet avser att anta någon av åtgärderna nedan. I detta
syfte ska den behöriga tillsynsmyndigheten skicka utkastet till beslut till styrelsen när det
a) syftar till att anta en förteckning över behandling som omfattas av kravet på en konsekvensbedömning avseende
dataskydd enligt artikel 35.4,
b) rör ett ärende i enlighet med artikel 40.7 om huruvida ett utkast till uppförandekoder eller en ändring eller
förlängning av en uppförandekod är förenlig med denna förordning,
4.5.2016
L 119/73
Europeiska unionens officiella tidning
SV
752
SOU 2017:66
Bilaga 2
c) syftar till att godkänna kriterierna för ackreditering av ett organ enligt artikel 41.3 eller ett certifieringsorgan enligt
artikel 43.3,
d) syftar till att fastställa standardiserade dataskyddsbestämmelser enligt artiklarna 46.2 d och 28.8,
e) syftar till att godkänna sådana avtalsklausuler som avses i artikel 46.3 a, eller
f) syftar till att godkänna bindande företagsbestämmelser enligt artikel 47.
2.
Varje tillsynsmyndighet, styrelsens ordförande eller kommissionen får i syfte att erhålla ett yttrande begära att
styrelsen granskar en fråga med allmän räckvidd eller som har följder i mer än en medlemsstat, i synnerhet om en
behörig myndighet inte uppfyller sina skyldigheter i fråga om ömsesidigt bistånd i enlighet med artikel 61 eller i fråga
om gemensamma insatser i enlighet med artikel 62.
3.
I de fall som avses i punkterna 1 och 2 ska styrelsen avge ett yttrande i den fråga som ingivits till den, förutsatt att
den inte redan har avgett ett yttrande i samma fråga. Detta yttrande ska antas med enkel majoritet av styrelsens
ledamöter inom åtta veckor. Denna period får förlängas med ytterligare sex veckor med hänsyn till sakfrågans
komplexitet. Vad gäller det utkast till beslut som avses i punkt 1 som spridits till styrelsens ledamöter i enlighet med
punkt 5, ska en ledamot som inte har gjort invändningar inom en rimlig period som ordföranden angett anses samtycka
till utkastet till beslut.
4.
Tillsynsmyndigheterna och kommissionen ska utan onödigt dröjsmål i ett standardiserat elektroniskt format till
styrelsen översända all relevant information, som allt efter omständigheterna får utgöras av en sammanfattning av
sakförhållanden, utkastet till beslut, grunden till att en sådan åtgärd är nödvändig och synpunkter från övriga berörda
tillsynsmyndigheter.
5.
Styrelsens ordförande ska utan onödigt dröjsmål och på elektronisk väg upplysa
a) styrelsens ledamöter samt kommissionen om all relevant information som meddelats styrelsen i ett standardiserat
format; styrelsens sekretariat ska vid behov tillhandahålla översättningar av relevant information; och
b) den tillsynsmyndighet som, allt efter omständigheterna, avses i punkterna 1 och 2 samt kommissionen om yttrandet,
och ska också offentliggöra det.
6.
Den behöriga tillsynsmyndigheten får inte anta sitt utkast till beslut enligt punkt 1 inom den period som avses i
punkt 3.
7.
Den tillsynsmyndighet som avses i punkt 1 ska ta största möjliga hänsyn till styrelsens yttrande och ska, inom två
veckor efter att yttrandet inkommit, i ett standardiserat elektroniskt format meddela styrelsens ordförande om huruvida
den kommer att hålla fast vid eller ändra sitt utkast till beslut, och i förekommande fall översända det ändrade utkastet
till beslut.
8.
Om den berörda tillsynsmyndigheten underrättar styrelsens ordförande inom den period som avses i punkt 7 i den
här artikeln om att den inte avser att följa styrelsens yttrande, helt eller delvis, och tillhandahåller en relevant motivering,
ska artikel 65.1 tillämpas.
Artikel 65
Tvistlösning genom styrelsen
1.
För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska styrelsen anta ett
bindande beslut i följande fall:
a) Om en berörd tillsynsmyndighet i ett fall som avses i artikel 60.4 har gjort en relevant och motiverad invändning
mot ett utkast till beslut av den ansvariga myndigheten, eller om den ansvariga myndigheten har avslagit denna
invändning med motiveringen att den inte var relevant eller motiverad. Det bindande beslutet ska avse alla ärenden
som är föremål för den relevanta och motiverade invändningen, särskilt frågan om huruvida det föreligger en
överträdelse av denna förordning.
4.5.2016
L 119/74
Europeiska unionens officiella tidning
SV
753
SOU 2017:66
Bilaga 2
b) Om det finns motstridiga åsikter om vilken av de berörda tillsynsmyndigheterna som är behörig för det huvudsakliga
verksamhetsstället.
c) Om en behörig tillsynsmyndighet inte begär ett yttrande från styrelsen i de fall som avses i artikel 64.1, eller inte
följer ett yttrande som styrelsen avger enligt artikel 64. I detta fall får varje berörd tillsynsmyndighet eller
kommissionen översända ärendet till styrelsen.
2.
Det beslut som avses i punkt 1 ska antas inom en månad efter det att sakfrågan hänskjutits med två tredjedels
majoritet av styrelsens ledamöter. Denna period får förlängas med ytterligare en månad med hänsyn till sakfrågans
komplexitet. Det beslut som avses i punkt 1 ska vara motiverat och riktat till den ansvariga tillsynsmyndigheten och alla
berörda tillsynsmyndigheter och ska vara bindande för dem.
3.
Om styrelsen inte har kunnat anta något beslut inom de perioder som avses i punkt 2 ska den anta sitt beslut
inom två veckor efter utgången av den andra månad som avses i punkt 2 med enkel majoritet av styrelsens ledamöter.
Om styrelsens ledamöter är delade i frågan ska beslutet antas i enlighet med ordförandens röst.
4.
De berörda tillsynsmyndigheterna ska inte anta något beslut om den sakfråga som ingivits till styrelsen i enlighet
med punkt 1 under de perioder som avses i punkterna 2 och 3.
5.
Styrelsens ordförande ska utan onödigt dröjsmål meddela de berörda tillsynsmyndigheterna det beslut som avses i
punkt 1. Kommissionen ska informeras om detta. Beslutet ska utan dröjsmål offentliggöras på styrelsens webbplats efter
att tillsynsmyndigheten har meddelat det slutliga beslut som avses i punkt 6.
6.
Den ansvariga tillsynsmyndigheten eller, allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet
har ingetts ska anta sitt slutliga beslut på grundval av det beslut som avses i punkt 1 i den här artikeln, utan onödigt
dröjsmål och senast en månad efter det att styrelsen har meddelat sitt beslut. Den ansvariga tillsynsmyndigheten eller,
allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta styrelsen om vilken
dag dess slutliga beslut meddelas till den personuppgiftsansvarige respektive personuppgiftsbiträdet och den registrerade.
De berörda tillsynsmyndigheternas slutliga beslut ska antas i enlighet med bestämmelserna i artikel 60.7, 60.8 och 60.9.
Det slutliga beslutet ska hänvisa till det beslut som avses i punkt 1 i den här artikeln och ska precisera att det beslut som
avses i punkt 1 kommer att offentliggöras på styrelsens webbplats i enlighet med punkt 5 i den här artikeln. Det beslut
som avses i punkt 1 i den här artikeln ska fogas till det slutliga beslutet.
Artikel 66
Skyndsamt förfarande
1.
Under exceptionella omständigheter får en berörd tillsynsmyndighet med avvikelse från den mekanism för
enhetlighet som avses i artiklarna 63, 64 och 65 eller det förfarande som avses i artikel 60 omedelbart vidta
provisoriska åtgärder avsedda att ha rättsverkan på det egna territoriet och med förutbestämd varaktighet som inte
överskrider tre månader, om den anser att det finns ett brådskande behov av att agera för att skydda registrerades
rättigheter och friheter. Tillsynsmyndigheten ska utan dröjsmål underrätta de andra berörda tillsynsmyndigheterna,
styrelsen och kommissionen om dessa åtgärder och om skälen till att de vidtas.
2.
Om en tillsynsmyndighet har vidtagit en åtgärd enligt punkt 1 och anser att definitiva åtgärder skyndsamt måste
antas, får den begära ett brådskande yttrande eller ett brådskande bindande beslut från styrelsen; den ska då motivera
varför den begär ett sådant yttrande eller beslut.
3.
Om en behörig tillsynsmyndighet inte har vidtagit någon lämplig åtgärd i en situation som kräver skyndsam
handling för att skydda registrerades rättigheter och friheter, får vilken tillsynsmyndighet som helst begära ett
brådskande yttrande eller, i tillämpliga fall, ett brådskande bindande beslut från styrelsen, varvid den ska motivera varför
den begär ett sådant yttrande eller beslut och varför åtgärden måste vidtas skyndsamt.
4.
Genom undantag från artiklarna 64.3 och 65.2 ska ett brådskande yttrande eller ett brådskande beslut enligt
punkterna 2 och 3 i den här artikeln antas inom två veckor med enkel majoritet av styrelsens ledamöter.
4.5.2016
L 119/75
Europeiska unionens officiella tidning
SV
754
SOU 2017:66
Bilaga 2
Artikel 67
Utbyte av information
Kommissionen får anta genomförandeakter med allmän räckvidd i syfte att närmare ange tillvägagångssätten för
elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och styrelsen, särskilt det
standardiserade format som avses i artikel 64.
Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.
Avsnitt 3
Europeiska dataskyddsstyrelsen
Artikel 68
Europeiska dataskyddsstyrelsen
1.
Europeiska dataskyddsstyrelsen (nedan kallad styrelsen) inrättas härmed som ett unionsorgan och ska ha ställning
som juridisk person.
2.
Styrelsen ska företrädas av sin ordförande.
3.
Styrelsen ska bestå av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller
deras respektive företrädare.
4.
Om en medlemsstat har mer än en tillsynsmyndighet som ansvarar för att övervaka tillämpningen av
bestämmelserna i denna förordning ska en gemensam företrädare utses i enlighet med den medlemsstatens nationella
rätt.
5.
Kommissionen ska ha rätt att delta i styrelsens verksamhet och möten utan rösträtt. Kommissionen ska utse en
egen företrädare. Styrelsens ordförande ska underrätta kommissionen om styrelsens verksamhet.
6.
I de fall som avses i artikel 65 ska Europeiska datatillsynsmannen endast ha rösträtt i fråga om beslut som rör
principer och regler som är tillämpliga på unionens institutioner, organ och byråer, och som i allt väsentligt motsvarar
dem i denna förordning.
Artikel 69
Oberoende
1.
Styrelsen ska vara oberoende när den fullgör sina uppgifter eller utövar sina befogenheter i enlighet med
artiklarna 70 och 71.
2.
Utan att detta påverkar kommissionens rätt att lämna en begäran enligt artikel 70.1 b och 70.2 ska styrelsen när
den fullgör sina uppgifter eller utövar sina befogenheter varken begära eller ta emot instruktioner av någon.
Artikel 70
Styrelsens uppgifter
1.
Styrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska styrelsen, på eget initiativ eller i
förekommande fall på begäran av kommissionen, i synnerhet
a) övervaka och säkerställa korrekt tillämpning av denna förordning i de fall som avses i artiklarna 64 och 65 utan att
det påverkar de nationella tillsynsmyndigheternas uppgifter,
4.5.2016
L 119/76
Europeiska unionens officiella tidning
SV
755
SOU 2017:66
Bilaga 2
b) ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive om eventuella
förslag till ändring av denna förordning,
c) ge kommissionen råd om format och förfaranden för informationsutbyte mellan personuppgiftsansvariga,
personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser,
d) utfärda riktlinjer, rekommendationer och bästa praxis beträffande förfaranden för att radera länkar, kopior eller
reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt artikel 17.2,
e) på eget initiativ eller på begäran av en av sina ledamöter eller av kommissionen behandla frågor om tillämpningen
av denna förordning och utfärda riktlinjer, rekommendationer och bästa praxis i syfte att främja en enhetlig
tillämpning av denna förordning,
f) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange
kriterierna och villkoren för profileringsbaserade beslut enligt artikel 22.2,
g) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att konstatera sådana
personuppgiftsincidenter och fastställa sådant onödigt dröjsmål som avses i artikel 33.1 och 33.2 och för de
särskilda omständigheter under vilka en personuppgiftsansvarig eller ett personuppgiftsbiträde är skyldig att anmäla
personuppgiftsincidenten,
h) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt angående de
omständigheter under vilka en personuppgiftsincident sannolikt kommer att leda till hög risk för rättigheterna och
friheterna för de fysiska personer som avses i artikel 34.1,
i) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange
kriterierna och kraven för överföringar av personuppgifter på grundval av bindande företagsbestämmelser som
personuppgiftsansvariga eller personuppgiftsbiträden följer samt ytterligare nödvändiga krav för att säkerställa
skyddet för personuppgifter för berörda registrerade enligt artikel 47,
j) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange
kriterierna och villkoren för överföring av personuppgifter på grundval av artikel 49.1,
k) utforma riktlinjer för tillsynsmyndigheterna i fråga om tillämpningen av de åtgärder som avses i artikel 58.1, 58.2
och 58.3 och fastställandet av administrativa sanktionsavgifter i enlighet med artikel 83,
l) se över den praktiska tillämpningen av de riktlinjer och rekommendationer samt den bästa praxis som avses i
leden e och f,
m) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att fastställa
gemensamma förfaranden för fysiska personers rapportering av överträdelser av denna förordning enligt artikel 54.2,
n) främja utarbetandet av uppförandekoder och införandet av certifieringsmekanismer för dataskydd och sigill och
märkningar för dataskydd i enlighet med artiklarna 40 och 42,
o) ackreditera certifieringsorgan och utföra sin periodiska översyn i enlighet med artikel 43 och föra ett offentligt
register över ackrediterade organ i enlighet med artikel 43.6 och över de ackrediterade personuppgiftsansvariga eller
personuppgiftsbiträdena som är etablerade i tredjeländer i enlighet med artikel 42.7,
p) närmare ange de krav som avses i artikel 43.3 i syfte att ackreditera certifieringsorgan enligt artikel 42,
q) avge ett yttrande till kommissionen om de certifieringskrav som avses i artikel 43.8,
r) avge ett yttrande till kommissionen om de symboler som avses i artikel 12.7,
s) avge ett yttrande till kommissionen för bedömningen av adekvat skyddsnivå i ett tredjeland eller en internationell
organisation, inklusive för bedömningen av huruvida ett tredjeland, ett territorium eller en eller flera specificerade
sektorer inom det tredjelandet, eller en internationell organisation inte längre säkerställer en adekvat skyddsnivå; i
detta syfte ska kommissionen lämna all nödvändig dokumentation till styrelsen, inklusive korrespondens med
regeringen i tredjelandet, med avseende på tredjelandet, territoriet eller den specificerade sektorn, eller till
databehandlingssektorn i tredjelandet eller den internationella organisationen,
4.5.2016
L 119/77
Europeiska unionens officiella tidning
SV
756
SOU 2017:66
Bilaga 2
t) avge yttranden om utkast till beslut som läggs fram av tillsynsmyndigheter inom den mekanism för enhetlighet som
avses i artikel 64.1, i ärenden som ingivits i enlighet med artikel 64.2 och anta bindande beslut i enlighet med
artikel 65, inbegripet de fall som avses i artikel 66,
u) främja samarbete och effektivt bilateralt och multilateralt utbyte av bästa praxis och information mellan tillsynsmyn
digheterna,
v) främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna och där så är
lämpligt även med tillsynsmyndigheter i tredjeländer eller internationella organisationer,
w) främja utbyte av kunskap och dokumentation om lagstiftning om och praxis för dataskydd med tillsynsmyndigheter
för dataskydd i hela världen.
x) avge yttranden över de uppförandekoder som utarbetas på unionsnivå i enlighet med artikel 40.9, och
y) föra ett offentligt elektroniskt register över tillsynsmyndigheters beslut och domstolars avgöranden i frågor som
hanteras inom mekanismen för enhetlighet.
2.
När kommissionen begär rådgivning från styrelsen får den ange en tidsfrist med hänsyn till hur brådskande ärendet
är.
3.
Styrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och bästa praxis till kommissionen och
till den kommitté som avses i artikel 93, samt offentliggöra dem.
4.
När så är lämpligt ska styrelsen samråda med berörda parter och ge dem möjlighet att yttra sig inom rimlig tid.
styrelsen ska, utan att det påverkar tillämpningen av artikel 76, offentliggöra resultatet av samrådsförfarandet.
Artikel 71
Rapporter
1.
Styrelsen ska sammanställa en årsrapport om skydd av fysiska personer vid behandling inom unionen och, i
förekommande fall, i tredjeländer och internationella organisationer. Rapporten ska offentliggöras och översändas till
Europaparlamentet, rådet och kommissionen.
2.
Årsrapporten ska också innehålla en översikt över den praktiska tillämpningen av de riktlinjer och rekommen
dationer och den bästa praxis som avses i artikel 70.1 l liksom de bindande beslut som avses i artikel 65.
Artikel 72
Förfarande
1.
Styrelsen ska fatta beslut med enkel majoritet av dess ledamöter, om inte annat anges i denna förordning.
2.
Styrelsen ska själv anta sin arbetsordning med två tredjedels majoritet av sina ledamöter och fastställa sina
arbetsformer.
Artikel 73
Ordförande
1.
Styrelsen ska med enkel majoritet välja en ordförande och två vice ordförande bland sina ledamöter.
2.
Ordförandens och de vice ordförandenas mandattid ska vara fem år och kunna förnyas en gång.
4.5.2016
L 119/78
Europeiska unionens officiella tidning
SV
757
SOU 2017:66
Bilaga 2
Artikel 74
Ordförandens uppgifter
1.
Ordföranden ska ha i uppgift att
a) sammankalla till styrelsens möten och planera dagordningen,
b) meddela beslut som antas av styrelsen i enlighet med artikel 65 till den ansvariga tillsynsmyndigheten och de berörda
tillsynsmyndigheterna,
c) se till att styrelsens uppgifter fullgörs i tid, särskilt i fråga om den mekanism för enhetlighet som avses i artikel 63.
2.
Fördelningen av uppgifter mellan ordföranden och de vice ordförandena ska fastställas i styrelsens arbetsordning.
Artikel 75
Sekretariatet
1.
Styrelsen ska förfoga över ett sekretariat som ska tillhandahållas av Europeiska datatillsynsmannen.
2.
Sekretariatet ska utföra sina uppgifter enbart under ledning av ordföranden för styrelsen.
3.
Den personal vid Europeiska datatillsynsmannen som utför de uppgifter som styrelsen tilldelas genom denna
förordning ska följa separata rapporteringsvägar från den personal som utför de uppgifter som Europeiska datatill
synsmannen tilldelas.
4.
När så är lämpligt ska styrelsen och Europeiska datatillsynsmannen fastställa och offentliggöra ett samförståndsavtal
för genomförande av denna artikel, som fastställer villkoren för deras samarbete, och som ska tillämpas på den personal
vid Europeiska datatillsynsmannen som utför de uppgifter som styrelsen tilldelas genom denna förordning.
5.
Sekretariatet ska förse styrelsen med analysstöd samt administrativt och logistiskt stöd.
6.
Sekretariatet ska särskilt ansvara för
a) styrelsens löpande arbete,
b) kommunikationen mellan styrelsens ledamöter, dess ordförande och kommissionen,
c) kommunikationen med andra institutioner och med allmänheten,
d) användningen av elektroniska medel för intern och extern kommunikation,
e) översättning av relevant information,
f) förberedelser och uppföljning av styrelsens möten,
g) förberedelse, sammanställning och offentliggörande av yttranden, beslut om lösning av tvister mellan tillsynsmyn
digheter och andra texter som antas av styrelsen.
Artikel 76
Konfidentialitet
1.
Styrelsens överläggningar ska vara konfidentiella i de fall som styrelsen bedömer detta vara nödvändigt, i enlighet
med vad som anges i dess arbetsordning.
4.5.2016
L 119/79
Europeiska unionens officiella tidning
SV
758
SOU 2017:66
Bilaga 2
2.
Tillgången till handlingar som skickas till styrelsens ledamöter, till experter eller till företrädare för tredje part ska
regleras av Europaparlamentets och rådets förordning (EG) nr 1049/2001 (1).
KAPITEL VIII
Rättsmedel, ansvar och sanktioner
Artikel 77
Rätt att lämna in klagomål till en tillsynsmyndighet
1.
Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som
anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna
in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats
eller där det påstådda intrånget begicks.
2.
Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med
klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.
Artikel 78
Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut
1.
Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol
ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som
meddelats av en tillsynsmyndighet.
2.
Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol,
ska varje registrerad person ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med
artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur
det fortskrider med det klagomål som ingetts med stöd av artikel 77 eller vilket beslut som har fattats med anledning av
det.
3.
Talan mot en tillsynsmyndighet ska väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt
säte.
4.
Om talan väcks mot ett beslut som fattats av en tillsynsmyndighet och som föregicks av ett yttrande från eller
beslut av styrelsen inom ramen för mekanismen för enhetlighet ska tillsynsmyndigheten vidarebefordra detta yttrande
eller beslut till domstolen.
Artikel 79
Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde
1.
Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol,
inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som
anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes
personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.
2.
Talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat
där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. Alternativt får sådan talan väckas vid
domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller
personuppgiftsbiträdet är en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.
4.5.2016
L 119/80
Europeiska unionens officiella tidning
SV
(1) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets,
rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).
759
SOU 2017:66
Bilaga 2
Artikel 80
Företrädande av registrerade
1.
Den registrerade ska ha rätt att ge ett organ, en organisation eller sammanslutning utan vinstsyfte, som har
inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är
verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter,
i uppdrag att lämna in ett klagomål för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 77, 78
och 79 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i
artikel 82 om så föreskrivs i medlemsstatens nationella rätt.
2.
Medlemsstaterna får föreskriva att ett organ, en organisation eller en sammanslutning enligt punkt 1 i den här
artikeln, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet
som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen
eller sammanslutningen anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av
behandlingen.
Artikel 81
Vilandeförklaring av förfaranden
1.
Om en behörig domstol i en medlemsstat har information om att förfaranden som rör samma sakfråga vad gäller
behandling av samma personuppgiftsansvarige eller personuppgiftsbiträde pågår i en domstol i en annan medlemsstat
ska den kontakta denna domstol i den andra medlemsstaten för att bekräfta förekomsten av sådana förfaranden.
2.
Om förfaranden som rör samma sakfråga vad gäller behandling av samma personuppgiftsansvarige eller
personuppgiftsbiträde pågår i en domstol i en annan medlemstat får alla andra behöriga domstolar än den där
förfarandena först inleddes vilandeförklara förfarandena.
3.
Om dessa förfaranden prövas i första instans får varje domstol, utom den vid vilken förfarandena först inleddes,
också förklara sig obehörig på begäran av en av parterna, om den domstol vid vilken förfarandena först inleddes är
behörig att pröva de berörda förfarandena och dess lagstiftning tillåter förening av dessa.
Artikel 82
Ansvar och rätt till ersättning
1.
Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha
rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.
2.
Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling
som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av
behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till
personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.
3.
Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den
inte på något sätt är ansvarig för den händelse som orsakade skadan.
4.
Om mer än en personuppgiftsansvarig eller ett personuppgiftsbiträde, eller både en personuppgiftsansvarig och ett
personuppgiftsbiträde, har medverkat vid samma behandling, och om de enligt punkterna 2 och 3 är ansvariga för
eventuell skada som behandlingen orsakat ska varje personuppgiftsansvarig eller personuppgiftsbiträde hållas ansvarig
för hela skadan för att säkerställa att den registrerade får effektiv ersättning.
5.
Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, i enlighet med punkt 4, har betalat full ersättning
för den skada som orsakats ska den personuppgiftsansvarige eller personuppgiftsbiträdet ha rätt att från de andra
personuppgiftsansvariga eller personuppgiftsbiträdena som medverkat vid samma behandling återkräva den del av
ersättningen som motsvarar deras del av ansvaret för skadan i enlighet med de villkor som fastställs i punkt 2.
4.5.2016
L 119/81
Europeiska unionens officiella tidning
SV
760
SOU 2017:66
Bilaga 2
6.
Domstolsförfaranden för utövande av rätten till ersättning ska tas upp vid de domstolar som är behöriga enligt den
nationella rätten i den medlemsstat som avses i artikel 79.2.
Artikel 83
Allmänna villkor för påförande av administrativa sanktionsavgifter
1.
Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna
artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt,
proportionellt och avskräckande.
2.
Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i
stället för de åtgärder som avses i artikel 58.2 a–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska
påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till
följande:
a) Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens
karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.
b) Om överträdelsen skett med uppsåt eller genom oaktsamhet.
c) De åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att lindra den skada som
de registrerade har lidit.
d) Graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet med beaktande av de tekniska och
organisatoriska åtgärder som genomförts av dem i enlighet med artiklarna 25 och 32.
e) Eventuella relevanta tidigare överträdelser som den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sig
skyldig till.
f) Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella
negativa effekter.
g) De kategorier av personuppgifter som påverkas av överträdelsen.
h) Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, särskilt huruvida och i vilken omfattning
den personuppgiftsansvarige eller personuppgiftsbiträdet anmälde överträdelsen.
i) När åtgärder enligt artikel 58.2 tidigare har förordnats mot den berörda personuppgiftsansvarige eller personuppgifts
biträdet vad gäller samma sakfråga, efterlevnad av dessa åtgärder.
j) Tillämpandet av godkända uppförandekoder i enlighet med artikel 40 eller godkända certifieringsmekanismer i
enlighet med artikel 42.
k) Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom
ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.
3.
Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller
sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna
förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den
allvarligaste överträdelsen.
4.
Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter
på upp till 10 000 000 EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under
föregående budgetår, beroende på vilket värde som är högst:
a) Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt artiklarna 8, 11, 25–39, 42 och 43.
b) Certifieringsorganets skyldigheter enligt artiklarna 42 och 43.
c) Övervakningsorganets skyldigheter enligt artikel 41.4.
4.5.2016
L 119/82
Europeiska unionens officiella tidning
SV
761
SOU 2017:66
Bilaga 2
5.
Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter
på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under
föregående budgetår, beroende på vilket värde som är högst:
a) De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9.
b) Registrerades rättigheter enligt artiklarna 12–22.
c) Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation enligt
artiklarna 44–49.
d) Alla skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX.
e) Underlåtenhet att rätta sig efter ett föreläggande eller en tillfällig eller permanent begränsning av behandling av
uppgifter eller ett beslut om att avbryta uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med
artikel 58.2 eller underlåtelse att ge tillgång till uppgifter i strid med artikel 58.1.
6.
Vid underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyndigheten i enlighet med artikel 58.2 ska det i
enlighet med punkt 2 i den här artikeln påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om
det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på
vilket värde som är högst:
7.
Utan att det påverkar tillsynsmyndigheternas korrigerande befogenheter enligt artikel 58.2 får varje medlemsstat
fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga
myndigheter och organ som är inrättade i medlemsstaten.
8.
Tillsynsmyndighetens utövande av sina befogenheter enligt denna artikel ska omfattas av lämpliga rättssäkerhets
garantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och
rättssäkerhet.
9.
Om det i medlemsstatens rättssystem inte finns några föreskrifter om administrativa sanktionsavgifter får den här
artikeln tillämpas så att förfarandet inleds av den behöriga tillsynsmyndigheten och sanktionsavgifterna sedan utdöms av
behörig nationell domstol, varvid det säkerställs att rättsmedlen är effektiva och har motsvarande verkan som de
administrativa sanktionsavgifter som påförs av tillsynsmyndigheter. De sanktionsavgifter som påförs ska i alla händelser
vara effektiva, proportionella och avskräckande. Dessa medlemsstater ska till kommissionen anmäla de bestämmelser i
deras lagstiftning som de antar i enlighet med denna punkt senast den 25 maj 2018, samt utan dröjsmål anmäla
eventuell senare ändringslagstiftning eller ändringar som berör dem.
Artikel 84
Sanktioner
1.
Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för
överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga
åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.
2.
Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med
punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.
KAPITEL IX
Bestämmelser om särskilda behandlingssituationer
Artikel 85
Behandling och yttrande- och informationsfriheten
1.
Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och
informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller
litterärt skapande.
4.5.2016
L 119/83
Europeiska unionens officiella tidning
SV
762
SOU 2017:66
Bilaga 2
2.
Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller
litterärt skapande, fastställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter),
kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer
eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet)
och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till
integritet med yttrande- och informationsfriheten.
3.
Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antagit i enlighet med
punkt 2, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.
Artikel 86
Behandling och allmänhetens tillgång till allmänna handlingar
Personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för
utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt
eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman
allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna
förordning.
Artikel 87
Behandling av nationella identifikationsnummer
Medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat
vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för
identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter
och friheter enligt denna förordning.
Artikel 88
Behandling i anställningsförhållanden
1.
Medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter
och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering,
genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning,
planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt
skydd av arbetsgivarens eller kundens egendom men också när det gäller att såväl kollektivt som individuellt utöva och
komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsför
hållandet.
2.
Dessa regler ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet,
berättigade intressen och grundläggande rättigheter, varvid hänsyn särskilt ska tas till insyn i behandlingen, överföring av
personuppgifter inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet samt
övervakningssystem på arbetsplatsen.
3.
Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med
punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.
Artikel 89
Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga
eller historiska forskningsändamål eller statistiska ändamål
1.
Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska
ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och
friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt
4.5.2016
L 119/84
Europeiska unionens officiella tidning
SV
763
SOU 2017:66
Bilaga 2
principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa
ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte
medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.
2.
Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det
i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från de rättigheter som avses i artiklarna 15,
16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning
som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen,
och sådana undantag krävs för att uppnå dessa ändamål.
3.
Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten eller i medlemsstaternas
nationella rätt föreskrivas om undantag från de rättigheter som avses i artiklarna 15, 16, 18, 19, 20 och 21 med
förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning som sådana
rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana
undantag krävs för att uppnå dessa ändamål.
4.
Om behandling enligt punkterna 2 och 3 samtidigt har andra ändamål, ska undantagen endast tillämpas på
behandling för de ändamål som avses i dessa punkter.
Artikel 90
Tystnadsplikt
1.
Medlemsstaterna får anta särskilda bestämmelser för att fastställa tillsynsmyndigheternas befogenheter enligt
artikel 58.1 e och f gentemot personuppgiftsansvariga eller personuppgiftsbiträden som enligt unionsrätten eller
medlemsstaternas nationella rätt eller bestämmelser som fastställts av behöriga nationella organ omfattas av tystnadsplikt
eller andra motsvarande former av förbud mot att lämna ut uppgifter, om det är nödvändigt och står i proportion till
vad som behövs för att förena rätten till skydd för personuppgifter och tystnadsplikten. Dessa bestämmelser ska endast
tillämpas med avseende på personuppgifter som den personuppgiftsansvarige eller personuppgiftsbiträdet har erhållit
i samband med en verksamhet som omfattas av denna tystnadsplikt.
2.
Varje medlemsstat ska till kommissionen anmäla de bestämmelser den har antagit i enlighet med punkt 1 senast
den 25 maj 2018, samt utan dröjsmål anmäla eventuella ändringar som berör dem.
Artikel 91
Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund
1.
Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av denna
förordning tillämpar övergripande bestämmelser om skyddet av fysiska personer i samband med behandling, får sådana
befintliga bestämmelser fortsätta att tillämpas under förutsättning att de görs förenliga med denna förordning.
2.
Kyrkor och religiösa samfund som tillämpar övergripande bestämmelser i enlighet med punkt 1 i denna artikel ska
vara föremål för kontroll av en oberoende tillsynsmyndighet som kan vara specifik, förutsatt att den uppfyller de villkor
som fastställs i kapitel VI i denna förordning.
KAPITEL X
Delegerade akter och genomförandeakter
Artikel 92
Utövande av delegeringen
1.
Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna
artikel.
4.5.2016
L 119/85
Europeiska unionens officiella tidning
SV
764
SOU 2017:66
Bilaga 2
2.
Den befogenhet att anta delegerade akter som avses i artikel 12.8 och artikel 43.8 ska ges till kommissionen tills
vidare från och med den 24 maj 2016.
3.
Den delegering av befogenhet som avses i artikel 12.8 och artikel 43.8 får när som helst återkallas av Europapar
lamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör
att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i
beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.
4.
Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.
5.
En delegerad akt som antas enligt artikel 12.8 och artikel 43.8 ska träda i kraft endast om varken Europapar
lamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av tre månader från den dag då
akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden,
har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på
Europaparlamentets eller rådets initiativ.
Artikel 93
Kommittéförfarande
1.
Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i
förordning (EU) nr 182/2011.
2.
När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.
3.
När det hänvisas till denna punkt ska artikel 8 i förordning (EU) nr 182/2011, jämförd med artikel 5 i samma
förordning, tillämpas.
KAPITEL XI
Slutbestämmelser
Artikel 94
Upphävande av direktiv 95/46/EG
1.
Direktiv 95/46/EG ska upphöra att gälla med verkan från och med den 25 maj 2018.
2.
Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till
arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom
artikel 29 i direktiv 95/46/EG, ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom
denna förordning.
Artikel 95
Förhållande till direktiv 2002/58/EG
Denna förordning ska inte innebära några ytterligare förpliktelser för fysiska eller juridiska personer som behandlar
personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i
allmänna kommunikationsnät i unionen, när det gäller områden inom vilka de redan omfattas av särskilda skyldigheter
för samma ändamål i enlighet med direktiv 2002/58/EG.
4.5.2016
L 119/86
Europeiska unionens officiella tidning
SV
765
SOU 2017:66
Bilaga 2
Artikel 96
Förhållande till tidigare ingångna avtal
De internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som
ingicks av medlemsstaterna före den 24 maj 2016 och som är förenliga med unionsrätten i dess lydelse innan detta
datum, ska fortsätta att gälla tills de ändras, ersätts eller återkallas.
Artikel 97
Kommissionsrapporter
1.
Senast den 25 maj 2020 och därefter vart fjärde år ska kommissionen överlämna en rapport om tillämpningen
och översynen av denna förordning till Europaparlamentet och rådet.
2.
Inom ramen för de utvärderingar och översyner som avses i punkt 1 ska kommissionen särskilt undersöka hur
följande bestämmelser tillämpas och fungerar:
a) Kapitel V om överföring av personuppgifter till tredjeländer och internationella organisationer, särskilt när det gäller
beslut som antagits enligt artikel 45.3 i den här förordningen och beslut som antagits på grundval av artikel 25.6 i
direktiv 95/46/EG.
b) Kapitel VII om samarbete och enhetlighet.
3.
Med avseende på tillämpningen av punkt 1 får kommissionen begära information från medlemsstaterna och till
synsmyndigheterna.
4.
Kommissionen ska när den utför de utvärderingar och översyner som avses i punkterna 1 och 2 ta hänsyn till
ståndpunkter och slutsatser från Europaparlamentet, rådet och andra relevanta organ och källor.
5.
Kommissionen ska om nödvändigt överlämna lämpliga förslag om ändring av denna förordning, med särskild
hänsyn till informationsteknikens utveckling och mot bakgrund av tendenserna inom informationssamhället.
Artikel 98
Översyn av andra unionsrättsakter om dataskydd
Kommissionen ska, om så är lämpligt, lägga fram lagstiftningsförslag i syfte att ändra andra unionsrättsakter om skydd
av personuppgifter, för att säkerställa ett enhetligt och konsekvent skydd för fysiska personer med avseende på
behandling. Detta gäller i synnerhet bestämmelserna om skyddet för fysiska personer i samband med behandling som
utförs av unionens institutioner, organ och byråer samt om det fria flödet av sådana uppgifter.
Artikel 99
Ikraftträdande och tillämpning
1.
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens
officiella tidning.
2.
Den ska tillämpas från och med den 25 maj 2018.
4.5.2016
L 119/87
Europeiska unionens officiella tidning
SV
766
SOU 2017:66
Bilaga 2
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 27 april 2016.
På Europaparlamentets vägnar
M. SCHULZ
Ordförande
På rådets vägnar
J.A. HENNIS-PLASSCHAERT
Ordförande
4.5.2016
L 119/88
Europeiska unionens officiella tidning
SV