SOU 2018:36
Rätt att forska - Långsiktig reglering av forskningsdatabaser
Till statsrådet Helene Hellmark Knutsson
Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utredare med uppdrag att bl.a. föreslå kompletterande reglering av behandling av personuppgifter för forskningsändamål med anledning av EU:s nya dataskyddsförordning (dir. 2016:65).
Som särskild utredare förordnades den 7 juli 2016 professor Cecilia Magnusson Sjöberg. Sist i detta missiv finns en förteckning över utredningens sekreterare, experter och sakkunniga.
Regeringen har beslutat tre tilläggsdirektiv till utredningen (dir. 2017:29, 2017:61 och 2017:87) med ytterligare uppdrag. Utredningstiden för uppdraget har förlängts till den 25 maj 2018.
Utredningen har antagit namnet Forskningsdatautredningen. Utredningen redovisade delar av sitt uppdrag i delbetänkandet
Personuppgiftsbehandling för forskningsändamål (SOU 2017:50) till
regeringen i maj 2017. De uppdrag som lämnades i tilläggsdirektiv 2017:29 och 2017:87 redovisades separat den 9 november 2017 i promemorian Personuppgiftsbehandling i forskningsbibliotekens verk-
samhet (Komm2017/01529/U 2016:04, bilaga 5).
Utredningen överlämnar nu slutbetänkandet Rätt att forska –
Långsiktig reglering av forskningsdatabaser (SOU 2018:36). Utred-
ningens uppdrag är härmed slutfört.
Stockholm i juni 2018
Cecilia Magnusson Sjöberg
/Maria Jacobsson Staffan Malmgren Margareta Sandén Magnus Stenbeck
Utredningens experter, sakkunniga och sekreterare
Experter
Johan Askling, professor 2016-10-10 Anna Bennet Bark, enhetschef 2016-10-10 Robert Erikson, professor 2016-10-15 Ulrika Harnesk, jurist 2016-10-10 Peter Höglund, professor 2016-10-10 Anna Hörnlund, chefsjurist 2016-10-10 Jonas Jeppson, verksjurist 2016-10-10 Petra Otterblad, avdelningschef 2016-10-10 Jerker Rydén, verksjurist 2017-05-15 Maria Wästfelt, enhetschef 2017-03-01
Sakkunniga
Thomas Neidenmark, departementssekreterare
2017-03-23
Linda Stridsberg, ämnesråd 2017-08-01 Olle Sundberg, kansliråd 2016-10-10 Maria Wästfelt, kansliråd 2016-10-10 – 2017-02-28 Tyri Öhman, kansliråd 2016-10-10
Sekreterare
Cecilia Arrgård, numera chefsjurist
2017-09-01 – 2018-04-30
Tommy Fraenkel, kammarrättsassessor
2017-06-03 – 2017-08-08
Staffan Malmgren, jurist 2016-09-01 Maria Jacobsson, jurist (huvudsekreterare)
2017-08-01
Margareta Sandén, hovrättsassessor
2017-08-17
Magnus Stenbeck, docent 2016-09-26 Linda Stridsberg, numera ämnesråd (huvudsekreterare)
2016-09-01 – 2017-07-31
Sammanfattning
Inledning
För att vårt samhälle ska utvecklas och för att vi ska kunna lösa olika problem behöver vi forskning. Vi behöver forskare och forskningshuvudmän inom olika ämnesområden som tar fram resultat som går att använda till vårt gemensamma bästa.
Sverige har en världsledande ställning vad gäller statistik om levnadsförhållanden och hälsa. På grund av våra individbaserade register finns det goda möjligheter till framgångsrik forskning baserad på dessa. Detta gör vårt land attraktivt även för forskare i andra länder. För att fullt ut kunna dra nytta av våra unika förutsättningar behövs ett mer effektivt utnyttjande av befintliga register och databaser.
Regeringen har i våra direktiv1 anfört att det behövs bättre förutsättningar för registerbaserad forskning och givit oss i uppdrag att föreslå en långsiktig reglering av forskningsdatabaser.
Utöver detta uppdrag har vi i denna del av utredningens arbete också haft i uppdrag att analysera
- om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister,
- vilken rättslig reglering av ett nationellt biobanksregister som behövs,
- vilken rättslig reglering som behövs för att Statistiska centralbyrån
(SCB) ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden till Luxembourg Income Study (LIS),
- om det behövs ett förstärkt skydd för uppgifter om avlidna i forensisk forskning, och
1 Kommittédirektiv Personuppgiftsbehandling för forskningsändamål, dir. 2016:65.
- vilka rättsliga förutsättningar som finns i EU:s dataskyddsförordning2 för behandling av personuppgifter hos Kungliga biblioteket och andra forskningsbibliotek.
Det sistnämnda uppdraget redovisade vi i en promemoria till Utbildningsdepartementet hösten 2017 (bilaga 5).
Vårt delbetänkande
I delbetänkandet Personuppgiftsbehandling för forskningsändamål
3
analyserade vi vilken reglering av behandling av personuppgifter för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen ska börja tillämpas den 25 maj 2018.
Vi identifierade i samband med det arbetet ett behov av att införa en forskningsdatalag med syfte att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. I delbetänkandet föreslog vi därför en forskningsdatalag som skulle vara tillämplig för all personuppgiftsbehandling för forskningsändamål oavsett rättslig grund.
Vi kom även till slutsatsen att prövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) utgör en sådan lämplig och särskild skyddsåtgärd som krävs för att personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. ska vara tillåten.
Vi konstaterade vidare att det finns anledning att närmare utreda behovet av förändringar i etikprövningsförfarandet. Den fullständiga etikprövningen bör enligt vår mening begränsas till de personuppgiftsbehandlingar som formellt sett kräver ett dylikt omfattande skydd. Dagens krav på etikprövning omfattar även sådan personuppgiftsbehandling som generellt sett kan betraktas som mindre riskfylld för den enskilde, men som ändå är i behov av lämplig skyddsåtgärd. Att tillämpa samma etikprövningsförfarande på all slags personuppgiftsbehandling som etikprövningslagen omfattar är mot
2 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. 3 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017: 50).
denna bakgrund inte rimligt och proportionerligt. Om förfarandet inte kan anpassas utifrån skyddsbehovet, riskerar det dessutom att urholka förtroendet för etikprövning som skyddsåtgärd. Mot bakgrund av begränsningarna i vårt uppdrag och våra ramar i övrigt föreslog vi att ett differentierat etikprövningsförfarande borde utredas vidare i särskild form.
Vår ansats
En forskningsdatabas är en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt.
Den tid under vilken en forskningsdatabas finns i en forskningshuvudmans verksamhet – databasens livscykel – kan delas in i olika stadier. Vissa aktiviteter i forskningsdatabasen pågår löpande, medan andra är starkare knutna till en viss period. Livscykelperspektivet kan användas till att analysera vilka aktiviteter som behöver regleras för att åstadkomma en säker behandling av personuppgifter i databasen. Vi beskriver forskningsdatabasens livscykel i följande fem steg.
1. Skapandet av en forskningsdatabas.
2. Insamlingen av personuppgifter.
3. Förvaltningen av forskningsdatabasen.
4. Användningen av forskningsdatabasen.
5. Avvecklingen av en forskningsdatabas.
En reglering som bara omfattar ett fåtal centralt utpekade forskningsfält och ett mindre antal forskningshuvudmän skulle enligt vår bedömning inte vara tillräcklig för att tillgodose en säker hantering av personuppgifter i forskningsdatabaser. Vi föreslår därför en generell reglering som omfattar så många databaser som möjligt. I praktiken existerar dessutom redan en hel mängd olika sorters forskningsdatabaser hos flera olika typer av forskningshuvudmän.
Vi finner att principen om forskningens frihet innebär att initiativet till att skapa en forskningsdatabas bör komma från forsknings-
huvudmännen och inte från regeringen. Vi menar att det är i forskningsverksamheten som behoven av uppgiftssamlingar bäst kan identifieras och formuleras. Vårt förslag till en långsiktig reglering utgår således ifrån att det är forskningshuvudmännen som ska bedöma vilka forskningsdatabaser som behövs.
I enlighet med vårt uppdrag ska den reglering vi föreslår – utöver att uppfylla forskningens behov – också infatta ett gott skydd för den personliga integriteten. Vi menar att det föreligger ett gott integritetsskydd när denna rättighet står i balans med andra grundläggande rättigheter och legitima samhällsintressen. Vi föreslår därför en reglering som möjliggör en ändamålsenlig och säker behandling av personuppgifter i forskningsdatabaser. Regleringen uppfyller både forskningens behov och innefattar ett gott skydd för den personliga integriteten.
En långsiktig reglering av forskningsdatabaser
Vi föreslår att behandlingen av personuppgifter i en forskningsdatabas ska regleras i en särskild lag, lagen om forskningsdatabaser (forskningsdatabaslagen). Lagen reglerar bl.a. vilka forskningshuvudmän som ska få ansvara för forskningsdatabaser och vilka skyddsåtgärder som krävs för att en forskningsdatabas ska vara rättsenlig.
Såväl de statliga högskolorna och universiteten som de privata lärosätena som omfattas av offentlighetsprincipen samt har examensrätt, ska enligt vårt förslag få behandla personuppgifter i forskningsdatabaser. Även andra myndigheter än sådana som bedriver undervisning ska få ansvara för forskningsdatabaser, om forskning ingår i deras uppdrag. Det ska gälla både statliga och kommunala myndigheter.
En grundläggande skyddsåtgärd som vi föreslår är att en forskningsdatabas måste godkännas enligt etikprövningslagen. Vid etikprövningen ska t.ex. forskningsdatabasens vetenskapliga värde vägas mot de risker den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet. Dessutom föreslår vi att all forskning som ska använda uppgifter i en forskningsdatabas ska vara etikgodkänd. Vi föreslår ändringar i etikprövningslagen som möjliggör dessa skyddsåtgärder.
En annan viktig skyddsåtgärd som vi föreslår är en ny bestämmelse om forskningssekretess i offentlighets- och sekretesslagen (2009:400) och en motsvarande bestämmelse om tystnadsplikt hos privata forskningshuvudmän i forskningsdatabaslagen. Uppgifterna i en forskningsdatabas liksom i de forskningsprojekt som använder dessa uppgifter kommer därför att omfattas av antingen forskningssekretess eller tystnadsplikt.
Dessutom ställer forskningsdatabaslagen krav på organisatoriska skyddsåtgärder. Sådana krav följer också direkt av dataskyddsförordningen. Vi specificerar dessa ytterligare genom att kräva att forskningshuvudmannen ska ha en verksamhetschef som ska ha det verkställande ansvaret för en forskningsdatabas. Det ska därtill finnas en organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen. Vidare ska verksamheten hos forskningshuvudmannen omfattas av ett riskbaserat informationssäkerhetsarbete.
I forskningsdatabaslagen finns det krav på tekniska skyddsåtgärder. Forskningshuvudmannen ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter i en forskningsdatabas. Forskningshuvudmannen ska även kontrollera att åtkomsten används på rätt sätt.
Behandlingen av personuppgifter i en forskningsdatabas kommer på samma sätt som annan personuppgiftsbehandling att omfattas av Datainspektionens4 tillsyn. Utöver att en forskningsdatabas kommer att vara föremål för tillsyn, föreslår vi att Vetenskapsrådet ska få i uppgift att följa upp forskningsdatabaser som skapas med stöd av den nya lagen. Vi anser att regeringen måste hållas informerad om vilken effekt lagen får för hantering av personuppgifter i forskningsdatabaser. Därtill föreslår vi att Vetenskapsrådet ska få i uppgift att initiera och stödja arbetet med att upprätta en uppförandekod för behandling av personuppgifter i forskningsdatabaser.
Ytterligare en viktig skyddsåtgärd som vi föreslår är att ge forskningspersonerna möjlighet till insyn i hur de egna uppgifterna hanteras i forskningsdatabasen. En forskningshuvudman ska få medge den
4 I ett pressmeddelande den 15 december 2017 informerar regeringen att den kommer att tillföra Datainspektionen 30 miljoner kronor för att stärka arbetet med den personliga integriteten. Myndigheten föreslås också att byta namn till Integritetsskyddsmyndigheten. Dessutom ska myndighetens uppdrag ändras så att dess stödjande och rådgivande roll blir tydligare.
enskilde att få direktåtkomst till sina egna direkt identifierbara uppgifter.
De förslag som vi lämnar kommer sammantaget att omfatta ett paket av skyddsåtgärder för den personliga integriteten. Utöver de krav som gäller enligt dataskyddsregleringen5 kommer personuppgifterna i en forskningsdatabas att skyddas av bl.a.:
- begränsning av vilka forskningshuvudmän som får ansvara för en forskningsdatabas,
- forskningshuvudmannens personuppgiftsansvar,
- villkor för skapandet av en forskningsdatabas,
- krav på etikprövning av forskningsdatabasen,
- krav på etikprövning av de forskningsprojekt som ska använda personuppgifterna,
- sekretess och tystnadsplikt,
- inre sekretess,
- organisatoriska åtgärder,
- tekniska åtgärder,
- uppförandekoder
- krav på finansiering av forskningsdatabasen, samt
- uppföljning.
Rättspsykiatriska forskningsregistret
I några fall finns redan särskilda lagar för att möjliggöra forskningsdatabaser. En sådan är lagen (1999:353) om rättspsykiatriskt forskningsregister (nedan kallad registerlagen).
Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för det rättspsykiatriska forskningsregistret. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt
5 Dataskyddsförordningen och lag (2018:218
) med
kompletterande bestämmelser till EU:s
dataskyddsförordning.
etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring inom rättspsykiatrin.
I en rapport6 till regeringen har RMV framhållit att registerlagen inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen till det är att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade uppgifter som får registreras i registret. Enligt vad vi har inhämtat har registret inte underhållits sedan 2005.
Vi bedömer att det inte finns något långsiktigt behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och föreslår därför att registerlagen ska upphävas.
Ett nationellt biobanksregister
Vårt uppdrag har varit att göra en vidare beredning av det förslag till ett centralt register för spårbarhet till vävnadsprover i landets biobanker som Registerforskningsutredningen7 lämnade.
Registerforskningsutredningen föreslog att Svenska biobanksregistret skulle göras om till ett nationellt system för registrering av biobanksprover (Nationella biobanksregistret) med Socialstyrelsen som huvudman och personuppgiftsansvarig.
Utredningen om reglering av biobanker8 har parallellt med vår utredning haft i uppgift att utreda vissa aspekter av ett nationellt register för spårbarhet av vävnadsprover. Denna utredning föreslog att ett nationellt biobanksregister ska inrättas för forskningens behov, samtidigt som det Svenska biobanksregistret ska finnas kvar. Det senare registret ska tillgodose hälso- och sjukvårdens behov av spårbarhet av prover som tagits i samband med vård och behandling. Uppgifterna ska göras tillgängliga för vårdgivare och nås genom direktåtkomst i system för sammanhållen journalföring enligt 6 kap. patientdatalagen (2008:355).9 Socialstyrelsen föreslås vara huvudman och personuppgiftsansvarig för ett nationellt biobanksregister över prover tagna för forskningsändamål.
6Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju 2013/08833/Å). 7 Registerforskningsutredningens slutbetänkande Unik kunskap genom registerforskning (SOU 2014:45). 8 Utredningens om regleringen av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4). 9 Med ”direktåtkomst” avses här samma begrepp som i 6 kap. patientdatalagen.
Vi ansluter oss i huvudsak till Utredningens om regleringen av biobanker förslag om ett nationellt register för spårbarhet av prover i biobanker, som ska få användas för forskning, kvalitetssäkring och framställning av statistik.
Utredningen om regleringen av biobanker gjorde bedömningen att uppgifterna i det nationella biobanksregistret kommer att omfattas av statistiksekretess. För att tillförsäkra uppgifterna i registret ett godtagbart skydd föreslår vi i stället en särskild sekretessbestämmelse som avser uppgifter om enskild i ett nationellt biobanksregister. Sekretessen ska gälla såvida det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (omvänt skaderekvisit). Sekretess kommer alltså att vara huvudregeln för dessa uppgifter. Det är samma nivå på sekretesskyddet som gäller för dessa uppgifter när de hanteras i hälso- och sjukvården.
Forskningsdatabaser i Europa
Vi har i uppdrag att analysera vilken rättslig reglering som behövs för att Statistiska centralbyrån (SCB) ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden ur sina register till europeiska databasen Luxemburg Income Study (LIS) samt att lämna nödvändiga författningsförslag.
Det är dock inte enbart LIS som är av intresse för vårt uppdrag att möjliggöra behandling av personuppgifter i forskningsdatabaser. Inom EU finns fler exempel på forskningssamarbeten där Sverige deltar tillsammans med andra länder.
Vi föreslår en sekretessbrytande bestämmelse som inte enbart ska vara tillämplig på LIS, utan på alla forskningsdatabaser som drivs av forskningshuvudmän som omfattas av dataskyddsförordningen. Under vissa förutsättningar ska en uppgift för vilken sekretess gäller få röjas för en forskningshuvudman utanför Sverige, som omfattas av dataskyddsförordningen. Om uppgiften i motsvarande fall skulle få lämnas ut till en svensk forskningsdatabas, och om forskningshuvudmannen omfattas av motsvarande skyddsregler som gäller enligt offentlighets- och sekretesslagen samt lagen om forskningsdatabaser, får utlämnande myndighet pröva om uppgifterna kan lämnas ut.
Vi anser att en sådan bestämmelse möjliggör önskvärda forskningssamarbeten inom EU och innefattar ett gott skydd för den
personliga integriteten. Skyddet av uppgifterna måste uppfylla de krav på säkerhet vid behandling av personuppgifter som ställs i dataskyddsförordningen. Under dessa förutsättningar kan även syftet med förordningen uppfyllas, nämligen att skydda fysiska personer med avseende på behandling av personuppgifter samtidigt som det fria flödet av uppgifter inom unionen inte begränsas.
Det kommer inte att vara en helt lätt uppgift för en svensk myndighet att avgöra om en forskningsdatabas inom EU uppfyller de villkor som krävs för att uppgifterna ska få röjas. Myndigheterna kommer att behöva information om hur den mottagande forskningsdatabasen behandlar personuppgifter och om vilka skyddsregler som tillämpas. Vi finner att det är lämpligt att en myndighet, t.ex. Vetenskapsrådet, får i uppdrag av regeringen att bistå myndigheterna med sådan information. Den myndighet som får detta uppdrag bör samråda med Datainspektionen.
Behandling av uppgifter om avlidna i forskning
Vi har undersökt vilket skydd för uppgifter om avlidna i forskningens som det finns i dag och om det finns något behov av att öka det.
Vi bedömer att befintlig lagstiftning tillsammans med vårt förslag om forskningssekretess och tystnadsplikt utgör ett tillräckligt skydd för uppgifter om avlidna. Vid denna bedömning har vi även beaktat att skyddet för efterlevande indirekt skyddar även den avlidne. Vi anser att det inte ska införas något ytterligare skydd för uppgifter om avlidna.
Summary
Introduction
If our society is to develop and if we are to be able to solve various problems, we need research. We need research and research organisations in various disciplinary areas that produce results that can be used for our common good.
Sweden has a world-leading position in terms of statistics about living conditions and health. Our individual-based registers provide good possibilities of successful research based on them. This means our country is also attractive for researchers in other countries. More effective use of existing registers and databases is needed to be able to benefit fully from our unique situation.
The Government stated in our terms of reference1 that better conditions are needed for register-based research and tasked us with proposing long-term regulation of research databases.
In addition to this remit, we have also had, in this part of the inquiry, the remit of analysing:
- whether there is a long-term need for special regulation of a forensic psychiatry research register;
- what regulation is needed of a national biobank register;
- what legal regulation is needed to enable Statistics Sweden (SCB) to release information about the income situation of individuals to the Luxembourg Income Study (LIS);
- whether stronger protection is needed for data about deceased persons in forensic research; and
1Processing of personal data for research purposes, terms of reference 2016:65.
- what legal possibilities the EU’s General Data Protection Regulation2provides for the processing of personal data by the National Library of Sweden and other research libraries.
The final part of our remit was reported to the Ministry of Education and Research in a memorandum in autumn 2017 (annex 5).
Our interim report
In our interim report Processing of personal data for research purposes 3 we analysed what regulation of the processing of personal data for research purposes is possible and may be required on account of that the Data Protection Regulation will be applicable as from 25 May 2018.
In connection with that work we defined a need to pass a research data act with the purpose of enabling the processing of personal data for research purposes while protecting the rights and freedoms of the individual. In our interim report we therefore proposed a research data act that would be applicable to all processing of personal data for research purposes irrespective of the legal basis.
We also reached the conclusion that an examination under the Act (2003:460) concerning the Ethical Review of Research Involving Humans (the Ethical Review Act) constitutes such a suitable and specific safeguard that is required for personal data processing for research purposes of sensitive personal data or personal data concerning criminal offences, etc. to be permitted.
In addition, we found that there is reason to further investigate the need for changes to the ethical review procedure. In our view, the full ethical review should be limited to processing of personal data that formally requires extensive protection of that kind. Current ethical review requirements also cover processing of personal data that can generally be regarded as less of a risk for the individual, but that still requires a suitable safeguard. Against this background it is not reasonable and proportionate to apply the same ethical review procedure to all kinds of processing of personal data covered by the Ethical
2 Regulation of the European Parliament and the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), called the Data Protection Regulation in the following. 3 Interim report of the Research Data Inquiry, Personuppgiftsbehandling för forskningsändamål (Processing of personal data for research purposes) (SOU 2017: 50).
Review Act. If the procedure cannot be geared to the need for protection, this also risks eroding confidence in ethical review as a safeguard. In the light of the restrictions on our mandate and the rest of the framework for our work, we proposed that a differentiated ethical review procedure should be investigated further in a separate form.
Our approach
A research database is a collection of personal data that has been collected from individuals or from other sources and which is a national resource that supplies data for several different research projects.
The time during which a research database is in existence in the activities of a research organisation – the lifecycle of the database – can be divided into different stages. Some activities in the research database run continuously, while others have a stronger link to a certain period. The lifecycle perspective can be used to analyse what activities need to be regulated in order to achieve secure processing of personal data in the database. We describe the lifecycle of a research database in the following five stages:
1. Creation of a research database
2. Collection of personal data
3. Administration of the research database
4. Use of the research database
5. Closure of the research database
In our assessment, regulation that only covers a few fields of research, identified centrally, and a small number of research organisations would not be sufficient to provide for safe handling of personal data in research databases. We therefore propose general regulation covering as many databases as possible. In practice there are also already a large quantity of different kinds of research databases in several different types of research organisations.
We conclude that the principle of the freedom of research means that the initiative to create a research database should come from research organisations and not from the Government. In our view, the
needs for collections of data can best be identified and formulated in research activities. Our proposal for long-term regulation therefore assumes that it is research organisations that will assess what research databases are needed.
According to our remit, the regulation we propose also has to include good protection for personal privacy – in addition to meeting the needs of research. In our view, there is good protection of privacy when this right is in balance with other fundamental rights and legitimate public interests. We therefore propose suitable and secure regulation of research databases that both meets the needs of research and includes good protection of personal privacy.
Long-term regulation of research databases
We propose regulating the processing of personal data in a research database in a separate act, the act on research databases. This act regulates what research organisations will be allowed to be responsible for research databases and what safeguards are required for a research database to be compliant with the law.
Under our proposal, both state higher education institutions and universities and the private higher education institutions that are covered by the principle of public access to information and have a right to award qualifications will be allowed to process personal data in research databases. Public authorities other than those that conduct education will be allowed to be responsible for research databases if their mission includes research. This applies to both central and local government authorities.
One fundamental safeguard that we propose is that a research database must be approved under the Ethical Review Act. In this process, the scientific value of the research database must be assessed and weighed in relation to its potential risks with respect to the health, security and privacy of the included research subjects. In addition, we propose that all research that will use data in a research database will have to have ethical approval. We propose amendments to the Ethical Review Act that make these safeguards possible.
Another important safeguard that we propose is a new provision on research secrecy in the Public Access to Information and Secrecy Act (2009:400) and a corresponding provision on an obligation to
observe professional secrecy at private research organisations in the research databases act. The data in a research database as well as the research projects that use these data will therefore be covered by either research secrecy or an obligation to observe secrecy.
In addition, the research databases act makes requirements concerning organisational safeguards. Such requirements also follow directly from the Data Protection Regulation. We specify them in more detail by requiring principal research organisations to have a head of operations with operational responsibility for a research database. There also has to be an organisational unit that is responsible for the security and privacy protection in the research database. In addition, the activities of the principal research organisation have to include risk-based information security work.
The research databases act contains requirements concerning technical safeguards. The research organisation has to determine conditions for the allocation of authorisation for electronic access to personal data in a research database. The research organisation also has to check that access is used in the right way.
The processing of personal data in a research database will come under the supervision of the Swedish Data Protection Authority in the same way as other processing of personal data. In addition to a research database being subject to supervision, we propose giving the Swedish Research Council the task of monitoring databases created under the new act. We consider that legislators must be kept informed about the effect of the act on the handling of personal data in research databases. Moreover, we propose giving the Swedish Research Council the task of initiating and supporting work to draft a code of conduct for the processing of personal data in research databases.
A further important safeguard we propose is to give research subjects the possibility of insight into how their own data are handled in the research database. A research organisation will be able to grant the individual direct access to their own directly identifiable data.
Taken together, the proposals we present will make up a package of safeguards for personal privacy. In addition to the requirements that apply under the regulation of data protection4, personal data in a research database will be protected by, for example:
4 The Data Protection Regulation and the Data Protection Act proposed by the Government in Govt Bill Ny dataskyddslag (New Data Protection Act), Govt Bill 2017/18:105.
- limitation of which research organisations are allowed to be responsible for a research database;
- the research organisation’s responsibility for personal data;
- conditions for the creation of a research database;
- requirement of ethical review of the research database;
- requirement of ethical review of the research projects that are to use the personal data;
- secrecy and obligation to observe secrecy;
- internal secrecy;
- organisational measures;
- technical measures;
- codes of conduct;
- requirements concerning financing of the research database; and
- monitoring.
Forensic psychiatry research register
In certain cases special laws already make research databases possible. One such law is the Act on Forensic Psychiatry Research Register (1999:353) (called the Register Act below).
The National Board of Forensic Medicine is the controller of personal data for the forensic psychiatry research register. The register may be used for two purposes: first, processing of personal data for research in forensic psychiatry, if the research and processing has been approved under the Ethical Review Act and, second, for monitoring, evaluation and quality assurance in forensic psychiatry by the Board.
In a report5 to the Government the Board has pointed out that the Register Act does not provide adequate support for research in forensic psychiatry. This is because current issues in forensic
5 New statutory support for the National Board of Forensic Medicine’s personal data etc. (Ju 2013/08833/Å).
psychiatry cannot be resolved with the aid of the limited information that is allowed to be registered in the register. According to information we have obtained the register has not been maintained since 2005.
Our assessment is that there is no long-term need for special regulation of a forensic psychiatry research register and we therefore propose the repeal of the Register Act.
A national biobank register
Our remit has been to continue the preparation of the proposal for a central register for traceability of tissue samples in Sweden’s biobanks presented by the Register-based Research Inquiry6.
The Register-based Research Inquiry proposed converting the Swedish Biobank Register into a national system for registration of biobank samples (the National Biobank Register) with the National Board of Health and Welfare as the body responsible and controller of personal data.
In parallel with this Inquiry, the Inquiry on the Regulation of Biobanks7 has been tasked with investigating certain aspects of a national register for traceability of tissue samples. That Inquiry proposed establishing a national biobank register for research needs, while retaining the Swedish Biobank Register. That register would meet healthcare needs of traceability of samples taken in connection with care and treatment. The data would be made available to healthcare providers and be reached by direct access in systems for keeping integrated medical records under Chapter 6 of the Patient Data Act (2008:355).8 The National Board of Health and Welfare is proposed as the body responsible for, and controller of personal data of, a national biobank register of samples taken for research purposes.
We mainly concur with the proposals of the Inquiry on the Regulation of Biobanks for a national register for traceability of samples in biobanks to be used for research, quality assurance and the production of statistics.
6 Final report of the Register-based Research Inquiry, Unik kunskap genom registerforskning
(Unique knowledge through register-based research) (SOU 2014:45).
7 Final report of the Inquiry on the Regulation of Biobanks, Framtidens biobanker (Biobanks
of the future) (SOU 2018:4).
8 Here “direct access” means the same term as in Chapter 6 of the Patient Data Act.
The Inquiry on the Regulation of Biobanks made the assessment that the data in the national biobank register will be covered by statistics secrecy. To guarantee acceptable protection for the data in the register, we instead propose a special secrecy provision referring to data about an individual in a national biobank register. This secrecy would apply unless it is clear that the data can be disclosed without damage to the individual or someone close to them (reverse requirement of damage). So secrecy will be the general rule for these data. This is the same secrecy protection as applies to these data when they are handled in healthcare.
Research databases in Europe
We have the remit of analysing what legal regulation is needed to enable Statistics Sweden (SCB) to release information on the income situation of individuals from its registers to the European database called the Luxemburg Income Study (LIS) and to present the necessary legislative proposals.
However, it is not only the LIS that is of interest for our remit of making it possible to process personal data in research databases. In the EU there are several examples of research cooperation in which Sweden is participating along with other countries.
We propose a secrecy override applicable not only to the LIS but also to all research databases operated by research organisations covered by the Data Protection Regulation. This override would mean that, under certain conditions, data that is subject to secrecy may be disclosed to a research organisation outside Sweden that is covered by the Data Protection Regulation. If it would be possible to release the data to Swedish research database in corresponding cases, and if the research organisation is subject to secrecy rules corresponding to those that apply under the Public Access to Information and Secrecy Act and the research databases act, the releasing authority may examine whether the data can be released.
We consider that such a provision enables desirable research cooperation in the EU and includes good protection for personal privacy. The protection for the data would have to meet the requirements concerning security in the processing of personal data set in the Data Protection Regulation. Under these conditions the
purpose of the Regulation can also be met: i.e. protection of natural persons with regard to the processing of personal data at the same time as the free movement of data in the Union is not restricted.
It will be a demanding task for a Swedish authority to determine whether a research database in the EU meets the conditions set for the disclosure of the data. Authorities will need information about how the receiving research database processes personal data and what safeguards are applied. The Inquiry finds that it is appropriate for a government agency, for example the Swedish Research Council, to be commissioned by the Government to assist authorities with information of that kind. The agency that is given this commission should consult with the Swedish Data Protection Authority.
Processing of data about deceased persons in research
We have examined the current protection of data about deceased persons in research and whether there is a need to increase it.
Our assessment is that the existing legislation along with our proposal for research secrecy and an obligation to observe secrecy provides sufficient protection for data about deceased persons. In making this assessment we have also taken account of the fact that the protection for survivors also protects the deceased person indirectly. We consider that no further protection should be introduced for data about deceased persons.
DEL I
Inledning
1. Författningsförslag
1.1. Förslag till lag om forskningsdatabaser
1 kap. Lagens tillämpningsområde m.m.
Innehåll och syfte
1 § Denna lag innehåller bestämmelser om behandling av personuppgifter i en forskningsdatabas.
I 4 kap. 5 § finns en bestämmelse om tystnadsplikt hos enskilda (privata) forskningshuvudmän.
2 § Syftet med denna lag är att möjliggöra behandling av personuppgifter i en forskningsdatabas. Syftet är också att säkerställa att de registrerades personliga integritet skyddas vid denna behandling.
Förhållandet till annan lagstiftning
3 § Denna lag kompletterar Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter i en forskningsdatabas som avviker från denna lag ska de bestämmelserna gälla.
Definitioner
5 § Med forskningshuvudman avses i denna lag detsamma som i 2 § lagen (2003:460) om etikprövning av forskning som avser människor.
6 § Med forskningsdatabas avses i denna lag en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt.
Lagens tillämpningsområde
7 § Denna lag tillämpas vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige.
2 kap. Grundläggande villkor för skapandet av en forskningsdatabas
1 § En forskningshuvudman får vara personuppgiftsansvarig för behandling av personuppgifter i en forskningsdatabas under förutsättning att forskningshuvudmannen är en
1. statlig myndighet,
2. kommunal myndighet, eller
3. juridisk person eller enskild näringsidkare som bedriver högre utbildning och har examensrätt enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) jämställs med myndighet.
2 § Personuppgifter får behandlas i en forskningsdatabas för att
1. skapa underlag för olika forskningsprojekt, och
2. lämna ut uppgifter till flera olika forskningsprojekt inom ett angivet forskningsområde.
3 § Personuppgifter får behandlas i en forskningsdatabas under förutsättning att
1. den har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, och
2. forskningshuvudmannen har säkerställt finansieringen av forskningsdatabasen.
4 § En forskningshuvudman ska i ett beslut om att skapa en forskningsdatabas fastställa
1. vilka uppgifter som ska behandlas i forskningsdatabasen, och
2. för vilka särskilda ändamål dessa uppgifter är nödvändiga att behandla.
3 kap. Organisatoriska åtgärder
1 § Forskningshuvudmannen ska utse en verksamhetschef för forskningsdatabasen.
Verksamhetschefen ska minst en gång per år sammanställa och lämna skriftlig information om behandlingen av personuppgifter i forskningsdatabasen till forskningshuvudmannen.
2 § Det ska hos forskningshuvudmannen finnas en organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen. Den ska ha till uppgift att genom tekniska och organisatoriska åtgärder skydda enskildas personliga integritet och upprätthålla en tillräcklig säkerhetsnivå för de personuppgifter som behandlas i forskningsdatabasen.
3 § En forskningshuvudman som behandlar personuppgifter i en forskningsdatabas ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet.
Forskningshuvudmannen ska tilldela tillräckliga resurser för informationssäkerhetsarbetet. Den som utför för detta arbete ska hålla forskningshuvudmannen informerad.
4 kap. En säker och ändamålsenlig behandling av personuppgifter
Uppgifterna i forskningsdatabasen
1 § Personuppgifter i en forskningsdatabas får vara direkt identifierbara, om det är nödvändigt för att uppfylla ändamålet med forskningsdatabasen.
Forskningshuvudmannen ska besluta om en forskningsdatabas ska bestå av direkt identifierbara uppgifter eller om det är tillräckligt för ändamålet att uppgifterna är pseudonymiserade eller skyddade på annat sätt.
Intern elektronisk åtkomst
2 § Den som arbetar hos en forskningshuvudman får ta del av personuppgifter i en forskningsdatabas endast om han eller hon behöver uppgifterna för sitt arbete hos huvudmannen.
3 § Forskningshuvudmannen ska bestämma villkoren för tilldelning av behörighet för elektronisk åtkomst till personuppgifter i en forskningsdatabas. Behörigheten ska anpassas och begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter.
4 § Forskningshuvudmannen ska se till att elektronisk åtkomst till personuppgifter i en forskningsdatabas dokumenteras och kan kontrolleras.
Forskningshuvudmannen ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt personuppgifter i en forskningsdatabas.
Tystnadsplikt hos enskild forskningshuvudman
5 § Den som arbetar hos en enskild (privat) forskningshuvudman får inte obehörigen röja vad han eller hon i sitt arbete har fått veta om en enskilds personliga eller ekonomiska förhållanden. När någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning ska detta inte anses utgöra obehörigt röjande.
I det allmännas verksamhet ska bestämmelserna i offentlighets- och sekretesslagen (2009:400) tillämpas.
5 kap. Utlämnande av personuppgifter från en forskningsdatabas
Villkor för utlämnande
1 § Personuppgifter i en forskningsdatabas får lämnas ut till ett forskningsprojekt under förutsättning att
1. tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400) eller denna lag inte hindrar det, och
2. forskningsprojektet har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.
2 § Personuppgifter som lämnas ut från en forskningsdatabas ska vara pseudonymiserade eller skyddade på likvärdigt sätt.
Personuppgifter får dock vara direkt identifierbara vid utlämnandet, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna lämnas ut till.
3 § Personuppgifter som behandlas för de ändamål som anges i 2 kap. 2 § får också lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.
Direktåtkomst
4 § Personuppgifter i en forskningsdatabas får inte lämnas ut genom direktåtkomst annat än till den registrerade själv enligt 5 §.
5 § En forskningshuvudman får medge den registrerade direktåtkomst till direkt identifierbara uppgifter om den enskilde själv.
Innan uppgifterna lämnas ut på detta sätt ska forskningshuvudmannen pröva om uppgifterna får lämnas ut. Den registrerade får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 4 §.
6 kap. Uppföljning och utvärdering
1 § Forskningshuvudmannen ska regelbundet ta ställning till om behandlingen av personuppgifter i en forskningsdatabas ska fortsätta.
2 § Vetenskapsrådet ska regelbundet följa upp och utvärdera verksamheten vid forskningsdatabaser. Vetenskapsrådet ska i sin utvärdering granska forskningsdatabaserna avseende säkerhet och ändamålsenlighet.
Vetenskapsrådet ska redovisa resultatet av sin utvärdering till regeringen.
7 kap. Ytterligare föreskrifter
1 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om
1. finansieringen av en forskningsdatabas,
2. begränsning av de ändamål för vilka uppgifter får behandlas i en forskningsdatabas,
3. begränsningar av de uppgifter som en forskningsdatabas får innehålla,
4. begränsningar av behandling av uppgifter i en forskningsdatabas,
5. det systematiska och riskbaserade informationssäkerhetsarbetet som forskningshuvudmannen ska bedriva enligt 3 kap. 3 §,
6. de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst för den registrerade som avses i 5 kap. 5 §, och
7. på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvärdering enligt 6 kap. 2 § ska utföras.
1. Denna lag träder i kraft den 1 juli 2019.
2. Genom lagen upphävs lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.
3. Den upphävda lagen gäller dock fram till den 31 december 2019 för register som har upprättats med stöd av den lagen.
1.2. Förslag till lag om upphävande av lagen (1999:353) om rättspsykiatriskt forskningsregister
Härigenom föreskrivs att lagen (1999:353) om rättspsykiatriskt forskningsregister ska upphöra att gälla den 1 juli 2019.
1.3. Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor
Härigenom föreskrivs att 2, 3, 5, 6, 8, 10 och 11 §§ lagen om etikprövning av forskning som avser människor (2003:460) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §1
I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,
forskningsdatabas: detsamma som avses i 1 kap. 6 § lagen ( 2019:000 ) om forskningsdatabaser,
forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,
forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i 3 §
personuppgiftslagen (1998:204).
behandling av personuppgifter: sådan behandling som anges i
artikel 4.2 i Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
1 Senaste lydelse 2008:192.
3 §2
Denna lag ska tillämpas på forskning som innefattar behandling av
1. känsliga personuppgifter
enligt 13 § personuppgiftslagen (1998:204),
2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden
enligt 21 § personuppgiftslagen .
1. sådana särskilda kategorier
av personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter),
2. sådana personuppgifter om
lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,
3. personuppgifter i en forsk-
ningsdatabas enligt lagen ( 2019:000 ) om forskningsdatabaser, eller
4. personuppgifter som samlas in från en forskningsdatabas enligt lagen ( 2019:000 ) om forskningsdatabaser.
5 §
Denna lag skall tillämpas på forskning som skall utföras i Sverige.
Denna lag ska tillämpas på forskning som avses i 3 §, och som ska utföras inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige.
Denna lag ska även tillämpas på forskning som enbart omfattas av 4 § och som ska utföras i Sverige.
6 §
Forskning som avses i 3–5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande skall
Forskning som avses i 3–5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor.
2 Senaste lydelse 2008:192.
avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning.
Ett godkännande ska avse ett visst projekt, en del av ett projekt eller en på något liknande sätt bestämd forskning eller en
forskningsdatabas.
Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.
Ett godkännande upphör att gälla, om inte forskningen har börjat utföras senast två år efter det att beslutet om godkännande vann laga kraft.
Ett godkännande enligt denna lag medför inte att forskningen får utföras, om den strider mot någon annan författning.
8 §
Mänskliga rättigheter och grundläggande friheter skall alltid beaktas vid etikprövningen samtidigt som hänsyn skall tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd skall ges företräde framför samhällets och vetenskapens behov.
Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov.
10 §
Forskning får inte godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet.
Behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen skall kunna utföras.
Behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras.
11 §
Forskning får godkännas bara om den skall utföras av eller under överinseende av en forskare som
Forskning får godkännas bara om den ska utföras av eller under överinseende av en forskare som
har den vetenskapliga kompetens som behövs.
har den vetenskapliga kompetens som behövs.
En forskningsdatabas får bara godkännas om de grundläggande villkoren för skapandet av en forskningsdatabas och de krav på organisatoriska åtgärder som ställs i 2 och 3 kap. lagen ( 2019:000 ) om forskningsdatabaser är uppfyllda.
Denna lag träder i kraft den 1 juli 2019.
1.4. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 24 kap. 2 a och 2 b §§ ska upphöra att gälla,
dels att 10 kap. 23 och 27 §§, 24 kap. 1, 2 och 9 §§ och rubrikerna
närmast före 8 kap., 24 kap. 1 och 2 §§ ska ha följande lydelser, och
dels att det ska införas en ny paragraf, 8 kap. 4 §, och närmast före
8 kap. 4 § en ny rubrik av följande lydelse.
Sekretess mot forskningshuvudman utanför Sverige som omfattas av EU:s dataskyddsförordning
8 kap.
4 §
En uppgift för vilken sekretess gäller enligt denna lag får inte röjas för en forskningshuvudman med verksamhetsställe utanför Sverige som ansvarar för en forskningsdatabas och som omfattas av förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, om inte
1. uppgiften i motsvarande fall skulle få lämnas ut till en forskningshuvudman med verksamhetsställe i Sverige, och
2. forskningshuvudmannen omfattas av motsvarande skyddsregler som gäller enligt denna lag och enligt lagen (2019:000) om forskningsdatabaser.
Nuvarande lydelse Föreslagen lydelse
10 kap.
Om inte annat följer av 19– 22 §§ får en uppgift som angår misstanke om ett begånget brott
23 § 3
Om inte annat följer av 19– 22 §§ får en uppgift som angår misstanke om ett begånget brott
3 Senaste lydelse 2014:663.
och som är sekretessbelagd enligt 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket eller 3– 8 §§, 26 kap. 1–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,
2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller
3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).
och som är sekretessbelagd enligt 24 kap. 8 §, 25 kap. 1 §, 2 § andra stycket eller 3–8 §§, 26 kap. 1–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,
2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller
3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).
Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första
27 § 4
Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Första stycket gäller inte i fråga om sekretess enligt 24 kap.
1
och 8 §§, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och
4 Senaste lydelse 2018:220.
stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning
24 kap.
Psykologisk undersökning Forskningssekretess
1 §
Sekretess gäller för uppgift som
hänför sig till psykologisk undersökning som utförs för forskningsändamål, om det inte står klart
att uppgiften kan röjas utan att den som uppgiften rör eller någon närstående till denne lider men.
Sekretess gäller hos en forsk-
ningshuvudman för uppgift om enskilds personliga och ekonomiska förhållanden, om det inte
står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Rättspsykiatriskt forskningsregister Nationellt biobanksregister
2 §
Sekretess gäller i verksamhet som avser förande av eller uttag ur register som förs enligt lagen ( 1999:353 ) om rättspsykiatriskt forskningsregister för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden som har tillförts registret, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
Sekretessen gäller även i förhållande till en registrerad person som är vård- eller behandlingsbehövande för uppgift om hans eller hennes hälsotillstånd, om det
Sekretess gäller i verksamhet som avser uppgifter i ett nationellt biobanksregister enligt biobankslagen (2018:000) för uppgift om en enskild som har tillförts registret, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
9 § 5
Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
Den tystnadsplikt som följer av 1 och 8 §§ och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 1 och 2 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
Denna lag träder i kraft den 1 juli 2019.
5 Senaste lydelse 2013:795.
1.5. Förslag till förordning om ändring av förordning (2009:975) med instruktion för Vetenskapsrådet
Härigenom föreskrivs att 2 § förordningen (2009:975) med instruktion för Vetenskapsrådet ska ha följande lydelse.
2 §6
Vetenskapsrådet ska också
1. genomföra forskningspolitiska analyser och ge regeringen råd i forskningspolitiska frågor,
2. initiera och stödja strategiska satsningar inom forskning och forskningsinfrastruktur,
3. planera tillgången till forskningsinfrastruktur långsiktigt i samverkan med andra forskningsfinansiärer och forskningsutförare,
4. fördela medel till nationell forskningsinfrastruktur och internationella åtaganden,
5. följa upp Sveriges medlemskap i svenska, europeiska och internationella organisationer och infrastrukturer när det gäller kostnader i förhållande till deltagande,
6. i samverkan med universitet och högskolor medverka till att skapa goda forskningsmiljöer, främja utbildning på forskarnivå av hög kvalitet, stödja forskare i början av sin karriär och främja forskares rörlighet,
7. medverka i och främja det svenska deltagandet i Europeiska unionens verksamhet inom forskning och teknisk utveckling,
8. företräda Sverige i de EU-organisationer och internationella organisationer som Regeringskansliet (Utbildningsdepartementet) informerar rådet om,
9. ansvara övergripande för samordning av kommunikation om forskning och forskningsresultat,
10. ansvara för kommunikation om forskning och forskningsresultat inom sina områden,
11. utveckla samarbeten med de länder som Sverige har ingått avtal med inom forskningsområdet i de fall som Regeringskansliet (Utbildningsdepartementet) informerar rådet om,
6 Senaste lydelse 2018:17.
12. integrera ett jämställdhetsperspektiv i myndighetens verksamhet och främja jämställdhet vid fördelning av forskningsmedel,
13. verka för att ett köns- och genusperspektiv inkluderas i den forskning som myndigheten finansierar, när det är tillämpligt,
14. ta initiativ till att etiska frågor uppmärksammas vid forskning och förmedla information om forskningsetiska frågor,
15. stödja och ge råd till Svenska Unescorådet inom ramen för Unescos vetenskapliga arbete,
16. initiera och stödja satsningar på konstnärlig forskning, 17. stödja och utveckla förutsättningarna för kliniska studier i Sverige, 18. förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och bistå forskare med information om relevanta bestämmelser om register,
18 a. utvärdera och följa upp forskningsdatabaser enligt lagen ( 2019:000 ) om forskningsdatabaser avseende kvalitet, säkerhet och ändamålsenlighet.
19. ansvara för kommunikationssystemet Swedish University Computer Network (SUNET),
20. bistå styrgruppen för avtalet mellan svenska staten och vissa landsting om samarbete om utbildning av läkare, klinisk forskning och utveckling av hälso- och sjukvården (ALF-avtalet) med administrativt stöd, och
21. svara för utbildning av ledamöter och ersättare i Centrala etikprövningsnämnden och de regionala etikprövningsnämnderna.
22. initiera och stödja forskningshuvudmännen i utarbetandet av gemensamma uppförandekoder enligt art. 40 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning).
Denna förordning träder i kraft den 1 juli 2019.
1.6. Förslag till förordning om ändring i förordningen (2003:615) om etikprövning av forskning som avser människor
Härigenom föreskrivs att 8 § samt bilaga 2 till förordningen (2003:615) om etikprövning av forskning som avser människor ska ha följande lydelse.
8 §
Nuvarande lydelse Föreslagen lydelse
En regional etikprövningsnämnd bör vid etikprövning av
annan forskning än klinisk läkemedelsprövning besluta inom 60 dagar. Vid ändring enligt 4 § bör nämnden besluta inom 35 dagar.
Etikprövningsmyndigheten
bör vid etikprövning av annan forskning än klinisk läkemedelsprövning besluta inom 60 dagar.
Vid etikprövning av en forskningsdatabas bör myndigheten besluta inom 120 dagar. Vid änd-
ring enligt 4 § bör myndigheten besluta inom 35 dagar.
Bilaga 2
I denna bilaga anges avgifter för prövning av ansökan om etikprövning.
Ansökan som Avgift – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – avser ändring enligt 4 § 2 000 kr
avser en forskningsdatabas 15 000 kr
Denna förordning träder i kraft den 1 juli 2019.
2. Vårt uppdrag och arbete
2.1. Utredningsuppdraget
Forskningsdatautredningens övergripande uppdrag1 har varit att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen2 börjar tillämpas, dels lämna nödvändiga författningsförslag. Förslagen ska resultera i en reglering utöver de generella bestämmelser som Dataskyddsutredningen har föreslagit i sitt betänkande3 och som under våren 2018 föranlett en proposition4och en ny dataskyddslag (2018:218). I juni 2017 redovisades vårt delbetänkande5 med förslag till reglering av personuppgiftsbehandling för forskningsändamål samt förslag till anpassningar av vissa registerförfattningar som var direkt påkallade av att dataskyddsförordningen börjar tillämpas den 25 maj 2018.
I ett andra skede har utredningen haft i uppdrag att föreslå långsiktiga regleringar av forskningsdatabaser med utgångspunkt i de förslag som lämnades av Registerforskningsutredningen.6 I detta uppdrag har ingått att föreslå en lösning som ersätter behovet av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (”LifeGene-lagen”), samt att analysera det långsiktiga behovet av en särskild reglering av ett rättspsykiatriskt forskningsregister. Utöver detta ska vi lämna
1 Direktiv Personuppgiftsbehandling för forskningsändamål (dir 2016:65). 2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 3 Dataskyddsutredningens betänkande Ny dataskyddslag (SOU 2017:39). 4 Regeringens proposition Ny dataskyddslag m.m. (prop. 2017/18:105). 5 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). 6 Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45).
förslag till en reglering av ett nationellt biobanksregister, samt kartlägga och vid behov föreslå författningsändringar för att stärka skyddet för uppgifter om avlidna inom forensisk forskning.
Vi har fått flera tilläggsdirektiv. Vi har fått uppdrag att analysera behovet och föreslå kompletterande reglering till dataskyddsförordningen och dataskyddslagen för behandling av personuppgifter i Kungliga bibliotekets verksamhet, och genom ytterligare tilläggsdirektiv utvidgades uppdraget till att omfatta personuppgiftsbehandling vid alla forskningsbibliotek.7
Dessutom har vi i tilläggsdirektiv uppdragits att analysera behovet av och föreslå reglering för att möjliggöra Statistiska centralbyråns (SCB) utlämnande av uppgifter om individers inkomstförhållanden till Luxembourg Income Study.8
2.1.1. Uppdraget att föreslå långsiktiga regleringar av forskningsdatabaser
Regeringen har konstaterat att någon långsiktig reglering av forskningsdatabaser inte kommer att vara på plats när dataskyddsförordningen börjar tillämpas den 25 maj 2018. Den första delen av vårt uppdrag, som avrapporterades i delbetänkandet,9 var därför att föreslå kompletterande reglering till de anpassningar av svensk lagstiftning som Dataskyddsutredningen har föreslagit ska träda i kraft vid detta datum.10
Regeringen har därutöver efterfrågat långsiktiga lösningar på behovet att förbättra förutsättningarna för registerbaserad forskning. Förslag har tidigare lämnats av Registerforskningsutredningen.11 I vårt uppdrag har därmed också ingått att ta ställning till om en långsiktig reglering av LifeGene-projektet, som nu bedrivs med stöd av en tidsbegränsad lag,12 och andra liknande initiativ med syftet att bygga gemensamma forskningsdatabaser innehållande personuppgifter för forskningsändamål kan åstadkommas utan att varje sådan databas regleras var för sig. Vårt uppdrag är således att
7 Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04), dir. 2017:29 och 2017:87. 8 Dir 2017:61. 9SOU 2017:50. 10 Regeringen har därefter föreslagit en ny dataskyddslag i prop. 2017/18:105. 11SOU 2014:45. 12 Lag (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.
föreslå de författningsförslag som behövs för en långsiktig reglering av forskningsdatabaser.
Vi tolkar att uppdraget i denna del är att föreslå kompletterande reglering så att den lagstiftning som gäller efter den 25 maj 2018 möjliggör en ändamålsenlig behandling av personuppgifter för forskningsändamål i forskningsdatabaser, samtidigt som skyddet för den enskildes fri- och rättigheter upprätthålls. Vi uppfattar detta som vårt huvuduppdrag för utredningens andra fas.
2.1.2. Reglering av rättspsykiatriskt forskningsregister
Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för behandling av personuppgifter för forskning inom rättspsykiatrin och för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättspsykiatrin. Registret regleras i lagen (1999:353) om rättspsykiatriskt forskningsregister.
RMV har analyserat behovet av rättsligt stöd och anser att de begränsningar som finns i den befintliga regleringen gör att registret inte utgör ett ändamålsenligt stöd för den rättspsykiatriska forskningen vid myndigheten. RMV föreslår att lagen upphävs och ersätts av annan lagstiftning.13
Vi har i vårt delbetänkande tills vidare föreslagit vissa anpassningar av lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas den 25 maj 2018.14I utredningens andra fas har vi haft i uppgift att
- undersöka hur lagen om rättspsykiatriskt forskningsregister används i dag,
- analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och hur en sådan reglering i så fall bör utformas, och
- lämna behövliga författningsförslag.
13 Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju2013/8833/Å). 14SOU 2017:50.
2.1.3. Reglering av ett nationellt biobanksregister
Utredningen om regleringen av biobanker hade bl.a. i uppdrag att se över lagen (2002:297) om biobanker i hälso- och sjukvården och andra angränsande författningar. Syftet med utredningen var att anpassa lagstiftningen så att den underlättar utvecklingen och förbättrar förutsättningarna för användning av prover och uppgifter i svenska biobanker för patientens, hälso- och sjukvårdens och forskningens behov. Utredningen överlämnade den 29 januari 2018 sitt slutbetänkande.15 Där ingår ett förslag till reglering av ett nationellt biobanksregister med syfte att kunna spåra prover, bland annat för forskningsändamål.
Våra respektive direktiv är närliggande i denna del och utformades mot bakgrund av att Registerforskningsutredningen föreslog att Socialstyrelsen skulle vara personuppgiftsansvarig för det samordnande Svenska biobanksregistret, att registret skulle innehålla personuppgifter (inklusive provsvar), och att registret skulle regleras i en särskild lag, lagen om Nationella biobanksregistret. Regeringen ansåg att en vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas synpunkter och med anledning av att dataskyddsförordningen och kompletterande nationell lagstiftning blir tillämpliga i Sverige.
Vi har därför i uppdrag att lämna förslag till en reglering av ett nationellt biobanksregister.
2.1.4. Utlämnande av personuppgifter till Luxembourg Income Study
Svenska forskare har sedan länge bidragit till den internationella forskningen om inkomstskillnader, fattigdom och om hur socialpolitikens transfereringar påverkar befolkningens disponibla inkomster. Denna forskning har underlättats genom ett internationellt samarbete och en internationell forskningsdatabas benämnd Luxembourg Income Study (LIS) med säte i Luxemburg och med jämförande uppgifter från 47 länder. SCB levererade uppgifter till databasen från dess tillkomst år 1983 fram till år 2007, men har därefter bedömt att det saknas rättsliga förutsättningar för myndigheten att leverera uppgifter. Sverige är därmed ett av få länder som
15 Utredningens om regleringen av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4).
inte kan bidra till LIS inkomstdatabas. Riksrevisionen (RRV) har granskat SCB:s förutsättningar att lämna ut personuppgifter från inkomststatistiken till LIS. RRV har konstaterat att de uppgifter som behövs omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), och att det därför skulle krävas en författningsreglerad skyldighet för att SCB ska kunna lämna ut uppgifterna. Regeringen anser att denna forskning och LIS-databasen är av stor betydelse, men att vissa frågor återstår att analysera.
Vi har därför fått i uppdrag att
- analysera vilken rättslig reglering som behövs och är lämplig för att SCB ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden ur sina register till den organisation som administrerar LIS för att uppgifterna ska ingå i databasen, och
- lämna nödvändiga författningsförslag.
2.1.5. Skydd för uppgifter om avlidna i forensisk forskning
Dataskyddsförordningen gäller inte behandling av uppgifter om avlidna personer. Medlemsstaterna får enligt förordningen fastställa bestämmelser för behandlingen av uppgifter om avlidna personer. I vissa registerförfattningar finns det ett uttryckligt skydd för uppgifter om avlidna. RMV anser dock att integritetsskyddet för uppgifter om avlidna personer i forskning bör ses över. Med anledning av detta har vi i uppgift att
- kartlägga vilket skydd som finns för sådana uppgifter om avlidna som hanteras inom forensisk forskning,
- analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning, och
- vid behov föreslå de författningsändringar som behövs.
2.1.6. Reglering av forskningsbibliotekens personuppgiftsbehandling
I tilläggsdirektiv har utredningen fått i uppdrag att analysera vilken reglering som, utöver dataskyddsförordningen, kan behövas för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i
Kungliga bibliotekets verksamhet.16 Vi fick därefter i ytterligare tilläggsuppdrag att analysera i vilken utsträckning dataskyddsförordningen kommer att vara tillämplig när personuppgifter behandlas i verksamheten hos forskningsbiblioteken och för vilken behandling av personuppgifter som forskningsbiblioteken har ett personuppgiftsansvar, samt vilka rättsliga förutsättningar som i sådana fall finns i dataskyddsförordningen för behandling av personuppgifter i den verksamhet som bedrivs av forskningsbiblioteken.17Vi skulle även analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av det förslag till kompletterande dataskyddslag som lagts fram av Dataskyddsutredningen18 samt lämna de författningsförslag som behövs.
Dessa två uppdrag har redovisats tillsammans i en särskild promemoria den 9 november 2017. Den ingår som bilaga till detta slutbetänkande.19
2.2. Utredningsarbetet
Arbetet har bedrivits i utredningens sekretariat som, utöver den särskilda utredaren, har bestått av en huvudsekreterare och fyra ytterligare sekreterare. Till utredningen har förordnats nio experter och fyra sakkunniga. Jonas Jeppson, verksjurist vid RMV, har ingått i expertgruppen och har bidragit med underlag till den del av våra uppdrag som gäller Rättspsykiatriska forskningsregistret och uppgifter om avlidna i forskningen. Jerker Rydén, verksjurist vid Kungliga biblioteket, har varit expert i utredningen och har bidragit med underlag till biblioteksuppdragen.20 Docent Marjut Salokannel har anlitats för ett kortare uppdrag och har lämnat underlag med avseende på forskningsdatabaser, etikprövning m.m. i andra länder.
16 Dir. 2017:29. 17 Dir. 2017:89. 18 Förslaget har lett till att lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (nedan kallad dataskyddslagen) utfärdades den 19 april 2018. Lagen trädde i kraft den 25 maj 2018. 19Personuppgiftsbehandling i forskningsbibliotekens verksamhet, bilaga 5. 20 Bilaga 5.
2.2.1. Expertgruppsmöten
Vår expertgrupp (inbegripet de sakkunniga) har sammanträtt sammanlagt tio gånger, varav fyra efter det att vi lämnade vårt delbetänkande. I samband med dessa möten har några promemorior och utkast till betänkandetext presenterats och diskuterats, vilka senare bildat stommen i förvarande betänkande. Enskilda experter och sakkunniga har även bistått utredningen i dialog om specifika frågor.
2.2.2. Besök vid lärosäten och myndigheter
Vi har under hösten 2017 och våren 2018 gjort ett antal besök vid lärosäten och myndigheter som vad gäller forskning berörs av dataskyddsförordningen och de kompletterande regleringar som föreslås eller förväntas föreslås. Vi har besökt universitetsledningar och berörda forskare vid universiteten i Göteborg, Lund, Stockholm, Uppsala och Umeå samt vid Chalmers tekniska högskola, Karolinska Institutet och Kungliga Tekniska Högskolan. Vi har också besökt Socialstyrelsen, Statistiska centralbyrån och Vetenskapsrådet. Vi har därutöver tillsammans med en representant för Utredningen om regleringen av biobanker medverkat vid Vetenskapsrådets Registerdataråd.
2.2.3. Övriga kontakter och framträdanden
Vi har medverkat i flera konferenser och informerat om dataskyddsförordningen ur ett forskningsperspektiv i en rad olika sammanhang. Detta har innefattat föredrag vid sammanslutningar av forskare och dataförvaltare inom olika områden, exempelvis flera nationella konferenser med hälso- och sjukvårdens kvalitetsregister, sjukvårdens forskningsdagar, konferens om personlig medicin vid Stockholms universitet, Statistiska centralbyråns forskardagar, nationell konferens med etikprövningsnämnderna, nationellt möte med FoU-chefer21 vid landstingen, samt nordisk epidemiologi-
21 Chefer för forskning och utveckling.
kongress i Lund. Öppna föredrag om den allmänna dataskyddsförordningen har hållits vid universiteten i Göteborg, Karlstad, Linköping, Lund och vid Karolinska Institutet.
Vi har utöver detta tillsammans med Utbildningsdepartementets representanter medverkat i nordiskt samarbete mellan företrädare för regeringar och myndigheter kring förberedelser inför dataskyddsförordningens införande.
2.2.4. Annat underlag i utredningsarbetet
Forskningsdatautredningen har under arbetets andra fas tagit del av och beaktat förslag lämnade av Integritetskommittén, Dataskyddsutredningen, Socialdataskyddsutredningen, Utredningen om tillsynen över den personliga integriteten och Utredningen om översyn av etikprövningen. Vissa möten med representanter för dessa utredningar har också förekommit. Med anledning av att uppdragen till Utredningen om regleringen av biobanker har legat särskilt nära våra direktiv i den del som berör reglering av ett nationellt biobanksregister har kontakter upprätthållits med den utredningen under arbetets gång.
Vi har tagit del av och beaktat dataskyddslagen jämte propositionen med förslag till denna lag22 samt propositionen om dataskydd inom socialdepartementets verksamhetsområde.23 Vi har också tagit del av det slutbetänkande som överlämnats av Utredningen om regleringen av biobanker.24 Utöver detta har vi tagit del av och beaktat det utkast till lagrådsremiss som i april 2018 lämnats med avseende på utredningens eget delbetänkande rörande personuppgiftsbehandling för forskningsändamål.25
22Prop. 2017/18:105. 23Prop. 2017/18:171. 24SOU 2018:4. 25 Remiss 2018-04-04 U2018/01639/F.
2.3. Disposition m.m.
Betänkandet inleds i kapitel 3 med en redogörelse för bakgrunden till vårt uppdrag och vilka utgångspunkter som vi tagit med oss från arbetet med delbetänkandet.26 Vi redogör också för de begrepp som vi använder i detta slutbetänkande.
Kapitel 4 behandlar behovet av forskningsdatabaser mot bakgrund av digitaliseringens utveckling och med utgångspunkt i Registerforskningsutredningens bedömningar.27
Kapitel 5 innehåller en genomgång av de rättsliga förutsättningarna för forskningsdatabaser.
Kapitel 6 behandlar Registerforskningsutredningens uppdrag och förslag med särskilt fokus på förslaget om reglering av forskningsdatabaser.
I kapitel 7 redogör vi för vår ansats, det vill säga de principiella utgångspunkter som ligger till grund för våra bedömningar och förslag. Här introduceras utgångspunkten att forskningsdatabaser kan beskrivas ur ett livscykelperspektiv, samt redogörs för några exempel på forskningsdatabaser.
I kapitel 8 redogör vi för utredningens förslag till reglering av personuppgiftsbehandling i forskningsdatabaser. De innefattar ett förslag till en ny lag om forskningsdatabaser samt förslag till ändringar av vissa andra lagar och förordningar som berör etikprövning och sekretess, samt av Vetenskapsrådets instruktion.
Kapitlen 9–12 behandlar övriga uppdrag vid sidan om huvuduppdraget. I kapitel 9 föreslås att lagen om rättspsykiatriskt forskningsregister ska upphävas. I kapitel 10 bereds Registerforskningsutredningens förslag till reglering av ett nationellt biobanksregister. Kapitel 11 behandlar utlämnande av uppgifter till europeiska forskningsdatabaser med särskilt fokus på Luxembourg Income Study. I kapitel 12 undersöks om det behövs ett förstärkt skydd för avlidna i forskning. Vi har här vidgat perspektiven till att omfatta utlämnande av uppgifter till europeiska forskningsdatabaser i allmänhet och till bedömningar om det behövs skydd för avlidna även i sådan forskning som inte tillhör den forensiska forskningen. Kapitel 13 innehåller en konsekvensanalys och kapitel 14 innehåller kommentarer till författningsförslagen.
26SOU 2017:50. 27SOU 2014:45.
Bilagorna 1, 2, 3 och 4 består av utredningens olika direktiv. Bilaga 5 utgörs av det tidigare lämnade förslaget till reglering av personuppgiftsbehandling i forskningsbibliotekens verksamheter.
Till sist kan noteras att betänkandetexten är utformad med användning av ”vi-form” omfattande utredningen i sin helhet. Arbetet har bedrivits med aktivt deltagande av och i samverkan med experter och sakkunniga. Det har förts särskilda mer ämnesinriktade diskussioner samt bilaterala dialoger med experter inom olika specialområden. Mot denna bakgrund redogör utredningen för uppdraget med användande av vi-form även om det inte funnits fullständig samsyn i alla delar.
DEL II
Huvuduppdraget
3. Bakgrund, utgångspunkter och begrepp
3.1. Bakgrund
I detta kapitel redogör vi kortfattat för bakgrunden till vårt uppdrag och vilka utgångspunkter som vi tagit med oss från arbetet med delbetänkandet.1 Vi redogör också för de begrepp som vi kommer att använda i detta slutbetänkande.
Utredningen har i uppdrag att föreslå en långsiktig reglering av forskningsdatabaser. Därutöver har utredningen även uppdrag som avser personuppgiftsbehandling i rättspsykiatriskt forskningsregister, hantering av uppgifter om avlidna och om utlämnande av uppgifter till Luxembourg Income Study (LIS). Vi har även i uppgift att lämna förslag till en reglering av ett nationellt biobanksregister.2
Vårt uppdrag i sin helhet handlar således om att utreda och förbättra förutsättningarna för att behandla personuppgifter för forskning i olika bemärkelser. Direktiven utgår från att registerbaserad forskning är värdefullt för vårt samhälle och måste kunna bedrivas på ett säkert och etiskt korrekt sätt. De lösningar som vi föreslår ska möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som det finns ett skydd för den enskildes fri- och rättigheter.
Frågan om hur registerbaserad forskning bör vara reglerad har tidigare utretts av framför allt Statistikutredningen3 och Registerforskningsutredningen.4
Registerforskningsutredningen lämnade ett förslag till lag om forskningsdatabaser. Lagen skulle ge stöd för statliga universitet eller
1 Delbetänkande av Forskningsdatautrednigen Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). 2 En mer noggrann redogörelse för alla delar i vårt uppdrag finns i kapitel 2. 3 Delbetänkande av Statistikutredningen Registerdata för forskning (SOU 2012:36). 4 Betänkande av Registerforskningsutredningen Unik kunskap genom registerforskning (SOU 2014:45).
högskolor som omfattas av högskolelagen (1992:1434) och andra statliga myndigheter, som har i uppdrag att bedriva forskning, att utföra behandling av personuppgifter i forskningsdatabaser. I den föreslagna lagen finns det vissa generella regler för forskningsdatabaser som för varje databas ska kompletteras med en särskild förordning som reglerar t.ex. ändamål och innehåll. I kapitel 6 behandlas Registerforskningsutredningens förslag utförligare.
3.2. Utgångpunkter
Enligt vårt uppdrag ska Registerforskningsutredningens förslag beredas ytterligare med beaktande av remissinstansernas synpunkter (se kapitel 6). Det behövs enligt direktiven en analys av om förslaget är förenligt med dataskyddsförordningen5 och i annat fall vilka anpassningar av förslaget som kan krävas utifrån förordningen och den generella reglering som Dataskyddsutredningen har föreslagit.6
Det finns förstås också annat arbete som redan pågår för att förbättra förutsättningarna för registerbaserad forskning. Vetenskapsrådet har t.ex. i uppdrag av regeringen7 att inom myndigheten bygga upp en verksamhet för att förbättra tillgängligheten till registeruppgifter i Sverige för forskningsändamål. I uppdraget ingår även att bistå forskare med information om register och om relevant lagstiftning. Ett led i att uppfylla detta uppdrag är Vetenskapsrådets arbete med webbplatsen registerforskning.se.
Redan i delbetänkandet formulerade vi några utgångspunkter som också har haft bäring på det fortsatta arbetet med att hitta lösningar för en ändamålsenlig reglering av forskningsdatabaser:
- Det är enligt utredningens bedömning en integrerad del av forskningsprocessen att skapa forskningsinfrastrukturer som har bredare formulerade forskningsändamål än de som förekommer i enskilda forskningsprojekt.
5 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 6 Dataskyddsutredningens betänkande Ny dataskyddslag – Kompletterande bestämmelser till
EU:s dataskyddsförordning (SOU 2017:39). Se även Regeringens proposition Ny dataskyddslag
(prop. 2017/18:105) samt den beslutade lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. 7 Regeringsbeslut den 24 oktober 2013, U2013/6296/F, U2013/1927/F och U2013/2506/F.
- Det är enligt utredningens bedömning rimligt att uppbyggnaden av en forskningsdatabas kan bedömas som personuppgiftsbehandling för forskningsändamål och därmed utgöra en del av själva forskningen.
En viktig utgångspunkt för vårt fortsatta arbete är därtill att
- det är möjligt att ta fram en ändamålsenlig och säker reglering av forskningsdatabaser, som både uppfyller forskningens behov och innefattar ett gott skydd för den personliga integriteten.
Dessa utgångspunkter hade vi med oss in i arbetet med att redovisa vårt uppdrag i detta slutbetänkande. I kapitel 7 har vi utvecklat våra utgångspunkter och vår ansats ytterligare.
3.3. Centrala begrepp för slutbetänkandet
Delbetänkandet8 innehåller en genomgång av de termer och begrepp som används i dataskyddsdirektivet9, personuppgiftslagen (1998:204) och dataskyddsförordningen för att beskriva forskning. I bilaga 3 till delbetänkandet finns dessutom en strukturerad begreppsgenomgång av dataskyddsförordningen.
Även i Registerforskningsutredningens10 och Statistikutredningens11 betänkanden finns termer och begrepp beskrivna för det område som är relevant för vår utredning. Vi hänvisar därför till deras betänkande, för ytterligare fördjupning vad avser begreppen inom detta område.
Här ska vi gå igenom några termer och begrepp som är särskilt viktiga för vår slutredovisning.12
8SOU 2017:50, s. 87 ff. 9 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 10SOU 2014:45. 11SOU 2012:36. 12 Med begrepp avses en avgränsad mental föreställning av någon viss företeelse. Med term avses ett namn på ett begrepp.
3.3.1. Forskning och forskningsändamål
Vår bedömning: Behandling av personuppgifter i en forsknings-
databas omfattas av begreppet ”vetenskapliga eller historiska forskningsändamål” i dataskyddsförordningen.
Vi diskuterade i delbetänkandet hur en avgränsning av begreppet forskning kan göras och särskilt hur begreppet kan avgränsas i förhållande till begreppet forskningsändamål. När det gäller den mer utvecklade analysen och diskussionen hänvisar vi till delbetänkandet.13
Uttrycket ”vetenskapliga eller historiska forskningsändamål” som används upprepade gånger i dataskyddsförordningen innefattar enligt vår bedömning forskningsändamål utan att någon särskild åtskillnad i betydelse bör göras mellan dessa två delar med avseende på personuppgiftsbehandling. Vilka delar av forskningsprocessen som kan räknas in under begreppet forskning är viktigt för frågan om tillåten behandling av personuppgifter i forskningsdatabaser.
En utgångspunkt för vår bedömning är att begreppet forskningsändamål har gemenskapsrättslig betydelse utifrån dataskyddsförordningen. Legaldefinitioner i nationell rätt kan inte påverka en bedömning av om en viss behandling kan anses utföras för forskningsändamål eller inte. De möjliga rättsliga grunderna för personuppgiftsbehandling i artikel 6 är inte avhängiga av om en viss behandling anses utföras för forskningsändamål eller inte. Däremot är behandling som utförs för forskningsändamål i vissa fall särskilt gynnad när det gäller de grundläggande principerna för behandling av personuppgifter i artikel 5.
För att det centrala undantaget från förbudet att behandla känsliga personuppgifter som återfinns i artikel 9.2 j ska bli tillämpligt krävs att en viss behandling är nödvändig för forskningsändamål. Avgränsningar eller preciseringar av forskningsbegreppet i de legaldefinitioner som finns i 2 § lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) har alltså ingen betydelse för om detta undantag kan tillämpas.
Begreppet forskningsändamål definieras dock inte i dataskyddsförordningen. Viss vägledning kan hämtas i skäl 159, som anger att behandling av personuppgifter för vetenskapliga forskningsändamål
bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Det finns alltså stöd i förordningen för en vidsträckt tolkning av begreppet.
Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Artikel 179.1 i EUF-fördraget anger att:
Unionen ska ha som mål att stärka unionens vetenskapliga och tekniska grund genom att åstadkomma ett europeiskt forskningsområde med fri rörlighet för forskare, vetenskapliga rön och teknik, att främja utvecklingen av unionens konkurrensförmåga, inbegripet inom unionens industri, och att underlätta alla forskningsinsatser som anses nödvändiga enligt andra kapitel i fördragen.
Skäl 159 breddar även begreppet genom att ange att vetenskapliga
forskningsändamål också bör omfatta studier som utförs i allmän-
hetens intresse inom folkhälsoområdet. Slutligen, och av betydelse för hantering av forskningsdata i replikeringsstudier, utredningar om oegentlighet i forskning m.m., anger skäl 159 att för att tillgodose forskningens särskilda krav bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål.
Av betydelse för registerbaserad forskning är att förordningen i skäl 157 lyfter fram att forskare kan erhålla ny kunskap av stort värde genom att koppla samman information från olika register. För att underlätta vetenskaplig forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt. Enligt vår bedömning talar detta skäl även för att i nationell rätt införa villkor och skyddsåtgärder för särskilda databaser för forskningsändamål.
Ytterligare underlag för tolkning av begreppet forskningsändamål finns i Artikel 29-gruppens riktlinjer om samtycke enligt dataskyddsförordningen.14 I samband med dataskyddsförordningens skäl 33, som behandlar situationer där det inte är möjligt att på ett tidigt
14 Article 29 Data Protection Working Party, Guidelines on Consent under Regulation
2016/679 (WP259), s. 27. Artikel 29-gruppen är en oberoende rådgivande EU-instans för
skydd av personuppgifter och privatlivet. I samband med att dataskyddsförordningen börjat tillämpas har den ersatts av Europeiska Dataskyddsstyrelsen.
stadium fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål, uttalar man följande om begreppet forskningsändamål (scientific research purposes):
[T]he WP29 considers the notion may not be stretched beyond its common meaning and understands that ‘scientific research’ in this context means a research project set up in accordance with relevant sector-related methodological and ethical standards.”
Dataskyddsförordningen ger i artikel 9.2 j en möjlighet för medlemsstaterna att införa nationell lagstiftning som tillåter behandling av känsliga personuppgifter för forskningsändamål. Det är därför av betydelse för utredningens uppdrag hur forskningsändamål i förordningens mening ska uttolkas när det gäller om personuppgiftsbehandling i en forskningsdatabas som ska stödja avgränsade forskningsprojekt utan att själv producera sådana resultat kan anses falla inom definitionen för forskningsändamål.
Vi har i detta slutbetänkande utgått från att personuppgiftsbehandling hos en sådan verksamhet ryms inom förordningens begrepp ”forskningsändamål”. Detta i huvudsak med stöd från skäl 159, men också utifrån skäl 157 som belyser databasers betydelse för forskning. Med beaktande av Artikel 29-gruppens tolkning av forskningsbegreppet anser vi att det är viktigt och nödvändigt att även personuppgiftsbehandling som görs i en forskningsdatabas ska följa relevanta metodologiska och etiska standarder.
3.3.2. Register och databas
Vår bedömning: Termen register har i dataskyddsförordningen en
specifik betydelse som är snävare än den som har använts i svensk lagstiftning. Termen har även i svensk lagstiftning kommit att utmönstras i ett flertal sammanhang. För att undvika osäkerhet i vad som avses undviker vi därför att använda denna term.
Termen databas saknar legaldefinition i dataskyddsförordningen. Vi anser att vi inte behöver definiera begreppet databas för att kunna använda begreppet forskningsdatabas.
Termerna register och databas används ofta synonymt för att beskriva en logisk sammanställning av uppgifter. Enligt Rikstermbanken15 är
databas en mängd data med en gemensam struktur, lagrade på ett sätt
som möjliggör sökning och presentation enligt olika kriterier. Man brukar skilja på begreppen databas och databashanterare, där det senare är den tekniska lösning (programvara) som används för att åstadkomma själva sökningen och presentationen.16
Termen ”databas” används inte alls i dataskyddsförordningen. I stället anges i regleringen av dess tillämpningsområde (artikel 2.1) att den är tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg. Det finns alltså inte något krav på att informationen ska vara strukturerad på något särskilt sätt för att dataskyddsförordningen ska vara tillämplig, utan det är tillräckligt att informationen behandlas, helt eller delvis, på automatisk väg. Det räcker i princip med att informationen finns digitalt lagrad. Även personuppgifter som förekommer i material som helt saknar struktur som möjliggör sökning och presentation, exempelvis uppgifter som framgår av digital video eller av inskannade dokument som inte OCRbehandlats, omfattas av dataskyddsförordningen.
Utöver digitalt lagrat material omfattar dataskyddsförordningen, likt tidigare dataskyddsdirektivet och personuppgiftslagen, även ”annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”. Begreppet register definieras i artikel 4.6 som ”strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier”. Motsvarande definition finns i dataskyddsdirektivet (artikel 2 c) och personuppgiftslagen (5 § andra stycket). För att en strukturerad samling ska anses vara tillgänglig för sökning eller sammanställning enligt särskilda kriterier har Regeringsrätten17ansett att det krävs något särskilt arrangemang för sökning bland uppgifterna, t.ex. i form av kortregister, sökmarkörer eller liknande, och att det därigenom ska finnas möjlighet till sökning av olika personuppgifter på ett betydligt effektivare sätt än i form av en genomgång och granskning dokument för dokument.
15 Rikstermbanken är Sveriges nationella termbank, www.tnc.se 16 I vardagligt tal används ibland ”databas” för att avse även den funktionalitet som åstadkommer sökning och presentation. I denna framställning försöker vi dock skilja på själva samlingen av uppgifter som sådan och den infrastruktur, inklusive programvara som, krävs för att tillgängliggöra information från denna samling. 17RÅ 2001 ref 35 (KTH).
Ytterligare vägledning till begreppet kan fås från förordningens engelska översättning, där termen register har översatts med ”filing system”. Distinktionen är dock av begränsad betydelse för dagens forskningsdatabaser som uteslutande rör behandling av uppgifter på automatisk väg.
Begreppet databas används även i andra delar av den svenska lagstiftningen, ibland med olika definitioner. Enligt 1 kap. 1 § 5 stycket yttrandefrihetsgrundlagen avses med databas en samling av information lagrad för automatiserad behandling. Begreppet infördes i yttrandefrihetsgrundlagen år 2003 och ersatte då det registerbegrepp som tidigare använts.
På samma sätt utmönstrades i oktober 2001 termen ”register” ur ett antal författningar på skatte-, exekutions- och tullväsendets område för att i stället ersättas med termen ”databas”. Som skäl för en sådan begreppsmässig ändring anfördes att begreppet register även har en teknisk anknytning och därför kan ha olika innebörd för olika yrkesgrupper. Vidare för begreppet tankarna till ett på visst sätt organiserade eller systematiserade samlingar av uppgifter. Detta är inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar osv.18
Inom upphovsrättens område reglerar 49 § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk en form av till upphovsrätten närstående ensamrätt som tidigare kallats katalogskydd, men som nu, efter genomförandet av EU:s databasdirektiv19 oftare benämns databasskydd. Skyddsobjektet omfattar sådana arbeten i vilket ett stort antal uppgifter har sammanställts eller vilka är resultatet av en väsentlig investering. För att arbetet ska omfattas av det aktuella skyddet finns ett visst krav på att uppgifterna ska vara systematiskt och metodiskt sammanställda, dvs. ett visst krav på en struktur i databasen.20
Även om begreppet databas saknar en brett tillämplig legaldefinition i nationell rätt eller unionsrätten är det ett användbart begrepp som är väl etablerat i både juridiskt och allmänt språkbruk. Vi finner inte att vi behöver definiera begreppet databas närmare, men
18 Regeringens proposition Behandling av personuppgifter inom skatt, tull och exekution (prop. 2000/01:33 s. 88 ff.). 19 Direktiv 96/9/EG av den 11 mars 1996 om rättsligt skydd för databaser. 20 Se allmänt Johan Axhamn, Databasskydd, Stockholms universitet (2016).
avser nedan att föreslå en definition för det mer avgränsade begreppet forskningsdatabas.
3.3.3. Forskningsdatabas m.m.
Vårt förslag: Vi föreslår i avsnitt 8.7 att forskningsdatabas ska
definieras som en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt.
Det finns flera begrepp som beskriver de samlingar av uppgifter som forskare använder; t.ex. forskningsregister och forskningsdatabaser. För att beskriva forskningsdatabaser som samlar in uppgifter för flera tänkbara forskningsprojekt används ibland också begreppet databas-
infrastruktur eller infrastruktur för forskning.
Registerforskningsutredningen använde i sitt förslag till lag om forskningsdatabaser följande definition av ordet forskningsregister:
Med register avses i detta sammanhang i första hand strukturerade samlingar av personuppgifter som har upprättats inom myndigheter för primärt andra ändamål än forskning. […] Med register avses i utredningsdirektiven dock även vissa uppgiftssamlingar som primärt är skapade för forskningsändamål.21
Registerforskningsutredningen definierade vidare begreppet forsk-
ningsdatabas på följande sätt:
en databas (uppgiftssamling) med uppgifter som samlas in från enskilda individer eller från myndighetsregister och som är en nationell infrastruktur för att tillhandahålla uppgifter till flera olika framtida forskningsprojekt.
Vår bedömning är att begreppet forskningsdatabas i den definition som registerforskningsutredningen använt fortsatt är ett värdefullt begrepp. Vi har därför valt att använda begreppet ifråga för sådana databaser som samlar in uppgifter för flera tänkbara forskningsprojekt. Vi har också valt i stort sett samma definition av begreppet som Registerforskningsutredningen. Vi föreslår dock en mindre förenkling av begreppets definition, som inte är avsedd att innebära
någon förändring av betydelsen i sak. Hänvisningen till nationell infrastruktur tillför inte något för förståelsen av begreppet och riskerar en sammanblandning med det bredare begreppet forskningsinfrastruktur, se avsnitt 3.3.4 nedan. Den ersätts därför med begreppet nationell resurs. Forskningsdatabasen ska vara en nationellt tillgänglig resurs. En databas som endast är tillgänglig för en begränsad krets användare utgör inte en forskningsdatabas enligt vår definition.
Vi definierar således forskningsdatabas som en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt (avsnitt 8.7.1). Utanför lagens definition faller således forskningsregister som har skapats för ett visst projekt, en del av ett projekt eller på ett på liknande sätt bestämd forskning
Vi ser däremot inte någon anledning att närmare definiera och använda begreppet forskningsregister. Med tanke på dataskyddsförordningens definition av register som något som i första hand rör icke-automatiserad behandling av personuppgifter riskerar begreppet med Registerforskningsutredningens definition att vilseleda.
3.3.4. Forskningsinfrastruktur eller databasinfrastruktur för forskning
Vår bedömning: Vi skiljer på de uppgiftssamlingar som våra för-
slag syftar till att möjliggöra (forskningsdatabaser) och de tjänster som tillgängliggör uppgifterna från dessa uppgiftssamlingar. De senare kallar vi med ett gemensamt begrepp databasinfrastruktur för
forskning. Sådan databasinfrastruktur för forskning är en form av
forskningsinfrastruktur, men eftersom det senare begreppet även omfattar basutrustning, forskningsmaterial, IKT-infrastrukturer m.m. är det för brett för att användas i denna framställning.
Registerforskningsutredningen har i sin definition av forskningsdatabas angett att en sådan utgör en nationell infrastruktur. Det föranleder oss att närmare definiera vad vi menar med sådan infrastruktur och vilken eller vilka termer som är lämpliga att använda för begrepp på området.
Med forskningsinfrastruktur avses vanligen olika medel som är nödvändiga för att utföra forskning, jfr definitionen i artikel 2 i ERICförordningen:22
anläggningar, resurser och därmed sammanhängande tjänster som forskarsamhället använder för att genomföra spetsforskning på alla områden; denna definition omfattar vetenskaplig basutrustning och forskningsmaterial, kunskapsbaserade resurser som samlingar, arkiv och strukturerad vetenskaplig information, IKT-infrastrukturer som nät, datorutrustning, programvara och kommunikationsverktyg samt alla andra unika medel som är nödvändiga för att uppnå vetenskaplig excellens. Sådana forskningsinfrastrukturer kan vara lokaliserade på en enda plats eller organiserade i ett nät (”spridda”).
Det är alltså fråga om ett brett begrepp som visserligen kan innefatta databaser (eftersom dessa får anses vara kunskapsbaserade resurser i form av strukturerad vetenskaplig information), men som även innefattar fysiska resurser som utrustning och material som inte kan sägas omfatta forskningsdatabaser.
Ett mer avgränsat begrepp som använts är databasinfrastruktur för
forskning.23 Vi avser med denna term alla former av tjänster som till-
gängliggör information från en forskningsdatabas, och som forskare kan använda för att hämta dessa uppgifter. I begreppet innefattas även den nödvändiga förvaltningen av den uppgiftssamling som utgör forskningsdatabasen, samt dokumentation i form av variabeldefinitioner, datakvalitet uppdateringsfrekvenser, täckningsgrad m.m.
3.3.5. Registerforskning eller registerbaserad forskning
Vår bedömning: Med begreppet registerbaserad forskning avser vi
den vetenskapliga metodik eller vetenskapliga metodinslag som utredningens förslag syftar till att underlätta, dvs. sådan forskning som använder sig av uppgifter från forskningsdatabaser.
Termen registerforskning är enligt utredningen för allmän för att på ett rättvisande sätt beskriva den typ av forskning med hjälp av olika samlingar av personuppgifter som vi har att avhandla i detta betänkande.
22 Rådets förordning (EG) nr 723/2009 av den 25 juni 2009 om gemenskapens rättsliga ram för ett konsortium för europeisk forskningsinfrastruktur (Eric-konsortium). 23 Jfr Vetenskapsrådets rapport Rättsliga förutsättningar för en databasinfrastruktur för forskning (11:2010).
Det finns även flera begrepp än ovan nämnda som beskriver den forskning som bedrivs med hjälp av personuppgifter i olika register eller databaser; registerforskning, registerbaserad forskning, databaserad forskning, datadriven forskning och användning av registerdata i forskning m.m.
Enligt vad som framgår på webbplatsen registerforskning.se24 är
registerforskning, eller mer korrekt registerbaserad forskning, forsk-
ning som använder sig av uppgifter från ett eller flera register som förs av myndigheter eller andra organisationer.
Med registerbaserad forskning avsågs i Statistikutredningens delbetänkande25 sådan forskning som använder sig av uppgifter som kan knytas till fysiska personer, härrör från myndigheter eller andra organisationer och som i första hand inte primärt är insamlade för forskningsändamål. Det kan enligt Statistikutredningen också röra sig om forskning med personuppgifter som samlats in för forskningsändamål där personidentifikationen behålls under längre tid och där personerna följs upp med ny datainsamling vid ett eller flera tillfällen.
Termen registerforskning är enligt utredningen för allmän för att på ett rättvisande sätt beskriva den typ av forskning med hjälp av olika samlingar av personuppgifter som vi ska avhandla i detta betänkande. Registerbaserad forskning är en något mer adekvat beteckning, eftersom den bättre beskriver att forskningen görs med hjälp av uppgifter ur register. Vi avser i denna framställning sådan forskning som görs såväl med hjälp av uppgifter ur forskningsdatabaser som sådana uppgifter som inte primärt är insamlade eller sammanställda för forskningsändamål.
3.3.6. Forskningshuvudman
Vårt förslag: Vi föreslår i avsnitt 8.7 att med forskningshuvudman
ska avses detsamma som i etikprövningslagen.
24 Vetenskapsrådet har i uppdrag av regeringen att inom myndigheten bygga upp en verksamhet för att förbättra tillgängligheten till registeruppgifter i Sverige för forskningsändamål och underlätta användningen av dessa. Webbplatsen är ett led i detta arbete. 25SOU 2012:36, s. 19.
Vi ser ett behov av att reglera vilka forskningshuvudmän som får behandla personuppgifter i forskningsdatabaser och som ska ansvara för att det görs på ett ändamålsenligt och säkert sätt. Enligt 2 § etikprövningslagen är en forskningshuvudman en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs.
I vårt författningsförslag ska vissa forskningshuvudmän få ansvara för forskningsdatabaser under angivna förutsättningar (se avsnitt 8.7.2 och 8.8.2). Vi utgår i våra förslag från samma definition av forskningshuvudman som används i etikprövningslagen.
3.3.7. Program och projekt
Vår bedömning: Det finns inget behov av att närmare definiera
forskningsprogram i regleringen av forskningsdatabaser.
Med forskningsprojekt avses detsamma som i etikprövningslagen.
Vanliga beskrivningar av den empiriskt inriktade forskningsprocessen innefattar bl.a. bakgrundsstudier, litteraturgenomgång, idégenerering, planering, författande av forskningsansökan, eventuell etikprövning, datainsamling, konstruktion av databas, lagring av data (t.ex. personuppgifter), analys av data, manusförfattande, publicering, dokumentation (bl.a. av data), samt arkivering av data. I vissa sammanhang kan denna process vara utsträckt i tiden över många år. Detta är särskilt vanligt förekommande om forskningen följer ett forskningsprogram med flera enskilda separata forskningsprojekt som ingående delar.
Vi avser att i vårt huvuduppdrag föreslå reglering för forskningsdatabaser som hanteras utanför ramen för ett enskilt forskningsprojekt. Med forskningsprojekt menar vi detsamma som avses med motsvarande begrepp i 6 § etikprövningslagen.26
Inom ramen för ett större forskningsprogram kan initiativ till nya forskningsdatabaser uppstå. Eftersom begreppet forskningsprogram, till skillnad från forskningsprojekt, inte har någon rättslig betydelse vad gäller personuppgiftsbehandling ser vi dock inte ett behov av att närmare definiera detta begrepp. De avgörande kriterierna för att en forskningsdatabas ska kunna skapas är inte avhängiga om verksamheten är organiserad som ett forskningsprogram eller på något annat sätt.
26 Angående detta begrepps avgränsning, se regeringens proposition Etikprövning av forskning (prop. 2002/03:50), s. 195.
3.3.8. Forskningsperson
Vår bedömning: Med forskningsperson avses i denna framställ-
ning en registrerad vars uppgifter används för forskning.
Med forskningsperson avses en levande människa som någon viss forskning avser (jfr 2 § etikprövningslagen). Begreppet kan omfatta såväl en person som undersöks fysiskt, som en person vars personuppgifter ingår i ett forskningsunderlag.
Med registrerad avses enligt artikel 4.1 i dataskyddsförordningen en identifierad eller identifierbar fysisk person vars personuppgifter behandlas.
När en forskningspersons personuppgifter ingår i ett forskningsunderlag på ett sådant sätt att det är fråga om behandling av dennes personuppgifter är samma fysiska person såväl en forskningsperson som en registrerad.
3.3.9. Fjärråtkomst, direktåtkomst till och annat utlämnande från forskningsdatabaser
Vår bedömning: Med direktåtkomst avser vi sådan åtkomst där
upptagningar som kan innehålla personuppgifter är tillgängliga för en mottagande myndighet med ett tekniskt hjälpmedel som myndigheten själv utnyttjar.27
Vi använder begreppet även i sammanhanget direktåtkomst för den registrerade till sina egna uppgifter, och avser då samma form av åtkomst som patientdatalagen (2008:355) möjliggör. Även begreppet elektronisk åtkomst används på samma sätt som i patientdatalagen.
Med automatiserat utlämnande avser vi sådan automatiserad åtkomst till forskningsdatabaser som erbjuds forskare och enskilda forskningspersoner, och som är utformad på så sätt att den ansvariga för forskningsdatabasen har kontroll över om och i så fall vilka uppgifter som ska lämnas ut i varje enskilt fall.
27 Detta är samma definition som Högsta förvaltningsdomstolen använt i HFD 2015 ref. 61.
Begreppet direktåtkomst förekommer i ett antal författningar och har under lång tid diskuterats, särskilt i samband med informationsutbyte mellan myndigheter.28 Med direktåtkomst mellan myndigheter avses sådan tillgång till uppgifter i ett datorsystem där den myndighet som förfogar över systemet i vilket uppgifterna lagras (den utlämnande myndigheten) inte i det enskilda faller har kontroll över vilka uppgifter som förs över till annan myndighet (den mottagande myndigheten). Annan typ av informationsutbyte mellan myndigheter och även mellan myndigheter och enskilda betecknas vanligen (annat)
elektroniskt utlämnande (eller i äldre sammanhang utlämnande av personuppgifter på medium för automatiserad behandling).
Innebörden av begreppet direktåtkomst i socialförsäkringsbalken har varit föremål för bedömning i en dom från Högsta förvaltningsdomstolen.29 Den avgörande skiljelinjen mellan direktåtkomst och annat elektroniskt utlämnande knöts i domen till om uppgifterna kunde anses vara förvarade hos den mottagande myndigheten utifrån definitionen i 2 kap. 3 § andra stycket tryckfrihetsförordningen. Uppgiftsutlämnandet förutsatte i det fallet att den utlämnande myndigheten reagerade på en begäran från den mottagande myndigheten. Den mottagande myndigheten ansågs därför inte ha tillgång till uppgifterna på så sätt som krävs enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen.
I Högsta förvaltningsdomstolens avgörande behandlades begreppet så som det används i socialförsäkringsbalken vad gäller socialförsäkringsdatabasen och i sammanhanget där en myndighet är mottagande part (114 kap.18–22 §§socialförsäkringsbalken). Den registrerade har inte möjlighet att få tillgång till sina uppgifter i socialförsäkringsdatabasen genom direktåtkomst.
I patientdatalagen används begreppet även för att beskriva direkt-
åtkomst för den registrerade (patienten). Lagen tillåter att privat-
personer kan medges direktåtkomst till sina uppgifter (5 kap. 5 § patientdatalagen). När vi i avsnitt 8.11.6 diskuterar direktåtkomst för den registrerade själv använder vi begreppet på samma sätt som i patientdatalagen.
28 Se särskilt E-delegationens rapport Direktåtkomst och utlämnande på medium för automatiserad
behandling (2012), Informationshanteringsutredningens slutbetänkande Myndighetsdatalag
(SOU 2015:39) och eSam Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk
form.
29 Detta är samma definition som Högsta förvaltningsdomstolen använt i HFD 2015 ref. 61.
Gemensamt för de båda formerna av direktåtkomst är att det är fråga om en viss form av elektroniskt utlämnande där den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av.30
Det vanliga förfarandet för att få ut uppgifter lagrade i en forskningsdatabas torde vara att den forskare som behöver uppgifterna, med stöd av ett automatiserat system, formulerar en begäran omfattande vissa uppgifter, och att forskningsdatabasen, likaledes automatiserat, svarar på denna begäran med de uppgifter som enligt databasens konfigurerade regler kan lämnas ut. Det torde därför vara fråga om annat elektroniskt utlämnande. För att understryka dels att detta förfarande är huvudregeln, dels att det är fråga om automatiserad kommunikation mellan två digitala system, använder vi termen
automatiserat utlämnande för sådan åtkomst.
Begreppet är skiljt från begreppet fjärråtkomst, med vilket i registerbaserade forskningssammanhang avses åtkomst till en it-miljö i vilken man kan arbeta med data i en forskningsdatabas, utan att de enskilda uppgifterna behöver överföras till forskarens eget it-system (se vidare i avsnitt 8.11.5 om begreppet och dess potential att uppnå uppgiftsminimering, samt avsnitt 4.2.3 om just forskningens behov av fjärråtkomst).
Samtliga ovanstående begrepp rör situationer där uppgifter lämnas ut till eller tillgängliggörs för en part utanför den organisation som har uppgifterna. Även internt inom en sådan organisation förekommer förstås att en anställd behöver tillgång till uppgifterna för att kunna fullgöra sina arbetsuppgifter. Vi använder termen elektronisk åtkomst för denna form av tillgång till uppgifter inom organisationen, vilket motsvarar det begrepp som används i 4 kap.2–4 §§patientdatalagen.
3.3.10. Centraliserad och decentraliserad
Begreppsparet centraliserad/decentraliserad används i det följande för att beskriva både beslutsfattandet avseende forskningsdatabaser och för drift och övrigt förvaltande av själva databaserna, inklusive var uppgifterna fysiskt lagras.
Med centraliserat beslutsfattande avser vi en sådan process där en central part (myndighet) har ansvaret för och kompetensen att fatta
30 Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126), s. 87.
de aktuella besluten, även om beslutet rör andra parters verksamhet. Med decentraliserat beslutsfattande avser vi situationen att parten själv ansvarar för beslut rörande sin egen verksamhet.
Med en centraliserad databas avses i stället en lösning där den faktiska lagringen av uppgifter, såväl som förvaltandet av itsystemet, utförs hos en och endast en part. Uppgifterna i en sådan databas kan i och för sig härstamma från olika källor (insamlade direkt från forskningspersonerna, hämtade från myndighetsregister, eller från andra källor), men det avgörande är att en part lagrar uppgifterna på ett ställe och ansvarar självständigt för den behandling som denna lagring (och utlämnande) utgör.
En decentraliserad databas har i stället delat upp förvaltning och lagring av data i flera separata, samverkande system. En sådan lösning benämns ofta distribuerad databas. Ett specialfall av detta är s.k. federerade databaser, där de ingående systemen har en hög grad av självständighet och heterogenitet.31 Det kan exempelvis vara fråga om register hos flera olika myndigheter som med automatiserat utlämnande momentant tillgängliggör uppgifter på ett sådant sätt så att det för användaren framstår som en sammanhållen databas.
31SOU 2017:50 s. 261 f.
4. Behov av forskningsdatabaser
4.1. Inledning
I direktiven till denna utredning anges att utredaren ska föreslå en långsiktig reglering av forskningsdatabaser och lämna de författningsförslag som behövs.1 Förslag till anpassning av viss befintlig reglering till den allmänna dataskyddsförordning2 som ska tillämpas fr.o.m. 25 maj 2018 har utredningen tillsammans med andra förslag lämnat i tidigare delbetänkande.3
Vad gäller lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (den s.k. LifeGene-lagen) är den tidsbegränsad, men har i avvaktan på en långsiktig lösning i flera omgångar fått förlängd giltighetstid.4 Regeringen och riksdagen har även i vissa andra fall sett ett behov av att inrätta långsiktiga forskningsdatabaser med breda ändamål. Det råder en rättslig osäkerhet inom detta område som har resulterat i speciallagstiftning i vissa fall. I kapitel 5 redogör vi för de rättsliga förutsättningarna för forskningsdatabaser.
Förslag till reglering av forskningsdatabaser har tidigare lämnats av Registerforskningsutredningen,5 men detta har ännu inte lett till några författningsförslag. Mot bakgrund av att rättsläget nu genom reformer på europeisk nivå blivit tydligare har regeringen efterfrågat en långsiktig generell lösning för forskningsdatabaser. En lösning behövs som tar hänsyn till bland annat den utredningens och Utredningens
1 Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65). 2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 3 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). 4 Riksdagen har beslutat att förlänga denna lags giltighet till och med den 31 december 2020 (Prot. 2017/18:27 8 november § 15). 5 Registerforskningsutredningens slutbetänkande Unik kunskap genom registerforskning (SOU 2014:45).
om regleringen av biobanker6 slutbetänkanden, samt de möjligheter och begränsningar som kan finnas med anledning av dataskyddsförordningen och dess kompletterande svenska lagstiftning.7
I Registerforskningsutredningens betänkande görs noggranna genomgångar av fördelarna med såväl registerbaserad forskning i allmänhet som forskningsdatabaser i synnerhet. Vi gör bedömningen att de slutsatser beträffande behovet av forskningsdatabaser som Registerforskningsutredningen redovisade alltjämt i stort sett är relevanta. Vi hänvisar därför till det betänkandet när det gäller utredningen av behovet av forskningsdatabaser. Vi kommer i betänkandet endast att komplettera den utredning som redan gjorts, bl.a. med hänsyn till utvecklingen i samhället efter det att Registerforskningsutredningen lämnade sitt betänkande i juni 2014.
Detta kapitel tar därför sin utgångspunkt i Registerforskningsutredningens bedömningar. Vi har i uppdrag att komma med förslag som reducerar eller eliminerar den rättsliga osäkerheten. Vi ska föreslå en generell reglering som underlättar personuppgiftsbehandling i forskningsdatabaser samtidigt som den tillvaratar de krav på skydd av den personliga integriteten som den nya dataskyddsförordningen tillsammans med kompletterande och redan existerande bestämmelser ställer upp.
4.2. Behövs det särskilda forskningsdatabaser?
I Registerforskningsutredningens betänkande diskuteras varför registeruppgifter är bra för forskning och vilka fördelar det finns med forskningsdatabaser.8 I korthet argumenteras där för att man med heltäckande stora befolkningsregister kan
- studera ovanliga företeelser som förekommer alltför sparsamt i exempelvis urvalsundersökningar,
- genom personnummer göra kopplingar mellan undersökningar av mindre grupper (t.ex. genom urval) och heltäckande register där alla individer kan återfinnas,
6 Utredningens om regleringen av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4). 7 Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. 8SOU 2014:45, s. 93–114.
- koppla uppgifter från biologiska prover i biobanker med uppgifter om personer i hälsodataregister, kvalitetsregister eller andra register från exempelvis Statistiska Centralbyrån (SCB),
- på lång sikt följa upp konsekvenser av tidigare händelser,
- kartlägga den sociala omgivningens betydelse för individuella handlingar,
- studera skillnader i sociala insatser och socialpolitiskt relevanta åtgärder mellan kommuner och regioner,
- genomföra longitudinella studier där personer kan följas över långa tidsperioder utan att andra spårningsinsatser än personnummer och heltäckande registeruppgifter finns, och
- simulera effekterna av ekonomiska och socialpolitiska reformer i skilda befolkningsgrupper.
Det har sammantaget ofta framhållits att tillgången till registeruppgifter med personnummer har inneburit en stor potential för framgångsrik svensk forskning som bör utnyttjas bättre.9 Denna värdering återspeglas också i utredningens direktiv. Vi betraktar detta som utgångspunkt för den fortsatta analysen.
Uppgiften är att föreslå en långsiktig lösning på de behov som hittills enbart resulterat i lagstiftning om inrättande av vissa specificerade forskningsdatabaser. Frågan om det utöver myndighetsregistren och hälso- och sjukvårdens biobanker behövs särskilda databaser eller biobanker avsedda huvudsakligen eller enbart för forskning, ägnas uppmärksamhet i Registerforskningsutredningen.10 I det följande redogör vi kortfattat för deras slutsatser.
4.2.1. Registerforskningsutredningens bedömning
Ett första preliminärt svar på om det behövs särskilda databaser för forskning går att få fram genom att undersöka den faktiska förekomsten av befintliga databaser som fungerar som underlag för ett
9 Se exempelvis regeringens proposition Kunskap i samverkan för samhällets utmaningar och
stärkt konkurrenskraft, (prop 2016/17:50) s. 97–98.
flertal forskningsprojekt.11 En undersökning av detta slag inom samhällsvetenskap och medicin resulterade i en uppskattning av att det år 2014 förekom minst 50 sådana databaser.12 Uppskattningen var troligen en underskattning av det verkliga antalet. Inventeringen innehåller exempelvis inte många av de forskningsbiobanker13 som används av flera projekt.14 Ingen förnyad uppskattning av antalet har gjorts efter detta.
Av detta kan man dra slutsatsen att forskningsdatabaser redan används i betydande omfattning inom ett antal centrala forskningsområden. Registerforskningsutredningen hänvisar också till att det utöver svenska forskningsdatabaser finns utländska initiativ för att bygga upp databaser i Europa och USA. Man pekar på den satsning på forskningsinfrastruktur som gjorts av Vetenskapsrådet och som är en del av det europeiska programmet för utveckling av forskningsinfrastrukturer, ESFRI.15 I den satsningen utgör databaser en viktig komponent. Detta behov framhålls även i den uppdaterade nationella guide till infrastrukturen som Vetenskapsrådet har publicerat efter Registerforskningsutredningens betänkande.16 Det har ofta framhållits att tillgången till registeruppgifter med personnummer har inneburit en stor potential för framgångsrik svensk forskning och att denna resurs bör utnyttjas bättre.
Varför är det då inte tillräckligt att bygga upp fokuserade datamängder som inriktas på enskilda projekt? Registerforskningsutredningen anger att forskningsdatabaser kan möjliggöra olika forskningsinsatser inom breda fält17 och citerar Vetenskapsrådet som anger att forskningsdatabaser som infrastruktur handlar om ”material som kräver långsiktighet i planering, finansiering och användande och är för dyr och/eller kräver sådana tekniska och personella resurser att det
11 Den nuvarande rättsliga grunden för att använda dessa personuppgifter för fler än ett ändamålsavgränsat projekt berörs inte här, men kan i allmänhet hänföras till det undantag från finalitetsprincipen som finns i 9 § personuppgiftslagen och som gäller vidareutnyttjande av uppgifter för bland annat forskningsändamål. 12 Erikson R., Andersson-Rydell L., Nationell samordning av frågeundersökningar och längd-
snittsstudier, Vetenskapsrådet 2014.
13 En förteckning över drygt 100 sådana provsamlingar återfinns på BBMRI.SE. 14 Några studier som kombinerar lagring av prover med andra uppgifter, LifeGene och EpiHealth, finns däremot med. 15 European Strategy Forum on Research Infrastructures, http://www.esfri.eu/roadmap-2016 16Vetenskapsrådets guide till infrastrukturen 2014, Vetenskapsrådet 2015, s. 10. 17SOU 2014:45, s. 349.
inte kan finansieras lokalt eller inom ramen för ett enskilt forskningsprojekt”.18 Det huvudsakliga generella skäl som anförs för gemensamma databasresurser synes således vara att de medel som satsas på forskning ska användas på ett rationellt och resursbesparande sätt.
Det finns ytterligare skäl för forskningsdatabaser när det existerar behov av att i forskningen använda uppgifter från befolkningsregister, som har samlats in av centrala och regionala myndigheter för andra ändamål än forskning. Registerforskningsutredningen hade vid kontakter med omkring femtiotalet forskare19 fått del av följande motiv till varför forskningsdatabaser med uppgifter från myndighetsregister behövs:
- Det tar tid och kostar pengar att få ut uppgifter från exempelvis
SCB.
- Uppgifterna från myndighetsregistren går ofta inte att använda direkt utan kräver bearbetning, vilket tar tid, alltifrån några månader till ett år eller mer.
- Mindre fel i underlaget som inte spelar någon roll när myndigheter som SCB tar fram officiell statistik kan vara viktiga i forskningen och måste korrigeras.
- Forskare måste ofta konstruera egna variabler genom att kombinera uppgifter ur olika register.
- Det kräver tid och träning att lära sig vilka styrkor och svagheter en databas har, för att förstå hur den kan användas. Det är viktigt att några har den kompetensen för att kunna bistå forskare i konkreta forskningsprojekt.20
Registerforskningsutredningen tog också ställning till om det skulle vara tillåtet och praktiskt möjligt att i stället för lokalt lagrade forskningsdatabaser bestående av uppgifter som satts samman från olika källor (i det följande kallat sambearbetade forskningsdatabaser) använda sig av fjärranslutning till de datakällor som behövs.
18 Vetenskapsrådet utredning 2005 Om forskningens infrastrukturer inom humaniora och
samhällsvetenskap, citerad i SOU2014:45 s. 350.
19 Registerforskningsutredningen samtalade under tre månaders tid våren 2013 med femtiotalet forskare vid sju särskilda forskarmöten, deltog utöver detta i flera forskarkonferenser och arrangerade våren 2014 ett särskilt seminarium med ledande forskare. 20SOU 2014:45 s. 356–357.
Vid SCB finns ett system för fjärråtkomst, Microdata Online Access (MONA). Det gör det möjligt att hos SCB lagra och använda forskningsregister med uppgifter som genererats såväl genom insamling i forskningsprojekt som insamling och bearbetning av uppgifter från myndighetsregister.21 Denna resurs fungerar väl när de forskargenererade uppgifterna är av begränsad omfattning och myndighetsuppgifterna tas från register som förs av eller lagras vid SCB och används inom den officiella statistiken vid myndigheten. MONA-systemet kan i viss utsträckning tillhandahålla åtkomst till uppgifter även från andra myndigheter än SCB. Den möjligheten har dock inte kunnat användas i så stor utsträckning. Socialstyrelsen har t.ex. ansett att det finns legala hinder för att lägga fullständiga kopior av hälsodataregistren i MONA. Man har också, i den utvärdering som gjordes av MONA strax efter Registerforskningsutredningens betänkande, angivit att en rad rättsliga och finansieringsfrågor behöver genomlysas innan myndigheten är beredd att införa ett eget system för fjärråtkomst.22 Registerforskningsutredningens rekommendation att liknande system skulle etableras inom andra myndigheter, inte minst Socialstyrelsen, har således inte efterlevts.23
Det förekommer fall där många databaskällor varit aktuella och där omfattningen av de data som behöver kombineras är för stor för MONA. Det gäller exempelvis när uppgifter från biobanker ska sambearbetas med hälsodataregister och med uppgifter från SCB. Data kan också förändras i en alltför snabb takt för att ett MONAliknande system ska vara lämpligt. Man har då undersökt möjligheten till s.k. federerade databaser, som innebär att data från olika källor sammankopplas vid analystillfället utan att uppgifterna behöver förflyttas fysiskt till en gemensam databas som lagras vid ett och samma ställe.24 Vid tiden för Registerforskningsutredningens betänkande fanns ännu inte federerade system av den storleksordning och med den generella inriktning som skulle kunna utgjort ett realistiskt alternativ till fysiskt sambearbetade och lokalt hanterade databaser av det slag som utredningen föreslog. Utredningen konstaterade:
21 Microdata Online Access, https://www.scb.se/sv_/Vara-tjanster/Bestalla-mikrodata/MONA/# 22Evaluation of the MONA system (Microdata Online Access). Vetenskapsrådets rapporter 2014, s. 19–20. 23SOU 2014:45, s. 363–364. 24SOU 2014:45, s. 364.
För att ett federerat system kan vara användbart i stor skala krävs ett omfattande och tekniskt avancerat utvecklingsarbete. (……) Det kan finnas skäl för regeringen att överväga att inrätta en särskild delegation för att följa detta arbete och ta de ytterligare initiativ som kan behövas. Regeringen har i den senaste forskningspropositionen25 aviserat ett initiativ men ännu har inget sådant tagits.26
4.2.2. Har förutsättningarna ändrats sedan 2014?
Vår bedömning är att de ovan angivna motiven för forskningsdatabaser i stora drag alltjämt gäller. Det är dock inte tydligt vilka förutsättningar det finns för att på ett rättsenligt sätt behandla personuppgifter i en forskningsdatabas. Forskningsdatautredningen har till uppgift att föreslå en långsiktig lösning på detta problem. I detta avsnitt redogörs för den utveckling som skett på området sedan 2014. När det gäller utbyggnad av de registerresurser som är potentiellt intressanta i samhället har utveckling främst skett inom dessa områden:
- Digitaliseringen har utvecklats allt mer, framför allt med avseende på möjligheterna till distansarbete och på den teknik som medger att användare på ett säkert sätt kan fjärransluta sig till gemensamt tillgängliga resurser.
- Antalet nationella kvalitetsregister inom hälso- och sjukvården har ökat och en gemensam organisation för hantering av uttag för forskningsändamål m.m. har byggts upp.27
- Befintliga resurser inom biobanksområdet har samordnats, samarbetet mellan det nationella biobanksrådet och BBMRI28 har förstärkts, och ytterligare en offentlig utredning har rekom-menderat inrättandet av ett nationellt biobanksregister.29
- Den registerbaserade folkbokföring som baseras på lägenhetsregistret och Skatteverkets uppgifter ger en mer komplett och
25 Regeringens proposition Forskning och innovation (prop. 2012/13:30). 26SOU 2014:45 s 364. Se även s. 337–340. 27 Enligt patientdatalagen (2008:355) är kvalitetsregister en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. 28 Biobank and Molecular Resource Infrastructure, en europeisk infrastruktur för forskning med användning av biologiska prover. 29SOU 2018:4.
rättvisande bild av befolkning, boende och familjebildning i Sverige.
- Viss utveckling av forskaranpassade databaser och registerservice har genomförts vid några myndigheter, exempelvis SCB, Socialstyrelsen och Försäkringskassan.
- Särskilt stöd till registerbaserad forskning i Vetenskapsrådets regi har inletts och myndighetens satsning på stöd till infrastrukturer som innehåller forskningsdatabaser har förstärkts.
I följande avsnitt skisseras digitaliseringens utveckling med avseende på hur forskare utvecklat sina arbetssätt när det gäller användning av personuppgifter. Därefter följer en redogörelse för den utveckling vid statliga och kommunala myndigheter som är relevant för personuppgiftsbehandling för forskningsändamål och som skisserats punktvis ovan. Slutligen görs en bedömning av om fysiskt sammanhållna centraliserade forskningsdatabaser fortfarande är ett önskvärt tillvägagångssätt för att tillgodose behovet av forskning med personuppgifter.
4.2.3. Digitaliseringens inverkan på utveckling av forskningsdatabaser
Traditionella personuppgiftssamlingar för forskningsändamål
Användning i större skala av datorer i forskning inleddes på 1950talet. Den innebar en stegvis genomgripande förändring av forskningens villkor och möjligheter, både vad gäller beräkningsmöjligheter och möjligheten att använda stora datamängder. Inom den forskning som har personer som forskningsobjekt innebar datoriseringen till att börja med att registrerades uppgifter överfördes från insamlingskällan (exempelvis ett frågeformulär, ett provtagningsprotokoll eller en ljudinspelning) till hålkort. Vid analystillfället lästes dessa in för datorbearbetning tillsammans med de styrkort som användes för beräkningarna. Sedermera kunde man spara uppgifterna i datafiler i minnet på en dator eller på disketter, som också innehöll de datorprogram som användes för att analysera uppgifterna. Insamling, förvaltning och användning av data sköttes av enskilda forskare, forskargrupper eller programmerare vid lokala lärosäten och
med användning av terminaler uppkopplade till en eller flera vid lärosätet centralt placerade datorer.
För att få tillgång till uppgifter hos myndigheter krävdes vanligen att forskaren gjorde sina analyser på den fysiska plats där uppgifterna förvarades. Dessa principer tillämpades exempelvis av SCB på 1970talet. Då kunde man som forskare besöka myndigheten för att ta del av uppgifter som ursprungligen hade samlats in för statistikändamål. Utvecklingen ledde efter hand till att det blev möjligt att erhålla kopior av originaluppgifter. De förflyttades då fysiskt till forskarens egna datormiljö. Uppgifter av detta slag levererades ofta i anonymiserad form.
Efter hand uppstod behov av att analysera uppgifter om samma forskningspersoner från olika källor. Detta krävde tillgång till personuppgifter med identifierare. Det svenska personnummersystemet, som är gemensamt för alla samhällssektorer och omfattar alla bosatta i landet, erbjöd här unika möjligheter jämfört med andra länder. Det gjorde det möjligt att komplettera egeninsamlade uppgifter med utdrag från administrativa uppgiftssamlingar och andra källor som använder personnumret. Utvecklingen ledde till att unika forskningsmaterial skapades i varje enskild forskningsmiljö. De bestod ofta av såväl egeninsamlade uppgifter som uppgifter från andra källor.
Överföringen av uppgifter från originalkällan gjordes genom direkta kontakter mellan registerhållaren och användaren. De uppgiftssamlingar som skapades blev därmed avgränsade till de specifika behov som förelåg för det enskilda forskningsprojektet. Sambearbetning av register innehållande uppgifter som härrörde från statistikmyndigheterna med andra uppgifter sköttes ofta av myndigheten. Det var anonymiserade eller pseudonymiserade uppgifter som skickades till forskargruppen.
I Sverige uppstod under 1980-talet en debatt om de integritetsrisker bevarandet av personuppgifter för forskningsändamål innebar. Det uppmärksammades särskilt i samband med att intervjusvar från föräldrar i det s.k. ”Metropolitprojektet” insamlade på 1960-talet senare, i enlighet med den lagstiftning som då gällde, kombinerades med registeruppgifter från myndigheter utan de registrerades vetskap eller godkännande.30 Debatten kring Metropolit bidrog sannolikt till att integritetsfrågorna uppmärksammades särskilt under 1980-talets
30 Se Stenberg S-Å, (2013) Född 1953: Folkhemsbarn i forskarfokus. Borea.
senare hälft.31 Genomgripande förändringar av lagstiftningen kom dock först efter det europeiska dataskyddsdirektivets tillkomst 1995, som 1998 implementerades i Sverige genom personuppgiftslagen (1998:204). De regler som tillkom motsvarade dåtidens behov av koncentrerade uppgiftssamlingar med specifika ändamål.
Utveckling av databibliotek
Under 1960-talet uppstod på olika håll tanken att forskare borde dela med sig av uppgifter till andra forskargrupper. I USA bildades år 1962 ett konsortium för statsvetenskaplig forskning (ICPSR)32 med syftet att utveckla gemensamma dataresurser för forskning. Organisationen omfattar i dag omkring 750 medlemsuniversitet över hela världen och omkring 750 000 uppgiftssamlingar inom ett brett område av akademiska discipliner. En stor majoritet av samlingarna är anonymiserade och öppet tillgängliga, men cirka 2 procent kräver godkännande och är skyddade, bland annat av integritetsskyddande regler. Stora delar av den samhällsvetenskapliga forskningen har, särskilt i USA, grundats på sekundäranalys av data hämtade från konsortiet. Ett flertal svenska universitet är medlemmar och Svensk Nationell Datatjänst (SND) är nationell nod.33 På europeisk nivå finns samarbetsorganisationen Consortium of European Social Science Data Archives (CESSDA-ERIC) med säte i Bergen, Norge.
Utveckling av gemensamma forskningsdatabaser inom samhällsvetenskap och välfärdsforskning
Under 1960- och 70-talen uppstod parallellt insamling av surveydata, dvs. uppgifter insamlade från de registrerade själva med hjälp av intervjuer eller postenkäter, avsedda för fler forskargrupper. Uppgiftssamlingar av detta slag är fortfarande i dag viktiga källor för den svenska och internationella välfärdsforskningen.
31 Integritetsskyddskommitténs delbetänkande Skyddet för den personliga integriteten (SOU 2007:22), s. 510. 32 Miller, W E. (1963), The Inter-University Consortium for Political Research, American Behavioral Scientist 7:3, s. 11–12. 33 SND är således det nationella databibliotek som ingår som Sveriges del av det internationella samarbetet inom ICPSR och CESSDA-ERIC.
I Sverige gav 1968 års Låginkomstutredning upphov till Levnadsnivåundersökningen (LNU), som sedan 1974 har skötts av Stockholms universitet.34 LNU innehåller personuppgifter, men den identifierande nyckelfilen förvaras vid SCB. Uppgifterna identifieras i samband med att de i undersökningen ingående personerna ska återintervjuas, vilket görs med jämna mellanrum. LNU används av flera forskningsprojekt och har kommit att utgöra ett viktigt bidrag till såväl den svenska som internationella socialvetenskapen. Urvalsramen utgörs av vuxna personer bosatta i Sverige i yrkesaktiv ålder. Uppgifterna har i begränsad omfattning kompletterats med uppgifter från myndigheter, exempelvis med avseende på inkomster från självdeklarationer och dödsfall i urvalet, och har utökats med uppgifter om samboende, barn och äldre.
I USA finns en motsvarande frågeundersökning, General Social Survey (GSS).35 Den initierades år 1972 och genomförs av National Opinion Research Center (NORC) vid University of Chicago inom ramen för ”The National Data Program for the Social Sciences”. Programmet syftar såväl till att genomföra social forskning som att tillhandahålla anonymiserade data till samhällsvetare och andra intresserade.36 På hemsidan finns möjlighet att söka data och analysera uppgifter online.
Inom SCB skapades år 1975, delvis också med bakgrund i Låginkomstutredningen, parallellt med LNU årsvisa undersökningar av levnadsförhållanden (ULF). Intervjuer genomförs som återkommande tvärsnittsundersökningar, men en mindre del av urvalet har behållits och återintervjuats med jämna mellanrum. Undersökningen syftar till att ”belysa välfärdens fördelning mellan olika grupper i befolkningen”. Den kan anses ingå i myndighetens statistikuppgift, men har använts mycket flitigt av välfärdsforskare sedan 1970-talet. 37
Från och med 2008 samordnades ULF med den europeiska undersökningen Survey of Income and Living Conditions (SILC) genomförd av de nationella statistikmyndigheterna inom EU på uppdrag av Eurostat. SILC:s ”mikrodata” är tillgängliga för forskare
34 http://www.sofi.su.se/forskning/tre-forskningsavdelningar/lnu 35 http://gss.norc.org/ 36 gss.norc.org/About-The-GSS 37Undersökningarna av levnadsförhållanden (ULF/SILC) 2012, SCB DOK .32 s. 3.
och direkt identifierade personuppgifter kan analyseras på plats hos Eurostat i Luxemburg.38
Inom ramen för de europeiska forskningsinfrastrukturerna (ESFRI)39 genomförs en undersökning av åldrande, hälsa och pensionering (Survey of Health, Ageing and Retirement, SHARE-ERIC) där personer följs över tid för forskningsändamål. Tillgång till anonymiserade data från SHARE erbjuds fritt till forskare över hela världen.40
En parallell undersökning till den nordamerikanska GSS är European Social Survey (ESS-ERIC) som genomförs vartannat år sedan 2002. I 2016 års datainsamling deltog 18 länder. Den utgör en europeisk forskningsinfrastruktur med samma policy för forskartillgång som SHARE (fri tillgång till anonymiserade uppgifter).41
ESFRI-programmet har medfört utveckling av en europeisk organisationsform reglerad i EU-rätten, så kallade konsortier för europeisk forskningsinfrastruktur (ERIC-konsortier).42 Varje ERIC har en värdmedlemsstat i vilken organisationen erkänns status som internationell organisation. Medlemsländer kan välja att delta och förbinder sig då att stödja och lämna resurser till verksamheten i enlighet med ett avtal. Vetenskapsrådet bereder ärenden för Sveriges del och riksdagen beslutar om svenskt deltagande. I de ovan beskrivna fallen (SHARE-ERIC och ESS-ERIC) innebär stödet att medlemslandet samlar in och tillhandahåller uppgifter i enlighet med ett överenskommet protokoll. För CESSDA-ERIC innebär samarbetet att man förbinder sig att finansiera och stödja datautbyte genom det europeiska databiblioteket i Bergen (se Utveckling av databibliotek ovan).
De ovanstående exemplen illustrerar att datainsamling avsedd för breda forskningsområden och fler forskargrupper har pågått under lång tid. Behoven ökar alltjämt, har internationaliserats, och har givits en fastare gemensam reglering genom tillkomsten av ERIC-systemet. De beskrivna datamängderna samlas in för brett definierade ändamål och uppdateras för samma eller nya intervjupersoner över tid. De kompletteras dock i regel inte, eller i mycket begränsad omfattning, med uppgifter om samma personer från andra undersökningar med olika innehåll, från hälsodataregister eller administrativa register.
38 Regulation (EC) No 223/2009, art. 26. 39Strategy Report on Research Infrastructures. Roadmap 2016, European Strategy Forum for Research Infrastructure, s. 85. 40 http://www.share-project.org/data-access.html 41 http://www.europeansocialsurvey.org 42 Rådets förordning (EG) nr 723/2009 av den 25 juni 2009 om gemenskapens rättsliga ram för ett konsortium för europeisk forskningsinfrastruktur (Eric-konsortium).
Tillgång till informationsdatabaser
Utveckling av samarbete mellan forskargrupper kräver gemensam information.43 Till att börja med dokumenterades gemensamma forskningsdatabaser av den typ som beskrivs i föregående avsnitt i s.k. ”kodböcker” tillsammans med tekniska rapporter som beskrev hur datainsamlingen gått till. Kodböcker innehöll metainformation med vars hjälp detaljerade beställningar av uppgiftssamlingar kunde göras.44 Förteckningar över innehållet i databibliotek publicerades periodiskt i böcker eller rapporter.45 Såväl dokumentation som data överfördes från gemensamma databibliotek, s.k. datarepositorier, till forskare med traditionell postgång.
Den tekniska utvecklingen ökade snabbt möjligheterna till informationsutbyte mellan datorer. Kontakt mellan fysiskt åtskilda datorer utvecklades under 1970-talet genom tillkomsten av kommunikationsverktyg som TCP/IP, NNTP och Bitnet.46 Från och med 1980-talets början kunde de då nyligen utvecklade persondatorerna sammankopplas i lokala nätverk, s.k. ”Local Area Networks” (LAN). I mitten på 1980-talet utvecklade det amerikanska vetenskapsrådet (National Science Foundation) ett akademiskt kontrollerat internetsystem, det s.k. NSFNET, som sedermera kommersialiserades och blev World Wide Web (”www”). Utvecklingen av stationära och sedermera portabla persondatorer innebar således en snabb decentralisering av forskares digitaliserade verktyg samtidigt som möjligheten att nå gemensamma informationskällor på distans utvecklades. Detta har lett till att forskare kan nå gemensamma resurser utan att behöva befinna sig på samma fysiska plats. Den fortsatta utvecklingen av datorer och nätverksteknik har medfört att dokumentation av data i dag huvudsakligen erbjuds genom fjärråtkomst.
De tekniska möjligheterna har inneburit ökade möjligheter att utveckla dokumentation enligt gemensamma standarder och på plattformar som är tillgängliga för många forskare. Dokumentation såsom ”kodböcker” kan göras tillgänglig på nätet via PDF eller andra digitala
43 Den information som här avses innefattar beskrivningar av uppgiftssamlingarna och inte själva uppgifterna. 44 Se t.ex. The 1972-73 Quality of Employment Survey, Survey Research Center, Institute for Social Research, University of Michigan, Ann Arbor, USA. 45 Katalogen Guide to Resources and Service gavs till en början ut årsvis i bokform, men har nu ersatts av online-dokumentation. 46 Transmission Control Protocol/Internet Protocol (TCP/IP), Network News Transfer Protocol (NNTP) och ”Because It’s Time”-Net (BITNET).
format. Dokumentationen kan också samordnas i digitaliserade informationsdatabaser för forskning som använder gemensam semantik och är sökbara. En metadokumentation kan innefatta uppgifter om insamlingskontext, insamlingsmetoder, klassifikationer, årgångar, variabler och värdemängder. Informationsdatabaser som är tillgängliga online omfattar dock vanligen inte personuppgifter. De kan därför skapas utan att begränsas av de regler som har till syfte att skydda personers integritet.
Utvecklingen av gemensam information för fysiskt utspridda användare via centraliserade informationsdatabaser har blivit ett allt viktigare instrument i forskningen. Vid Vetenskapsrådets enhet för registerforskning47 pågår för närvarande uppbyggnad av ett gemensamt dokumentationsverktyg, Register Utility Tool (RUT) som är avsett att med gemensam semantik dokumentera databaser vid myndigheter och hos forskargrupper. RUT innehåller detaljerad information om variabler och värdemängder i databaserna och myndigheten rekommenderar att dokumentationsverktyget används av de databasinfrastrukturer som får stöd av Vetenskapsrådet. Tillsammans med detta utvecklas stöd för att utforma ansökningar om etikprövning och utlämnande av uppgifter från registerhållare. Allt detta underlättar planering av forskning med utnyttjande av befintliga gemensamma databaser.
Mot bakgrund av ovanstående är det utredningens uppfattning att det under senare år har gjorts viktiga framsteg på dokumentationsområdet. Därmed har möjligheterna till samordning av forskning mellan forskargrupper stärkts. Möjligheterna till uppbyggnad av forskningsdatabaser har också ökat. Det är vår bedömning att önskemålen om att bygga upp sådana strukturer har ökat inom flertalet vetenskapsområden som använder personuppgifter. Detta har vi också erfarit i samband med en rad besök på olika lärosäten.
Forskningsdatabaser
Begreppet forskningsdatabas används i denna utredning såsom det definierats i Registerforskningsutredningen, men med viss modifiering (se avsnitt 3.3.3). Forskningsdatabasen är en samordnad uppgiftssamling, som tillhandahåller uppgifter för flera forskningsprojekt
47 Se https://registerforskning.se
och/eller forskargrupper. Forskningsdatabasen innehåller såväl metadata som personuppgifter. I praktiken utvecklas enhetlig semantik och dokumentation ofta parallellt med att behandling av personuppgifter från olika källor samordnas i en forskningsdatabas.
En forskningsdatabas kan utgöras av en enskild insamling av uppgifter som från början är samordnad inom ett projekt, men som är avsedd att betjäna flera forskargrupper under en viss tidsperiod. Uppgifterna uppdateras och kompletteras med ny insamling under forskningsdatabasens livscykel. Beskrivningen i föregående avsnitt av de nationella välfärdsundersökningarna LNU och ULF är exempel på detta.
Forskningsdatabaser kan också bestå av en sammanläggning av observationer som samlats in i flera olika projekt i enlighet med samma eller i stort sett liknande undersökningsprotokoll.
En internationellt samordnad surveyundersökning utförd enligt samma protokoll i flera länder kan utgöra en forskningsdatabas. Den i kapitel 11 behandlade Luxembourg Income Study innebär insamling av inkomstuppgifter från deklarationer för gemensam jämförande analys i en europeisk forskningsdatabas.
Så kallad ”pooling” innebär att man samlar uppgifter från många olika källor i en forskningsdatabas. Detta genomförs ofta för att uppnå tillräckligt antal observationer för forskning. Den forskning som rör sällsynta sjukdomar hos barn baseras på uppgifter från många olika länder som läggs samman i en databas.48
Ett tredje exempel är genomdatabanker där hela eller delar av individers genetiska kod samlas och görs tillgängliga för olika forskningsprojekt.49
Forskningsdatabaser kan således skapas genom att observationer av samma karaktär samlas från olika håll för att åstadkomma en storskalig dataresurs för forskningssamarbete. I detta fall sammanförs likadana uppgifter om olika personer i en större uppgiftssamling.
Forskningsdatabaser kan också bestå av sammanläggning av uppgifter som samlats in från olika håll och som rör olika personer. Forskningsdatabasen kommer då att innehålla kopior av uppgifter från olika originalkällor. Källorna kan vara statistikmyndigheter,
48 Se t.ex. Adler A. et. al., PhenoDis: a comprehensive database for phenotypic characterization of
rare cardiac diseases, Orphanet J Rare Dis 2018 Jan 25:13(1), s. 22.
49 Fusi F et. al., Building Global Genomics Initiatives and Enabling Data Sharing: Insights from
Multiple Case Studies, OMICS 2018 Mar. doi:10 1089/omi.2017.02.14, (E-publikation innan
tryckning).
andra myndigheter eller organisationer som inte är forskningsorganisationer, eller forskningsmaterial som återanvänds och kombineras med andra uppgifter. Resultat av analyser av prover från hälso- och sjukvårdens regionala biobanker sambearbetade med hälsodataregister och/eller uppgifter om de registrerades exponering för risker, upprättade för samarbete kring ett forskningsområde, kan utgöra exempel på en sådan forskningsdatabas.
Biobanksutredningen föreslår att ett nationellt spårbarhetsregister för forskningsändamål upprättas vid Socialstyrelsen som kan användas på detta sätt.50 Enligt en debattartikel författad av tre ministrar i samband med presentationen av regeringens Life Science-kontor i februari 201851 är det först när dessa (biobanker och register) samutnyttjas som industrin och den akademiska forskningen kan utnyttja sina fulla potentialer.
De forskningsdatabaser som beskrevs av Registerforskningsutredningen bestod huvudsakligen av sambearbetningar av myndighetsuppgifter som i begränsad omfattning är föremål för förändringar. Innehållet behöver dock med jämna mellanrum uppdateras och kompletteras, exempelvis i samband med att nya årgångar av registermaterial från SCB och Socialstyrelsen blir tillgängliga.
Under 1990- och 2000-talet skapades allt fler uppgiftssamlingar med uppgifter från SCB och Socialstyrelsen som huvudsaklig bas, men där uppgifter från andra registerförande myndigheter också kan ha ingått. Sedan dess har utvecklingen främst inom det medicinska området lett till behov av att samordna alltmer omfattande och snabbt föränderliga dynamiska uppgiftssamlingar från olika håll. Tillgången till biologiskt material kan innebära att forskningsdatabaser löpande behöver tillföras data från förnyade analyser av vävnadsprover. Även uppgifter från vårdregister och läkemedelsregister behöver uppdateras med korta mellanrum. Regeringens satsningar på livsvetenskaperna innebär att det behövs ett ökat samarbete mellan hälso- och sjukvården, industrin och forskningen. Uppgiftssamlingarna behöver kunna kombineras med personuppgifter från Socialstyrelsen, SCB och andra myndigheter.
50SOU 2018:4, s. 59. 51 Damberg M, Hellmark-Knutsson H, Strandhäll A, Regeringen tar ett helhetsgrepp om life
science, Dagens Medicin 5 februari 2018.
Den tekniska utvecklingen har inneburit att det är möjligt att samköra stora datamängder i centraliserade forskningsdatabaser. De kan med dagens teknik nås med fjärråtkomst av många användare. Säkra tunneluppkopplingar med krypterad information och system för säker behörighetskontroll har utvecklats.52 Den decentralisering av datafiler och programvara som kännetecknade den inledande utvecklingen av persondatorer på 1980- och 90-talen har därmed under 2000-talet kompletterats av tjänster som radikalt har förbättrat möjligheten att utnyttja centraliserade resurser med hjälp av fjärråtkomst. Vissa resurser har därmed decentraliserats medan andra har centraliserats. Behoven av samordning har därmed medfört ökad centralisering som inbegriper såväl programvara som fjärråtkomst till data.
Det kan konstateras att
- behovet av att samordna och anpassa uppgifter från statliga myndigheter för forskningsändamål kvarstår,
- antalet potentiella användare ökar,
- behovet att använda generellt syftande surveyundersökningar kvarstår,
- forskargrupper verksamma inom samma fält har i ökande utsträckning uttryckt behov av att samverka kring gemensamma databaser,
- forskningen använder i högre grad uppgifter från hälso- och sjukvård för forskningsändamål, och
- nationell samordning av biobanker möjliggör uppbyggnad av forskningsdatabaser där biologiska uppgifter kan användas tillsammans med undersökningar om levnadsvanor och de statliga myndigheternas uppgifter om hälsa och välfärd.
De tekniska möjligheterna att med fjärråtkomst använda centraliserade tjänster som betjänar många har förbättrats. Detta gäller såväl informationstjänster som uppgiftssamlingar. Det är utredningens bedömning att behovet av att skapa säkra centraliserade forskningsdatabaser som verktyg för samarbete mellan forskningsprojekt har ökat.
52 Point-to-point tunneling (PPTP) och IPSec är två säkra system för skydd av de uppgifter som skickas.
Distribuerade databaser
Det traditionella systemet med mindre uppgiftssamlingar avsedda för enskilda projekt har inneburit att ett stort antal kopior på uppgifter från den ursprungliga källan har lämnats ut till olika forskningsprojekt. Varje sådan uppgiftssamling har dock haft begränsad spridning. Detta återspeglas i den tolkning av ändamålsbegränsningen som råder. Ett system med centraliserade53 forskningsdatabaser av det slag som vi föreslår och som kan nås med fjärråtkomst medför att antalet kopior på uppgiftssamlingarna kan reduceras. Detta är i sig en säkerhetshöjande åtgärd. Eftersom uppgifterna kommer att användas för flera ändamål under en längre tidsperiod uppstår dock ett behov av att uppdatera och revidera forskningsdatabaserna med jämna mellanrum som inte förelåg i samma utsträckning i det traditionella systemet där uppgiftssamlingar var fokuserade på mer begränsade användningsområden.
Ett alternativ till centraliserade databaser är ett system med distribuerade databaser.54 Som användare kan man i ett distribuerat system nå uppgifter genom samtidig fjärråtkomst till fler källor. Distribuerade databaser kan vara fysiskt utspridda men organiseras så att deltagandet i systemet kontinuerligt kontrolleras av varje registerhållare. Detta utgör i så fall en s.k. federerad databas55 där fler huvudmän och/eller registerhållare är involverade i ett ömsesidigt samarbete. De olika registerhållarna behåller kontrollen över de egna uppgifterna och deras tillgänglighet eftersom alla uppgifter ligger kvar hos den ursprungliga registerhållaren. En viss vidareutveckling har skett av federerade system för ”pooling” (se föregående avsnitt), dvs. sambearbetning av likadana uppgifter för olika personer från olika datakällor.56
Forskningsdatautredningen känner däremot inte till något fungerande federerat system för den tekniskt mer komplicerade utmaningen att i realtid samtidigt analysera stora mängder av uppgifter från olika källor för samma personer. I ett sådant system förekommer
53 I avsnitt 3.3.10 finns en genomgång av hur begreppen centraliserad och decentraliserad används i detta betänkande. 54 Begreppet används här i motsats till centraliserade databaser och avser den fysiska hanteringen av uppgifter. Se vidare avsnitt 3.3.10 för begreppsdefinitioner. 55 En federerad databas har således en utspridd fysisk hantering av uppgifter samtidigt med att också ha en decentraliserad kontroll över hur uppgifterna behandlas. 56 Carter KW et al. (2016), ViPAR: a software platform for the Vitual Pooling and Analysis of
Research Data, Int J Epidemiolog, 45:2, s. 408–416.
med nödvändighet kopiering av samma uppgifter från originalkällan till forskningsdatabasen. I en federerad databas existerar dock dessa kopior endast under korta sekvenser när uppgifterna analyseras tillsammans. Utöver det ökade integritetsskydd detta kan innebära har systemet fördelen att de uppgifter som analyseras vid varje tillfälle kommer att vara identiska med originaldata. Det finns således inget behov av uppdatering av uppgifter i den distribuerade databasen utöver de som görs i originalregistren.
Det kan synas tveksamt att personuppgifter från olika källor ska kopieras till centraliserade forskningsdatabaser som fortlever under längre tid och görs tillgängliga för många forskare. SCB anser i sitt remissvar på Registerforskningsutredningens betänkande att det inte finns behov av att bygga upp forskningsdatabaser för befintliga register eftersom uppgifterna redan är tillgängliga för forskning enligt dagens regelverk.57
Det skulle av integritetsskäl kunna vara en fördel om de centraliserade databaserna kunde ersättas med distribuerade databaser där uppgifterna kan nås direkt från källan. Om källorna är av varandra oberoende huvudmän som ansvarar för sina egna beslut om utlämnande av uppgifter till forskning så krävs att databaserna är federerade. Visst försöksarbete med federerade databaser har bedrivits och bedrivs med finansiering av Vetenskapsrådet, bland annat genom ett pågående försöksprojekt vid Umeå universitet58 och ett tidigare projekt vid Karolinska Institutet.59
Registerforskningsutredningen konstaterar i sitt slutbetänkande att omfattande och tekniskt avancerat utvecklingsarbete krävs för att ett federerat system ska kunna bli användbart i stor skala.60 Den tekniska utvecklingen har gått snabbt framåt. Regeringen har ambitioner att satsa på denna utveckling inom ramen för digitaliseringspolitiken (se avsnitt 7.2.3). Forskningsdatautredningens bedömning är att det trots detta inte har tagits några initiativ som möjliggör federerade system av den storleksordning och komplexitet som skulle krävas för att ersätta behovet av att sambearbeta uppgifter och spara dem på samma ställe i centraliserade forskningsdatabaser
57 Statistiska Centralbyråns remissvar på betänkandet Unik kunskap genom registerforskning (SOU 2014:45), dnr 2014/1519, s. 6. 58 https://infotechumea.se/nyheter/federerade-databaser-ska-ge-sakrare-personuppgifter. 59 Fomkin R, Stenbeck M, Litton J. (2009) Federated databases as a basis for infrastructure
supporting epidemiological research, Conference Proceedings 20th International Workshop on
Database and Expert Systems Application. 60SOU 2014:45 s. 364.
som innehåller kopior på originaldata. Situationen vad avser möjligheter att använda distribuerade databaslösningar som en integritetshöjande åtgärd har således inte förändrats sedan Registerforskningsutredningens slutbetänkande.
4.3. Utveckling av gemensamma resurser vid myndigheter
I de följande fyra avsnitten redogörs för sådan utveckling vid statliga och kommunala myndigheter som har inneburit uppbyggnad av databaser för analysändamål, och som har betydelse för forskningens användning av gemensamma forskningsdatabaser, eller på annat sätt kan underlätta arbetet för forskare som använder personuppgifter.
4.3.1. Satsningen på hälso- och sjukvårdens kvalitetsregister
Med ett kvalitetsregister avses, enligt 7 kap. 1 § patientdatalagen (2008:355) en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
För att säkra och utveckla kvaliteten i hälso- och sjukvården och därigenom bidra till bättre resultat för patienterna, används i dag omkring 100 nationella kvalitetsregister. Med ett nationellt eller regionalt kvalitetsregister avses ett register i vilket personuppgifter samlas in från flera olika vårdgivare. I ett nationellt eller regionalt kvalitetsregister samlas personuppgifter från kommunal hälso- och sjukvård, sjukhus, vårdcentraler m.fl. för att möjliggöra kvalitetssäkring och jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Kvalitetsregistren används både för systematisk uppföljning och jämförelse på nationell nivå, men även på ett lokalt plan där registrerande enheter med allt tätare intervall följer sina resultat och lägger dem till grund för ett verksamhetsnära förbättringsarbete. Det gör bl.a. att patienter som i dag deltar i kvalitetsregister i större utsträckning än tidigare själva är med och drar nytta av sin egen medverkan.
Uppgifter som behövs och som behandlas för kvalitetssäkring i ett nationellt eller regionalt kvalitetsregister får även behandlas för statistikframställning och forskning. All forskning som har för avsikt
att utföras med hjälp av känsliga personuppgifter i nationella kvalitetsregister måste underställas etikprövningsnämndens bedömning. Utlämnandet av uppgifter måste också alltid föregås av en prövning om uppgifterna får lämnas ut med hänsyn till hälso- och sjukvårdssekretessen.61 Sekretessprövningen görs av den huvudman som förvaltar uppgifterna.
Varje vårdgivare med ansvar för ett nationellt register har en registerstyrgrupp. Den agerar, utöver det personuppgiftsansvar som ligger på varje vårdgivare, som centralt personuppgiftsansvarig för alla uppgifter i det nationella registret oavsett var uppgifterna förvaras. Det finns en nationell styrgrupp för satsningen som har stöd av ett kansli placerat vid Sveriges kommuner och landsting (SKL). Satsningen har också lett till uppbyggnad av ett s.k. registercentrum i var och en av de sex sjukvårdsregionerna. Socialstyrelsen har dessutom byggt upp en enhet för registerservice som har till uppgift att stödja kvalitetsregisterhållare med förbättring av datakvaliteten och forskare med information och dokumentation.
Myndighetens för vårdanalys utvärdering och förslag till fortsatt verksamhet
Myndigheten för vård och omsorgsanalys (Vårdanalys) utvärderade satsningen på kvalitetsregister genom en delrapport och en PM år 201462 och en slutrapport år 201763. Den slutliga utvärderingen är kritisk och anger att satsningen trots att den inneburit förbättringar inte uppnått något av dess effektmål. Utvärderingen visar också att såväl vårdens professioner som forskare, patienter, företag och myndigheter upplever att de inte har tillräcklig tillgång till information om vårdens kvalitet. En stor mängd data samlas in men informationen är inte tillgänglig för den som behöver den. Myndigheten rekommenderar därför att man överger de separata nationella kvalitetsregistren till förmån för en mer samlad informationsstruktur, men anser att tills dess dessa förändringar genomförts bör de befintliga registren behållas ”på nuvarande nivå”.64
6125 kap. 1 § offentlighets- och sekretesslagen (2009:400). 62 Rapport 2014:38. 63 Rapport 2017:39. 64 Det vill säga 2017 års i förhållande till 2012–2016 reducerade finansieringsnivå.
Efter publiceringen av Vårdanalys slutrapport levererade en projektgrupp som tillsatts av den nationella styrgruppen för registren ett förslag till framtida organisation och finansiering av systemet.65Gruppen föreslår en rad åtgärder i syfte att konsolidera den nuvarande organisationen med kvalitetsregister och regionala kompetenscentra och dess styrning. Den huvudsakliga rollen att stödja kvalitetsregisterbaserad forskning bör enligt gruppen ges till staten, medan sjukvårdshuvudmännens ansvar inriktas på utveckling av vårdens kvalitet. En funktion som samordnar forskning och samarbete med livsvetenskapssektorn föreslås inrättas på nationell nivå, men dess närmare organisation beskrivs inte.
Ett långsiktigt beslut om fortsatt finansiering och organisation saknas alltjämt. Den klinikspecifika uppdelning av kvalitetsregistren som motiveras av deras uppföljnings- och kvalitetssäkringsmål behöver inte alltid vara optimal för forskningen, där det ibland finns anledning att inhämta information från olika kliniska register. Den tydligare fördelningen av ansvar mellan staten och huvudmännen som föreslås kan leda till att särskilda statliga satsningar på kliniska forskningsdatabaser kommer att behövas utöver de kvalitetsregister hälso- och sjukvården förvaltar. Det kan mot denna bakgrund ifrågasättas om den organisation som skisseras av styrgruppens projektgrupp kommer att göra kvalitetsregistren till en långsiktig resurs som kan ersätta behovet av särskilda databaser för klinisk och annan forskning som använder uppgifter från hälso- och sjukvården.
Den utveckling av kvalitetsregister som skett under de senaste åren kan inte enligt vår mening ersätta behovet av forskningsdatabaser på den prekliniska och kliniska forskningens områden.
4.3.2. Utveckling av ett nationellt biobanksregister och BBMRI
Utvecklingen inom den epigenetiska forskningen har visat på behovet av att kunna koppla samman personers molekylärbiologiska karakteristika med uppgifter om levnadsvanor och livsvillkor. Det står alltmer klart att de uttryck medfödda biologiska förutsättningar tar sig inte enbart påverkar, utan också påverkas av, individens livsvillkor.
65Förslag: Framtidens kvalitetsregister, Förslag från projektgrupp tillsatt av Styrgruppen för Nationella Kvalitetsregister, maj 2017.
Denna insikt har lett till utveckling av långsiktiga forskningsprogram som LifeGene66 och EpiHealth67. I allmänhet står det klart att den framtida kunskapsutvecklingen kräver att genetiska uppgifter på ett effektivt sätt kan kombineras med uppgifter om hälsa och sjukdom och med sociala och ekonomiska uppgifter.
Detta kräver till att börja med samordning och tillgänggörande av den stora mängd provsamlingar som finns i svenska biobanker. Registerforskningsutredningen redogjorde för det samordningsarbete som intill dess gjorts i det Nationella biobanksrådet (NBR), planer på att utveckla ett nationellt provregister (Svenska Biobanksregistret, SBR), och inrättandet av den europeiska forskningsinfrastrukturen Biobanking and Biomolecular Resources Research Infrastructure (BBMRI)68. Denna utveckling har fortsatt och förstärkts. I Sverige har dessa parallella satsningar på infrastruktur, forskning och hälso- och sjukvård nu slagits samman till den gemensamma resursen Biobank Sverige.69
Registerforskningsutredningen lämnade förslag till reglering av ett nationellt biobanksregister.70 Uppgifterna i registret skulle möjliggöra spårning av prover. Dessutom föreslogs att registret skulle innehålla provsvar. Socialstyrelsen skulle ansvara för registret. Utredningen om regleringen av biobanker har överlämnat sitt slutbetänkande.71 Utredningen föreslår att Socialstyrelsen ska föra ett nationellt biobanksregister som ska kunna användas för att spåra prover för bland annat forskningsändamål. Registret föreslås inte innehålla några provsvar.
Vår utredning har också fått i uppdrag att utreda vissa frågor som har med spårbarhet till prover i biobanker att göra. Kapitel 10 innehåller våra ställningstaganden i denna del.
66 https://www.lifegene.se/ 67 https://www.epihealth.se/vad-ar-epihealth/ 68SOU 2017:50, s. 309-11. 69 http://biobanksverige.se/ 70SOU 2014:45 s. 66–69. 71SOU 2018:4.
4.3.3. Utveckling av stöd till forskning vid statliga myndigheter
Nytt register hos SCB
Ett viktigt tillskott för medicinsk och samhällsvetenskaplig forskning är den registerbaserade folkbokföringen. Det lägenhetsregister som sedan 2006 förs vid Lantmäteriet72 har sedan 2012 kombinerats med uppgifter om vilka personer som är folkbokförda73 på respektive lägenhet.74 Detta görs genom en sambearbetning av registret över totalbefolkningen (RTB) och SCB:s lägenhetsregister. 75 Genom folkbokföring på lägenhet kan personer som är folkbokförda på samma lägenhet kopplas ihop till bostadshushåll, och hushållens boende kan beskrivas löpande. Detta system ersätter tidigare folkbokföring genom frågeundersökningar, som upphörde i och med 1990 års folkbokföring. Genom systemet finns nu fullständiga uppgifter över lägenheter och om vem som är bosatt där. Materialet utgör en viktig ny potential för forskningen, förutsatt att det i framtiden på ett effektivt sätt kan tillgängliggöras för forskare med beaktande av integritetsskyddet. Liksom de andra register vid SCB som används för statistikändamål är uppgifterna skyddade genom statistiksekretessen.76
Analysdatabaser vid myndigheter
Försäkringskassan har sedan 2003 utvecklat en särskild databas för analysarbete kallad Mikrodata för analys av socialförsäkringen (MiDAS). Enligt Försäkringskassans dokumentation77 syftar denna dels till att minska informationsmängden i myndighetens administrativa data, dels till att strukturera data i en enhetlig och lättanvänd form för olika typer av frågeställningar och användare. I myndighetens grunddata finns en mängd administrativa uppgifter som har rensats bort, och uppgifter om försäkringsbeslut som hänför sig till samma
72 Lag (2006:378) om lägenhetsregister, https://www.lantmateriet.se/lagenhetsregistret 73 Regleras i folkbokföringslagen (SFS 1991:481). 74 Se PM Statistiska Centralbyrån Hushållens boende 2016 (SCBDOK 3.2): ” Vidare har folkbokföringslagen (SFS 1991:481) kompletterats i 6 § med att en person som är bosatt på en fastighet som innehåller flera bostadslägenheter ska folkbokföras även på lägenhet.” 75 En bearbetning av Lantmäteriets lägenhetsregister för statistikändamål. 7624 kap. 8 § offentlighets- och sekretesslagen. 77Midas. Sjukpenning och rehabiliteringspenning, PM Försäkringskassan, mars 2011.
person har länkats samman. Därmed har möjligheten att använda uppgifter från socialförsäkringen i forskningsverksamhet underlättats.
En motsvarande från grundregister sammanställd databas avsedd för analyser, har sedan tidigare funnits vid SCB. Det är den av forskare flitigt använda Longitudinell integrationsdatabas för sjukförsäkrings- och arbetsmarknadsstudier (LISA)78 och dess föregångare Longitudinell databas kring utbildning, inkomst och sysselsättning (LOUISE), som skapades år 2005. Dessa databaser har efter hand intagit en alltmer betydelsefull roll i den registerbaserade forskningen. Forskarbeställningar innebär ofta att utdrag från LISA sambearbetas med uppgifter från andra myndigheter.
Utöver dessa två analysdatabaser finns vid statistikmyndigheterna huvudsakligen databaser som är anpassade för myndigheternas statistikproduktion och som kräver särskild bearbetning för att anpassas för forskningsanvändning.
Registerservice vid Socialstyrelsen
Socialstyrelsen har inom ramen för satsningen på hälso- och sjukvårdens kvalitetsregister skapat en särskild verksamhet för att stödja registerbaserad forskning med användning av patientuppgifter. Registerservice betjänar de nationella kvalitetsregistren, statistikbeställare och forskare. Den omfattar såväl information om kvalitetsregister som beställningsfunktioner som rör register vid Socialstyrelsen. Informationen har härmed förstärkts. Forskare har dock uttryckt att man trots detta ännu inte uppnått tillräcklig snabbhet i handläggningen av ansökningar om forskningsuttag.
Fjärråtkomst till centraliserade databaser
Vid SCB finns, som nämnts ovan (avsnitt 4.2.1), sedan 2004 ett system för fjärråtkomst till registerdata, Microdata Online Access (MONA). Systemet är ett centraliserat system för fjärråtkomst där användaren efter prövning får åtkomst till uppgifter som förvaras vid myndigheten. Det finns också möjligheter att inom systemets ram sambearbeta forskarens egna uppgifter med myndighetens register. Man kan således skicka in egna uppgifter till systemet och få möjlighet
att via fjärråtkomst koppla uppgifterna till myndighetsdata. En internationell utvärderingspanel tillsatt av Vetenskapsrådet rekommenderade år 2014 en rad åtgärder för att stärka systemet, bland annat att inlemma också Socialstyrelsens data i ett fjärråtkomstsystem, att ge MONA en mer självständig ställning i förhållande till värdmyndigheten SCB, samt att SCB borde etablera en särskild enhet för registerservice.79 SCB har sedan dess centraliserat sin forskarservice och viss ytterligare försöksverksamhet har pågått, men forskares tillgänglighet till myndighetsuppgifter på distans har ännu inte på något avgörande sätt underlättats.
Sammanfattning
Den information som finns om uppgifter vid de registerförande statistikmyndigheterna har förbättrats. När det gäller möjligheterna att få ut uppgifter från dessa myndigheters uppgiftssamlingar för forskningsändamål ser situationen i stort sett ut på samma sätt som vid tiden för Registerforskningsutredningens slutbetänkande. Den bild som tecknades av den utredningen när det gäller forskningens behov av centraliserade forskningsdatabaser, som innehåller bearbetade myndighetsuppgifter, förefaller därför inte ha påverkats nämnvärt av det utvecklingsarbete som pågått och pågår vid de registerförande statistikmyndigheterna.
4.3.4. Vetenskapsrådets satsningar på forskningsdatabaser
Sedan 1 januari 2005 bedriver Vetenskapsrådet en särskild verksamhet med syfte att stödja, utveckla och utvärdera forskningsinfrastrukturer. Till en början inrättades denna verksamhet som en kommitté vid sidan av de reguljära ämnesråd som finns för olika forskningsområden.80 Från och med 2009 behandlas bidrag som ges för inrättande av forskningsinfrastruktur inom ett särskilt Råd för forskningens infrastruktur (RFI).81 Myndighetens satsning på sådan
79Evaluation of the MONA system (Microdata online access), Vetenskapsrådets rapporter 2014, s. 5–6. 80 Ämnesråden för humaniora och samhällsvetenskap, medicin och hälsa, samt naturvetenskap och teknikvetenskap. Dessutom finns en kommitté för utbildningsvetenskap. 818 och 14 §§ förordningen (2009:975) med instruktion för Vetenskapsrådet.
infrastruktur för forskning som innehåller forskningsdatabaser har således ökat. Genom ett regeringsuppdrag år 2013 har en avdelning för forskningsinfrastruktur skapats inom vilken en enhet för registerforskning har inrättats.82 I uppdraget anges följande.
Vetenskapsrådet ska avsätta 25 miljoner kronor inom området infrastruktur för registerbaserad forskning och ska inom myndigheten bygga upp en verksamhet för att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål. Vetenskapsrådet ska bistå forskare med information om register och om relevant lagstiftning. Vetenskapsrådet ska i samband med årsredovisningen redovisa till Regeringskansliet (Utbildningsdepartementet) hur uppdraget fortskrider.
Satsningar har vidare gjorts på att i myndighetens regi utveckla informationsstöd,83 på att stödja verksamheten vid Svensk Nationell Datatjänst,84 och på att utlysa infrastrukturbidrag för utveckling av nationella databasinfrastrukturer som samordnar s.k. ”individdatabaser” inom humaniora, medicin och samhällsvetenskap.85
Från och med 200886 har regeringen i varje forskningsproposition identifierat behov av att särskilt stödja utnyttjandet av befolkningsbaserade register i forskningen.87 Vetenskapsrådets pågående uppbyggnad av ett system för dokumentation av befolkningsbaserade register och forskningsdatabaser88 förväntas i framtiden underlätta för forskare att utforma ansökningar till anslagsgivare och etikprövningsnämnder, samt underlätta utlämnandet av uppgifter för forskning från registerförande förvaltningsmyndigheter. Ett registerforskningsråd har inrättats vid Vetenskapsrådet med representanter för forskningsråd, registerförande myndigheter och forskare. Registerforskningsrådet innehåller även representanter för den centrala etikprövningsnämnden, Biobank Sverige och SKL.
82 https://www.vr.se/omvetenskapsradet/regeringsuppdrag/regeringsuppdrag/registerbaseradforskning 83 Se registerforskning.se 84 Se https://snd.gu.se/sv 85 Med ”individdatabaser” avses här databaser som innehåller identifierbara eller anonymiserade uppgifter som avser levande eller döda personer. 86 Regeringens proposition Ett lyft för forskning och innovation (prop. 2008/09:50), avsnitt 12.2, s. 190–192. 87Prop. 2012/13:30, avsnitt 12.4, s. 147–150 och prop. 2016/17:50, avsnitt 8.2.5 s. 97–98. Anslagen har successivt ökat och når fr.o.m. år 2020 50 mkr per år. 88 Register Utility Tool (RUT).
Vetenskapsrådets bidragsutlysningar år 2012 och 2015 innehöll satsningar på att stödja uppbyggnad av nationella infrastrukturer med fokus på individdatabaser.89 Motiven för detta beskrevs på följande sätt:
Ett stort antal individdatabaser inom medicin och samhällsvetenskap kan bidra till vetenskapliga genombrott inom en rad olika områden, bland annat de områden som behandlar vår tids stora samhällsutmaningar. (……). Longitudinella undersökningar är ofta strategiskt viktiga i detta avseende. Vidare förhöjs värdet ofta avsevärt av enkätdata/frågeundersökningar, både longitudinella och andra, genom att lägga till data från olika befintliga befolkningsregister. (………..) Denna typ av kombinerade databaser som skapas genom att länka undersökningar till registerdata är värdefulla både från ett nationellt och internationellt perspektiv.
Ett ökat samarbete mellan databaser på det här området förväntas leda till ett antal positiva effekter och chanserna för genombrott i forskningen förväntas öka. Omfattningen av och kvaliteten på framtida undersökningar kommer att förbättras genom samverkan för datainsamling. Data blir också mer lättillgänglig och nya metoder för parallella analyser av data i olika databaser möjliggörs. Individdatabaser inom samhällsvetenskap och medicin kommer att täcka områden som är av avgörande betydelse för de närmaste decenniernas forskning, och fortsatt integrering av registerdata kommer att ligga till grund för forskning i världsklass. Detta samarbete kommer även att svara mot några av de utmaningar som identifierats när det gäller medicin- och samhällsvetenskapsdatabaser; att undvika dubbelarbete i insamling av data och möjligen avsätta resurser för att garantera tillräckliga svarsfrekvenser (bland annat). Dessutom skapas drivkraft för att åstadkomma olika synergier.90
I det följande ger vi några exempel på infrastruktursatsningar av detta slag.
SwedPoP
SwedPop är en infrastruktur som samordnar de viktigaste historiska befolkningsdatabaserna i Sverige till en gemensam resurs för det nationella och internationella forskarsamhället. Tidsserier som omfattar hela befolkningen finns tillgängliga från mitten av 1600-talet ända fram till i dag. Data kan användas för att belysa de långsiktiga demografiska, sociala och ekonomiska processer som omformade
89 Vetenskapsrådets utlysningar 2012 Bidrag till stora databaser samt 2015
Forsknings-
infrastrukturbidrag: Databaser inom samhällsvetenskap och medicin med fokus på individdata (drift), se https://www.vr.se/forskningsfinansiering/sokabidrag/stangdautlysningar
90 Områden och infrastrukturer som kan söka Vetenskapsrådets bidrag till infrastruktur av
nationellt intresse 2017, Vetenskapsrådet, s. 4–5.
Sverige, från ett traditionellt bondesamhälle fram till dagens postindustriella välfärdssamhälle. I samordningsprojektet ingår: Demografiska databasen (Umeå universitet), Skånes ekonomiska och demografiska databas (Lunds universitet), SweCens-databasen (Riksarkivet, Stockholm), Rotemansarkivet (Stadsarkivet i Stockholm), samt Göteborgs Befolkningspanel (avdelningen för ekonomisk historia, Handelshögskolan, GU). Avsikten med samordningen är att skapa en gemensam databasstruktur som förbättrar möjligheten att bedriva jämförande forskning med befolkningsdata.
National Genomics Infrastructure (NGI)
NGI är en gemensam internationellt tillgänglig resurs som används för att sekvensbestämma DNA. Syftet med att sekvensera människors genom är att hitta genvarianter som bär ansvaret för det biologiska arvets orsak till vanliga sjukdomar. NGI Sweden är den svenska delen som sköts av Science for Life Laboratory (SciLifeLab). Den etablerades år 2013 som en stödresurs och finansieras av Vetenskapsrådet, SciLifeLab, Uppsala universitet, Karolinska Institutet, Kungliga Tekniska högskolan, Stockholms universitet och Uppsala universitet. Inom denna infrastruktur lagras biologiska data som kan hänföras till personer.91
The Swedish Survey Program (SWEEP)
SWEEP är ett nationellt konsortium, dvs. ett formaliserat samarbete mellan flera forskningshuvudmän med gemensamt ansvar, för att tillhandahålla uppgifter från sju av de största samhällsvetenskapliga frågeundersökningarna.92 Syftet med SWEEP är att tillhandahålla data av hög kvalitet som ska hjälpa forskare att förklara dagens stora samhällsutmaningar såsom migration, en åldrande befolkning, välfärd och socialt utanförskap.
Det gemensamma för forskningsprogrammen är att de samlar in och distribuerar data om attityder, beteenden, hälsa och livskvalitet över tid baserat på den svenska befolkningen. Tillsammans ska de utgöra
91 https://ngisweden.scilifelab.se/ 92 Dvs. svar från försökspersoner från intervjuer, postenkäter eller digitaliserade formulär.
grunden för en databasplattform som har kapacitet att vara ett viktigt verktyg för beslutsfattande och den demokratiska diskussionen.93Uppgifterna i dessa databaser är anonymiserade och utgör därmed inte längre personuppgifter.
National Infrastructure for Ageing Research in Sweden (NEAR)
Under det senaste halvseklet har det skett demografiska förändringar i samhället, vilka utgör långsiktiga utmaningar globalt, och särskilt i utvecklade länder som Sverige som har en växande andel äldre i befolkningen. Detta understryker behovet av att identifiera effektiva och hållbara strategier för en bättre hälsa och vård av äldre personer. NEAR syftar till att
- tillhandahålla högkvalitativa databaser för att utreda folkhälsorelaterade aspekter av åldrandet, såsom den samhälleliga bördan, trender över tid, och bestämningsfaktorer (t.ex. sociala, miljömässiga och biologiska/genetiska faktorer) av vanliga sjukdomar (t.ex. hjärt- och kärlsjukdomar, stroke och demens) och hälsotillstånd (t.ex. multisjuklighet, svaghet, och funktionellt beroende) hos äldre personer;
- erbjuda dataresurser för att bedöma och planera vården för äldre;
- ge information för att identifiera åtgärdsstrategier för att förbättra hälsa, vård och omsorg, och livskvalitet för äldre människor; och
- ge tillförlitliga dataresurser för att ta itu med frågor om social ojämlikhet i åldrande och hälsa.
NEAR innehåller för närvarande 13 enskilda databaser i Sverige.
93 I infrastruktursamarbetet ingår studierna: ESS (European Social Survey Programme); ISSP (International Social Survey Programme); SHARE (The Survey of Health, Aging and Retirement in Europe); LNU (Levnadsnivåundersökningen); SNES (Svensk valundersökning) och SOM-institutet (Samhälle, Opinion, Medier). Där ingår också LORE (Laboratory of Opinion Research), en organisation vid Göteborgs universitet som genomför datainsamlingar via webbenkäter för forskningsändamål.
Relations, work, and health across the life course (REWHARD)
REWHARD är ett nationellt infrastrukturkonsortium som syftar till att främja forskning om hur aktiviteter (särskilt i betalt och obetalt arbete) och sociala relationer (både i och utanför arbetet) är relaterade till levnadsförhållanden, livsstil och hälsoutveckling över livsförloppet. Konsortiet arbetar därför för att säkerställa den långsiktiga existensen, utvecklingen och rikstäckande användningen av åtta komplementära longitudinella databaser med många upprepade mätningar, både självrapporterade och registerbaserade, av exponeringar och hälsoutfall från barndomen, genom vuxenlivet och in i ålderdomen.94
Swedish Cohort Consortium (COHORTS.SE)
Cohorts.se är ett svenskt samarbete som bildats för att skapa en nationell teknisk och samverkande infrastruktur för kohortstudier, dvs. studier där personer följs över tid. Denna infrastruktur har det långsiktigt vetenskapliga målet att underlätta forskning om riskfaktorer för ovanliga sjukdomar.
Genom ett samutnyttjande av flera kohorter skapas möjligheter för säkrare forskningsresultat. Konsortiet avser att möjliggöra forskning på sällsynta sjukdomar som det i dag är omöjligt eller alltför resurskrävande att genomföra. Målet är att upprätta en gemensam infrastruktur för samtliga svenska prospektiva95 populationsbaserade kohorter, med syfte att stödja alla aspekter av kohortaktiviteter och samarbeten. För tillfället finns ett 40-tal anslutna kohortstudier.96
94 I infrastruktursamarbetet ingår studierna: SLOSH (Swedish Longitudinal Occupational Survey of Health), LNU (LevnadsNivåUndersökningen), SWEOLD (The Swedish Panel Study of Living Conditions of the Oldest Old), IMAS (Insurance Medicine – All Sweden), STODS (The Swedish Twin project Of Disability pension and Sickness absence), NOSCO (The Northern Swedish Cohort), SPHC (Scania Public Health Cohort) och UCLS-ES (Uppsala Center for Labor Studies Employer Survey). 95 Det vill säga studier där man, till skillnad från retrospektiva studier som blickar bakåt, samlar uppgifter vid studiens början och sedan följer försökspersonerna framåt i tiden., exempelvis med avseende på hur tidig exponering för risk medför sjukdom i ett senare skede eller hur familjebakgrund hänger samman med levnadsvillkor senare i livet. 96 http://cohorts.se/
4.4. Vår sammanfattande bedömning
Vår bedömning: Forskare kommer under överskådlig tid att ha
behov av att kunna behandla personuppgifter i forskningsdatabaser. Det behövs en reglering som tydliggör det rättsliga stödet för en sådan behandling.
Möjligheterna att använda fjärråtkomst till centraliserade forskningsdatabaser har ökat. Åtkomst genom federerade forskningsdatabaser har ännu inte utvecklats till ett realistiskt alternativ.
Det är Forskningsdatautredningens bedömning att digitaliseringen inneburit att behovet av att använda centraliserade forskningsdatabaser har ökat. Inte minst behoven av att samordna stora dynamiska uppgiftssamlingar från hälso- och sjukvården med uppgifter från hälsodataregister och välfärdsregister vid statliga myndigheter medför att forskningsdatabaser med uppgifter från olika registerhållare behöver utvecklas vidare. Den tekniska utvecklingen erbjuder stora möjligheter för forskare att med fjärråtkomst ansluta sig till sådana centraliserade forskningsdatabaser.
Sådana alternativa tekniker för fjärranslutning till federerade system, som erbjuder samtidig fjärråtkomst till uppgifter vid flera olika källor, har ännu inte utvecklats tillräckligt. De klarar ännu inte de tekniska och säkerhetsmässiga krav som måste ställas. Behovet av forskningsdatabaser kan enligt vår bedömning ännu inte ersättas av alternativa tekniker för fjärranslutning. I takt med den tekniska utvecklingen och satsningar på utveckling av sådana system kan behovet av forskningsdatabaser komma att minska i framtiden. Vi bedömer dock att det för överskådlig tid finns ett behov i forskningen av att kunna behandla personuppgifter i särskilda forskningsdatabaser.
5. Rättsliga förutsättningar för forskningsdatabaser
5.1. Inledning
5.1.1. Innehåll och disposition
Detta kapitel innehåller en genomgång av de rättsliga förutsättningarna för forskningsdatabaser. Med forskningsdatabas avses i detta sammanhang en databas (uppgiftssamling) med personuppgifter som samlats in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt. Begreppet diskuteras i kapitel 3.
Vi behandlar i det följande de rättsliga förutsättningarna för registerbaserad forskning för att klargöra vilka möjligheter och problem beträffande forskningsdatabaser som finns enligt gällande rätt. Vi går igenom befintlig internationell och nationell reglering avseende personlig integritet och behandling av personuppgifter. Genomgången innehåller vidare en analys av relevanta bestämmelser i dataskyddsförordningen1 och lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) samt av aktuella bestämmelser om sekretess och tystnadsplikt.
1 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
5.1.2. Redovisningar av rättsliga förutsättningar i annat offentligt tryck
Vi hänvisar i det följande bl.a. till Registerforskningsutredningens genomgång av rättsliga förutsättningar för registerbaserad forskning i betänkandet Unik kunskap genom registerforskning2. Vidare refererar vi till dataskyddslagen3 med dess proposition Ny dataskyddslag,4Dataskyddsutredningens betänkande Ny dataskyddslag – Komplette-
rande bestämmelser till EU:s dataskyddsförordning,5 till den genom-
gång som finns i vårt delbetänkande Personuppgiftsbehandling för
forskningsändamål6 och till utkastet till lagrådsremiss Behandling av personuppgifter för forskningsändamål.
7
I betänkandet Unik kunskap genom registerforskning redovisas inledningsvis de rättsliga förutsättningarna för att behandla personuppgifter inom forskning. Vidare innehåller betänkandet en utförlig redogörelse för rättsliga förutsättningar för registerbaserad forskning. Den centrala rättsliga förändringen sedan Registerforskningsutredningens betänkande lämnades är EU:s dataskyddsreform och dataskyddsförordningens tillkomst. Registerforskningsutredningens beskrivning är dock till stor del fortfarande aktuell. Vi kommer därför endast översiktligt redovisa de rättsliga förutsättningarna enligt nu gällande rätt och hänvisar för en mer ingående genomgång till Registerforskningsutredningens betänkande. I kapitel 6 redogör vi för Registerforskningsutredningens uppdrag och förslag samt remissinstansernas synpunkter på förslagen.
Regeringen har i propositionen Ny dataskyddslag8 redogjort för de allmänna rättsliga konsekvenserna av att dataskyddsförordningen börjar tillämpas. För en generell beskrivning av dataskyddsförordningens syfte, tillämpningsområde och de sakliga förändringar tillämpningen av förordningen kommer att innebära hänvisar vi till propositionen och även till Dataskyddsutredningens betänkande.9
2 Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45). 3 Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. 4 Regeringens proposition Ny dataskyddslag (prop. 2017/18:105). 5 Dataskyddsutredningens betänkande Ny dataskyddslag – Kompletterande bestämmelser till
EU:s dataskyddsförordning (SOU 2017:39).
6 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål SOU 2017:50). 7 Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för forsk-
ningsändamål (Dnr U2018/01639/F).
8Prop. 2017/18:105. 9SOU 2017:39.
I vårt delbetänkande (SOU 2017:50) går vi igenom de rättsliga instrument som har särskild betydelse för personuppgiftsbehandling för forskningsändamål. Vidare finns en redogörelse för den reglering av personuppgiftsbehandling för forskningsändamål som gällde före dataskyddsförordningen samt en analys av dataskyddsreformens konsekvenser utifrån ett forskningsperspektiv. Vi lämnade i delbetänkandet ett förslag till en forskningsdatalag. Detta kapitel (avsnitt 5.3) innehåller en översiktlig genomgång av de bestämmelser i dataskyddsförordningen som är särskilt viktiga när det gäller personuppgiftsbehandling för forskningsändamål. För fördjupning och detaljer i denna del hänvisar vi till delbetänkandet.
Utöver Dataskyddsutredningens generella översyn som lett fram till propositionen Ny dataskyddslag samt den första delen av vårt uppdrag har flera andra utredningar analyserat konsekvenserna av dataskyddsförordningen för specifika sektorer. I de betänkanden som dessa utredningar har presenterat och i de propositioner som dessa lett till finns också genomgångar av gällande rätt och de delvis nya förutsättningar som kommer att gälla när dataskyddsförordningen ska börja tillämpas, se t.ex. Socialdataskyddsutredningens och Utbildningsdatautredningens betänkanden10 samt propositionen Dataskydd
inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning11 och propositionen Behandling av personuppgifter på utbildningsområdet12.
5.2. Rättsliga förutsättningar för registerbaserad forskning
5.2.1. Internationell reglering
Sverige har vissa internationella åtaganden när det gäller att säkerställa respekten för grundläggande fri- och rättigheter, däribland rätten till personlig integritet i samband med automatisk databehandling av
10 Socialdataskyddsutredningens betänkande Dataskydd inom Socialdepartementets verksam-
hetsområde (SOU 2017:66) och Utbildningsdatautredningens betänkande EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49).
11 Regeringens proposition Dataskydd inom Socialdepartementets verksamhetsområde – en
anpassning till EU:s dataskyddsförordning (prop. 2017/18:171).
12 Regeringens proposition Behandling av personuppgifter på utbildningsområdet (prop. 2017/18:218).
personuppgifter.13 I FN:s allmänna förklaring om de mänskliga rättigheterna och FN:s internationella konvention om medborgerliga och politiska rättigheter stadgas att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem och korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Vidare har FN:s generalförsamling antagit riktlinjer om datoriserade register med personuppgifter. Dessa riktlinjer innehåller principer för personuppgiftsbehandling.
Enligt artikel 8 Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Artikeln innefattar en skyldighet för det offentliga att avhålla sig från ingrepp i den enskildes privat- och familjeliv och en offentlig myndighet får bara begränsa den enskildes rätt med stöd av lag. Sverige är också bundet till Europarådets konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, Dataskyddskonventionen.14 Till konventionen finns en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden.
Inom OECD har riktlinjer utarbetats avseende integritetsskydd och flödet av personuppgifter över gränserna. Syftet med dessa riktlinjer är att försöka undvika de risker för intrång i den personliga integriteten och individens frihet som behandling av personuppgifter kan utgöra. Sverige har godtagit OECD:s rekommendation att beakta riktlinjerna i nationell lagstiftning.
EU:s stadga om de grundläggande rättigheterna innehåller också bestämmelser om skydd för den personliga integriteten. Enligt stadgan har var och en rätt till fysisk och mental integritet, till respekt för sitt privat och familjeliv, sin bostad och sina kommunikationer samt till skydd för personuppgifter som rör honom eller henne.
När det gäller internationella dokument till skydd för den enskilde inom hälso- och sjukvård samt forskning finns Europarådets konvention om mänskliga rättigheter och biomedicin (Konventionen angående skydd av de mänskliga rättigheterna och människans värdighet med avseende på tillämpningen av biologi och medicin)15 samt de forskningsetiska riktlinjerna i Helsingforsdeklarationen.
13 För en mer detaljerad genomgång såväl när det gäller internationell som nationell reglering, se SOU 2014:45 s. 115 ff. Se också avsnitt 3.2 i vårt delbetänkande. 14 Konventionstexten har efter flera års arbete uppdaterats i maj 2018. http://www.coe.int/en/web/data-protection/convention108/modernisation. 15 Konventionen har fortfarande inte ratificerats av Sverige.
5.2.2. Regeringsformen
I regeringsformen, förkortad RF, finns de grundläggande bestämmelserna till skydd för den personliga integriteten. I målsättningsstadgandet i 1 kap. 2 § RF anges att den offentliga makten ska utövas med respekt bland annat för den enskilda människans frihet och att det allmänna ska värna om den enskildes privat- och familjeliv. Vidare finns ett grundlagsskydd mot intrång i den personliga integriteten i 2 kap. 6 § andra stycket RF. Här stadgas att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Bestämmelsen i andra stycket infördes år 2010. Det utökade rättighetsskyddet tar sikte på att skydda den personliga integriteten mot vissa intrång som kan anses vara särskilt känsliga.16 I propositionen uttalades att avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har. Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp. Vid bedömning av vilka åtgärder som kan anses utgöra ett ”betydande intrång” ska både åtgärdens omfattning och arten av det intrång åtgärden innebär beaktas. Även åtgärdens ändamål och andra omständigheter kan ha betydelse vid bedömningen. Bestämmelsen omfattar endast sådana intrång som på grund av åtgärdens intensitet eller omfattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omständigheter innebär ett betydande ingrepp i den enskildes privata sfär.17
En begränsning av rättigheterna i 2 kap. 6 § andra stycket RF ska för att vara tillåten enligt 2 kap. 20 § RF stadgas i lag. En begränsning enligt 2 kap. 20 § RF får göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Enligt 2 kap. 21 § RF ska begränsningsändamålet vara godtagbart, inte gå onödigt långt, inte vara ett hot mot opinionsbildningen och får inte innebära någon diskriminering på grund av åskådning i centrala hänseenden.
16 Regeringens proposition En reformerad grundlag (prop. 2009/10:80) s. 177. 17Prop. 2009/10:80 s. 250.
Det har i många lagstiftningsärenden uttalats att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska reglers särskilt genom lag. I kapitel 7, 8 och 13 diskuteras frågorna om integritetsintrång, lagkrav och proportionalitet när det gäller behandling av personuppgifter i databaser.
5.2.3. EU:s dataskyddsreglering
Inom EU reglerade dataskyddsdirektivet18 behandling av personuppgifter på helt eller delvis automatiserad väg fram till dess att dataskyddsförordningen började tillämpas. Det fanns även vissa kompletterande rättsakter. Dataskyddsdirektivet genomfördes i svensk rätt genom personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191).
Personuppgiftslagen var subsidiär i förhållande till andra författningar. Bestämmelser som avvek från personuppgiftslagen skulle således tillämpas i stället.
Dataskyddsdirektivet och personuppgiftslagen har ersatts av dataskyddsförordningen som började tillämpas den 25 maj 2018. I skäl 9 i förordningen konstateras att dataskyddsdirektivet inte har kunnat förhindra bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter kan enligt detta beaktandeskäl förhindra det fria flödet av personuppgifter och kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, riskera att snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.
Enligt artikel 1 i dataskyddsförordningen är syftet med förordningen att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Vidare anges att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.
Det anges i skäl 159 i dataskyddsförordningen att all reglering av vetenskaplig forskning ska ta hänsyn till unionens målsättning att uppnå ett europeiskt forskningsområde. Denna målsättning har
18 Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter. Dataskyddsdirektivet genomfördes i svensk rätt genom personuppgiftslagen.
formulerats i artikel 179.1 i fördraget om europeiska unionens funktionssätt.
Dataskyddsförordningen kompletteras i svensk lagstiftning av den nya dataskyddslagen, lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Dataskyddslagen innehåller anpassningar och kompletterande bestämmelser på ett generellt plan. Precis som personuppgiftslagen är dataskyddslagen subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i s.k. registerförfattningar.
Registerförfattningarna reglerar inrättandet av och förfarandet för viktigare register på det offentliga området. Som exempel på sådan registerlagstiftning som reglerar register som kan användas i forskning kan nämnas lagen (1998:543) om hälsodataregister, patientdatalagen (2008:355), lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) och lagen (1999:353) om rättspsykiatriskt forskningsregister.19
I ett första skede har vår utredning haft i uppdrag att undersöka vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den allmänna reglering som Dataskyddsutredningen skulle föreslå.20 Vi lämnade i delbetänkandet förslag till en lag som ska komplettera dataskyddsförordningen vid personuppgiftsbehandling för forskningsändamål, en forskningsdatalag. Syftet med den föreslagna forskningsdatalagen var att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Forskningsdatalagen skulle enligt förslaget vara tillämplig på all personuppgiftsbehandling för forskningsändamål oavsett om den utförs av offentligrättsliga eller privaträttsliga forskningsaktörer. Delbetänkandet har remissbehandlats. Utbildningsdepartementet har i utkast till lagrådsremiss Person-
uppgiftsbehandling för forskningsändamål inte gått vidare med förslaget
till forskningsdatalag.
Vi hänvisar när det gäller allmänna rättsliga konsekvenser av dataskyddsförordningen till den redogörelse som Dataskyddsutredningen gör i SOU 2017:39 och till den redogörelse som finns i propositionen
Ny dataskyddslag21. När det gäller konsekvenser utifrån ett forsk-
ningsperspektiv hänvisar vi till vårt delbetänkande.
19 Se kapitel 9 och Registerforskningsutredningens genomgång i avsnitt 5.3.6 i SOU 2014:45. 20 Dir. 2016:65. 21Prop. 2017/18:105.
5.2.4. Rätt för forskare att få del av personuppgifter
Forskare har rätt att ta del av uppgifter från myndigheter med stöd av rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen, förkortad TF. Hantering av allmänna handlingar och sekretessfrågor regleras i offentlighets- och sekretesslagen (2009:400). Statistikansvariga myndigheter har rättsligt stöd i personuppgiftslagen och förvaltningslagen (1986:223)22 när det gäller att bistå forskningshuvudmännen med sambearbetning av uppgifter, alltså uppgifter ur olika register som då också kan finnas hos flera olika myndigheter.23I personuppgiftslagen finns krav på de personuppgiftsansvariga när det gäller skydd och säkerhet för personuppgifter.24
Enligt 12 § etikprövningslagen får personuppgifter lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt. Enligt förarbetena till etikprövningslagen ska paragrafen läsas mot bakgrund av 24 § första och andra styckena personuppgiftslagen. Där framgår att om personuppgifter samlats in från någon annan källa än den registrerade, ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Sådan information behöver dock inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. En sådan bestämmelse om utlämnande av personuppgifter för användning i forskning är 12 § etikprövningslagen. Enligt denna bestämmelse behöver forskaren som hämtar in personuppgifter från något annat håll än den registrerade inte informera den registrerade om sin personuppgiftsbehandling.
Bestämmelsen innebär inte någon skyldighet att lämna ut personuppgifter. Den tillåter bara att den som innehar uppgifterna lämnar ut dem ifall inte något annat följer av regler om sekretess och tystnadsplikt. I delbetänkandet föreslog vi att 12 § etikprövningslagen ska flyttas till den i betänkandet föreslagna forskningsdatalagen.25
22Förvaltningslagen (2017:900) träder i kraft den 1 juli 2018. 23 Se vidare SOU 2014:45 s. 334 ff. 24 Se vidare SOU 2014:45 s. 340 ff. 25SOU 2017:50 s. 363 ff.
5.3. Några viktiga bestämmelser i dataskyddsförordningen
5.3.1. Inledning
För att behandling av personuppgifter i en forskningsdatabas ska vara laglig måste de grundläggande reglerna för dataskydd i dataskyddsförordningen och dataskyddslagen uppfyllas. I propositionen till dataskyddslagen finns en genomgång av dessa bestämmelser i förordningen och av bestämmelserna i dataskyddslagen.
I vårt delbetänkande lämnade vi förslag till en forskningsdatalag som skulle komplettera dataskyddsförordningen och dataskyddslagen. Utbildningsdepartementet har enligt utkast till lagrådsremissen Behandling av personuppgifter för forskningsändamål inte för avsikt att föreslå en forskningsdatalag. I utkastet finns en genomgång av departementets bedömningar när det gäller våra förslag i delbetänkandet och möjligheterna till en ändamålsenlig behandling av personuppgifter för forskningsändamål.
Vi hänvisar till den nämnda propositionen, vårt delbetänkande och det nämnda utkastet till lagrådsremiss och går här endast översiktligt igenom de bestämmelser och de bedömningar som vi anser är av särskilt intresse för vårt uppdrag i denna del.
5.3.2. Rättslig grund
Allmänt om rättslig grund enligt dataskyddsförordningen
Vid behandling av personuppgifter krävs att åtminstone ett av villkoren i artikel 6.1 a–f i förordningen är uppfyllt för att behandlingen ska vara laglig – ha rättslig grund. De rättsliga grunderna för laglig behandling av personuppgifter som räknas upp i artikel 6 är i stort sett desamma som i dataskyddsdirektivet och personuppgiftslagen. De punkter i artikeln som kan bli aktuella som rättslig grund för personuppgiftsbehandling för forskningsändamål är punkterna a (samtycke), e (uppgift av allmänt intresse) och f (intresseavvägning).
En viktig förändring i dataskyddsförordningen som har betydelse för offentliga forskningshuvudmän är att myndigheter inte längre kan åberopa den rättsliga grunden intresseavvägning som de tidigare kunnat göra enligt 10 § f personuppgiftslagen som grund för sin
behandling när de fullgör sina uppgifter. Enligt förordningen måste myndigheter i stället kunna ange en annan rättslig grund för sin behandling.
Av skäl 43 framgår vidare att samtycke inte ska kunna utgöra giltig rättslig grund för behandling i de fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, och då särskilt om den personuppgiftsansvarige är en offentlig myndighet. Även om detta inte innebär någon betydande förändring jämfört med dagens rättsläge är det ett förtydligande av vad som gäller för att ett samtycke ska kunna betraktas som frivilligt (se vidare nedan).
En annan viktig förändring är att den rättsliga grunden i artikel 6.1 c (rättslig förpliktelse) och e (uppgift av allmänt intresse) enligt artikel 6.3 måste vara fastställd i unionsrätten eller nationell rätt. Det kravet finns inte uttryckt i dataskyddsdirektivet i dag.
Samtycke
Allmänt om samtycke
Den rättsliga grunden samtycke stadgas i 6.1 a i dataskyddsförordningen. Personuppgiftsbehandling för forskningsändamål kan grundas på att den registrerade lämnat sitt samtycke för ett eller flera specifika ändamål. Samtycke kan användas som rättslig grund för alla slags personuppgifter, även känsliga personuppgifter (angående känsliga personuppgifter, se avsnitt 5.3.3). Den rättsliga grunden samtycke behöver inte vara fastställd i unions- eller nationell rätt och någon ytterligare reglering avseende den rättsliga grunden i nationell rätt är inte möjlig.
I delbetänkandet finns en analys av definitionen av samtycke i artikel 4.11 i dataskyddsförordningen och de begrepp som beskriver ett giltigt samtycke: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne, samt för känsliga personuppgifter (artikel 9.2 a) uttrycklig, viljeyttring. Vår bedömning är att dataskyddsförordningen inte innebär några betydande förändringar när det gäller de krav som ska vara uppfyllda för att ett samtycke ska anses vara giltigt jämfört med nu gällande rätt.
Utvidgad möjlighet till breda samtycken
Skäl 33 i dataskyddsförordningen innebär en utvidgning av det möjliga utrymmet för samtycke när syftet inte fullt ut kan identifieras vid insamlingstillfället, såsom när uppgifter samlas in till forskningsdatabaser. I skäl 33 anges nämligen att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Vidare anges att registrerade därför bör kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas.
Skäl 33 måste enligt vår bedömning ses som en tydligt uttryckt ambition att tillåta bredare samtycken för forskningsändamål än vad som hittills varit fallet. Registrerade bör i enlighet med vad som anges i skäl 33 ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta. Som vi konstaterat i delbetänkandet är en förutsättning dock att detta kan göras utan avkall på kraven att specificera ändamålen. Forskningsändamålen kan således vid samtycke båda vara specifika och någorlunda breda.26
Kravet på frivillighet
Ett samtycke ska vara frivilligt. Det innebär att det ska vara tydligt att ingen form av tvång, påtryckning eller negativa konsekvenser av ett uteblivet samtycke får förekomma. För att säkerställa att samtycket lämnas frivilligt bör det enligt skäl 43 inte utgöra giltig rättslig grund för behandling av personuppgifter i sådana situationer när det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Det ska särskilt gälla om den personuppgiftsansvarige är en offentlig myndighet om det därför är osannolikt att samtycket har lämnats frivilligt. Även om detta inte innebär någon betydande förändring jämfört med dagens rättsläge är det ett förtydligande av vad som gäller för att ett samtycke ska kunna betraktas som frivilligt.
I delbetänkandet analyserade vi vad som gäller för samtycke enligt 6.1 a med hänsyn till vad som anges i skäl 43. Vi gjorde bedömningen
26 SOU 2017 :50 s. 171.
att möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling för forskningsändamål behöver prövas i varje enskilt fall, som en del av bedömningen av giltigheten av det inhämtade samtycket. Vi menar att det för privaträttsliga forskningsaktörer vanligtvis inte råder betydande ojämlikhet när personuppgifter behandlas för forskningsändamål, men att det kan vara fallet i det som benämns ”en särskild situation”. I delbetänkandet nämns olika exempel på sådana särskilda situationer.27
Även när det gäller offentliga forskningsutförare kan det förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För statliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid en sådan inrättning.
Nytt samtycke vid ytterligare behandling
När det gäller ytterligare behandling vid ett senare tillfälle av insamlade personuppgifter har vi i delbetänkandet konstaterat följande. En forskningsaktör som har samlat in personuppgifter vid ett tillfälle för visst forskningsändamål, får behandla uppgifterna för ytterligare forskningsändamål utan krav på att ange en ny rättslig grund. När det gäller den situationen att personuppgifter utlämnas till annan personuppgiftsansvarig för behandling för forskningsändamål, är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Dock måste den andra personuppgiftsansvariga i sin tur åberopa en ny rättslig grund för behandlingen, såsom forskning av allmänt intresse enligt 6.1 e.28
Även när uppgifterna samlats in med stöd av samtycke är ytterligare behandling av personuppgifter för forskningsändamål hos samma personuppgiftsansvarig inte oförenlig med de ursprungliga ändamålen enligt artikel 5.1 b i dataskyddsförordningen. I skäl 50 i dataskyddsförordningen anges att detta (5.1 b) ska tolkas så att det inte krävs någon ny rättslig grund för sådan behandling. Enligt Europarådets rekommendation nr R (83) 10 om skydd för personuppgifter som används vid forskning och statistik bör dock den
27 Se SOU 2017:50 s. 163 ff. 28 Se SOU 2017:50 s. 146 f och 161 ff.
personuppgiftsansvarige inte behandla sådana uppgifter för ändamål som på ett avgörande sätt skiljer sig från det ursprungliga ändamålet, utan att ett nytt samtycke inhämtas där detta är lämpligt och praktiskt möjligt.29
Uppgift av allmänt intresse
Enligt artikel 6.1 e är behandlingen laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Genom 6.3 förstärks kopplingen mellan den rättsliga grunden och kravet på särskilda, uttryckligt angivna och berättigade ändamål (se avsnitt 5.3.6 om ändamålsbegränsning). I andra stycket anges nämligen att syftet med behandlingen ska fastställas i den rättsliga grunden eller vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Att grunden enligt artikel 6.3 i dataskyddsförordningen ska vara fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av innebär inte att det krävs en reglering i den nationella rätten av den personuppgiftsbehandling som ska ske med stöd av artikel 6.1.e utan det som måste ha stöd i rättsordningen är i stället uppgiften av allmänt intresse.
I dataskyddslagen finns en bestämmelse som tydliggör att begreppet uppgift av allmänt intresse avser en uppgift av allmänt intresse som utförs med stöd av gällande rätt. Enligt 2 kap. 2 § dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett stöd i den personuppgiftsansvariges myndighetsövning enligt lag eller annan författning.30
I propositionen till dataskyddslagen anges att regeringen gör bedömningen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse samt att på motsvarande sätt de obligatoriska uppgifter som ålagts kommuner och landsting att utföra är av allmänt intresse.
29 Se SOU 2017:50 s. 180. 30Prop. 2017/18:105 och SOU 2017:39 s. 41.
När det gäller forskning gör Utbildningsdepartementet i utkastet till lagrådsremiss Behandling av personuppgifter för forskningsända-
mål31 bedömningen att presumtionen bör vara att uppgiften att forska
är en uppgift av allmänt intresse i dataskyddsförordningens mening. Departementet konstaterar bland annat följande. Sådan behandling av personuppgifter för forskningsändamål som har tillåtits med stöd av 10 § d PUL, dvs. på den grunden att den har ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, får också anses som nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. En väsentlig förändring i förhållande till vad som gäller enligt personuppgiftslagen är som framkommit ovan emellertid att det inte räcker med att behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt.
I propositionen till dataskyddslagen konstateras att det inte är någon nyhet att en uppgift av allmänt intresse ska vara fastställd i enlighet med gällande rätt när det gäller svenska myndigheters behandling av personuppgifter eftersom legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Vidare konstateras följande. Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt. Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.32
Av skäl 41 i dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Regeringen gör i propositionen till dataskyddslagen bedömningen att vilken grad av tydlighet och precision som krävs i
31 Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för
forskningsändamål (Dnr U2018/01639/F).
32 Prop. 2017/18 :105 s. 50.
fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär.
På forskningsområdet innebär detta att uppgiften att forska måste vara reglerad i den nationella rätten på det sätt som framgår av 2 kap. 2 § 1 dataskyddslagen för att den rättsliga grunden i artikel 6.1 e ska vara tillämplig och kunna åberopas. Det ställs däremot inte något krav enligt dataskyddsförordningen på att uppgiften att forska ska vara fastställd för respektive forskningsutförare i separata författningar.
Utbildningsdepartementet har gjort bedömningen att det inte bör införas en sådan bestämmelse som vi föreslog i delbetänkandet, där det enligt förslaget skulle anges att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.
Departementet har i utkastet till lagrådsremiss i stället gjort följande bedömning. För universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt genom bestämmelser i högskolelagen. För de statliga myndigheter som har en tydligt författningsreglerad uppgift att bedriva forskning, är också forskningsuppgiften fastställd i svensk rätt. Dessa forskningsutförare kan därmed tillämpa den rättsliga grunden uppgift av allmänt intresse i dataskyddsförordningen vid behandling av personuppgifter som är nödvändig för att utföra forskningen.
När det gäller kommuner och landsting kan forskningsuppgiften vara fastställd genom beslut om verksamheten i kommunen som fattats i enlighet med bestämmelserna i kommunallagen. Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behandling av personuppgifter som är nödvändig för att utföra forskningen.
Vidare konstaterar departementet att en privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt om det krävs tillstånd för forskningsprojektet enligt t.ex. etikprövningslagen och forskningsutföraren har fått de tillstånd som krävs. I övrigt är privata forskningsutförares uppgift att forska inte fastställd i svensk rätt och när det är fråga om forskningsprojekt som inte involverar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser behöver en privat forskningsutförare åberopa andra rättsliga grunder. Privata forskningsutförare har då möjlighet att bedriva forskning med samtycke eller efter en intresseavvägning.
Intresseavvägning
Enligt artikel 6.1 f är behandlingen laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Av artikel 6.1 andra stycket framgår att detta inte ska gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta utgör en betydande skillnad mot tidigare lagstiftning eftersom motsvarande bestämmelse i personuppgiftslagen får tillämpas även av myndigheter.
Bakgrunden till begränsningen beskrivs närmare i skäl 47 i förordningen. Där framhålls bland annat att denna rättsliga grund inte bör gälla den behandling offentliga myndigheter utför som ett led i fullgörandet av sina uppgifter med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för myndigheternas behandling av personuppgifter. Offentliga forskningsaktörer kan alltså inte tillämpa den rättsliga grunden intresseavvägning som grund för sin personuppgiftsbehandling.
För privata forskningsaktörer är intresseavvägning en möjlig grund att tillämpa. Som framgått ovan är det bara när det är fråga om forskning som inte involverar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser som en privat forskningsutförare behöver åberopa andra rättsliga grunder än grunden uppgift av allmänt intresse. Eftersom presumtionen är att forskning är ett berättigat intresse finns det stora möjligheter att i sådana fall behandla personuppgifter för forskningsändamål efter en intresseavvägning.33
5.3.3. Känsliga personuppgifter
I artikel 9.1 i dataskyddsförordningen anges att behandling av känsliga personuppgifter34 är förbjuden. De personuppgifter som avses är sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska
33 Se Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för
forskningsändamål (Dnr U2018/01639/F).
34 Vi väljer att liksom Dataskyddsutredningen använda termen ”känsliga personuppgifter” för sådana uppgifter som i dataskyddsförordningen benämns ”särskilda kategorier av personuppgifter”, se SOU 2017:50 s. 186.
åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter som specifikt behandlas för att unikt identifiera individer eller uppgifter som rör hälsa eller sexualliv eller sexuell läggning. Från huvudregeln att det är förbjudet att behandla känsliga personuppgifter finns ett antal undantag i artikel 9.2. Vår bedömning är att undantagen i punkterna a, g och j kan bli aktuella i fråga om behandling av personuppgifter i forskningsdatabaser.
Känsliga personuppgifter får enligt 9.2 a behandlas om den registrerade uttryckligen har lämnat sitt samtycke. I förordningens artikel 9.2 a finns liksom i dataskyddsdirektivet en möjlighet för medlemsstaterna att föreskriva att den registrerade inte kan samtycka till behandling av känsliga personuppgifter. Dataskyddsutredningen har gjort bedömningen att det inte har framkommit något som talar för att det nu bör införas ett förbud mot behandling trots den registrerades samtycke.
Undantag från förbudet avseende viktigt allmänt intresse finns i artikel 9.2 g. Av det undantaget framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätt eller nationell rätt. Sådan rätt måste även innehålla lämpliga och särskilda skyddsåtgärder. Begreppen allmänt intresse och viktigt allmänt intresse är unionsrättsliga och finns även i artiklarna 7 e och 8.4 i dataskyddsdirektivet.
Ett ytterligare undantag från förbudet finns i artikel 9.2 j, om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, med motsvarande krav på lämpliga och särskilda skyddsåtgärder. Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Undantag från förbudet att behandla känsliga personuppgifter kräver att nationell rätt innehåller bestämmelser om skyddsåtgärder.35
35 Känsliga personuppgifter och personuppgifter om lagöverträdelser får behandlas för forskningsändamål om behandlingen har godkänts enligt etikprövningslagen, se avsnitt 5.4.
5.3.4. Personuppgifter om lagöverträdelser m.m.
I artikel 10 i dataskyddsförordningen regleras behandling av ”personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder”. Det stadgas att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. För att behandling av sådana personuppgifter om lagöverträdelser m.m. ska vara möjlig för forskningsändamål för andra än myndigheter behövs reglering i nationell rätt. Sådan lagstiftning ska även fastställa lämpliga skyddsåtgärder.36
5.3.5. Principer för personuppgiftsbehandling
Artiklarna 5–11 i dataskyddsförordningen innehåller principer, såsom grundläggande principer för behandling av personuppgifter, vad som gäller för att behandling av personuppgifter ska vara laglig, villkor för samtycke och behandling av känsliga personuppgifter (särskilda kategorier av personuppgifter). I artikel 5 stadgas allmänna krav som gäller för all personuppgiftsbehandling. Artikel 5 i dataskyddsförordningen motsvarar i stora drag artikel 6 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 9 § PUL.
I artikel 5 i dataskyddsförordningen anges följande principer för behandling av personuppgifter:
- laglighet, korrekthet och öppenhet,
- ändamålsbegränsning,
- uppgiftsminimering,
- korrekthet
- lagringsminimering,
- integritet och konfidentialitet samt
36 För en genomgång av alla led i artikel 10, se SOU 2017:50 s. 206 ff.
- ansvarsskyldighet.
5.3.6. Ändamålsbegränsning
Artikel 5.1 b
I dataskyddsförordningen stadgas om ändamålsbegränsning i artikel 5.1 b.37 Personuppgifter ska enligt denna bestämmelse samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
Att uppgifterna inte senare får behandlas på ett sätt som är oförenligt med det ursprungliga ändamålet för vilket uppgifterna samlades in kallas finalitetsprincipen. Från finalitetsprincipen finns det så kallade forskningsundantaget. Ytterligare behandling för bland annat vetenskapliga eller historiska forskningsändamål ska enligt artikel 5.1 b inte anses vara oförenlig med de ursprungliga ändamålen. Skrivningen innebär alltså att ytterligare behandling av personuppgifter för forskningsändamål, precis som tidigare enligt personuppgiftslagen, är särskild gynnad. Även om ytterligare behandling av personuppgifter för forskningsändamål inte ska anses stå i strid med de ursprungliga ändamålen gäller kravet på att ändamålet ska vara särskilt, inte allmänt.
Behandling får alltså, i nuläget enligt personuppgiftslagen och även när dataskyddsförordningen börjar tillämpas, bara genomföras för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifterna får sedan inte behandlas på ett sätt som är oförenligt med dessa ändamål. De på förhand fastställda ändamålen sätter ramarna för behandlingen.
Syftet är öppenhet, rättssäkerhet och förutsägbarhet så att den registrerade skyddas genom att ramarna blir tydliga för hur uppgifterna får användas. Det måste därför noga övervägas till vilket ändamål insamlade personuppgifterna ska användas. Att ändamålet ska vara särskilt medför att alltför allmänt hållen ändamålsangivelse inte godtas.
I skäl 39 i dataskyddsförordningen anges bland annat att de specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna
37 Motsvarande reglering finns i 9 § personuppgiftslagen.
samlades in, att personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Vidare anges att detta i synnerhet kräver att den period under vilken personuppgifterna lagras är begränsade till ett strikt minimum och att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel.
Ändamålsbegränsningen som stadgas i artikel 5 har ett nära samband med kravet på laglig behandling i artikel 6. Personuppgiftsbehandling för forskningsändamål grundat på samtycke bygger enligt 6.1 a på att den registrerade lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Ett tydligt angivet ändamål är som regel en förutsättning för att det ska kunna bedömas om en viss behandling är laglig, alltså om ett giltigt samtycke föreligger (6.1 a) eller om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b–f. När det gäller samtycke måste den enskilde, utifrån ändamålet, kunna ge ett samtycke till att uppgifterna om den enskilde används i den aktuella forskningen.
Principen om att ändamålen ska vara berättigade enligt artikel 5.1 b utgör en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5. Kravet på att ändamålen ska vara berättigade går dock längre än så och omfattar även ett krav på förenlighet med till exempel konstitutionella och andra rättsliga principer. Vidare kan även det allmänna sammanhanget och omständigheterna i det aktuella ärendet vara av betydelse för bedömningen av om ändamålen är berättigade.38
Ändamålsbegränsningen har också betydelse för att Datainspektionen39 ska kunna bedöma om behandling av personuppgifter är förenlig med förordningen. Vidare har ändamålsbegränsningen betydelse för att etikprövningsnämnden40 ska kunna göra bedömningen avseende nyttan av forskningen och väga den mot riskerna för de enskilda. Dessutom har ändamålsbegränsningen betydelse för att
38 Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning (Opinion 03/2013 on
purpose limitation), s. 11 f. och 19 f.
39 I ett pressmeddelande den 15 december 2017 informerar regeringen att den kommer att tillföra Datainspektionen 30 miljoner kronor för att stärka arbetet med den personliga integriteten. Myndigheten föreslås också att byta namn till Integritetsskyddsmyndigheten. Dessutom ska myndighetens uppdrag ändras så att dess stödjande och rådgivande roll blir tydligare. 40 I januari 2019 ändras organisationen på så sätt att Centrala etikprövningsnämnden och de nuvarande sex regionala etikprövningsnämnderna ersätts av Överklagandenämnden för etikprövning och en ny myndighet; Etikprövningsmyndigheten, se vidare avsnitt 5.4.
statistikansvariga utlämnande myndigheter ska kunna bedöma vilka uppgifter som behövs för forskningen i fråga vid sekretessprövningen enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL (se avsnitt 5.5).
Ändamålsbegränsning och forskningsdatabaser
Ändamålsbegränsningen har ansetts vara ett hinder för större forskningsdatabaser med personuppgifter som är avsedda att tillhandahålla uppgifter till fler än ett framtida forskningsprojekt. Vid en forskningsdatabas bildande krävs det att ändamålet för personuppgiftsbehandlingen är tillräckligt tydligt för att kunna godtas. Svårigheter kan därvid uppstå eftersom det vid större forskningsdatabasers tillkomst inte alltid är klart inom vilka forskningsprojekt uppgifterna kan komma att behandlas. När uppgifterna ska kunna användas i olika forskningsprojekt med olika inriktningar behöver ändamålsbeskrivningarna anpassas efter detta. Frågan om ändamålet har en stark koppling till frågan om möjligheten till etikprövning, se avsnitt 5.4.
Hur bred en ändamålsbeskrivning, och ett därtill kopplat samtycke, lagligen kan vara har diskuterats i olika sammanhang.41 I förarbetena till bestämmelsen om ändamålsbegränsning i personuppgiftslagen angavs att en alltför allmänt hållen ändamålsangivelse inte kan godtas men hur pass detaljerad den ska vara för att uppfylla lagens krav på att vara ”särskild” förutsattes avgöras i praxis och genom kompletterande föreskrifter.
I kommentaren till 9 § personuppgiftslagen konstateras att om inte ändamålet har en viss grad av precision går det knappast att bedöma om personuppgifterna är adekvata och relevanta eller om för många personuppgifter behandlas. Vidare anförs att en personuppgift torde vara nödvändig för ett visst ändamål, om ändamålet inte kan realiseras för det fall inte personuppgiften får användas. Om man inte kan avgöra vilka personuppgifter som behövs för att ändamålet ska kunna
41 Se t.ex. angående Vetenskapsrådets satsningar på databasinfrastrukturer, LifeGene m.m. i SOU 2017:50 s. 169 ff.
uppfyllas torde ändamålet inte vara särskilt utan allmänt. Det konstateras således att ändamålsbestämningen avgör vilka personuppgifter som får behandlas.42 Detta gäller även enligt dataskyddsförordningen.
Artikel 29-gruppen43 har i ett yttrande framhållit att ”framtida forskning” är ett alltför brett ändamål för att kunna vara särskilt. Dock tilläggs att hur detaljerat ändamålet bör vara beror på vilka uppgifter det gäller och i vilket sammanhang dessa samlas in.44 Datainspektionen har i olika sammanhang varit kritiska mot ändamålsangivelser såsom ”framtida forskning” som bedömts vara alltför allmänna.45Angående etikprövning av LifeGene och EpiHealth, se avsnitt 5.4.2.
Ändamålsbestämmelser i befintliga regleringar av forskningsdatabaser
I befintliga registerlagar och registerförordningar där forskning är syftet eller ett av syftena är ändamålen formulerade på bland annat följande sätt. I lagen (1998:543) om hälsodataregister stadgas i ändamålsbestämmelsen att personuppgifter i ett hälsodataregister får användas för bland annat forskning och epidemiologiska undersökningar. Enligt patientdatalagen (2008:355) inrättas kvalitetsregister inom hälso- och sjukvården för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, men får också användas för det sekundära ändamålet att bidra till forskning inom hälso- och sjukvårdsområdet. Ändamålet med det rättspsykiatriska forskningsregistret är enligt lagen (1999:353) om rättspsykiatriskt forskningsregister att uppgifterna ska användas för forskning inom rättspsykiatrin. Enligt lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen) får personuppgifter endast behandlas om det behövs för att fullgöra institutets uppdrag att främja, stödja och genom forsk-
42 Sören Öman, Hans-Olof Lindblom, Personuppgiftslagen (20 december 2016, Zeteo), kommentaren till 9 §. 43 Article 29 Data Protection Working Party, Guidelines on Consent under Regulation
2016/679 (WP259), s. 27. Artikel 29-gruppen är en oberoende rådgivande EU-instans för
skydd av personuppgifter och privatlivet. Genom dataskyddsförordningens ikraftträdande kommer arbetsgruppen byta namn till Europeiska Dataskyddsstyrelsen. http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=615239 44 Artikel 29-gruppens yttrande 03/2013 om ändamålsbegränsning, s. 52. 45SOU 2014:45 s. 343. Se även s. 346 fotnot 88 angående formuleringen av ändamålet i ansökan avseende LifeGene.
ning genomföra studier, uppföljningar och utvärderingar. I myndighetens instruktion preciseras ändamålet något. I lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (den så kallade LifeGene-lagen) sägs ändamålet vara att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt. I lagen (2002:297) om biobanker i hälso- och sjukvården m.m. anges forskning som ett av flera ändamål som en biobank får användas till.
I vårt delbetänkande analyserade vi vilka anpassningar till dataskyddsförordningen som behöver göras i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt i lagen om rättspsykiatriskt forskningsregister när förordningen ska börja tillämpas. Vi gjorde bedömningen att de befintliga ändamålsbestämmelserna i de båda lagarna kan och bör behållas.46
Tidigare utredningars bedömningar avseende ändamål och forskningsdatabaser
Vetenskapsrådet har i sin rapport Rättsliga förutsättningar för en data-
basinfrastruktur för forskning47 från år 2010 identifierat problem-
ställningar förknippade med uppbyggnaden av en generell forskningsdatabas. Särskilt kravet på ändamålsprecisering konstaterades stå i motsats till uppbyggnad av en generell datasamling. Vetenskapsrådet menade att det krävs ny lagstiftning för att få till stånd en databasinfrastruktur för forskning där generella forskningsändamål är tillåtna. I Vetenskapsrådets rapport anges att en möjlighet skulle kunna vara att det införs en lag om forskningsregister som reglerar de yttre ramarna för hur forskning i register får genomföras och att det införs registerförordningar för respektive register som anger de närmare förutsättningarna. Denna idé tog sedan Registerforskningsutredningen vidare i sina förslag.
I Registerforskningsutredningens förslag till lag om forskningsdatabaser finns en ändamålsbestämmelse enligt vilken en forskningsdatabas får innehålla endast de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas enligt den föreslagna ändamålsbestämmelsen. Personuppgifter får enligt förslaget behandlas för
46SOU 2017:50 s. 387 ff. och 408 ff. 47 Vetenskapsrådets rapportserie 11:2010.
att skapa underlag för olika forskningsprojekt och för att lämna ut uppgifter till forskningsprojekt.
I det betänkandet diskuteras om det ändamål som anges i lagförslaget är tillräckligt specifikt trots att det måste vara relativt brett för att kunna inrymma alla de forskningsdatabaser som kan bli aktuella att bygga upp. Det poängteras att syftet är att möjliggöra insamling av uppgifter inom olika ämnesområden till en forskningsdatabas som ska kunna utgöra grund för framtida forskning.
Enligt utredaren är det inte möjligt att i den då föreslagna lagen om forskningsdatabaser ange vilka uppgifter som ska vara tillåtna i de olika databaser som kan etableras med stöd av lagen. Däremot bör enligt utredaren ändamålet preciseras så långt som möjligt i de särskilda förordningar som förutsätts reglera varje enskild databas.48Registerforskningsutredningens förlag behandlas i kapitel 6.
5.3.7. Begränsningar i registrerades rättigheter
Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionslagstiftning eller i medlemsstaternas nationella lagstiftning föreskrivas om undantag från den registrerades rättigheter i vissa artiklar. Vi föreslog i delbetänkandet vissa sådana undantag från registrerades rättigheter. I utkastet till lagrådsremiss görs bedömningen att inga undantag från de angivna rättigheterna ska införas.
Den registrerade har enligt artikel 16 i dataskyddsförordningen rätt till rättelse av felaktiga personuppgifter som rör honom eller henne. När det gäller arkiverat forskningsmaterial, som bevaras bland annat för att det ska finnas möjlighet att granska handlingar för att verifiera forskningsresultat, skulle rättelse avsevärt försvåra verifiering och därmed strida mot syftet att bevara forskningsmaterialet.
I artikel 18 i dataskyddsförordningen stadgas om rätt för den registrerade att kräva att personuppgiftsbehandlingen begränsas under vissa förutsättningar.
Om den registrerade kan kräva att personuppgifterna är undantagna från behandling i forskning under en period kan det leda till skevhet i materialet som används i forskningen.
5.3.8. Skyddsåtgärder
I dataskyddsförordningen ställs i artikel 89.1 krav på att behandling av personuppgifter för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades fri- och rättigheter. Skyddsåtgärderna ska garantera att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. I artikel 5.1 c i dataskyddsförordningen stadgas om uppgiftsminimering. Vid personuppgiftsbehandling ska enligt stadgandet gälla att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas
Utbildningsdepartementet har i utkastet till lagrådsremiss föreslagit att en bestämmelse, motsvarande den som funnits i personuppgiftslagen, med följande lydelse förs in i dataskyddslagen. Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. I vårt delbetänkande föreslog vi en motsvarande bestämmelse i förslaget till forskningsdatalag.
Departementet har vidare gjort följande bedömningar. Att personuppgifter bör pseudonymiseras eller omfattas av andra lämpliga skyddsåtgärder när de behandlas för forskningsändamål framgår direkt av EU:s dataskyddsförordning och bör därför inte föreskrivas i svensk rätt. En skyddsåtgärd som innebär att personuppgifter, med vissa undantag, inte får behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling bör inte föreskrivas i svensk rätt. Att den registrerade kan invända mot behandling följer direkt av EU:s dataskyddsförordning. Etikprövning enligt etikprövningslagen är en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter för andra forskningsändamål än klinisk läkemedelsprövning och för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt dataskyddsförordningen.
5.4. Etikprövning
5.4.1. Etikprövningslagens innehåll, syfte och tillämpningsområde
Etikprövningslagen innehåller bestämmelser om forskningsetisk granskning och syftar till att skydda den enskilda människan och respekten för människovärdet vid forskning. För forskning som omfattas av lagen krävs etikgodkännande. Detta gäller oavsett om forskningspersonerna har lämnat sitt samtycke till att delta i forskningen eller inte. Etikprövningslagen gäller enligt 5 § för forskning som ska utföras i Sverige.49
Enligt 3 § ska etikprövningslagen tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör hälsa eller sexualliv. Lagen ska också tillämpas vid behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen.50
Lagen gäller enligt 4 § för forskning som innebär ett fysiskt ingrepp på en person, som utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt. Lagen är också tillämplig på studier på biologiskt material från en levande person och som kan härledas till denna person. Inom lagens tillämpningsområde faller även forskning som innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna person. Det innebär bland annat
49 I kapitel 14 i vårt delbetänkande SOU 2017:50 finns en genomgång av etikprövning av personuppgiftsbehandling för forskningsändamål. Där ingår en analys av personuppgiftslagens relation till etikprövningslagen. Vi hänvisar även till Registerforskningsutredningens genomgång avseende etikprövningslagen i SOU 2014:45 s. 189 ff. 50 Vi föreslog i vårt delbetänkande SOU 2017:50 anpassningar av etikprövningslagen till dataskyddsförordningen. Enligt förslaget skulle 3 § hänvisa till artikel 9.1 i dataskyddsförordningen i stället för till 13 § personuppgiftslagen. Även Utbildningsdepartementet har i utkastet till lagrådsremiss Personuppgiftsbehandling för forskningsändamål (Dnr U2018/01639/F) föreslagit detta. Enligt övergångsbestämmelserna till dataskyddslagen gäller personnuppgiftslagen fortfarande i den utsträckning det i annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den lagen.
att det behövs etikgodkännande för att använda material från en biobank i ett forskningsprojekt.
Etikprövningsnämndernas organisation har varit föremål för utredning.51 I januari 2019 ändras organisationen på så sätt att Centrala etikprövningsnämnden och de nuvarande sex regionala etikprövningsnämnderna ersätts av Överklagandenämnden för etikprövning och en ny myndighet; Etikprövningsmyndigheten.52 Etikprövning av forskning som avser människor ska i stället för av nämnderna hanteras av en den nya myndigheten. En särskild utredare har fått i uppdrag att förbereda och genomföra bildandet av Etikprövningsmyndigheten. Uppdraget ska redovisas senast den 31 december 2018.53
En översyn av etikprövningslagen och regleringen för verksamhet i gränsområdet mellan klinisk forskning och hälso- och sjukvård samt en bestämmelse om etisk bedömning av vissa metoder i hälso- och sjukvården har gjorts av Utredningen om översyn av etikprövningen. I betänkandet Etikprövning – en översyn av reglerna om forskning och
hälso- och sjukvård finns förslag till förändringar i etikprövnings-
lagen.54
5.4.2. Villkor för etikprövning
Den forskning som etikprövningslagen omfattar enligt 3–5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande ska enligt 6 § avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. enligt 13 och 21 §§personuppgiftslagen får bara utföras om behandlingen av uppgifter har godkänts vid en etikprövning.
Med att forskning utförs avses själva genomförandefasen, dvs. att forskningspersoner rekryteras och inhämtande av underlag påbörjas, försök genomförs samt att inhämtat underlag analyseras och be-
51 Regeringens proposition En ny organisation för etikprövning av forskning som avser
människor (prop. 2017/18:45).
52 Lagen (2018:147) om ändring i lagen (2003:460) om etikprövning av forskning som avser människor. 53 Kommittédirektiv (2017:127) Inrättande av etikprövningsmyndigheten. 54 Utredningens om översyn av etikprövningslagen betänkande Etikprövning – en översyn av
reglerna om forskning och hälso- och sjukvård (SOU 2017:104).
arbetas. Rent inledande planeringsarbete eller ordnande av finansiering omfattas inte eftersom det är först i samband med forskningens utförande i angiven bemärkelse som risker för skada avseende forskningspersonens hälsa, säkerhet och personliga integritet uppkommer.55 Ett forskningsprojekt består ofta av flera delar. Etikprövning ska endast göras av den del av projektet som omfattas av kravet på godkännande vid etikprövning.
Ett projekt är ofta avgränsat med avseende på den vetenskapliga frågeställningen, antalet forskningspersoner, forskningsledningen, finansiering eller på något annat sätt. I propositionen till etikprövningslagen anges att några generella, principiella godkännanden till att under oöverskådlig framtid få utföra forskning på ett visst material inom ett visst område eller dylikt, inte kan medges.56
Centrala etikprövningsnämnden har konstaterat att det inte är möjligt att med stöd av etikprövningslagen behandla och godkänna forskningsdatabaser för framtida forskning. Anledningen till det är att den forskning som ska etikprövas måste vara avgränsad och att generella, principiella godkännanden till att under överskådlig framtid få utföra forskning på ett visst material, inom ett visst område eller liknande, inte kan lämnas. Etikprövningsnämnderna har dock i vissa fall ansett sig oförhindrade att godkänna projekt även med ganska breda ändamålsbeskrivningar. Gränsdragningen kan beskrivas som oklar mellan vad som anses vara ett projekt eller på något liknande sätt bestämd forskning och som därmed kan ges etikgodkännande respektive forskningsdatabaser som i dag inte anses kunna prövas enligt etikprövningslagen.57
Som exempel på den oklara gränsdragningen kan nämnas projekten LifeGene och EpiHealth58 som båda syftar till att samla in data från individer och följa dem under flera år för att få underlag att analysera sambanden mellan arv, miljö och hälsa. Projekten syftar till att skapa forskningsdatabaser som kan användas i framtida projekt. För de konkreta projekt till vilka forskare önskar få ut uppgifter från LifeGene eller EpiHealth krävs etiktillstånd precis som för annan forskning som använder sig av känsliga personuppgifter.
55Prop. 2002/03:50 s. 114. 56Prop. 2002/03:50 s. 114 f. 57 Se vidare SOU 2014:45 s. 343 ff. 58 LifeGene är ett samarbete mellan flera universitet som leds av Karolinska Institutet. EpiHealth leds av Uppsala universitet och Lunds universitet.
För att skapa databaserna ansökte såväl LifeGene som EpiHealth om etikprövning och fick båda etiktillstånd. När det gäller LifeGene innehöll beslutet ett förbehåll och överklagades till Centrala etikprövningsnämnden, som ansåg sig förhindrad att pröva ansökan. Nämnden konstaterade dock att projektet inte behövde etikgodkännande för att få genomföras och att godkännande av etikprövningsnämnd bara aktualiseras med avseende på sådan konkret forskning som kan komma att planeras i framtiden.59 Datainspektionen beslutade dock, med stöd av personuppgiftslagen, att uppgiftssamlingen skulle upphöra. Beslutet motiverades med att ändamålet framtida forskning var alltför brett och det i sin tur gjorde det omöjligt för forskningspersonerna att ge ett giltigt samtycke. Efter Datainspektionens beslut lämnade regeringen förslag till en lag för att möjliggöra LifeGene-projektet. Den tillfälliga lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (den så kallade LifeGene-lagen) trädde i kraft den 1 december 2013. Tiden för lagen har förlängts två gånger och gäller enligt den senaste förlängningen till den 31 december 2020.60
EpiHealth prövades inte av Centrala etikprövningsnämnden och Datainspektionen har inte funnit anledning att pröva behandlingens laglighet. Det kan dock konstateras att ansökan avseende EpiHealth var något mer utförlig när det gäller ändamålsbeskrivningen än den som avsåg LifeGene. 61 Angående ändamålsbestämning, se avsnitt 5.3.6.
5.5. Offentlighet, sekretess och tystnadsplikt
5.5.1. Inledning
Av dataskyddsförordningens artikel 86 framgår det att personuppgifter i allmänna handlingar får lämnas ut av myndighet eller ett offentligt organ i enlighet med medlemsstatens nationella rätt. I Sverige kommer detta till uttryck i offentlighetsprincipen.
Offentlighetsprincipen är central i svensk rätt och kommer till uttryck bland annat genom rätten att ta del av allmänna handlingar.
59 CEPN beslut 2011-03-04, dnr Ö 28-2010. 60 Förslaget till förlängningen lades fram i regeringens proposition Fortsatt giltighet av lagen
om vad vissa register för forskning om vad arv och miljö betyder för människors hälsa (prop.
2016/17:204). 61 I SOU 2014:45 s. 347 f. finns en översikt som innehåller jämförelse mellan ändamålsbeskrivningarna i de båda ansökningarna.
När forskningsdata förvaras hos en myndighet (t.ex. ett statligt lärosäte) och vissa andra organ blir bestämmelserna om rätten att ta del av allmänna handlingar i 2 kap. TF tillämpliga. Denna rätt gäller dock inte utan begränsningar. Av 2 kap. 2 § TF framgår nämligen att denna rätt får begränsas om det är påkallat med hänsyn till vissa i paragrafen angivna intressen, bl.a. skyddet av enskildas personliga och ekonomiska förhållanden.
Varje begränsning i rätten att ta del av allmänna handlingar ska enligt 2 kap. 2 § andra stycket TF anges noga i en särskild lag. Det är i huvudsak regleringen i offentlighets- och sekretesslagen (2009:400), OSL, och offentlighets- och sekretessförordningen (2009:641) som styr i vilka fall en myndighet får lämna ut uppgifter för olika ändamål, bl.a. forskning.
Enligt 2 kap. OSL ska vad som föreskrivs i TF om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar gälla också handlingar hos vissa andra organ. Dessa kan vara statliga aktiebolag, ekonomiska föreningar eller stiftelser (2 kap. 3 § OSL), men även andra privaträttsliga organ än statliga företag såsom en del enskilda utbildningsanordnare med examensrätt. I bilagan till OSL finns reglerat vilka övriga juridiska personer som enligt 2 kap. 4 § OSL – s.k. jämställda organ – som omfattas av offentlighetsprincipen om handlingarna hör till den verksamhet som nämns där. Dessa organ ska således vid tillämpningen av OSL jämställas med myndigheter.
Utöver att organ som räknas upp i bilagan till OSL omfattas av offentlighetsprincipen finns en koppling mellan bilagan och arkivlagen (1990:782). Enligt 2 § arkivlagen gäller det som enligt lagen gäller för statliga myndigheters arkiv även för arkiv hos sådana organ som avses i 2 kap. 4 § första meningen OSL till den del arkivet härrör från den verksamhet som avses i bilagan till offentlighets- och sekretesslagen (se vidare avsnitt 5.6.1). Arkivlagens koppling till bilagan till offentlighets- och sekretesslagen innebär att tillämpningsområdet kan förändras utan att det krävs ändringar i arkivlagen. Bilagan till offentlighets- och sekretesslagen kan ändras genom att nya organ kommer till eller genom att organ tas bort och på så sätt ändras även arkivlagens tillämpningsområde.
En viktig skillnad mellan OSL och dataskyddsförordningen är att dataskyddsförordningen inte omfattar behandling av uppgifter om avlidna, medan sekretess enligt OSL kan göra det.
5.5.2. Sekretessbestämmelsernas utformning
Föremål, räckvidd och styrka
Sekretessbestämmelserna i OSL består av tre olika rekvisit: föremålet för sekretessen, sekretessens räckvidd och sekretessens styrka.
Med föremålet för sekretessen avses vilken slags uppgift som ska omfattas av sekretessregleringen. Detta ska vara en så uttömmande reglering som möjligt.
Räckvidden för sekretessen är, om inget annat anges, hela den offentliga förvaltningen och därmed jämställda organ och verksamheter. Det är dock vanligast att sekretessbestämmelserna anger en mer begränsad räckvidd. Detta uttrycks genom att sekretessen gäller inom en viss verksamhet eller i ett ärende av angivet slag. I undantagsfall hänvisas till en viss bestämd myndighet. Sekretess som på detta vis inskränks till information som hör samman med verksamheten, ärendet eller myndigheten brukar kallas för primär sekretess (se vidare nedan).
I nästan alla sekretessregler krävs det en bedömning av hur stor risken för skada är om en viss uppgift lämnas ut. Två olika typer av skaderisker kan förekomma. Begreppet ”skada” avser risk för ekonomisk skada. När det i stället gäller risken för integritetskränkningar används beteckningen ”men”. I vissa bestämmelser förekommer bägge varianterna. Det finns också regler där någon skaderisk inte anges. I de fallen är sekretessen absolut och gäller alltid för den aktuella uppgiften i den angivna verksamheten. Det är dessa rekvisit som anger sekretessens styrka.
Skaderekvisit
Som nämnts ovan omfattas vanligtvis en sekretessbestämmelse av ett skaderekvisit som anger sekretessens styrka. Ett skaderekvisit måste vara uppfyllt för att uppgifterna i en allmän handling ska anses omfattas av sekretess. I det följande redogörs för de olika skaderekvisiten.
Det raka skaderekvisitet formuleras som att sekretess gäller för en uppgift ”om det kan antas” att ett utlämnande leder till skada. Det krävs särskilda omständigheter i det enskilda fallet som talar för att ett
utlämnande är skadligt.62 Vid rakt skaderekvisit är offentlighet huvudregeln. En myndighet ska alltså kunna redovisa konkreta skäl för sekretess om den trots det raka skaderekvisitet vill hemlighålla en uppgift.63
Omvänt skaderekvisit innebär att uppgifterna i en allmän handling som huvudregel är sekretesskyddade, så kallad stark sekretess, och formuleras så ”att det måste stå klart” att utlämnandet inte kan anses leda till skada för att ett utlämnande ska kunna göras.64
Slutligen är den absoluta sekretessen den allra starkaste formen av sekretess där huvudregeln är att uppgifter inte får lämnas ut oavsett om de kan orsaka skada eller inte. Här behöver inte någon skadeprövning göras och inget skaderekvisit vara uppfyllt för att det ska föreligga sekretess.65
De olika skaderekvisiten som anges ovan innebär konkret att sekretessen enligt olika bestämmelser har olika typer av styrkegrad. Ett exempel på uppgifter som omfattas av sekretess med ett rakt kvalificerat skaderekvisit är uppgifter om enskilds hälsa eller sexualliv (21 kap. 1 § OSL).66
Överföring av sekretess
Bestämmelser om överföring av sekretess finns i 11 kap. OSL där överföring av sekretess i forskningsverksamhet regleras särskilt i 3 §. Överföring av sekretess blir aktuellt i de fall det inte finns någon primär sekretessbestämmelse hos den mottagande myndigheten som är tillämplig på uppgifterna som behandlas i ett forskningsprojekt. Det kan i stället finnas sekretess som genom bestämmelsen om överföring av sekretess har förts över från den myndighet från vilken uppgifterna är hämtad. Sekretessen överförs i det fall uppgifterna lämnas till en myndighets forskningsverksamhet under förutsättning att uppgifterna inte redan omfattas av en annan sekretessbestämmelse till skydd för samma intresse hos den mottagande myndigheten. Detta framgår av 11 kap. 8 § OSL som reglerar konkurrens mellan primära och sekundära sekretessbestämmelser.
62 Se bland annat RÅ 1994 ref. 91 och RÅ 1981 2:34 I. 63 Regeringens proposition med förslag till sekretesslag m.m. Del A (prop. 1979/80:2) s. 80. 64Prop. 1979/80:2 Del A s. 80. 65Prop. 1979/80:2 Del A s. 82. 66 Tansjö, Geijer och Lenberg Lagkommentaren till Offentlighets- och sekretesslagen.
Regleringen om primär och sekundär sekretess återfinns i 3 kap. 1 § OSL. Med primär sekretessbestämmelse avses en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen antingen riktar sig direkt till myndigheten, omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter som finns förvarade hos myndigheten. Primär sekretess kan dock spridas utanför det primära sekretessområdet med stöd av bestämmelser om överföring av sekretess, dvs. sekundär sekretess.67
Sekundär sekretess kallas den sekretess som den som begärt ut en uppgift ska tillämpa på uppgiften på grund av att sekretessen överförts. Om den mottagande myndigheten har en egen sekretessbestämmelse som gäller för uppgiften, är det i stället den sekretessen som mottagen ska tillämpa.
Vid införandet av den gamla sekretesslagen (1980:100) ansåg lagstiftaren att en allmän bestämmelse om överföring av sekretess inte behövdes tas in i sekretessregleringen. I stället bedömde man att sekretessbehovet som huvudregel kunde tillgodoses genom primära sekretessbestämmelser. Denna inställning har följt med till den nya offentlighets- och sekretesslagen. Det har medfört att de olika primära sekretessbestämmelserna var och en för sig har ett begränsat tillämpningsområde, vilket i sin tur innebär att det finns en del luckor i sekretesskyddet.
Om det finns en primär sekretessbestämmelse som är tillämplig på uppgiften hos den mottagande myndigheten, så gäller den sekretessbestämmelsen före den sekundära sekretessbestämmelsen. Detta gäller oavsett vad för styrka den primära sekretessens har hos den utlämnande myndigheten. Med andra ord kan detta komma att innebära att uppgifterna kommer att omfattas av en sekretessbestämmelse som har ett svagare skydd än om sekretessen överfördes från den utlämnande myndigheten. I de fall som det visat sig att sådana luckor föranleder praktiska olägenheter för utlämnande myndighet ansåg lagstiftaren att man i första hand får åtgärda luckorna genom justeringar i de primära sekretessbestämmelserna.68 Detta har dock inte gjorts i någon större utsträckning inom forskningsområdet.
67 Tansjö, Geijer och Lenberg Lagkommentaren till Offentlighets- och sekretesslagen. 68Prop. 1979/80:2 Del A s. 76 ff., SOU 2014:45 s. 206.
Bestämmelsen om överföring av sekretess är central för sekretesskyddet för personuppgifter i forskningssammanhang. Den innebär att en myndighet som i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet ska tillämpa samma sekretessbestämmelse på uppgiften som den utlämnande myndigheten gör. Detta under förutsättning att den mottagande myndigheten inte har någon egen sekretessbestämmelse att tillämpa. Det innebär t.ex. att den absoluta sekretess som gäller enligt 24 kap. 8 § OSL eller den sekretess med omvänt skaderekvisit som gäller enligt 25 kap. 1 § OSL, överförs till en mottagande myndighet. I de fall en uppgift för vilken överförd sekretess gäller begärs ut från den mottagande myndigheten, ska den mottagande myndigheten göra en självständig bedömning av om uppgiften omfattas av den överförda sekretessen eller inte (2 kap. 14 § första stycket TF).69
Överföring av sekretess innebär att en sekretessbestämmelse både kan fungera som en primär sekretessbestämmelse hos den utlämnande myndigheten och som en sekundär sekretessbestämmelse hos den mottagande myndigheten. Av bestämmelser om överföring av sekretess framgår det att den överförda sekretessen bara kan tillämpas på sådana uppgifter som den mottagande myndigheten har fått från den utlämnande myndigheten.
Eftersom sekretessregleringen bara gäller för det allmänna finns det inte någon sekretess hos en enskild som kan överföras när den enskilde lämnar en uppgift till en myndighet.70 Det finns inte heller någon sekretess som kan överföras från myndighet till en enskild vid ett utlämnande av uppgifter. En myndighet kan dock välja att lämna ut uppgifterna mot ett förbehåll enligt 10 kap. 14 § OSL.
5.5.3. Sekretessbestämmelser till skydd för enskild inom forskning
Statistiksekretess
Den sekretess som ofta är aktuell när en forskare begär ut uppgifter från en myndighet är den så kallade statistiksekretessen, vilken regleras i 24 kap. 8 § OSL. När det är en forskare knuten till en myndighet anses det vara myndigheten som begär ut uppgifterna,
69
70
SOU 2014:45 s. 206, proposition 1979/80 Del A s. 75 ff.
medan det när det gäller privata forskningshuvudmän anses vara den enskilde forskaren.
Statistik kan framställas för att användas som underlag för ett beslut i ett ärende hos en myndighet, men det är inte sådan verksamhet som omfattas av den här bestämmelsen. I stället är det fråga om en mera allmänt utredande verksamhet som sekretessen reglerar hos många av de myndigheter som ansvarar för register som är intressanta för registerbaserad forskning (exempelvis de statistikansvariga myndigheterna Brå, SCB och Socialstyrelsen).71
Sekretessen gäller för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Alltså skyddas inte bara sådana uppgifter som innehåller identitetsbeteckningar som namn och personnummer på en enskild utan även uppgifter som på något sätt kan hänföras till en enskild och gäller oavsett varifrån uppgiften härrör eller hur den kommit till myndigheten.72 Det är inte ändamålet med uppgiften som är avgörande för om uppgifterna omfattas av statistiksekretess. Avgörande för om uppgifterna omfattas av sådan sekretess hos en myndighet är i stället verksamheten som uppgiften förekommer i. Det kan leda till att en uppgift hos en myndighet är offentlig inom en handläggande avdelning, men sekretessbelagd inom en avdelning som framställer statistik eller sysslar med forskning, exempelvis när uppgifter hos en personalavdelning lämnas över till en enhet för statistik.
Statistiksekretessen i 24 kap. 8 § OSL är omfattande. Det följande fokuserar därför enbart på de delar som är av vikt för området forskning, nämligen första och tredje styckena i bestämmelsen. Bestämmelsens första stycke innehåller huvudregeln som anger att sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik. Sekretessen är enligt huvudregeln i bestämmelsen absolut, vilket innebär att inga uppgifter får lämnas ut. Absolut sekretess är den starkaste formen av sekretess. Uppgifter som omfattas av absolut sekretess är alltid hemliga, och får därmed inte lämnas ut oavsett om de kan orsaka skada eller inte. Således behöver inte någon skadeprövning göras och inget s.k. skaderekvisit vara uppfyllt.
71 Proposition 1979/80:2 Del A s. 263. 72 Statistikutredningens slutbetänkande Vad är officiell statistik? En översyn av statistiksystemet
och SCB (SOU 2012:83) s. 138 ff.
I denna bestämmelse finns fyra undantag från huvudregeln, varav två av undantagen är av intresse i forskningssammanhang. Det undantag som är mest väsentligt för forskning är att uppgifter som behövs för forsknings- eller statistikändamål får lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Här gäller med andra ord ett omvänt skaderekvisit. Möjligheten till utlämnande för forskningsändamål är avsedd att tillämpas restriktivt.73
Det andra undantag som kan bli aktuellt vid utlämnande av uppgifter för forskningsändamål är att uppgift som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde får lämnas ut. Det får dock endast göras under förutsättning att det står klart att uppgiften kan röjas utan att den enskilde eller denne närstående lider skada eller men. Undantaget infördes för att tillgodose behovet av detaljerad statistik inom både statistik och forskning. Det avser inte bara utlämnande till forsknings- och statistikändamål, utan är generellt tillämpligt.74
Skälen till att statistiksekretessen är så stark har diskuterats i förarbetena både till den tidigare sekretesslagen (1980:100) och i de förarbeten som togs fram i samband med att den nya offentlighets- och sekretesslagen infördes samt i arbetet med att ändra statistiksekretessen.75 När det är fråga om statistikuppgifter finns det ofta en intressekonflikt mellan önskemålet om allmän insyn i statistiskt primärmaterial76 och hänsynen till den enskildes integritet.77 Ett skäl att ha en långtgående sekretess är att offentlighetsintresset på detta område är förhållandevis svagt medan integritetsintresset däremot väger tyngre. Exempelvis är registeruppgifter från SCB visserligen var för sig relativt harmlösa, men en sammanställning av sådana uppgifter kan vara integritetskänslig. Behovet av ett starkt sekretesskydd beror också på att statistikkvaliteten kan påverkas negativt om inte den enskilde uppgiftslämnaren är säker på att hans eller hennes uppgifter inte kommer ut. Risken finns annars att man då blir mindre benägen att lämna ut sina uppgifter. Det handlar här alltså om allmänhetens
73 Regeringens proposition Lag om vissa personregister för officiell statistik m.m. (prop.
1994/95:200) s. 38.
74 Prop. 1994/95 :200 s. 38. 75Prop. 1979/80:2 Del A s. 262–265. 76 Med statistiskt primärmaterial avses s.k. grunddata, även kallad rådata, som samlas in för att utgöra underlaget till den statistiska framställningen. 77Prop. 1979/80:2 Del A s. 262.
tilltro till att uppgifterna hanteras med respekt för den enskildes behov av personlig integritet.78
Dataskyddssekretess
En annan sekretessbestämmelse som aktualiseras oavsett från vilken myndighet en forskare begär ut uppgifter är den sekretess som gäller enligt 21 kap. 7 § OSL. Bestämmelsen anger att sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Uttrycken personuppgift och behandling i bestämmelsen har samma innebörd som den i dataskyddsförordningen. I samband med att dataskyddsförordningen ersätter personuppgiftslagen förändras bestämmelsen i 21 kap. 7 § OSL så att det framgår att sekretess gäller om det kan antas att uppgiften efter ett utlämnande kommer behandlas i strid med dataskyddsförordningen och dataskyddslagen. Skaderekvisitet är därmed detsamma som innan.
Bestämmelsen är tillämplig hos sådana myndigheter som är personuppgiftsansvariga eller som annars har tillgång till personuppgifter. Den innebär ett förbud att lämna ut personuppgifter om det kan antas att uppgifter efter utlämnandet kommer att behandlas i strid med bestämmelserna i dataskyddsförordningen.79 Bestämmelsen innebär att den utlämnande myndigheten kan behöva undersöka hur uppgifterna kommer att behandlas hos den som har begärt ut dem, till exempel hos den forskningshuvudman som uppgifterna ska lämnas ut till.80
Sekretessbestämmelsen har kritiserats av både JO och olika statliga utredningar.81 Kritiken handlar främst om att bestämmelsen är otydlig och att den utgör ett hot mot öppenheten och därför bör upphävas.82Inget av kritiken som framförts har emellertid lett till någon åtgärd från lagstiftarens håll.
78 Proposition 1979/80:2 Del A s. 262, SOU 2014:45 s. 213. 79Prop. 2017/18:105, förslag till ändrad lydelse av 21 kap. 7 § OSL. 80SOU 2014:45 s. 216 ff. 81 Se t.ex. Personuppgiftsutredningens betänkande
Översyn av personuppgiftslagen(SOU 2004:6).
82
Eva Spira och Ann Dahlin, Stockholm 2000 7:16 och andra hot mot öppenheten. Om offentlig-
het och sekretess i Sverige och EU, Ny sekretesslag (SOU 2003:99), SOU 2004:6och Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4).
Sekretessen i 21 kap. 7 § OSL är försedd med ett rakt skaderekvisit, vilket innebär att utgångspunkten är att uppgifterna ifråga är offentliga och att sekretess endast gäller om det kan antas att viss skada uppstår om uppgiften lämnas ut.
Sekretess för uppgifter om hälsa
Det är inte ovanligt att forskare hämtar personuppgifter ur journaler eller från ett nationellt, regionalt eller lokalt s.k. kvalitetsregister. Kvalitetsregister innehåller personbundna uppgifter inom specifika områden i hälso- och sjukvården och används bl.a. för förbättringsåtgärder och forskning. I kvalitetsregistren återfinns känsliga personuppgifter om hälsa. Sådana uppgifter skyddas av sekretess enligt 25 kap. 1 § OSL.
Med uttrycket hälso- och sjukvård avses den öppna eller slutna sjukvården. Grundläggande bestämmelser för sådan verksamhet finns i hälso- och sjukvårdslagen (2017:30), förkortad HSL. Till begreppet hör även bl.a. förebyggande medicinsk hälsovård, till exempel verksamheten på mödra- och barnavårdscentralerna, inom psykiatrisk barn- och ungdomsvård och tandvården. Utanför bestämmelsens tillämpningsområde faller däremot verksamhet som bedrivs i privat verksamhet för vilken i stället föreskrifterna om tystnadsplikt i patientsäkerhetslagen (2010:659) gäller. Av bestämmelsen framgår att sekretessen även gäller ”i annan medicinsk verksamhet”, för vilket avses verksamhet som inte primärt har vård- eller behandlingssyfte, till exempel verksamhet som bedrivs hos Rättsmedicinalverket eller Rättsliga rådet vid Socialstyrelsen.
Sekretessen omfattar uppgift om enskilds hälsotillstånd eller andra personliga förhållanden och avser uppgifter om den vårdbehövande eller därmed jämställda personer samt uppgifter som en vårdbehövande lämnar om andra personer, exempelvis närstående, grannar eller arbetskamrater. Det framgår att sekretessen även gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Även här har vi med andra ord ett omvänt skaderekvisit. Om uppgifter lämnas ut från den allmänna hälso- och sjukvården för forskningsändamål följer det av 11 kap. 3 §
OSL att hälso- och sjukvårdssekretessen kan föras över till den mottagande myndigheten. Om det finns en primär sekretessbestämmelse hos den mottagande myndigheten ska dock den gälla i första hand.
Det finns ytterligare en sekretessbestämmelse som omfattar hälsouppgifter. Bestämmelsen har inte begränsats till någon särskild verksamhet eller myndighet, vilket innebär att den ska användas av alla myndigheter och andra organ som ska tillämpa OSL. Enligt 21 kap. 1 § OSL gäller sekretess för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könskorrigering, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Efter att myndigheten beaktat omständigheterna i det enskilda fallet kan även mindre känsliga uppgifter sekretessbeläggas med stöd av bestämmelsen. Bestämmelsen innehåller ett skaderekvisit som medför att bestämmelsen ger ett minimiskydd för känsliga uppgifter om enskildas hälsa och sexualliv inom hela den offentliga sektorn.
Andra sekretessbestämmelser som berör forskningsområdet
I 24 kap. OSL finns det sekretessbestämmelser särskilt till skydd för enskild inom forskning och statistik. Enligt bestämmelsen i 24 kap. 1 § gäller sekretess för uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon närstående till denne lider men. Alla slags uppgifter som hänför sig till sådana undersökningar kan vara föremål för sekretess.
Enligt 10 kap. 23 § OSL får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt bl.a. 24 kap. 8 § och 25 kap. 1 §, 2 § andra stycket eller 3–8 §§ samma lag lämnas till en åklagarmyndighet, polismyndighet eller annan myndighet som har till uppgift att ingripa mot brottet. Misstanken måste dock gälla brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168). Bestämmelsen innebär en möjlighet att bryta sekretessen
för vissa allvarliga brott, men inte någon skyldighet att lämna ut uppgifterna. I bestämmelsen anges också vilka sekretessbestämmelser som omfattas av denna möjlighet att bryta sekretessen. Denna möjlighet gäller t.ex. avseende sekretess i verksamhet som avser förande av eller uttag ur register enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (24 kap. 2 a § OSL).
Inre sekretess
Förtroendet för integritetsskyddet i samband med uppgiftshanteringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och i samband med överföring av personuppgifter. Även inom en sådan verksamhet som hanterar personuppgifter måste det finnas ett integritetsskydd avseende hanteringen av uppgifter om enskilda dvs. som har med den s.k. inre sekretessen att göra.
Det finns ingen legaldefinition av begreppet inre sekretess. Oftast avser det i vilken utsträckning uppgifter som omfattas av sekretess får lämnas mellan befattningshavarna inom en myndighet.83
I förarbetena till patientdatalagen (2008:355), används begreppet i en vidare bemärkelse. Där menar man att inre sekretess inrymmer ett antal frågeställningar om hur känsliga personuppgifter om enskildas hälsa och andra personliga förhållanden bör hanteras inom en verksamhet för att motverka obefogade intrång i den personliga integriteten. Exempel på åtgärder som bedömdes som viktiga för att stärka den inre sekretessen var behörighetstilldelning och kontroll av elektronisk åtkomst, s.k. loggning.84
Av betydelse för gällande rätt om inre sekretess är att olovligt intrång och olovligt efterforskande i elektroniska informationssystem kan vara straffbart enligt straffbestämmelser om dataintrång. Den som olovligen bereder sig tillgång till upptagning för automatiserad databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning kan enligt 4 kap. 9 c § brottsbalken dömas för dataintrång till böter eller fängelse i högst två år. Bestämmelsen är tillämplig då någon använder sig av sin behörighet till åtkomst till en
83 Manolis Nymark, Patientdatalagen – Informationshantering och journalföring i hälso- och
sjukvården m.m., s. 82 ff.
84 Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126) s. 141 ff.
forskningsdatabas för att läsa uppgifter om en enskild utan att detta behövs från arbetssynpunkt, t.ex. på grund av nyfikenhet.
Meddelarfrihet
Den grundläggande bestämmelsen om meddelarfriheten finns i 1 kap. 1 § tredje stycket TF. Där stadgas att det ska stå envar fritt att meddela uppgifter och underrättelser i vad ämne som helst för offentliggörande i tryckt skrift till författare eller annan som är att anse som upphovsman till framställning i skriften, till skriftens utgivare eller, om det för skriften finns en särskild redaktion, till denna eller till företag för yrkesmässig förmedling av nyheter eller andra meddelanden till periodiska skrifter. Motsvarande rätt återfinns i yttrandefrihetsgrundlagen, förkortad YGL, gällande radio- och tv sändningar. Meddelarfriheten gäller i princip oberoende av om meddelandet publiceras. Det räcker alltså att meddelarens syfte är att offentliggöra uppgiften. Detta innebär konkret att meddelarfriheten tar över tystnadsplikten.85
Meddelarfriheten är dock inte en oinskränkt rättighet. Den gäller inte vid s.k. kvalificerade tystnadsplikter där det i offentlighets- och sekretesslagen finns reglerat att meddelarfriheten inte gäller. Av 24 kap. 9 § 1 och 25 kap. 18 § OSL framgår det att statistiksekretessen och hälso- och sjukvårdssekretessen är sådana kvalificerade tystnadsplikter att meddelarfriheten inte gäller.
5.5.4. Tystnadsplikt vid privat verksamhet
Privat verksamhet
Även forskare verksamma hos en privat forskningshuvudman behandlar personuppgifter för forskningsändamål. Inom den privata sfären saknas ofta sekretesskydd för uppgifterna eftersom de flesta privata forskningshuvudmän inte finns omnämnda i bilaga till OSL. Det innebär att en myndighet av det skälet kan vägra att lämna ut uppgifterna till forskning. En myndighet ska dock alltid ta ställning till om uppgifter som är sekretesskyddade ändå kan lämnas ut med ett s.k. förbehåll enligt 10 kap. 14 § OSL.
85SOU 1990:12 Meddelarrätt s. 12.
Av bestämmelsen följer att om en myndighet finner att sådan risk för skada men eller annan olägenhet som enligt en sekretessbestämmelse hindrar att en uppgift lämnas ut kan undanröjas genom ett förbehåll, ska myndigheten göra ett sådant förbehåll när uppgiften lämnas ut. Ett förbehåll innebär att myndigheten inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den. Bestämmelsen ska bara tillämpas vid utlämnande till enskilda, inte till en annan myndighet. Förbehållet kan därmed inte rikta sig till en person som vill ta del av uppgifterna i egenskap av offentlig funktionär eller anställd vid en myndighet. Handlingar eller uppgifter som utlämnas till en myndighet omfattas i sådana fall i stället av den sekretess som gäller hos den myndigheten och i vissa fall av sekundär sekretess.
I forskningssammanhang kan således förbehåll endast användas vid utlämnande av uppgifter till forskning som bedrivs av enskild huvudman. Ett förbehåll kan också ställas upp om den som uppgiften rör samtycker till att en sekretessbelagd uppgift lämnas ut med förbehåll. Ett förbehåll får ställas upp endast om förbehållet behövs för att undanröja den skaderisk som annars skulle utgöra ett hinder mot utlämnande och om förbehållet, med hänsyn taget till alla omständigheter i det enskilda fallet, är tillräckligt för att undanröja risken. Förbehållet innebär att den som tar emot uppgifterna har tystnadsplikt. Om den som förbehållet riktar sig mot inte följer villkoren i förbehållet kan ansvar för brott mot tystnadsplikten bli aktuellt enligt 20 kap. 3 § brottsbalken. Straffskalan innehåller böter och fängelse upp till ett år.
I betänkandet Unik kunskap genom registerforskning lägger utredaren fram slutsatsen att uppgifter som lämnas ut till aktörer som inte omfattas av offentlighets- och sekretesslagen kommer att få samma skydd genom en tillämpning av bestämmelsen om förbehåll i OSL. Någon närmare analys av denna uppfattning har inte gjorts, men den har bland annat kritiserats av Datainspektionen.86
86 Datainspektionens remissvar till SOU 2014:45, Datainspektionens dnr 2469-2014.
5.5.5. Prövningen av en forskares begäran av att få ta del av uppgifter från en statistikansvarig myndighet
I detta avsnitt redogör vi kort för hur en sekretessprövning hos utlämnande myndighet kan gå till. Notera dock att det enbart är ramarna för sekretessprövningen som återges och att rutinerna kan skiljas åt något mellan myndigheterna. Den utförligare beskrivningen av vilka regler som gäller framgår av avsnitten ovan.
De statistikansvariga myndigheternas register är, som ovan nämnts, belagda med absolut sekretess enligt 24 kap. 8 § OSL. Den absoluta sekretessen kan brytas för forskningsändamål, om det står klart att den som uppgifterna avser eller någon närstående inte kan lida skada eller men. När en begäran om att få ta del av uppgifter för forskningsändamål, kommit in till berörd myndighet måste en sekretessprövning genomföras innan ett formellt beslut om utlämnande kan fattas.
Sekretessprövningen, som syftar till att värna om den personliga integriteten hos forskningspersonerna, tar sitt avstamp i OSL, dataskyddsförordningen samt etikprövningslagen. Såväl nya ärenden som pågående projekt som tidigare fått ut uppgifter måste genomgå en sekretessprövning innan personuppgifterna får lämnas ut.
Ett godkännande av projektet från en etikprövningsnämnd är en förutsättning för att känsliga personuppgifter ska få behandlas, men beslutet innebär dock inte att myndigheten automatiskt kan bryta sekretessen och lämna ut uppgifterna. En godkänd etikprövning är snarare ett underlag för den sekretessprövning som myndigheten är skyldig att utföra inför varje utlämnande. Därför är det viktigt att etikansökan bl.a. innehåller uppgifter om vilka register som är av intresse för forskningsprojektet och vilken typ av personuppgifter som behövs. Myndigheten får inte heller bryta sekretessen om det kan antas att forskningshuvudmannen kommer att behandla personuppgifter i strid med dataskyddsförordningen eller mot dataskyddslagen.
5.6. Arkivering och gallring
5.6.1. Tryckfrihetsförordningen och arkivlagen
När uppgifter inte längre används i forskning uppstår frågan hur uppgifterna ska hanteras, dvs. om de ska gallras eller arkiveras. Detta avsnitt innehåller en genomgång av de rättsliga förutsättningarna för arkivering och gallring.
Enligt 2 kap. TF har varje svensk medborgare en grundlagsfäst rätt att ta del av myndigheters och andra offentliga och därmed jämställda organs87 allmänna handlingar. Av 2 kap. 1 § TF framgår att syftet är att främja ett fritt meningsutbyte och en allsidig upplysning. Rätten att ta del av allmänna handlingar är ett av de viktigaste inslagen i offentlighetsprincipen. Vad som är en allmän handling definieras i 2 kap. TF. Med handling förstås, enligt 2 kap. 3 § TF, framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En handling är allmän om den, i enlighet med vad som närmare anges i vissa andra bestämmelser, förvaras hos en myndighet eller hos vissa andra jämställda organ och är att anse som inkommen till eller upprättad hos myndigheten. (När det gäller den härtill hörande sekretesslagstiftningen, se avsnitt 5.5.)
För att offentlighetsprincipen i form av handlingsoffentlighet ska få genomslag och kunna utnyttjas i praktiken krävs att allmänna handlingar bevaras efter det att deras omedelbara nytta i den löpande verksamheten har upphört. Myndigheterna och de andra organ som omfattas har därför grundläggande skyldigheter att bevara sina allmänna handlingar i arkiv.
En myndighets allmänna handlingar ska hållas ordnade och vårdas bland annat för att tillgodose allmänhetens rätt att ta del av allmänna handlingar i ett långsiktigt perspektiv. Arkivsystemets anknytning till handlingsoffentligheten tydliggörs i 2 kap. 18 § TF. Där stadgas att grundläggande bestämmelser om hur allmänna handlingar ska bevaras samt om gallring och annat avhändande av sådana handlingar meddelas i lag. Varje myndighet är ansvarig för arkivvården av den egna myndighetens handlingar. Arkivvården innefattar även gallring.
87 Se 2 kap. OSL.
I arkivlagen finns bestämmelser om myndigheternas och vissa andra organs, t.ex. kommunala bolag och vissa andra utpekade enskilda organ, arkiv samt om arkivmyndigheterna. Enligt 1 § arkivlagen finns i lagen bestämmelser om myndigheternas och vissa andra organs arkiv samt om arkivmyndigheterna. Reglerna för statliga och kommunala kommun skiljer sig något åt. I 2 § anges att det som gäller för statliga myndigheters arkiv ska gälla även för arkiv hos sådana organ som avses i 2 kap. 4 § första meningen OSL till den del arkivet härrör från den verksamhet som avses i bilagan till offentlighets- och sekretesslagen (se avsnitt 5.5.1).
Arkivlagens koppling till bilagan till offentlighets- och sekretesslagen innebär att tillämpningsområdet för arkivlagen är beroende av vilka organ som är upptagna i bilagan till OSL och kan förändras utan att det krävs ändringar i arkivlagen. När organ läggs till i eller tas bort från bilagan till OSL ändras vilka som har att tillämpa arkivlagen.
I arkivlagen finns grundläggande bestämmelser om bevarande och gallring av allmänna handlingar. Härtill kommer arkivförordningen (1991:446) och de myndighetsspecifika beslut eller generella föreskrifter som arkivmyndigheterna, såsom Riksarkivet, utfärdar. Riksarkivet är statlig arkivmyndighet, kommunstyrelsen är arkivmyndighet i en kommun och landstingsstyrelsen i ett landsting, om inte kommunfullmäktige eller landstingsstyrelsen har utsett någon annan nämnd eller styrelse till arkivmyndighet.
Enligt 3 § arkivlagen bildas en myndighets arkiv av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar, vissa minnesanteckningar, utkast och koncept, som avses i 2 kap. 9 § TF och som myndigheten beslutar ska tas om hand för arkivering. Enligt samma paragraf är myndigheternas arkiv en del av det nationella kulturarvet och de ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.
Huvudprincipen enligt arkivlagen är bevarande, alltså att allmänna handlingar ska bevaras i myndigheternas arkiv. Från denna princip finns dock undantag. Ett undantag är bestämmelser om gallring. Allmänna handlingar får enligt 10 § arkivlagen gallras. Därvid ska alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår, alltså inte gallras, ska kunna tillgodose
rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.
Det kan konstateras att arkivlagen inte föreskriver att bevarande- och gallringsfrågor ska beaktas också utifrån intresset av skydd för den personliga integriteten. Gallring enligt arkivlagen ska göras av praktiska och ekonomiska skäl och syftar till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde eller som har ett informationsvärde som är markant begränsat i tid. Gallringen ska göra att arkiven blir mer överskådliga och effektiva som informationskällor.88 Värt att notera är att begreppet gallring bara avser allmänna handlingar. Förstöring av handlingar som inte är allmänna kallas rensning.
Allmänna handlingar hos en statlig myndighet får endast gallras i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Regeln gäller även för sådana organ som finns i bilagan till OSL. Särskilda gallringsföreskrifter finns ofta i s.k. registerförfattningar. Enligt 10 § tredje stycket arkivlagen är denna lag subsidiär till avvikande bestämmelser om gallring av vissa allmänna handlingar i lag eller förordning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning gäller alltså dessa bestämmelser. Bestämmelser om att uppgifter ska gallras ur register med känsliga uppgifter finns i olika registerförfattningar (se vidare avsnitt 5.6.4).
På det kommunala området gäller att beslut om gallring kan meddelas av kommunfullmäktige respektive landstingsfullmäktige.
5.6.2. Dataskyddsförordningens bestämmelser om arkivering
När det gäller frågor om arkivering och gallring som rör personuppgifter finns bestämmelser i dataskyddsregleringen. Lagring av personuppgifter är enligt dataskyddsförordningens definition i artikel 4.2 en behandling av personuppgifter. I dataskyddsförordningen finns ett antal artiklar som särskilt rör personuppgiftsbehandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
88 Regeringens proposition om arkiv m.m. (prop. 1989/90:72), s. 40 f.
Enligt artikel 5.1 b gäller att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses oförenliga med de ursprungliga ändamålen (ändamålsbegränsning). Den behandling av personuppgifter som myndigheter och andra utför när de arkiverar sina handlingar i enlighet med bestämmelser om arkiv utgör en sådan ytterligare behandling, vidarebehandling, som görs för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt 5.1 b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta förtydligas i skäl 50.
Det är inte fråga om sådan vidarebehandling när en arkivmyndighet, t.ex. Riksarkivet, övertar arkivmaterial från en annan myndighet. Då övergår enligt 9 § tredje stycket arkivlagen hela ansvaret för det övertagna materialet till arkivmyndigheten. Arkivmyndigheten bär personuppgiftsansvaret för de behandlingar som görs därefter. Den rättsliga grunden för dessa behandlingar är i enlighet med artikel 6.1 e i dataskyddsförordningen att de görs för att utföra en i arkivlagstiftningen fastställd uppgift av allmänt intresse.
I artikel 5.1 e stadgas om lagringsminimering. Här framgår arkivändamålens särställning. Det föreskrivs att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).
Av artikel 9.2 j framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syfte, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter
och intressen. Enligt 3 kap. 6 § dataskyddslagen får känsliga personuppgifter behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.
I artikel 10 stadgas om behandling av personuppgifter om lagöverträdelser och även enligt denna bestämmelse ställs krav på skyddsåtgärder. I 3 kap. 8 § dataskyddslagen stadgas att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter och att även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.
I 89.1 stadgas om skyddsåtgärder och undantag för behandling för bl.a. arkivändamål av allmänt intresse. Av denna artikel framgår att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dess ändamål uppfyllas på det sättet. Regeringen har inte föreslagit några generella undantag från den registrerades rättigheter vid behandling av personuppgifter för arkivändamål av allmänt intresse.89
5.6.3. Reglering i dataskyddslagen
I dataskyddslagen finns kompletterande bestämmelser till dataskyddsförordningen. Av propositionen till lagen framgår att regeringen har gjort bedömningen att myndigheter och andra som omfattas av föreskrifter om arkiv, såsom arkivlagen och anslutande föreskrifter, har rättslig grund i enlighet med 5.1 e för behandling av personuppgifter för arkivändamål av allmänt intresse. Vidare har regeringen gjort bedömningen att den behandling av personuppgifter som myndigheter och andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör en vidarebehandling som
görs för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen.90
I 2 kap. 3 § dataskyddslagen stadgas att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse. Vidare får den myndighet regeringen bestämmer även i enskilda fall tillåta sådan behandling och ett beslut får förenas med villkor. Skälen för regleringen är att även de som inte omfattas av arkivlagstiftningen i vissa fall kan behandla personuppgifter för arkivändamål av allmänt intresse och att det därför bör finnas en möjlighet att meddela föreskrifter som tillåter detta. Som exempel nämns i propositionen att en föreskrift kan tillåta en förening att behandla personuppgifter för arkivändamål av allmänt intresse och att detta innebär att föreningen erkänns ha befogenhet att driva arkivverksamhet av allmänt intresse. Detta innebär enligt regeringen att en uppgift av allmänt intresse är fastställd på det sätt som krävs enligt 6.3 första stycket i dataskyddsförordningen.91
Enligt 3 kap. 6 och 8 §§ dataskyddslagen får känsliga personuppgifter och personuppgifter som rör lagöverträdelser behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.
När det gäller känsliga personuppgifter stadgas i 3 kap. 6 § första stycket dataskyddslagen att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Likt vad som gällt enligt personuppgiftslagen, tydliggörs i denna bestämmelse att dataskyddslagstiftningen inte hindrar att en myndighet arkiverar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
I propositionen konstateras att ett undantag från förbudet i artikel 9.1 mot behandling av känsliga uppgifter regleras i 9.2 j, det vill säga vid behandling som är nödvändig för arkivändamål av allmänt intresse. Vidare anges att de lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g och j motsvarar det krav på skyddsåtgärder som
90Prop. 2017/18:105 s. 109 ff. 91Prop. 2017/18:105 s. 112 f.
ställs enligt dataskyddsdirektivet och att det därmed inte innebär någon ny begränsning av möjligheten att behandla känsliga personuppgifter för arkivändamål av allmänt intresse. I propositionen konstateras också att den nödvändiga behandlingen av personuppgifter som görs vid arkiv som omfattar allmänna handlingar har rättslig grund i arkivlagen och anslutande föreskrifter samt att svensk rätt innehåller lämpliga och särskilda åtgärder som skyddar enskildas integritet vid hantering av allmänna handlingar, i synnerhet i form av sekretess eftersom dessa har utformats noggrant efter en avvägning mellan behovet av skydd och intresset av insyn, men även genom rätt till partsinsyn och föreskrifter om informationssäkerhet och gallring.92
Enligt 3 kap. 6 § andra stycket får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter som tillåter att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla känsliga personuppgifter för arkivändamål av allmänt intresse. Regeringen har för avsikt att delegera föreskriftsrätten till Riksarkivet.
I propositionen anges att även hos personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv kan det finnas ett allmänt intresse av att känsliga personuppgifter bevaras och att sådant bevarande under vissa förutsättningar bör tillåtas.
Enligt 3 kap. 6 § tredje stycket får den myndighet som regeringen bestämmer även i enskilda fall besluta att personuppgiftsansvariga får behandla sådana personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor. I propositionen anges att sådana föreskrifter och förvaltningsbeslut lämpligen bör meddelas i samband med att den rättsliga grunden fastställs för den personuppgiftsansvariges behandling av personuppgifter för arkivändamål av allmänt intresse.93
I propositionen anges också att det bör ankomma på Riksarkivet att, efter samråd med Datainspektionen, bedöma om beslut som tillåter ett enskilt organ att behandla känsliga personuppgifter ska villkoras av att den personuppgiftsansvarige vidtar särskilda åtgärder och i så fall vilka. Enligt regeringen kan det röra sig om åtkomstbegränsningar, krav på särskilda tekniska säkerhetsåtgärder eller
92Prop. 2017/18:105 s. 116. 93Prop. 2017/18:105 s. 117 f.
någon annan åtgärd som bedöms lämplig och proportionerlig i det aktuella fallet.94
I 3 kap. 8 § andra stycket dataskyddslagen stadgas, på motsvarande sätt som avseende känsliga personuppgifter, att även andra än myndigheter får behandla personuppgifter som rör lagöverträdelser, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Avseende uppgifter om lagöverträdelser konstaterar regeringen följande i propositionen. Arkivlagen och andra föreskrifter om arkiv omfattar inte bara myndigheter utan även t.ex. kommunala bolag och vissa andra utpekade enskilda organ. För dessa skulle det i enstaka fall kunna uppstå en normkonflikt mellan arkivlagstiftningen och regleringen i artikel 10 i dataskyddsförordningen avseende behandlingen av personuppgifter som rör lagöverträdelser.
När det gäller arkivmaterial som överlämnas från enskilda organ till kommunala arkivmyndigheter konstaterar regeringen i propositionen att det i det enskilda fallet kan vara så att arkiven överlämnas till arkivmyndigheten som deposition, dvs. utan att äganderätten övergår och att parterna i sådana fall kan avtala om att arkivmyndigheten ska ges ett privaträttsligt uppdrag att i egenskap av personuppgiftsbiträde förvara och vårda materialet för deponentens räkning.
5.6.4. Reglering i registerförfattningar
I registerförfattningar som reglerar register med integritetskänsliga personuppgifter är det vanligt att det föreskrivs att personuppgifter ska gallras när uppgiften inte längre behövs för sitt ändamål. Det rör sig då om bestämmelser som på grund av integritetshänsyn avviker från arkivlagstiftningens huvudregel om bevarande. I sådana författningar gäller normalt en omvänd princip i förhållande till den som gäller enligt arkivlagen. Gallring ska således göras på visst sätt, om inte något annat uttryckligen föreskrivs.
Det förekommer, på grund av bland annat insynsaspekter och rättssäkerhetsaspekter, undantag från gallringsskyldigheten. Det är vanligt att det i förordningar som utfärdats i anslutning till registerlagen överlåtits till Riksarkivet att meddela närmare föreskrifter om undantag för gallring.
Som exempel på registerförfattningar med bestämmelser om gallring kan nämnas lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen) och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen).
I 14 § IFAU-lagen stadgas att personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska göras senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Gallring när uppgifterna inte längre behövs är alltså huvudregeln enligt den lagen men det finns möjlighet till föreskrifter eller beslut om bevarande.
Det anförs i förarbetena att IFAU genom lagen kommer att bygga upp och administrera varaktiga och förhållandevis omfattande samlingar av personuppgifter, som även kommer att innehålla känsliga personuppgifter. Merparten av de uppgifter som IFAU behandlar har ursprungligen hämtats från andra myndigheter. Intresset av att uppgifterna bevaras får anses tillgodosett genom att de myndigheter uppgifterna hämtats ifrån i stor utsträckning bevarar och arkiverar uppgifterna i enlighet med arkivlagens bestämmelser. När det gällde IFAU-lagen ansågs integritetsskyddsintresset väga över intresset att av bevara handlingarna.
I LifeGene-lagen stadgas i 12 § att personuppgifter som inte längre behövs för ändamålet att skapa underlag för olika forskningsprojekt och lämna ut uppgifter till sådan forskning gallras, om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. I propositionen konstaterades att register som kommer att föras med stöd av lagen kommer att innehålla särskilt känsliga personuppgifter, bland annat uppgifter om genetiska undersökningsresultat.95 Behandling av uppgifterna i registren ska göras med stöd av den registrerades uttryckliga samtycke till behandling för vissa bestämda ändamål. De primära ändamålen för behandlingen är att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt samt att lämna ut
95 Regeringens proposition Vissa register för forskning om vad arv och miljö betyder för
människors hälsa (prop. 2012/13:163), s. 49.
uppgifter till sådan forskning under de förutsättningar som anges i lagen.
Avsikten med lagen är att personuppgifter ska kunna sparas i registret under lång tid för att göra det möjligt att efter utlämnande genomföra longitudinella studier som exempelvis kan innebära att undersöka vad olika förhållanden i ungdomen har för betydelse för sjukdom senare i livet. Trots att det alltså är troligt att uppgifterna i registret kommer att behöva lagras för de primära ändamålen under mycket lång tid finns en särskild gallringsbestämmelse i lagen. Grunden för den bestämmelsen är att det inte ansetts kunna uteslutas att det kan komma att visa sig att vissa uppgifter inte behövs längre och därför kan gallras.
Som ovan angetts finns i lagen ett bemyndigande som möjliggör att uppgifter får bevaras för ”historiska, statistiska eller vetenskapliga ändamål”. Vi föreslog i delbetänkandet att terminologin i denna bestämmelse ska anpassas till dataskyddsförordningen på så sätt att ”historiska, statistiska eller vetenskapliga ändamål” ska ändras. I enlighet med formuleringen i 5.1 e i dataskyddsförordningen bör uppgifter få bevaras för ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”. Vi konstaterade dock att omformuleringen inte torde innebära någon skillnad i sak.96
I likhet med vår bedömning när det gäller LifeGene-lagen har regeringen i propositionen Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning gjort bedömningen att bestämmelser i registerförfattningar inom Socialdepartementetens verksamhetsområde om gallring och bevarande och bemyndiganden att meddela föreskrifter om bevarande inte behöver ändras i sak. Detta gäller under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) i dataskyddsförordningen. Regeringen föreslår att formuleringarna i registerförfattningarna om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål bör ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.97
96SOU 2017:50 s. 395. 97 Regeringens proposition Dataskydd inom Socialdepartementets verksamhetsområde – en
anpassning till EU:s dataskyddsförordning (prop. 2017/18:171) s. 142 ff.
Avslutningsvis kan nämnas att en utredning tillsatts med uppdraget att se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till den utvecklingen inom området. Utredaren ska bl.a. analysera om regleringen för enskilda arkiv bör förändras för att tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet. Utredaren ska även utreda om de enskilda arkivens hantering av personuppgifter kräver ytterligare författningsstöd samt analysera Riksarkivets och övriga arkivmyndigheters roll och uppgifter i relation till de enskilda arkiven och vid behov lämna förslag på hur dessa kan förändras. Uppdraget ska redovisas senast den 18 november 2019.98
5.7. Sammanfattning
I detta kapitel har vi redovisat mycket av den lagstiftning som har betydelse för förutsättningarna att behandla personuppgifter i forskningsdatabaser.
För att sådan behandling ska vara laglig måste den uppfylla de grundläggande reglerna för dataskydd som regleras i dataskyddsförordningen och den föreslagna dataskyddslagen. Det är främst inom detta rättsområde som många av de svårigheter identifierats, som det ingår i vårt uppdrag att lösa. Det handlar t.ex. om att det kan vara svårt att fullt ut specificera syftet med behandlingen av personuppgifterna i samband med att uppgifterna samlas in.
Personuppgifterna måste också hanteras i enligt med de krav som gäller enligt offentlighets- och sekretesslagen och andra bestämmelser som kan finnas om tystnadsplikt. Dessa regler har också betydelse för möjligheten att samla in uppgifter till en forskningsdatabas. Endast om de registerförandemyndigheterna anser att det är förenligt med sekretesskyddet att lämna ut uppgifterna, kan en forskningshuvudman få del av dessa. Det finns därför anledning att stärka sekretesskyddet för uppgifter som hanteras i forskningen. Vi bedömer att en reglering av forskningsdatabaser som innefattar flera olika skyddsåtgärder kommer att göra det lättare att samla in uppgifter.
Forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. får bara utföras om
98 Dir. 2017:106.
behandlingen av uppgifter har godkänts vid en etikprövning. Etikprövning är en etablerad skyddsåtgärd. Vi anser att det finns anledning att överväga om sådan prövning kan utvidgas så att den också kan avse forskningsdatabaser.
För att ett förslag till reglering forskningsdatabaser ska bli fullständigt, kommer vi också att få anledning att ta ställning till vad som ska hända med uppgifterna när de inte längre behövs för forskning. Vi måste således även ta ställning till frågor som har med arkivering och gallring att göra.
6. Registerforskningsutredningens förslag
6.1. Inledning
Vi har i uppdrag att föreslå en långsiktig reglering av forskningsdatabaser. En sådan reglering har tidigare föreslagits av Registerforskningsutredningen i betänkandet Unik kunskap genom register-
forskning.1 Det betänkandet har remissbehandlats och vi har i uppdrag
att göra en vidare beredning av förslagen med beaktande av remissinstansernas synpunkter.2
I detta kapitel redovisar vi Registerforskningsutredningens uppdrag och förslag. Vi lägger tyngdpunkten i vår redovisning på de förslag som är mest relevanta för vårt uppdrag, dvs. förslaget på reglering av forskningsdatabaser. I kapitlet redovisar vi också de remissvar som avser dessa delar av Registerforskningsutredningens förslag.
6.2. Registerforskningsutredningens uppdrag och förslag
6.2.1. Förslag till lag om forskningsdatabaser
Registerforskningsutredningen hade i uppdrag att undersöka förutsättningarna för att bedriva registerbaserad forskning och lämna förslag bl.a. i syfte att göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.
1 Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45). 2 Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65), s. 15.
I betänkandet Unik kunskap genom registerforskning lämnade utredaren ett förslag till lag om forskningsdatabaser. Lagen skulle ge stöd för statliga universitet eller högskolor och andra statliga myndigheter, som har i uppdrag att bedriva forskning, att utföra behandling av personuppgifter i forskningsdatabaser.3 I den föreslagna lagen angavs vissa generella regler för forskningsdatabaser. Varje databas skulle sedan enligt förslaget regleras i en förordning med bestämmelser om vad som närmare ska gälla, till exempel ändamål och innehåll. Förslaget till lag om forskningsdatabaser beskrivs utförligare i avsnitt 6.3.
6.2.2. Registerforskningsutredningens övriga uppdrag
Övriga uppdrag
Utöver ett förslag till lag om forskningsdatabaser lämnade Registerforskningsutredningen förslag till en lag om Nationella biobanksregistret, förslag till ett enklare etikprövningsförfarande,4 förslag beträffande tid för bevarande av kodnycklar och förslag angående sekretesskyddet i forskning. I detta avsnitt följer en kort genomgång av dessa frågor.
Nationella biobanksregistret
Registerforskningsutredningen lämnade förslag till en lag om Nationella biobanksregistret. Lagförslaget innehåller bland annat bestämmelser om förhållandet till personuppgiftslagen (1998:204), den registrerades inställning till personuppgiftsbehandling, ändamålet med behandlingen, vilka uppgifter registret får innehålla och vilken information som ska lämnas till den registrerade.
Registerforskningsutredningens förslag innehåller i denna del även en ändring i patientsäkerhetslagen (2010:659) gällande undantag från tystnadsplikt för den som tillhör eller har tillhört hälso- och sjukvårdspersonal inom den enskilda hälso- och sjukvården. Den föreslagna bestämmelsen innebär att tystnadsplikt inte hindrar att uppgift
3 Angående begreppet forskningsdatabaser, se kapitel 3. 4 I vårt delbetänkande analyserade vi de frågor som ingick i vårt uppdrag gällande etikprövning.
lämnas till register som förs med stöd av den föreslagna lagen om Nationella biobanksregistret.
Vi har i uppdrag att även i denna del göra en vidare beredning av Registerforskningsutredningens förslag och lämna förslag till en reglering av ett nationellt biobanksregister. Denna fråga behandlar vi i kapitel 10.
Etikprövning
I Registerforskningsutredningens betänkande föreslogs ett enklare förfarande vid etikprövning när det gäller forskning som endast innefattar behandling av personuppgifter som hämtats från myndighetsregister och som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till den enskilde. I sådana fall föreslogs att etikprövningsnämnderna skulle kunna delegera ärendena till ordföranden.
Vidare föreslog Registerforskningsutredningen att forskare skulle ha rätt att få ett yttrande från etikprövningsnämnden över forskningsprojekt som inte faller under lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).
Vi hade i utredningens första skede i uppdrag att analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikprövningslagen som reglerar handläggningen av ärendena, överväga om det bör införas ett enklare förfarande vid etikprövning när det är fråga om behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet, och lämna de författningsförslag som behövs. Vår bedömning var att ett mer ändamålsenligt etikprövningsförfarande för sådan personuppgiftsbehandling som typiskt sett kan anses innebära en lägre risk för integritetsintrång bör utredas vidare. Våra överväganden i denna del finns i vårt delbetänkande.
När det gäller forskningsdatabaser föreslog Registerforskningsutredningen en ändring i etikprövningslagen om att utlämnande från forskningsdatabaser alltid ska kräva etiktillstånd, oavsett om det handlar om känsliga personuppgifter eller inte (se vidare avsnitt 6.3.4). Någon utvidgning av etikprövningslagen till att även gälla etikprövning av forskningsdatabaser föreslogs dock inte (se avsnitt 6.3.7).
Kodnyckelförfarande
Gällande kodnycklar föreslog Registerforskningsutredningen ändringar i lagen (2001:99) om den officiella statistiken. Utredaren föreslog att en statistikansvarig myndighet som lämnar ut uppgifter för forskningsändamål som inte direkt kan hänföras till en enskild alltid ska förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande. Detta ska göra det möjligt att senare komplettera uppgifterna i ett forskningsprojekt eller utföra uppföljning, replikation eller granskning av samma projekt eller att använda uppgifterna i ett delvis förändrat forskningsprojekt.
Vidare föreslogs att en förteckning över vilken beteckning som motsvarar ett visst personnummer, en så kallad kodnyckel, ska bevaras hos den myndighet som upprättat den i 20 år efter utlämnandet av uppgifterna som kodnyckeln avser. Tiden föreslogs kunna förlängas efter beslut av den myndighet som upprättat den eller efter ansökan från den som använder kodnyckeln.
En motsvarande reglering avseende kodnyckelförfarande föreslogs i lagen om forskningsdatabaser (se avsnitt 6.3.9).
Forskningssekretess
Registerforskningsutredningen lämnade förslag om förstärkning av sekretesskyddet i forskning genom ett förslag till bestämmelse om forskningssekretess i offentlighets- och sekretesslagen (2009:400), förkortad OSL. Den föreslagna bestämmelsen innebär att personuppgifter avseende enskilds personliga och ekonomiska förhållanden som samlas in för forskning alltid ska vara skyddade av absolut sekretess. Sekretess ska alltså alltid gälla, utan att någon riskbedömning avseende skada eller men behöver göras. För uppgift i allmän handling föreslogs sekretessen gälla i 70 år om uppgiften avser en enskilds personliga förhållanden och annars i högst 20 år. Om en uppgift som omfattas av den nya sekretessbestämmelsen överförs till en annan myndighet ska den enligt förslaget vara tillämplig även hos den mottagande myndigheten.
Vidare föreslogs att det ska finnas en sekretessbrytande bestämmelse som innebär att uppgifterna, om vissa villkor är uppfyllda, kan lämnas ut till annan forskning samt för utredning av oredlighet i
forskning eller för att yttrande ska kunna lämnas i samband med sådan utredning. Förutsättningen för att uppgifterna i sådana fall ska kunna lämnas ut är att det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denna lider men.
Det ska enligt föreslagna ändringar i andra paragrafer i OSL vara möjligt att bryta sekretessen vid misstanke om vissa allvarligare brott. Forskningssekretessen föreslogs också gälla i verksamhet som avser förande av eller uttag ur databaser enligt den föreslagna lagen om forskningsdatabaser (se avsnitt 6.3.17).
Regleringsbrev
Registerforskningsutredningen föreslog att regeringen i regleringsbrev till statliga universitet och högskolor skulle uppmana dessa att lägga större vikt vid skydd och säkerhet vid behandling av personuppgifter, bland annat genom att stärka personuppgiftsombudets ställning och att begära återrapportering om hur skyddet hanteras.
6.2.3. Remissbehandling
Betänkandet Unik kunskap genom registerforskning skickades på remiss till berörda instanser. Drygt 90 remissvar kom in under början av år 2015 (se vidare avsnitt 6.4). Någon beredning av remissyttrandena har inte gjorts.
6.3. Förslaget till lag om forskningsdatabaser
6.3.1. Reglering genom en lag och kompletterande förordningar
Lag och förordningar
I betänkandet Unik kunskap genom registerforskning lämnade utredaren ett förslag till lag om forskningsdatabaser. Lagen skulle ge stöd för statliga universitet eller högskolor som omfattas av högskolelagen och andra statliga myndigheter som har i uppdrag att bedriva forskning att utföra behandling av personuppgifter i forsk-
ningsdatabaser.5 Syftet med den föreslagna lagen om forskningsdatabaser är enligt utredaren bl.a. att möjliggöra många olika typer av databaser: databaser som helt baseras på uppgifter som samlats in direkt från enskilda personer, på uppgifter som hämtas från andra register eller, vilket enligt utredaren torde bli vanligast, på en kombination av registeruppgifter och uppgifter som samlats in direkt från enskilda.6
I den föreslagna lagen anges vissa generella regler för forskningsdatabaser. Vidare skulle varje databas regleras i en förordning med bestämmelser om vad som närmare ska gälla, till exempel ändamål och innehåll.7
När det gäller den valda lösningen för regleringen diskuterade utredaren ifall bestämmelser om forskningsdatabaser bör regleras genom lag eller förordning. Utredaren refererade till tidigare lagstiftningsärenden där det konstaterats att det bör vara en målsättning att i de fall register med ett stort antal registrerade och ett känsligt innehåll inrättas ska bestämmelserna meddelas i form av lag. Utredaren ansåg därför att en reglering som möjliggör personuppgiftsbehandling i forskningsdatabaser bör ha lagform. 8
Utredaren ansåg dock att forskningsdatabaser inte utgör ett sådant betydande intrång i den personliga integriteten att det på grund av bestämmelsen i 2 kap. 6 § andra stycket regeringsformen skulle krävas en särskild lag för varje forskningsdatabas.9 Utredaren konstaterade att det redan finns registerlagar för existerande forskningsdatabaser som t.ex. lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen), lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen) och lagen om rättspsykiatriskt forskningsregister. Sådana författningar reglerar ofta i detalj vilken information som får behandlas, vilka som får ha tillgång till uppgifterna och hur det får användas. Utredaren noterade att systemändringar då måste föregås av lagändringar, vilket kan göra ett system med lagreglering av varje enskild forskningsdatabas stelbent.
5 Angående begreppet forskningsdatabaser, se kapitel 3 i detta betänkande. 6SOU 2014:45 s. 440. 7 Utredaren diskuterar normgivningsmakten och regeringens möjligheter att meddela föreskrifter om forskningsdatabaser, m.m., se SOU 2014:45 s. 455 f. 8SOU 2014:45 s. 422. 9SOU 2014:45 s. 264 ff.
Det skulle enligt utredaren kunna innebära svårigheter att anpassa bestämmelserna efter det verkliga behovet hos dem som ska använda uppgifterna för forskning.10
Registerforskningsutredningens förslag till lag om forskningsdatabaser innehåller allmänna bestämmelser om bl.a. ändamål, innehåll, sökbegrepp, direktåtkomst, intern elektronisk tillgång, gallring och villkor för utlämnande av uppgifter från forskningsdatabasen. Utredaren ansåg att det i de kompletterande förordningarna skulle finnas mer detaljerade bestämmelser och specifika regleringar för varje databas.11
Beredning av Vetenskapsrådet och beslut av regeringen
Registerforskningsutredningen föreslog att Vetenskapsrådet ska ges i uppgift att bereda frågan om vilka forskningsdatabaser som kan behövas i Sverige och göra en framställan till regeringen om detta. Regeringen ska då enligt utredaren pröva om införandet av de föreslagna databaserna faller inom ramen för vad som är tillåtet enligt 2 kap. 6 § RF, artikel 8 i Europakonventionen och personuppgiftslagen. Om så är fallet och regeringen i övrigt anser förslagen vara lämpliga, ska regeringen besluta om de förordningar som närmare ska reglera verksamheten. Enligt utredaren kommer det att krävas att bestämmelserna anpassas till varje enskild forskningsdatabas eftersom behovet av forskningsdatabaser kan uppkomma inom alla forskningsområden med stor spännvidd av ändamål.12
Registerforskningsutredningen gjorde bedömningen att det inte vore lämpligt att utvidga etikprövningslagens tillämpningsområde till att även omfatta uppbyggnad av forskningsdatabaser (se avsnitt 6.3.7). Däremot ansåg utredaren att etiska överväganden av motsvarande slag som vid etikprövning, kommer att göras vid den beredning som Vetenskapsrådet föreslogs göra och den prövning som det sedan är tänkt att regeringen ska göra inför att en ny databasförordning ska införas. Utredaren påtalade att regeringen i processen kommer att ha
10SOU 2014:45 s. 423. 11SOU 2014:45 s. 423. 12 SOU 2014 :45 s. 424 f.
möjlighet att inhämta yttranden från till exempel Centrala etikprövningsnämnden, SCB och Datainspektionen för att belysa föreslagets etiska aspekter.13
En forskningsdatabas per forskningsfält
Utredaren redovisade vidare bland annat följande tankar när det gäller forskningsdatabaserna. Det ska endast finnas en forskningsdatabas för varje större forskningsfält i Sverige och databasen ska kunna användas av forskare i hela Sverige. Finansieringen av databasen ska för att garantera långsiktighet och kvalitet vara säkerställd för i vart fall åtta år. Den myndighet som ska föra databasen ska ha kompetens och tillräckliga resurser för att behandla ansökningar om uttag ur forskningsdatabasen inom rimlig tid och utlämnande av personuppgifter till forskningsprojekt ska kunna göras till rimliga kostnader. Ett vetenskapligt råd bör vara knutet till forskningsdatabasen och detta bör vara ansvarigt för uppbyggnad och utveckling samt ha möjlighet att behandla frågor av etisk karaktär som kan uppkomma i samband med databasen. Vetenskapsrådet ska ansvara för en regelbunden utvärdering av de databaser som etableras med stöd av den föreslagna lagen.
6.3.2. Statliga myndigheter ska kunna vara ansvariga för forskningsdatabaser
Statliga universitet och högskolor som omfattas av högskolelagen och andra statliga myndigheter som har i uppdrag att bedriva forskning föreslogs få utföra behandling av personuppgifter i en forskningsdatabas för att skapa underlag för forskningsprojekt och lämna ut uppgifter till forskningsprojekt.
Under utredningen av frågan om vem som ska få föra forskningsdatabaser var Registerforskningsutredningen i kontakt med statliga universitet och högskolor som omfattas av högskolelagen. Dessa bekräftade då behovet av att bygga upp databaser för olika framtida forskningsprojekt.
13 SOU 2014 :45 s. 425.
Utredaren gjorde bedömningen att statliga universitet och högskolor också är lämpliga för att behandla personuppgifter i forskningsdatabaser i syfte att uppgifterna ska få användas i framtida forskningsprojekt. Utredaren gjorde vidare bedömningen att även andra statliga myndigheter kan ha behov av att bygga upp databaser med uppgifter som kan användas för framtida forskning. Brottsförebyggande rådet (Brå) och IFAU t.ex., bör kunna vara ansvariga för forskningsdatabaser enligt den föreslagna lagen.14
När det gäller möjlighet för andra än statliga myndigheter att bygga upp forskningsdatabaser för framtida forskning ansåg utredaren att det bör finnas någon form av grundläggande krav på tystnadsplikt inom forskning i privat regi innan det kan bli aktuellt för forskningshuvudmän inom enskilt bedriven forskning att bygga upp forskningsdatabaser.15
6.3.3. Definitioner
I lagförslaget finns en bestämmelse med definitioner av forskningsdatabas och forskning.
Forskningsdatabas definierades som en databas (uppgiftssamling)
med uppgifter som samlas in från enskilda individer eller från myndighetsregister och som är en nationell infrastruktur för att tillhandahålla uppgifter till flera olika framtida forskningsprojekt.
Forskning angavs vara detsamma som enligt etikprövningslagen.
I 2 § etikprövningslagen stadgas att med forskning avses vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.
6.3.4. Ändamål och utlämnande
Personuppgifter får enligt en föreslagen ändamålsbestämmelse behandlas för att skapa underlag för forskning och att lämna ut uppgifter till forskningsprojekt, under förutsättning att såväl forskningen som behandlingen av uppgifterna i projektet har godkänts enligt
14 Se bl.a. SOU 2014:45 s. 428 f. 15SOU 2014:45 s. 429 f.
etikprövningslagen. Ingen begränsning till att etikprövning bara ska göras när det gäller känsliga personuppgifter föreslås. Utredaren gjorde bedömningen att uppgifter bör kunna lämnas ut såväl till forskningsprojekt där en myndighet är forskningshuvudman som till forskningsprojekt som bedrivs i privat regi.
En bestämmelse föreslogs som stadgar att personuppgifter också får lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning. Dessutom föreslogs att personuppgifter som registrerats enligt lagen skulle få lämnas ut till den registrerade själv, dock inte i fråga om personuppgifter som inte direkt kan hänföras till en person.
Gällande utlämning av personuppgifter föreslogs vidare att uppgifter skulle få lämnas ut om det finns en skyldighet i lag. Denna bestämmelse föreslogs för att det inte skulle uppstå konflikt mellan bestämmelsen i den föreslagna lagen och exempelvis bestämmelser i annan lag som gäller så kallad uppgiftsskyldighet.16
En hänvisning till 9 § första stycket d och andra stycket personuppgiftslagen föreslogs i lagen om forskningsdatabaser. Där stadgas att den personuppgiftsansvarige ska se till att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, den så kallade finalitetsprincipen. I 9 § andra stycket personuppgiftslagen finns det så kallade forskningsundantaget. Enligt detta gäller i fråga om första stycket d att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Ett alternativ som utredaren nämner hade varit att föreslå en reglering om att uppgifter bara får behandlas för sådana ändamål som anges i lagen. Den typen av bestämmelse finns i LifeGene-lagen. Den föreslagna regleringen innebär jämfört med detta en utvidgning av de ändamål som en uppgift i en forskningsdatabas kan lämnas ut till.
Utredaren ansåg att integritetsskyddet kan upprätthållas även om uppgifter kommer att lämnas ut med stöd av finalitetsprincipen och forskningsundantaget. Som skäl angavs följande.
- Uppgifter får endast lämnas ut för forskningsändamål och för granskning av forskning.
- Samma sekretess kommer gälla hos den mottagande myndigheten vid utlämnande till en annan myndighet.
- Uppgifter till enskild kan lämnas med förbehåll enligt 10 kap. 14 §
OSL.
- Ett krav på etikgodkännande kommer att gälla.17
6.3.5. Databasens innehåll
I lagförslaget finns en bestämmelse om databasens innehåll som definierar vilka personuppgifter som ska få samlas i en databas. Regleringen av databasens innehåll kopplas till ändamålsbestämmelsen på så sätt att det är tänkt att vara tydligt att endast de uppgifter som är relevanta för ändamålet får behandlas i databasen. En forskningsdatabas ska således endast få innehålla de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas enligt den föreslagna ändamålsbestämmelsen, alltså för att skapa underlag för olika forskningsprojekt och för att lämna ut uppgifter till forskningsprojekt.
Enligt utredaren är det inte möjligt att i den föreslagna lagen om forskningsdatabaser ange vilka uppgifter som ska vara tillåtna i de olika databaser som kan etableras med stöd av lagen. Utredaren föreslog i stället att regeringen i respektive registerförordning närmare ska bestämma vad som får föras in i databasen och om det ska krävas samtycke från den person som uppgifterna avser.18
6.3.6. Insamling av uppgifter
Samtycke när uppgifter samlas in från enskilda
Registerforskningsutredningen föreslår att personuppgifter som samlas in direkt från den enskilde endast får behandlas om han eller hon har lämnat ett vad man betecknar informerat uttryckligt samtycke till behandlingen. Med samtycke skulle enligt utredaren avses detsamma som enligt personuppgiftslagen. Det ska alltså vara fråga om en frivillig, särskild, otvetydig viljeyttring genom vilken den
17SOU 2014:45 s. 439. 18SOU 2014:45 s. 441.
registrerade, efter att ha fått viss information som framgår av lagen, godtar behandlingen av personuppgifter som rör honom eller henne. Samtycket måste ha kommit till uttryck på något sätt som är möjligt för en utomstående att iaktta. Utredaren poängterade att den enskilde kan samtycka till att kompletterande uppgifter hämtas från olika register.19
Utredaren föreslog att samma rätt till återkallelse av samtycke som enligt personuppgiftslagen ska gälla. Enligt 12 § personuppgiftslagen innebär ett återkallande av samtycke att ytterligare personuppgifter om den registrerade därefter inte får behandlas. Eftersom bestämmelsen i personuppgiftslagen endast gäller samtycken som lämnats enligt personuppgiftslagens bestämmelser föreslogs att det i lagen om forskningsdatabaser särskilt ska anges att bestämmelsen är tillämplig för samtycken som samlas in direkt från den enskilde. När det gäller behandling av personuppgifter som inhämtas från någon annan källa än den enskilde föreslogs att bestämmelser tas i en förordning anpassad till varje enskild forskningsdatabas.20
Information när uppgifter samlas in från enskilda
Registerforskningsutredningen föreslog bestämmelser om information vid insamling av personuppgifter. Det föreslogs att innan en person lämnar sitt samtycke ska han eller hon ha informerats om att det är frivilligt att lämna uppgifter, för vilka ändamål personuppgifterna får behandlas, vilka uppgifter som får registreras, vilka sekretess- och säkerhetsbestämmelser som gäller för databasen, vem som är personuppgiftsansvarig, hur länge uppgifterna kan komma att sparas, rätten till rättelse av uppgifterna, rätten till information enligt 26 § personuppgiftslagen, rätten till skadestånd samt rätten att få uppgifter utplånade. Vidare föreslogs att bestämmelserna i 26 § personuppgiftslagen om information efter ansökan inte skulle gälla i fråga om personuppgifter som inte direkt kan hänföras till en person.
Registerforskningsutredningen gjorde bedömningen att det är viktigt att den enskilde får tillräckligt med information för att kunna avgöra om han eller hon vill godkänna behandling av personuppgifter
19 SOU 2014 :45 s. 426. 20SOU 2014:45 s. 427.
i en forskningsdatabas. Det är enligt utredaren lämpligt med ytterligare krav på vilken information som ska lämnas till den enskilde innan samtycke ges utöver bestämmelserna i personuppgiftslagen.
När det gäller kravet på information om hur länge en uppgift i en forskningsdatabas kan komma att sparas kan det enligt Registerforskningsutredningen vara tillräckligt att ange vilka gallringsbestämmelser som gäller. Skälet för det ställningstagandet är att det kan vara svårt att bedöma hur länge en uppgift i en forskningsdatabas kan komma att behövas för sitt ändamål.
I betänkandet diskuteras 24 § personuppgiftslagen. Enligt denna bestämmelse ska den personuppgiftsansvarige lämna den registrerade information om behandlingen av uppgifterna när de registreras. Ett undantag till detta krav är om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Utredaren menar att undantaget från informationsplikten enligt 24 § personuppgiftslagen kommer att bli tillämpligt enligt den föreslagna lagen om forskningsdatabaser. Lagen om forskningsdatabaser i förening med de särskilda förordningar som ska gälla varje forskningsdatabas kommer enligt förslaget att innehålla mer information om vad en registrering innebär och vilka personer som kan bli registrerade. Enligt Registerforskningsutredningens bedömning motsvarar detta den information som ska ges enligt personuppgiftslagen.
Uppgifter från andra myndighetsregister
Det föreslogs att uppgifter som hämtats från andra myndighetsregister för de tillåtna ändamålen skulle få behandlas under förutsättning att uppgifterna inte direkt kan hänföras till en person. Regeringen eller den myndighet regeringen bestämmer skulle dock få meddela föreskrifter om att identifierbara uppgifter ska få behandlas.
6.3.7. Ingen etikprövning av forskningsdatabaser
Registerforskningsutredningen diskuterade om etikprövningslagen borde utvidgas till att gälla även etikprövning av forskningsdatabaser. Det övervägdes således om det vore lämpligt att utvidga etikprövningslagens tillämpningsområde så att etikprövningen inte endast
skulle avse ett visst projekt eller del av projekt utan också insamlingen av uppgifter avsedda för att utgöra underlag för framtida forskning. Utredaren drog slutsatsen att det skulle vara möjligt, men att det inte vore en lämplig lösning. Problemet att registerhållande myndigheter inte anser sig kunna lämna ut uppgifter till databaser där syftet är att uppgifterna ska användas till olika ännu inte specificerade forskningsprojekt skulle ändå kvarstå. I stället förutsatte utredaren att etiska överväganden ska göras vid Vetenskapsrådets beredning och regeringens beslut (se avsnitt 6.3.1).21
Inget utlämnande genom direktåtkomst
Registerforskningsutredningen föreslog att utlämnande genom direktåtkomst till personuppgifter i databasen inte skulle få förekomma. Utredaren konstaterade att effektivitetsskäl talade för en direktåtkomst mellan den myndighet som för databasen och den myndighet som ska använda uppgifterna för specifika forskningsprojekt. Av integritetsskäl ansåg utredaren dock att direktåtkomst inte ska tillåtas eftersom direktåtkomst för en myndighet som ska använda personuppgifterna i en databas skulle innebära att myndigheten får tillgång till personuppgifter, även känsliga personuppgifter, om en stor mängd personer utan att den mottagande myndigheten kommer att ha ett egentligt behov av samtliga uppgifter. Vidare angav utredaren att direktåtkomst skulle innebära att båda myndigheterna skulle göra en sekretessprövning avseende samma material och att risken då ökar för att sekretessbestämmelsen tillämpas på olika sätt.22
6.3.8. Förhållandet till personuppgiftslagen och personuppgiftsansvar
När det gäller förhållandet till personuppgiftslagen föreslogs att det i lagen om forskningsdatabaser skulle stadgas att personuppgiftslagen gäller vid behandling av personuppgifter, om inte annat följer av den föreslagna lagen eller föreskrifter som meddelats med stöd av lagen.
21SOU 2014:45 s. 362, 420 och 424 f. 22SOU 2014:45 s. 443.
De statliga myndigheter som utför behandlingen av personuppgifter i forskningsdatabaserna föreslogs vara personuppgiftsansvariga enligt personuppgiftslagen.
6.3.9. Kodnyckelförfarande
Utredaren konstaterade att uppgifter från forskningsdatabaser i de flesta fall inte direkt kan hänföras till en enskild, utan kommer att lämnas ut i kodad form. För att möjliggöra senare uppdatering av uppgifterna föreslog Registerforskningsutredningen att den som är ansvarig för forskningsdatabasen vid utlämnande av kodade uppgifter ska förse uppgifterna med en beteckning som hos myndigheten kan kopplas till personnummer eller motsvarande identitetsbeteckning.
Eftersom det inte alltid är möjligt för en forskare att förutse när behov av senare uppdatering kan uppkomma föreslogs att det ska vara obligatoriskt för den som är ansvarig för forskningsdatabasen att bevara en förteckning över beteckning och personnummer eller annan identitetsbeteckning (en kodnyckel) i 20 år. Tiden föreslogs därefter kunna förlängas på begäran av den forskningshuvudman som den upprättades för eller av annan forskningshuvudman som använder uppgifter som kodnyckeln avser i sin forskning.
Vidare ska enligt förslaget den myndighet som ansvarar för registret också på eget initiativ, om behov finns, besluta att tiden för bevarande av kodnyckeln ska förlängas.23
6.3.10. Rättelse m.m.
Om en uppgift rättats, blockerats eller utplånats i forskningsdatabasen, ska den personuppgiftsansvariga myndigheten enligt förslaget vidta de åtgärder som behövs för att uppgifterna ska kunna ändras hos den som uppgifterna lämnas ut till.
Vidare föreslogs att den som fått kodade personuppgifter inte behöver lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Det föreslogs även att det ska stadgas att den som behandlar uppgifterna
23SOU 2014:45 s. 440 f.
inte behöver rätta, blockera eller utlåna dessa på begäran av den registrerade.
6.3.11. Sökbegrepp
Utredaren poängterar att regeringen inför inrättandet av en forskningsdatabas noggrant ska pröva för vilka ändamål uppgifterna i databasen ska få behandlas. I förordning ska också specificeras vilka uppgifter och kategorier av uppgifter som får ingå i databasen. Eftersom endast uppgifter som är nödvändiga för databasens ändamål ska få förekomma i denna innebär det att innehållet i databasen och därmed också möjliga sökbegrepp är noga avvägt och begränsat.
Utredaren drar slutsatsen att för att databasen ska vara användbar och ändamålsenlig bör det inte ställas upp några begränsningar av vilka sökbegrepp som får användas.24 I den föreslagna bestämmelsen anges att som sökbegrepp får användas uppgifter som enligt förslaget får ingå i en forskningsdatabas.
6.3.12. Förbud mot bakvägsidentifiering
Registerforskningsutredningen föreslog ett förbud mot bakvägsidentifiering. Enligt förslaget får personuppgifter som inte direkt kan hänföras till en person och som behandlas med stöd av den föreslagna lagen om forskningsdatabaser inte behandlas i syfte att röja en persons identitet. Förbudet föreslogs vara straffsanktionerat och kunna leda till böter eller fängelse i högst ett år.
Utgångspunkten är att när personuppgifter i en forskningsdatabas eller en del därav hämtas från ett myndighetsregister är uppgifterna som lämnas ut till databasen kodade. Kodnyckeln bevaras hos den utlämnande myndigheten och är inte tillgänglig för den som är ansvarig för forskningsdatabasen. Dock utesluter detta enligt utredaren inte möjligheten att identifiera en enskild person i det kodade materialet. Sammanförandet av ett antal variabler om en person medför alltid en risk för att personens identitet röjs. Med anledning av detta föreslogs ett förbud mot behandling av kodade personuppgifter i syfte att röja en persons identitet.25
24SOU 2014:45 s. 441. 25SOU 2014:45 s. 443 f.
Förbudet föreslogs gälla vid all behandling av kodade uppgifter, det vill säga både för dem som hanterar kodade uppgifter i forskningsdatabasen och för dem som tar emot kodade uppgifter från en forskningsdatabas.
6.3.13. Intern elektronisk åtkomst
Registerforskningsutredningen lämnade förslag till en bestämmelse om begränsning av intern elektronisk åtkomst. Enligt förslaget ska den personuppgiftsansvarige begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om databasen.
Syftet är enligt utredaren att stärka integritetsskyddet för dem vars personuppgifter behandlas i forskningsdatabasen genom att begränsa antalet personer som har rätt att ha åtkomst till uppgifterna samt att begränsa deras hantering av uppgifterna till det som är nödvändigt för att uppfylla ändamålet med databasen.
6.3.14. Gallring
En bestämmelse om gallring föreslogs av Registerforskningsutredningen. Enligt denna bestämmelse ska gallring göras av personuppgifter som inte längre behövs för ändamålen att skapa underlag för olika forskningsprojekt och lämna ut uppgifter till forskningsprojekt som etikprövats. Regeringen eller den myndighet regeringen bestämmer föreslogs ha möjlighet att meddela föreskrifter om eller i ett enskilt fall besluta att uppgifterna ska bevaras för historiska, statistiska eller vetenskapliga ändamål.
Utredaren pekar på att olika intressen ställs mot varandra. Argumenten för en specialreglering med gallring som utgångspunkt anges vara följande. Ett stort antal personuppgifter, även känsliga uppgifter, kan finnas i de databaser som möjliggörs genom lagen om forskningsdatabaser och integritetsskyddsaspekterna talar därför för gallring. Uppgifterna ska inte användas vid myndighetsutövning mot enskilda individer. Kravet på insyn och kontroll av myndighetens verksamhet är därför inte så starkt.
Argumenten som i stället talar för att arkivlagens (1990:782) principer om bevarande ska vara rådande anges vara följande. Många forskningsprojekt kräver att forskaren har tillgång till uppgifter som ligger långt tillbaka i tiden. Syftet med den föreslagna lagen är att möjliggöra insamlandet av personuppgifter som ska kunna användas i olika ännu inte specificerade forskningsprojekt. Det är därför svårt att fastställa när uppgifterna inte längre behövs i databasen. Dessutom är möjligheten att granska tidigare utförd forskning viktig.
Registerforskningsutredningen konstaterar att ändamålet med personuppgiftsbehandling enligt den föreslagna lagen om forskningsdatabaser både är att skapa underlag för olika forskningsprojekt och att lämna ut uppgifter till olika forskningsprojekt. Eftersom detta ändamål kräver att uppgifter bevaras under lång tid för att uppgifterna ska kunna användas i forskning för exempelvis longitudinella studier finns enligt utredaren stöd för att bevara uppgifter för en lång tid framöver. Dock poängteras att det är viktigt att uppgifter som inte längre behövs för ändamålet gallras.
Möjligheten för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter föreslogs med hänvisning till att det i registerförfattningar är vanligt med en sådan reglering.
6.3.15. Registerutdrag
Registerforskningsutredningen föreslog ett undantag från rätten enligt personuppgiftslagen att få ett registerutdrag där det framgår om personuppgifter om honom eller henne behandlas och i så fall vilka uppgifter. Enligt förslaget ska skyldigheten att lämna information endast gälla i de fall uppgifterna som behandlas i forskningsdatabasen är direkt hänförliga till en person och inte i det fallet kodade uppgifter överlämnats från andra myndighetsregister. Som skäl för förslaget anges att en skyldighet att lämna ut registerutdrag beträffande kodade uppgifter skulle innebära att den personuppgiftsansvarige skulle vara tvungen att identifiera uppgifterna, vilket i sig skulle innebära ett integritetsintrång.
6.3.16. Rättelse och skadestånd
Det föreslogs att bestämmelserna i personuppgiftslagen om rättelse och skadestånd ska tillämpas på motsvarande sätt vid behandling av personuppgifter som äger rum i strid med den föreslagna lagen.
Enligt 28 § personuppgiftslagen har den registrerades rätt att på begäran få personuppgifter korrigerade om de inte har behandlats på ett rättsenligt sätt. Den personuppgiftsansvarige har då skyldighet att, under vissa förutsättningar, underrätta tredje man, till vilken uppgifterna lämnats ut, om korrigeringsåtgärderna.
Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat. I andra stycket stadgas om jämkning av ersättningsskyldighet.
Dessa bestämmelser gäller endast vid behandling av personuppgifter i strid med personuppgiftslagen eller föreskrifter som utfärdats med stöd av lagen. I betänkandetexten står att det i den föreslagna lagen om forskningsdatabaser bör anges att bestämmelserna om rättelse och skadestånd tillämpas på motsvarande sätt som i personuppgiftslagen vid behandling av personuppgifter i strid med den föreslagna lagen.26
6.3.17. Sekretess
Uppgifterna i en forskningsdatabas ska enligt förslaget till bestämmelse om forskningssekretess i OSL skyddas av absolut sekretess, men med vissa undantag. Den ovan nämnda (avsnitt 6.2.2) forskningssekretessen föreslogs således gälla också för uppgifter i en forskningsdatabas som förs med stöd av den föreslagna lagen om forskningsdatabaser.
Utredaren menade att det är tveksamt om den verksamhet som kommer att bedrivas enligt den föreslagna lagen – insamlande och utlämnande av uppgifter för forskningsändamål – kan sägas falla in under begreppet forskningsverksamhet.27 För att det ska bli tydligt att sekretessbestämmelsen är tillämplig för uppgifter i en forskningsdatabas ansåg utredaren att det bör anges särskilt i bestämmelsen.
26SOU 2014:45 s. 452. 27 Jfr. vår användning av begreppet forskning, se kapitel 3 i detta betänkande.
Utredaren gjorde vidare bedömningen att en bestämmelse bör införas i de särskilda förordningarna som ska gälla för varje forskningsdatabas som stadgar att forskningsdatabasen administreras i en särskilt avgränsad enhet hos myndigheten så att det inte ska råda någon tvekan om att den stränga forskningssekretessen är tillämplig för databasen.28
6.3.18. Sambearbetning
Registerforskningsutredningen föreslog ingen generell bestämmelse om sambearbetning av uppgifter utan konstaterade att sambearbetning med uppgifter från en forskningsdatabas med andra uppgifter bör vara tillåtet så länge bearbetningen håller sig inom ramen för det ändamål som anges i den föreslagna lagen om forskningsdatabaser och den förordning som enligt förslaget ska införas för varje forskningsdatabas.
6.3.19. Kompletterande förordningar
Registerforskningsutredningens förslag bygger på att den föreslagna lagen om forskningsdatabaser ska kompletteras med en förordning för varje databas. I lagen om forskningsdatabaser föreslogs en bestämmelse som stadgar vilka föreskrifter regeringen får meddela. Enligt denna bestämmelse får regeringen meddela ytterligare föreskrifter om – vilka statliga myndigheter som får föra forskningsdatabaser enligt
lagen om forskningsdatabaser, – begränsning av de föreslagna ändamålen som personuppgifter i
forskningsdatabasen får behandlas för, – begränsningar av de uppgifter som en forskningsdatabas får
innehålla enligt den föreslagna bestämmelsen om innehåll (endast de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas), – begränsningar vid behandling genom utlämnande av uppgifter från
en forskningsdatabas,
– uppgiftsskyldighet, och – begränsningar i rätten till intern elektronisk åtkomst.
När det gäller begränsningar vid behandling genom utlämnande av uppgifter gjorde utredaren bedömningen att utlämnande vanligtvis ska avse personuppgifter som inte är direkt hänförliga till den enskilde men att det kan finnas fall när det är nödvändigt för forskaren att identifiera enskilda individer. Utredaren ansåg därför att det bör regleras mer ingående i förordning på vilket sätt uppgifter får lämnas ut från en forskningsdatabas.29
När det gäller uppgiftsskyldighet angavs att syftet är att tillförsäkra den myndighet som för en forskningsdatabas tillgång till uppgifter ur andra myndigheters register. Meningen är enligt utredaren att regeringen i de fall det är nödvändigt ska ålägga myndigheter att lämna uppgifter till den myndighet som för forskningsdatabasen. Utredaren ansåg att det bör fastställas vilka myndigheter som ska vara skyldiga att lämna uppgifter och vilka uppgifter uppgiftsskyldigheten ska omfatta.30
6.4. Remissvar
6.4.1. Allmänna synpunkter
Betänkandet Unik kunskap genom registerforskning var föremål för remissbehandling. Drygt 90 remissyttranden lämnades från myndigheter och organisationer i början av år 2015. En övervägande del av remissinstanserna yttrar sig positivt om utredningens förslag. En stor del av remissinstanserna välkomnar möjligheten att inrätta allmänna forskningsdatabaser och att dessa kan få det lagliga stöd som saknas i dag. Bland annat betonas att förslagen kommer att underlätta framtida registerbaserad forskning genom att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål.
Här följer en kortfattad uppräkning av utvalda delar av vissa remissinstansernas allmänna synpunkter. Remissyttrandena finns ingivna till Regeringskansliet.
29SOU 2014:45 s. 435. 30SOU 2014:45 s. 453 f.
Kammarrätten i Stockholm instämmer i betänkandets slutsats att registerbaserad forskning, forskningsregister och forskningsdatabaser är viktiga för framtida forskning, och att det är angeläget att det finns ett tydligt lagstöd för verksamheten samt att den enskildes personliga integritet värnas.
Datainspektionen avstyrker förslaget till lag om forskningsdatabaser och anför bland annat följande. Förslaget om lagreglering av forskningsdatabaser innebär att alla typer av personuppgifter kommer att kunna samlas in för forskningsändamål som inte är tydligt avgränsade eller specificerade. Det möjliggör en närgången kartläggning av enskildas privatliv, familjeförhållanden, sjukdomshistoria, arbetsliv, brottsuppgifter m.m. I förslaget saknas integritetsskyddande bestämmelser som står i proportion till det integritetsintrång den enskilde utsätts för. Enskilda bör i vart fall tillförsäkras en rätt att få generell information om forskningsdatabasernas existens och den personuppgiftsbehandling som utförs. Enskilda bör också ha en självklar rätt att motsätta sig att hans eller hennes personuppgifter lagras och behandlas för forskningsändamål i forskningsdatabaser.
Datainspektionen ifrågasätter lämpligheten i att universitetet och högskolor ska få föra egna register för befolkningsbaserad forskning och vidhåller att dessa uppgiftssamlingar är av så pass känslig karaktär att de bör förvaltas av någon eller några myndigheter som inte själva direkt nyttjar uppgifterna.
Datainspektionen kritiserar vidare utredarens uppfattning att forskningsdatabaser inte utgör ett sådant intrång i den personliga integriteten att det kräver en särskild lag för varje forskningsdatabas. Datainspektionen understryker i detta sammanhang att effekten av att samla in och lagra ett stort antal personuppgifter om ett stort antal individer blir att dessa individer utsätts för en närgången kartläggning och att detta omfattas av integritetsskyddet i 2 kap. 6 § RF. Det poängteras att denna effekt inträder direkt vid insamlingen och är helt oberoende av syftet med insamlingen och eventuellt efterföljande behandling.
Vidare menar Datainspektionen att utredarens uppfattning, att den största integritetsrisken vid behandling av personuppgifter i forskningsdatabaser är att uppgifter kan läcka ut och att enskilda kan bli utsatta för andras missaktning om personliga förhållanden blir kända, är felaktig. Datainspektionen poängterar när det gäller denna fråga att skyddet mot betydande intrång gäller gentemot det allmänna och att
det, för att ett betydande intrång ska anses föreligga, inte krävs att uppgifter sprids till obehöriga eller på annat sätt missbrukas. Som exempel nämner Datainspektionen att ett betydande intrång i den personliga integriteten kan uppstå redan i samband med en omfattande insamling av personuppgifter.
Enligt Datainspektionens mening uppfyller inte ändamålsbestämmelsen i förslaget till lag om forskningsdatabaser kraven på tillräckligt särskilda, uttryckligt angivna och berättigade ändamål i dataskyddsdirektivet vilket också leder till att rättsligt giltiga samtycken inte kan lämnas. Datainspektionen menar att utformningen av ändamålsbestämmelsen är avgörande för att bedöma om ändamålen i sig är godtagbara och behandlingen nödvändig och vilket integritetsintrång som är proportionerligt i förhållande till de givna ändamålen. Det är därför inte tillräckligt att frågan om begränsning av ändamålen regleras i förordning. Datainspektionen anser vidare att det saknas grund för att regelmässigt bevara kodnycklar i 20 år.
Justitiekanslern hänvisar till Datainspektionens remissvar och ställer sig bakom de bedömningar, synpunkter och farhågor som Datainspektionen lyfter fram i sitt remissvar.
Försvarsmakten delar inte den i utredningen uttalade uppfattningen att risken för brytande av sekretess är mindre vid forskning. Försvarsmakten uppger att beroende på vilka uppgifter som forskningen vill hantera kan individrelaterade uppgifter som omfattas av försvarssekretess, det vill säga skydd för rikets säkerhet, komma att omfattas av forskning. Vidare anför Försvarsmakten att den föreslagna uppgiftsskyldigheten för utlämnande myndighets kontra bestämmelserna om menprövning i OSL behöver tydliggöras.
Myndigheten för samhällsskydd och beredskap (MSB) förklarar att myndigheten i grunden är positiv till att uppgifter i olika register används i forskningen. MSB anser dock att betänkandet saknar en konsekvensanalys och en riskanalys utifrån ett nationellt perspektiv vad gäller informationssäkerheten. MSB menar att en analys som omfattar en beskrivning av nuläget beträffande informationssäkerheten i forskningsmiljöerna därför bör göras, inklusive en riskanalys som grundligt går igenom och värderar de risker som t.ex. universitet och högskolor är utsatta för genom sin informationshantering.
Socialstyrelsen tillstyrker i huvudsak utredningens förslag som möjliggör upprättande av forskningsdatabaser. Socialstyrelsen anser dock att flera juridiska frågor är otillräckligt belysta i utredningen och
menar att en stor del av förutsättningarna för de förslag som utredaren
lägger fram kräver ytterligare utredning innan de kan genomföras. Vidare
tillstyrker Socialstyrelsen förslaget att arkivlagen ska gälla för
forskningsdatabaser. Socialstyrelsen anser dock att förslaget gällande gallring är otydligt formulerat och riskerar att öppna upp för godtyckliga resonemang. Socialstyrelsen menar att det i utredningen är oklart hur datasäkerheten ska säkerställas och anser att frågan är mycket viktig.
Läkemedelsverket bedömer att många av utredningens förslag kan förbättra möjligheterna till registerbaserad forskning i Sverige. Läkemedelsverket pekar på att förutom samhällsnyttan av registerbaserad forskning, inte minst inom det medicinska området, är användandet av registerdata nödvändigt för att Läkemedelsverket ska kunna lösa sina uppgifter. Detta kan enligt Läkemedelsverket göras inom ramen för verkets rutinmässiga verksamhet eller genom specifika forskningsprojekt för uppföljning av läkemedelseffekter och säkerhet. Läkemedelsverket anser att det är värdefullt att tiden för bevarande av kodnycklar förlängs.
Myndigheten för vårdanalys (Vårdanalys) instämmer i att registerforskningen innebär unika möjligheter till kunskap som kan vara av stort värde för patienter, brukar och medborgare. Vårdanalys anser att det därför är välkommet att det skapas bättre och tydligare förutsättningar för forskare att hantera och få tillgång till data. Lagförslaget bör enligt Vårdanalys samtidigt åtföljas av tillsyn och uppföljning och krav på att forskarsamhället stärker kompetensen om vad lagstiftningen innebär och vilka möjligheter och skyldigheter såväl lärosäten som de individuella forskarna har. Detta skulle leda till att man undviker att systemet fortsatt upplevs som otydligt och att missnöje eller bristande lagefterlevnad består.
Vårdanalys anser att lagändringarna i förslaget kan bidra till att det blir tydligare för både registerhållare och forskare. Det är därför angeläget att kraven skärpts avseende kompetensuppbyggnad när det gäller lagstiftning, etik, integritet och informationssäkerhet på lärosäten och bland forskare. Det anförs att vinsterna med utökade möjligheter till registerforskning belyses på ett bra sätt i betänkandet, men att samma vikt inte fästs vid de nackdelar i termer av integritetsintrång som kan komma att uppstå.
Vidare anser Vårdanalys att det är angeläget att det ställs krav på att registerhållarna säkerställer en god informationssäkerhet. Myndigheten
framhåller att det är angeläget att det görs regelbunden tillsyn av verksamheterna. Vårdanalys anser att det är viktigt att staten tar ansvar för att följa utvecklingen av forskningsdatabaserna, gör bedömningar kring behoven, användningen och nyttan, eventuell misskötsamhet eller missbruk av registren samt vidtar åtgärder om utvecklingen inte är ändamålsenlig.
Statens beredning för medicinsk utvärdering (SBU) bedömer att de föreslagna ändringarna i sekretesskyddet, etikgodkännande vid utlämning, bevarande av kodnycklar under 20 år hos den utlämnande myndigheten och en särskild lag om forskningsdatabaser sammantaget ger goda förutsättningar för forskare att bättre utnyttja register samtidigt som ett högt integritetsskydd upprätthålls.
Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser att utredaren mycket bra belyst de problem, både juridiska och andra, som forskare i dag möter vid uppbyggnad av forskningsdatabaser. Forte anser att utredningen i grunden har hittat en rimlig avvägning mellan värdet av att kunna bygga upp långsiktiga forskningsdatabaser och behovet att skydda den personliga integriteten.
Tandvårds- och läkemedelsförmånsverket (TLV) ser positivt på att registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål och att för sådana ändamål underlätta samberedning av registeruppgifter. TLV är även positivt till förslagen som syftar till att underlätta sammanställning av longitudinella data.
Inspektionen för socialförsäkringen (ISF) ställer sig positiv till de förslag som presenteras. ISF anser att utredningen väl beskriver såväl de stora fördelar som registerforskningen erbjuder som de olika risker som registerdata kan innebära utifrån integritetssynpunkt. Speciellt när det gäller forskning är de negativa integritetsaspekterna av användandet av administrativa registerdata begränsade. Den främsta risken från integritetssynpunkt med avidentifierade retrospektiva longitudinella registerdata är enligt ISF att en individs identitet röjs genom bakvägsidentifikation och att känsliga uppgifter om denne offentliggörs. ISF noterar att sådan bakvägsidentifiering enligt förslagen blir straffbelagd.
Lantmäteriet har förutom vissa synpunkter på den föreslagna lagen för forskningsdatabaser inga invändningar mot utredarens förslag. Lantmäteriet tillstyrker också utredarens förslag att stärka sekretessen i forskningsverksamhet och för forskningsdatabaser.
Enligt Försäkringskassan behöver forskningsdatabaser uppdateras i takt med att registerhållarens register utökas och utvecklas vilket kräver resurser. Vidare anser Försäkringskassan att man måste ta höjd för kvalitets- och underhållsarbete, likaså hur man ska rätta eventuella fel i databasernas innehåll.
Landstinget i Uppsala län välkomnar utredningen och anför att de förslag som presenteras i utredningen förhoppningsvis kan bidra till att klargöra men även förbättra förutsättningarna för registerforskningen framöver samtidigt som patienters och andra medborgares integritet säkerställs samt olika aktörers ansvar och befogenheter tydliggörs.
Södermanlands läns landsting ställer sig positivt till förslaget i helhet men anser att även landstinget och regioner bör kunna stå som värd för nationella forskningsdatabaser.
Jönköpings läns landsting (Region Jönköpings län) anser att vissa av förslagen ger ett alltför svagt integritetsskydd för individer när det gäller känsliga personuppgifter. I förlängningen skulle detta enligt landstinget kunna innebära minskat förtroende hos allmänheten för denna viktiga forskning vilket kan äventyra framtida forskningsmöjligheter. Vidare anser landstinget att det i utredning saknas en diskussion angående de rättsliga förutsättningarna för att bygga upp forskningsdatabaser utanför de statliga universiteten och högskolorna. Landstinget poängterar att det finns många forskningsdatabaser inom landstingen och regionerna och dessutom andra organisationsformer för lärosäten som bedriver forskning.
Kronobergs läns landsting anser att många frågor som tidigare varit otydliga klargörs. Enligt landstinget är andan i betänkandet att data ska bli mer tillgängliga för forskning och att gränserna för beslut skjuts längre från den enskilda individen. Landstinget anser att det är bra att göra data mer tillgängliga för forskning men att det samtidigt kräver en skärpning av sekretessen för den enskilda medborgaren. Det betonas att sekretess och skydd av individers integritet är viktigt i landstingets verksamhet.
Skåne läns landsting (Region Skåne) är mycket positivt till att registerforskning ges bättre förutsättningar, inte minst mot bakgrund av behovet att föra in mer kunskap och att utveckla landstingets hälso- och sjukvård men anser att utredningen i vissa delar behöver kompletteras.
Hallands läns landsting (Region Halland) anser att förslaget om lagändringar och arbetssätt för registerforskning är positivt. Vidare vill Region Halland understryka att det är ytterst viktigt att samtliga statliga myndigheter som har ansvar för register som även är användbara för forskning har ett uppdrag från regeringen att ge prioritet för registeruttag för forskningsändamål med den sekretess som föreslås i betänkandet för att förbättra möjligheterna för registerforskning.
Västra Götalands läns landsting anser att utredningen lägger fram flera viktiga förslag till förändringar som ska underlätta hanteringen av registerdata för forskningsändamål utan att hota personers integritet och sekretess. I huvudsak ställer sig Västra Götalandsregionen bakom inriktningen i förslagen men uppmärksammar några frågekomplex som enligt landstinget behöver beaktas och beskrivas ytterligare. Framför allt rör detta distinktionen beträffande rollerna för landstingsmyndigheter, sjukvården och för statliga forskningsmyndigheter beträffande framtagning och lagring av data för kvalitet och verksamhetsutveckling i myndighetsregister visavi motsvarande process för data i forskningsdatabaser.
Västmanlands läns landsting ställer sig positivt till de flesta av de föreslagna författningsförändringarna och andra förslag som utredningen för fram. Vissa förslag behöver enligt landstinget dock beredas ytterligare dels för att se över konsekvenserna av extra kostnader och ökad administration för vården, dels för att minimera risken för att den personliga integriteten ska äventyras. I synnerhet gäller detta förslaget om att inrätta nationella forskningsdatabaser.
Dalarnas läns landsting är positivt till att registerforskningen ges bättre förutsättningar samtidigt som skyddet för den enskildes integritet bör upprätthållas och förstärkas. Landstinget vill framhålla bland annat att förslaget om att införa en enda, heltäckande sekretessbestämmelse för personuppgifter i forskningsverksamhet är en angelägen förbättring. Landstinget anför vidare att finansieringsprincipen bör tillämpas eftersom förslag i utredningen innebär kostnader för sjukvårdshuvudmännen.
Jämtlands läns landsting (Region Jämtland Härjedalen) ställer sig i stort sett positivt till utredningen. Landstinget anför att registerforskning utgör en viktig källa till kunskap och det är därför av stor vikt att rutiner harmoniseras och även att ansvar tydligt anges. Landstinget har förhoppningen att förslagen kan leda till ett ökat utnyttjande av register i framtiden samtidigt som den personliga
integriteten bevaras. De unika svenska registren kan därmed ytterligare stärka Sveriges position som ledande inom detta område.
Statistiska centralbyrån (SCB) anser att uppgifter som samlats in för statistikproduktion så långt det är möjligt ska komma till användning för vetenskapliga ändamål. SCB är positiv till att det tydliggörs i myndighetens instruktion att man får bistå verksamhet inom det vetenskapliga området med uppgifter som behövs för forskningsändamål. Statistiska centralbyrån (SCB) anser att det inte finns behov av forskningsdatabaser baserade på befintliga register eftersom dessa uppgifter redan finns tillgängliga för forskning inom dagens regelverk. Dock anser SCB att det torde finnas möjlighet att skapa ett rättsligt stöd för upprättande av forskningsdatabaser för longitudinella studier där de registrerade har gett sitt samtycke att ingå i databasen om en sådan databas regleras på sätt som göra att ändamålet är preciserat i enlighet med de krav som ställs i dataskyddsdirektivet.
Uppsala universitet ser med tillfredsställelse på utredningens övergripande inriktning att underlätta forskning baserad på registerdata. Universitetet konstaterar att det i många sammanhang är en stor fördel för forskningen att få tillgång till omfattande datamaterial. Ambitionen att i ökad utsträckning tillgängliggöra befintliga register samt uppdra åt statistikansvariga myndigheter att också bistå forskningen med data välkomnas. Universitetet anser att det av resurseffektivitetsskäl är rationellt att återanvända uppgifter som har samlats in av myndigheter i deras verksamhet eller av andra forskningsprojekt. Vidare poängteras att det finns betydande kvalitativa vinster där det är till fördel att kunna använda sig av register som omfattar hela befolkningen och inte behöva gå vägen via studier som baseras på urval med allt vad det för med sig av bortfall, risk för ickerepresentativt urval och liknande. Universitetet anser dock att det i betänkandet saknas skrivningar som rör kvalitetsregister inom hälso- och sjukvården, vilka är av stor relevans för den kliniska forskningen.
Lunds universitet är till övervägande delar positivt inställt till förslagen och poängterar att svenska register kan, rätt utnyttjade och under kontrollerade former, bidra ytterst väsentligt till förbättrad hälsa och välfärd.
Göteborgs universitet stöder i det stora hela utredningens förslag och anser att avvägningen mellan att hitta lösningar för att skapa bättre förutsättningar för registerbaserad forskning och behovet av
skydd för den enskilda individens personliga integritet har gjorts på ett genomtänkt och rimligt sätt. Universitet anser vidare att förslagen rörande ny sekretessbestämmelse, ny lag om forskningsdatabaser samt etikprövningsnämndens prövning av dessa är väl avvägda och att absolut sekretess, med medföljande tystnadsplikt, samt en prövning i etikprövningsnämnden ger ett skydd för den enskilde samtidigt som forskningen kan få möjlighet att tillgodose behovet av att använda databaser för nya och tillkommande frågeställningar.
Stockholms universitet konstaterar att utredaren har genomfört ett gediget och konstruktivt arbete. Universitetet menar att detta bör leda till ökade möjligheter samt en ökad klarhet och rättssäkerhet vad gäller forskningens möjligheter att för angelägna forskningsändamål återanvända och kombinera data som ursprungligen insamlats för andra ändamål, t.ex. data insamlade av myndigheter för administrativa ändamål. Vidare bör det enligt universitetet även leda till större möjligheter att skapa forskningsdatabaser för framtida forskningsprojekt samt underlätta utlämnande av uppgifter för forskningsändamål samtidigt som skyddet för personlig integritet och sekretess säkerställs.
Universitetet påpekar dock att finansieringen av forskningsdatabaserna är något styvmoderligt behandlad. Universitet föreslår en process med avtal mellan respektive värduniversitet och Vetenskapsrådet om finansiering, organisation, och tillgänglighet, med säkerställd finansiering för åtta år i taget och utvärdering vart åttonde år. Universitetet anser att regelverket bör garantera databasernas långsiktiga fortbestånd tydligare än genom en omprövning vart åttonde år och anser att en långsiktig vetenskaplig kunskapsuppbyggnad måste vara fast institutionellt säkrad.
Stockholms universitet anser vidare att den föreslagna begränsningen av antalet databaser inom varje forskningsfält kräver noggranna överväganden för att inte riskera att forskningen hämmas inom vissa områden. Universitetet menar att det grundläggande i bedömningen av införandet av varje databas bör vara det vetenskapliga behovet.
Linköpings universitet anser sammantaget att förslagen är konstruktiva och väl genomarbetade. Universitetet välkomnar förslagen alltifrån vad gäller etikprövningsnämnden, kodnyckel i 20 år, underlättnad av bortfallsanalyser, regelverk för forskningsdatabaser till internationellt samarbete. Universitetet anser att förslagen både
beaktar rimlig integritetshänsyn och möjliggör nödvändig forskning. Samtidigt vill universitetet poängtera vikten av att se över finansieringen vid Regeringskansliets beredning av betänkandet.
Karolinska institutet ställer sig i huvudsak mycket positivt till de förslag till åtgärder som utredningen presenterat i syfte att förbättra tillgängligheten till och underlätta användningen av registeruppgifter inom forskningen. Karolinska institutet ser det som viktigt att SCB, Socialstyrelsen och andra relevanta registerhållande myndigheter ges en prioriterad uppgift att underlätta för den registerbaserade forskningen och att resurser kan frigöras så att denna uppgift kan fullgöras på ett effektivt sätt. Karolinska institutet anser att handläggningstiderna vid dessa myndigheter i dag ofta är orimligt långa. Karolinska institutet vill också uppmärksamma de svårigheter Svensk Nationell Datatjänst (SND) vid Göteborgs universitet och liknande initiativ har hamnat i när de försökt förstärka servicen till och underlätta för forskarna och hur denna problematik ska kunna åtgärdas. Karolinska Institutet stödjer i detta avseende utredningens uppfattning att denna fråga bör utredas vidare. Detta gäller likaledes utbytet och användningen av persondata mellan myndigheter som inte har som huvuduppgift att bedriva forskning.
Kungl. Tekniska högskolan anser att argumenten för införande av en särskild ny lag rörande forskningsdatabaser inte är tillräckligt starka utan menar att de oklarheter som finns i stället bör kunna lösas genom ändringar i OSL och annan befintlig lagstiftning.
Luleå tekniska universitet ställer sig positivt till förslagen och anför att det är i universitetets intresse att göra registerforskning mera lättillgänglig utan att tumma på viktiga forskningsetiska principer eftersom den här typen av forskning kan vara intressant att utveckla för vissa av universitetets forskningsämnen.
Karlstads universitet tillstyrker det föreliggande förslaget. Det är universitetets uppfattning att författningsförslagen kommer att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål.
Linnéuniversitetet ställer sig övervägande positivt till betänkandets konstruktiva förslag till hur registerforskning ska stärkas och förenklas samtidigt som individers integritet ska tryggas. Om denna balans kan uppnås skulle förutsättningarna starkt öka för att skapa en unik kunskap som både leder till bättre vård nationellt och attraktiv
miljö för forskning och prövning internationellt. Linnéuniversitetet stöder de flesta av utredningens förslag.
Örebro universitet är i huvudsak positivt till förslagen och anser att de fyller sitt syfte att förbättra möjligheterna för registerbaserad forskning. Universitetet anser vidare att risken är liten för att de föreslagna förändringarna påverkar skyddet för den enskildes integritet, och att de är väl avvägda mot intresset att för forskningsändamål bättre utnyttja register. Örebro universitet anser dock att utformningen av reglerna kan medföra att data från enskilda forskningsstudier låses in i forskningsdatabaserna, med begränsad möjlighet för ansvariga för studierna att påverka användningen.
Mittuniversitetet välkomnar förslagen och anser att betänkandet i hög utsträckning tillgodoser universiteten och högskolornas behov och önskemål om åtgärder som förbättrar villkoren för registerbaserad forskning i Sverige.
Mälardalens högskola tillstyrker i huvudsak förslagen och ser stora möjligheter i att kunna utveckla den registerbaserade forskningen i enlighet med framförda förslag.
Vetenskapsrådet ställer sig positivt till utredningens förslag till förbättrade möjligheter för registerforskningen. Vetenskapsrådet vill understryka att integritetsfrågor har stor betydelse för forskning, inte minst vad gäller förankringen i samhället.
Regionala etikprövningsnämnden i Linköping framhåller att utredaren på ett förtjänstfullt sätt gjort en mycket grundlig analys av det aktuella problemområdet. Vissa av förslagen uppfattas dock enligt nämnden ge ett alltför svagt integritetsskydd för individer när det gäller behandling av känsliga personuppgifter. Nämnden anser att detta i förlängningen kan innebära risk för minskat förtroende hos allmänheten vilket skulle kunna begränsa framtida forskningsmöjligheter.
Regionala etikprövningsnämnden i Stockholm tillstyrker de förslag som förs fram i betänkandet och anser det positivt att registerbaserad forskning främjas.
Regionala etikprövningsnämnden i Umeå anser att de grundläggande tankarna förefaller goda och underlättar för registerforskningen med ett bibehållet integritetsskydd för forskningspersonerna. Etikprövningsnämnden tillstyrker därför i allt väsentligt förslagen.
Regionala etikprövningsnämnden i Lund tillstyrker förslaget att inrätta forskningsdatabaser men anser inte att dessa databaser ska
kunna tillföras uppgifter från myndighetsregister eftersom det utgör ett integritetsintrång för den enskilde som är alltför långtgående och inte kan överblickas. Dessutom anser nämnden att informationen från myndighetsregister inte behövs i forskningsregistren. Nämnden menar att det är lämpligare om sådana sammanställningar görs i varje enskilt fall när en forskare vill få del av data för en bestämd forskningsuppgift. Det är nämndens uppfattning att MONA-systemet31erbjuder många fördelar, inte minst när det gäller skyddet av forskningspersonernas integritet jämfört med andra i dag vanliga sätt att ge forskarna tillgång till data. Nämnden anser att om system liknande MONA för att ge forskare tillgång till data utvecklas, undviks att stora mängder data kopieras och sprids till olika forskare, med de integritetsrisker som detta kan medföra. Vidare anser nämnden att den som ansvarar för en forskningsdatabas bör åläggas skyldighet att ge tydlig information till allmänheten om forskningsdatabasens syfte, innehåll och arbetsformer, eftersom allmänhetens förtroende för forskningen i stor utsträckning är beroende av att tillräcklig och tydlig information finns tillgänglig om den forskning som pågår.
Riksarkivet tillstyrker att rättsliga hinder undanröjs och andra förslag genomförs för att möjliggöra registerbaserad forskning och uppbyggande av databasinfrastrukturer för olika typer av forskning. En sådan sekundär användning av information förutsattes redan vid inrättandet av de administrativa registren hos myndigheterna och sammanfaller med Riksarkivets inställning att arkiven ska kunna användas för samhällsnyttiga eller kulturella ändamål. Den kvalitativa skillnaden med en automatiserad behandling av information som bevaras i ett längre tidsperspektiv, innebär att forskning i olika delar av världen nu visar tidigare helt okända samband. Riksarkivet poängterar att användningen av personuppgifter även för registerbaserad forskning givetvis ska göras under iakttagande av regler om offentlighet och sekretess, registrering och arkivering och för ändamålet anpassad informationssäkerhet och skydd.
Arbetsmiljöverkets uppfattning är att forskning baserad på registeruppgifter kan ge mycket värdefulla bidrag till ökad kunskap. Arbetsmiljöverket anser att förslagen i betänkandet är angelägna och skulle stärka dessa möjligheter men poängterar att ökade krav på datakvalitet och nya krav på myndigheter ger upphov till ökade kostnader.
31 Angående MONA-systemet, se avsnitt 4.2.1.
Handikappförbunden anser att det är grundläggande för att människor med funktionsnedsättning och sjukdomar ska beredas möjlighet att leva på lika villkor som andra att forskningen kontinuerligt tillförs kunskaper. Förekomsten av och tillgången till olika register är en sådan kunskapsbas. Handikappförbunden ser därför i stort positivt på möjligheterna att utveckla och fördjupa kunskaperna inom områden som är viktiga för människor med funktionsnedsättning genom registerforskning. Det anförs att utredningens förslag kan öppna upp för ny forskning och longitudinella studier som kan gynna Handikappförbundens medlemsgrupper.
Handikappförbunden betonar att en nödvändig förutsättning dock är att den personliga integriteten är skyddad. Det anförs att utredningens förslag kommer att innebära ökad användning av uppgifter ur olika register och att uppgifter från register kan kombineras. För att detta inte ska medföra risker för individens integritet måste det enligt Handikappförbunden bland annat finnas tydliga ändamål för användning av uppgifter, god etikprövning och kontinuerlig uppföljning och utvärdering av sekretesskyddet.
Statens medicinsk-etiska råd anser att register är av stor betydelse för medicinsk forskning och för verksamhetsutveckling inom hälso- och sjukvården. Inom rådet finns emellertid också uppfattningen att det finns en viss övertro på den nytta som registerbaserad forskning kan resultera i, och att det inte är självklart att nyttan alltid uppväger de integritetsrisker som forskningen kan medföra.
Svenska Journalistförbundet avstyrker utredningens förslag om absolut sekretess för all form av forskningsverksamhet och anför att är en kraftigt höjd sekretessnivå som förbundet anser för långtgående. Vidare anser förbundet att det bör utredas om det är nödvändigt med en så stark sekretess för all form av forskning. Förbundet avstyrker vidare förslaget att tystnadsplikt ska omfatta uppgifter vid utredning av oredlighet i forskning. Sammantaget har inte utredningen på ett tillfredsställande sätt utrett den svåra avvägningen mellan å ena sidan intresset av allmänhetens insyn i registerforskning och å den andra sidan intresset av att skydda identiteten för de personer som omfattas av forskningen. Detta bör därför enligt Journalistförbundet utredas ytterligare.
Svenska läkaresällskapet ställer sig positivt till de principer till lagförändring och andra åtgärder som utredningen presenterar för att
i större utsträckning kunna ge registeransvariga myndigheter möjlighet att lämna ut uppgifter till forskningsändamål med bevarande av den enskildes integritet, ökade möjligheter till sambearbetning av registeruppgifter, förenklad etikprövning samt förslag till samordning och utveckling av nationell databasinfrastruktur. De konkreta förslagen förefaller enligt Svenska läkaresällskapet vara goda och uppdragen till myndigheter realistiska samtidigt som den personliga integriteten upprätthålls vid hantering av personuppgifter.
Sveriges akademikers centralorganisation (Saco) anser att förslagen huvudsakligen möter upp både intresset att det är värdefullt för både samhällsanalys och för den medicinska forskningen att det finns forskningsdatabaser samt att det är viktigt att sådana databaser skyddar de enskildas personliga integritet. Saco anser att förslagen ger en tydligare och mer sammanhållen reglering av registerforskningen.
Tjänstemännens centralorganisation (TCO) tillstyrker i huvudsak utredningens förslag med undantag av frågan om sekretessbrytande regler gällande såväl forskningsdatabaser som biobanksregister.
Swedish Initiative for Research on Microdata in the Social And Medical Sciences (SIMSAM) anser att det är viktigt att forskningsstöd ingår som en central del i registerhållande myndigheternas instruktioner. Vidare anser SIMSAM att tiden för bevarande av kodnycklar från registeruttag bör förlängas till minst 20 år. SIMSAM menar också att Socialstyrelsen bör ha en informationsdatabas med personnummer rörande var biologiska prover finns.
Stiftelsen för strategisk forskning (SSF) poängterar att Sverige under lång tid har haft en världsledande roll inom forskning där uppgifter från svenska patientregister används tack vare dessa i många avseenden unika register och att denna typ av forskning således innebär en stor konkurrensfördel för Sverige. SSF anser det därför positivt att det finns väl genomarbetade riktlinjer och regelverk i dessa frågor och att det är viktigt att underlätta för denna typ av forskning. SSF instämmer i förslagen.
Sveriges läkarförbund betonar vikten av att Statistiska centralbyrån och Socialstyrelsen ges ett tydligare uppdrag och ökade resurser för att prioritera att tillgängliggöra data från sina register för forskning.
Behovet av detta har lyfts fram både av denna utredning och av Utredningen om nationell samordning av kliniska studier.32 Sveriges läkarförbund ställer sig också bakom utredningens förslag att tillsätta en utredning om Svensk Nationell Datatjänsts framtid, ställning och finansiering.
Akademikerförbundet SSR anser att registerbaserad forskning generellt är en fantastisk källa till kunskap och att den komparativa fördel Sverige har i dessa välutvecklade register sedan lång tid tillbaka ska tas tillvara forskningsmässigt i största möjliga utsträckning, också med stöd av myndigheterna. SSR menar att det bör vara en självklar uppgift för våra myndigheter att bistå forskningen i största möjliga utsträckning. Vidare anser SSR att det är helt avgörande att utredningens förslag om ”att det är en prioriterad uppgift att bistå forskningen med data” borde föras in i myndigheters instruktioner generellt, men att det skyndsamt borde göras i SCB:s regleringsbrev.
Reumatikerförbundet välkomnar utredningens förslag för att underlätta registerbaserad forskning. Förbundet instämmer i utredningens slutsats att registerbaserad forskning, forskningsregister och forskningsdatabaser inte innebär något betydande intrång i enskildas personliga integritet.
Sveriges tandläkarförbund ser mycket positivt på utredningens förslag. Sveriges Tandläkarförbund anser att svenska register med personnummer skapar stora möjligheter för svensk forskning inte minst inom den odontologiska forskningen där till exempel tandhälsoregistret utgör en stor faktakälla för forskning. Att register kan användas ändamålsenligt för forskning, utan att den personliga integriteten störs, är något Sveriges Tandläkarförbund anser vara mycket viktigt. Sveriges Tandläkarförbunds uppfattning är att ändringsförslagen bör underlätta för forskare att använda sig av register i sin forskning samtidigt som den personliga integriteten skyddas.
Lärarnas Riksförbund anser att förslagen om ökad tillgänglighet till vissa data, förlängd bevarandetid för kodnycklar och möjlighet att upprätta forskningsdatabaser förbättrar möjligheten till en mer systematisk uppföljning av resursanvändning och resultat i det svenska skolväsendet. På samma sätt som det i betänkandet föreslås att ställningen bör stärkas för personuppgiftsombud vid universitet och högskolor anser Lärarnas Riksförbund att det bör slås fast att det hos
32 Utredningens om nationell samordning av kliniska studier betänkande Starka tillsammans (SOU 2013:87).
skolhuvudmännen ska vara tydligt vem som tillser att uppgifter om elever, personal, kostnader, med mera redovisas på ett korrekt sätt.
Apotekarsocieteten instämmer i utredningens förslag vad gäller etikprövningen, kodnyckelförfarandet, nya sekretessbestämmelser, forskningsdatabaser och nationellt biobanksregister. Apotekarsocieteten anser att förslagen gör det lättare att utnyttja de omfattande data som finns i befintliga register samt gör det möjligt att skapa forskningsdatabaser. Apotekarsocieteten anför att såväl registren som baserna utgör värdefulla resurser vid läkemedelsutveckling och kan hjälpa Sverige att återta en tätposition inom området.
Konjunkturinstitutet instämmer i att det finns många viktiga frågor som kan besvaras med hjälp av register och datamaterial. Konjunkturinstitutet delar utredarens förslag om att inrätta en funktion för att förbättra tillgängligheten för forskningsändamål. Dock vill Konjunkturinstitutet framhålla att utöver forskning förekommer det även att myndigheter kan ha till uppgift att göra utredningar och utvärderingar som kräver tillgång till mikrodata. Även myndigheters tillgång till mikrodata för sådana ändamål behöver enligt Konjunkturinstitutet därför utredas närmare.
6.4.2. Remissynpunkter på vissa delar av förslagen
Vilka som ska ansvara för forskningsdatabaser, m.m.
Det framförs kritik från remissinstanserna när det gäller förslaget att enbart statliga universitet och högskolor ska kunna vara huvudmän för forskningsdatabaser. Nästan alla landsting har uttryckt att även landsting bör kunna vara huvudmän för forskningsdatabaser. Flera universitet, såsom Uppsala universitet, Umeå universitet, Linköpings universitet och Linnéuniversitetet anser att landsting bör inbegripas.
Det förs, bland annat från landstingens sida, fram att det i utredningen saknas motiv till varför landstingen inte ges samma möjligheter som universiteten att bygga upp forskningsdatabaser eller att detta bör utredas vidare. Vidare anförs att landstingen har lång tradition, erfarenhet och kunskap om behandling av känsliga personuppgifter som är omgärdade av sekretess genom sin dagliga verksamhet men även avseende forskning.
Det påpekas vidare att man i landstingens verksamhet är van vid att tillämpa bestämmelserna i personuppgiftslagen och att en placering av
vissa forskningsdatabaser hos landsting och regioner kan vara mer lämplig ur ett integritetsperspektiv. Det betonas också att flera av de forskningsdatabaser inom medicin som i dag finns eller planeras har ett landsting eller ett sjukhus som huvudman och att dessa uppfyller betänkandets definition på forskningsdatabas.
Stockholms läns landsting påpekar att sjukvårdshuvudmännens roll och ansvar för den kliniska medicinska forskningen i relation till registerforskning förbises. Landstinget förklarar att registerforskning är ett centralt verksamhetsområde för Stockholms läns landsting eftersom landstinget också per definition är forskningshuvudman.
Jönköpings läns landsting poängterar att det finns lärosäten såsom Stiftelsen Högskolan i Jönköping som med det aktuella förslaget inte tycks få samma möjligheter som de statliga universiteten och högskolorna i detta avseende.
När det gäller förslaget att Vetenskapsrådet ska ha i uppgift att bereda frågan om vilka forskningsdatabaser som kan behövas i Sverige, poängterar flera remissinstanser att det är viktigt att det vetenskapliga behovet får styra antalet databaser. Flera universitet kritiserar förslaget på den grunden att det kan leda till toppstyrning, ökad byråkrati, brist på mångfald i forskningen. Det anförs att lärosätena och aktiva forskare måste få ha inflytande och delaktighet i beredningen.
Folkhälsomyndigheten anser att forskare vid andra organisationer än universiteten bör få inflytande över innehåll och uppläggning av databaserna och påtalar att den föreslagna strukturen med Vetenskapsrådet som beredningsorgan riskerar att förbise behovet av forskningsdatabaser vid forskande myndigheter.
Kammarrätten i Stockholm anser att det kan vara obligatoriskt för Vetenskapsrådet att vid beredningen av nya databasförordningar inhämta synpunkter från t.ex. Centrala etikprövningsnämnden, Datainspektionen och SCB.
Vetenskapsrådet anser att ändamålet med den regelbundna utvärdering som utredaren föreslår att Vetenskapsrådet ska göra behöver förtydligas och det bör enligt Vetenskapsrådet dessutom utredas vilken myndighet som är bäst lämpad att utföra sådan utvärdering.
Flera universitet lämnar synpunkter angående antalet forskningsdatabaser, exempelvis följande. Det finns flera forskningsfält som bör kunna rymma flera forskningsdatabaser, också spridda på flera
lärosäten. Enskilda projekt samt lokala och regionala forskningsdatabaser kan över tid utvecklas till att bli rikstäckande vilket skapar bättre förutsättningar för framtida registerforskning. Forskningsdatabaserna bör inte enbart definieras utifrån enskilda forskningsfält utan även det tvärvetenskapliga perspektivet ska beaktas.
Uppgiftsskyldighet till forskningsdatabaser
Försvarsmakten påtalar att uppgifter som omfattas av försvarssekretess, skydd för rikets säkerhet, som hanteras av försvarsmakten endast i särskilda undantagsfall bör föras vidare till annan myndighet eller forskningsansvarig. Försvarsmakten anser att den föreslagna uppgiftsskyldigheten kontra bestämmelserna om menprövning i OSL behöver tydliggöras.
Örebro universitet pekar på att det förefaller som om det vid en jämförelse av OSL och den föreslagna lagen är oklart om uppgiftsskyldighet beslutade av regeringen får fullgöras eller inte (10 kap. 28 § OSL och 7 § i förslaget).
Ändamålsbeskrivning och samtycke
Flera remissinstanser påtalar att det är angeläget att forskningsdatabasernas ändamålsbeskrivningar är tillräckligt preciserade så att den enskilde kan lämna ett informerat samtycke. Av vissa förs fram att det bör utredas hur de närmare ändamålsbestämningarna kan se ut.
Etikprövning
Många remissinstanser ställer sig positiva till att uppgifter endast ska kunna lämnas ut till projekt som godkänts enligt etikprövningslagen oavsett om behandlingen innefattar känsliga personuppgifter eller inte. Argument såväl för som emot att skapandet av forskningsdatabaser i sig borde genomgå en oberoende granskning av etikprövningsnämnderna framförs.
Utlämnade av uppgifter till en forskningsdatabas
Socialstyrelsen delar utredarens uppfattning att insamling av uppgifter till en forskningsdatabas inte är forskning. Därför menar Socialstyrelsen att det är tveksamt om Socialstyrelsen kan bemöta en förfrågan om utlämnande av uppgifter utifrån de förordningar som styr hanteringen av Socialstyrelsens hälsodataregister.
Läkemedelsverket påtalar att det i förslaget till 7 § anges att personuppgifter får lämnas ut på grund av uppgiftsskyldighet i lag men att förslaget verkar förutsätta att uppgiftsskyldighet ska kunna stadgas i förordning och att sådan uppgiftsskyldighet inte skulle kunna leda till utlämnande enligt 7 §.
SCB gör bedömningen att det kommer att vara svårt att kunna lämna ut uppgifter till en forskningsdatabas som regleras med stöd av den föreslagna lagen eftersom uppgifterna i forskningsdatabaserna ska kunna användas vid för tidpunkten för utlämnandet okända forskningsprojekt och det för den utlämnande myndighetens sekretessprövning krävs kännedom om vad begärda uppgifter ska användas till och av vem. SCB anser dessutom att det är tveksamt om de undantag som finns enligt 24 kap. 8 § OSL från den absoluta sekretessen blir tillämpliga vid ett utlämnande till en forskningsdatabas som innehåller identiteter. Det är enligt SCB oklart om ett utlämnande till en forskningsdatabas med uppgift att tillgängliggöra data är ett utlämnande för forskningsändamål. Vidare finns enligt SCB anledning att överväga om undantaget för att kunna lämna ut inte direkt identifierbara uppgifter blir tillämpligt i den aktuella situationen.
När det gäller frågan om utlämning från en forskningsdatabas anför Vetenskapsrådet följande. Det framstår som oklart om uppgifter kommer att kunna lämnas ut från forskningsdatabaser som finns hos statliga universitet och högskolor till forskningshuvudmän som inte har att tillämpa OSL.33
Kravet på reglering i lag enligt regeringsformen
Läkemedelsverket menar att det eventuellt kan ifrågasättas om systemet med en stor del av regleringen i förordningsform är förenligt med regeringsformens krav enligt 2 kap. 6 § andra stycket på att bestämmelser med detta innehåll ska regleras i lag.
33 Vetenskapsrådet hänvisar till JO:s beslut från den 9 september 2014.
SCB anser att det är svårbedömt när det gäller förslagets förenlighet med reglerna i dataskyddsdirektivet och i förhållande till 2 kap. 6 § andra stycket RF eftersom förenligheten med dessa regelverk i stor utsträckning blir beroende av hur de enskilda förordningarna som skapas med stöd av lagen kommer att utformas.
Datainspektionen avstyrker förslaget på den grunden att förslaget inte är förenligt med 2 kap. 6 § andra stycket RF. Datainspektionen anser att förslaget riskerar att leda till betydande integritetsintrång genom att tillåta omfattande insamling av personuppgifter utan att ändamålen är tillräckligt specificerade och utan att kräva integritetsskyddade åtgärder som uppväger integritetsintrånget.
Definitioner
Läkemedelsverket anser att det bör införas en definition av begreppen personuppgifter och forskningshuvudman. Vidare anser Läkemedelsverket att definitionen av forskningsdatabas skulle bli tydligare om begreppet ”nationell infrastruktur” ersätts med den tydligare beskrivningen i författningskommentaren: ”som är avsedd att utgöra en nationell resurs för forskning och vara utformad så att den kan utgöra en tillgång för forskare i hela landet”.
Göteborgs universitet anser att begreppet forskningsdatabas kan behöva förtydligas, t.ex. framgår det enligt Göteborgs universitet inte om en forskningsdatabas innefattar enbart forskningsregister, dvs. data insamlat från forskare, eller om kombinationen av register med regelbunden uppdatering också ingår och huruvida uppgifterna i en databas kan vara identifierbara (med personnummer).
Etikprövningsnämnden i Linköping anser att den föreslagna definitionen av forskningsdatabas kan tolkas olika och kan behöva preciseras.
Administration
Ekonomihögskolan vid Lunds universitet tycker att det är ett utmärkt förslag att forskningsdatabaserna ska administreras av en avgränsad enhet inom universitetet.
Göteborgs universitet anför att det redan finns en behörighetsadministration som har sin bäring i personuppgiftslagens regler om
säkerhet vid behandling av personuppgifter. Hänvisning till detta redan kända regelverk bör enligt universitetet vara tillfyllest. Vidare anser Göteborgs universitet att relationen mellan Vetenskapsrådet och lärosätet bör förtydligas så att det framgår vem som ansvarar för vad. Göteborgs universitet vill öppna för möjligheten att administrationen kring forskningsdatabaserna läggs på Svensk Nationell Datatjänst (SND). När det gäller kravet på att forskningsdatabasen ska administreras i en särskild avgränsad enhet hos lärosätet menar universitetet att en forskningsdatabas torde få sin hemvist vid en institution vid lärosätet och att någon annan självklar organisatorisk enhet inte finns i dag.
Umeå universitet anser att förslaget att forskningsdatabasen ska administreras i en särskild avgränsad enhet kommer att bli resurskrävande för berörda lärosäten och bör således beaktas vid regeringens resursfördelning.
Sekretess
Datainspektionen ifrågasätter utredningens uppfattning att uppgifter som lämnas ut med förbehåll till privata aktörer åtnjuter samma skyddsnivå som uppgifter som lämnats ut till en aktör som omfattas av bestämmelserna i OSL. Enligt Datainspektionen behövs det därför göras en djupare analys av hur uppgifterna ska bibehålla samma skydd hos de privata aktörerna.
6.5. Avslutningsvis
I detta kapitel har vi gått igenom Registerforskningsutredningens förslag och vissa synpunkter från remissinstanserna. Registerforskningsutredningens förslag och reaktionerna på detta har utgjort ett viktigt kunskapsunderlag för vår utredning. Vi har formulerat några ansatser som vi har utgått från när vi, utifrån bl.a. detta underlag, har formulerat våra förslag. Dessa utgångspunkter redovisar vi i nästa kapitel (kap. 7).
7. Vår ansats
7.1. Inledning
I detta kapitel går vi igenom de principiella utgångspunkter som ligger till grund för våra bedömningar och förslag. Dessa bygger på våra direktiv och bakgrunden till dem samt de beskrivningar av forskningsverksamheten som vi fått under utredningens gång, t.ex. vid kontakter med lärosäten och myndigheter.
Kapitlet är disponerat på det sättet att vi inledningsvis i avsnitt 7.2 kort redovisar allmänna utgångspunkter, därefter de utgångspunkter vi har identifierat att forskarsamhället har, för att därefter gå igenom de politiska utgångspunkter som vi har kunnat utläsa.
Mot bakgrund av detta och de redogörelser som vi har fått del av i våra kontakter med forskare och ansvariga för databaser har vi funnit det ändamålsenligt att inta den utgångspunkten att forskningsdatabaser kan beskrivas ur ett livscykelperspektiv. Denna tänkta livscykel kan betraktas som en del av vår ansats och redovisas i avsnitt 7.3.
I avsnitt 7.4 beskriver vi ett antal modeller för forskningsdatabaser. Vi går också igenom olika typer av forskningsdatabaser inom medicin och samhällsvetenskap, också med livscykeln som utgångspunkt.
7.2. Principiella utgångspunkter
7.2.1. Inledande utgångspunkter
Det är nödvändigt för vårt samhälle att forskning bedrivs som ger upphov till ny kunskap. Registerbaserad forskning är en effektiv metod. Teknikutvecklingen har förenklat möjligheterna att sambearbeta och analysera uppgifter från olika källor och dra slutsatser från stora mängder data. Om forskningen använder sig av sådana
analysverktyg, ökar möjligheterna till resultat som leder till nytta för det gemensamma.
Våra direktiv utgår från att registerbaserad forskning är värdefull för vårt samhälle och måste kunna bedrivas på ett säkert och etiskt korrekt sätt. När det är fråga om forskning som förutsätter tillgång till personuppgifter finns ett starkt intresse av att skydda den enskilda individens personliga integritet. Det är självklart att regelverket måste utformas på det sättet att det tillgodoser den enskilda individens integritetsskydd så att allmänhetens förtroende för forskningen upprätthålls.
Vi anser att det är både nödvändigt och möjligt att utforma en funktionell reglering av forskningsdatabaser som både uppfyller forskningens behov och innefattar ett gott skydd för den personliga integriteten (se avsnitt 7.2.4). De lösningar vi föreslår när det gäller reglering av forskningsdatabaser ska alltså möjliggöra en ändamålsenlig och säker behandling av personuppgifter för forskningsändamål samtidigt som det finns ett skydd för den enskildes fri- och rättigheter.
Vi ska enligt våra direktiv föreslå de författningsförslag som behövs för en långsiktig reglering av forskningsdatabaser. För att upprätthålla allmänhetens förtroende för forskningen är det viktigt att ett sådant regelverk tillgodoser den enskilda individens integritetsskydd. Vi anser därför att vårt förslag till lösning måste omfatta bestämmelser om sekretess och tystnadsplikt. Ett enhetligt sekretesskydd i forskningsverksamhet skulle underlätta såväl utlämnande av uppgifter till forskningsdatabasen som utlämnande från databasen till olika forskningsprojekt.
7.2.2. Forskarsamhällets utgångspunkter
Vid våra möten med offentliga och privata lärosäten har det framkommit att det inom forskningen finns behov av uppgifter som samlats in såväl från enskilda individer som från andra källor. Andra källor kan vara registerförande myndigheter (t.ex. Socialstyrelsen och SCB) eller privata organisationer, t.ex. företag som samlar in uppgifter om läkemedelsanvändning eller om bilägares körning. Vidare har vi kunnat konstatera att det inom forskningen finns ett behov av att bygga upp och använda större forskningsdatabaser som kan delas av
flera, även framtida, forskningsprogram eller projekt. Dessutom har representanter från forskarsamhället samstämt uttryckt att det finns ett behov av en reglering som möjliggör ändamålsenlig behandling av personuppgifter för forskningsändamål. Därvid har påtalats att det i forskningsverksamhet finns en stor osäkerhet när det gäller hur dataskyddsförordningen och sekretesslagstiftningen ska tillämpas.
Från forskarrepresentanter har också följande framförts. Forskningshuvudmännen lägger avsevärda resurser på insamling och bearbetning av uppgifter för forskningsändamål. Det är resursslöseri att inte återanvända uppgifterna som har samlats in och iordningsställts. Ofta finns en fortsättning på ett projekt, eller så startas nya projekt som kan använda samma uppgifter.
I forskarsamhället är frågor som handlar om Open Access och Open Data högaktuella. Enligt Vetenskapsrådet ska forskning finansierad av rådet publiceras med Open Access, vilket innebär att forskningsresultaten blir fria att läsa och ladda ned från internet. Utöver att publicera resultat så brett som möjligt för att inspirera ny forskning handlar det om att öka möjligheten att återanvända uppgifter i olika databaser och utvinna ny kunskap. Dessutom krävs tydlig dokumentation av den forskning som är publicerad för att motverka forskningsfusk och för att göra forskningen reproducerbar. Modern forskning innebär ofta samarbete mellan offentliga och privata aktörer samt över nationsgränser, vilket också kräver öppenhet.
Vi har i kapitel 4 beskrivit forskningens behov av forskningsdatabaser och Vetenskapsrådets ekonomiska satsningar på sådana.
7.2.3. Politiska utgångspunkter
Allmänt
Det finns en politisk vilja att möjliggöra forskningsdatabaser med uppgifter som samlats in från enskilda individer eller från myndighetsregister som kan delas av flera forskningsprogram eller projekt. Denna vilja överensstämmer med de ovan beskrivna behoven. Regeringen har länge framhållit att de svenska registren med personuppgifter utgör en potential för världsledande forskning.1
1 Se nedan angivna propositioner.
Forskningspropositioner
År 2008 betonade regeringen i forskningspropositionen Ett lyft för
forskning och innovation bland annat följande. Möjligheter till världs-
ledande forskning i Sverige är på grund av unika individbaserade register mycket stor. Landet har en världsledande ställning vad gäller statistik om levnadsförhållanden och hälsa. Sveriges unika tillgång till register och databaser är en förklaring till denna framstående position och är något som behöver främjas i framtiden. Detta gör vårt land till en attraktiv forskningssamarbetspartner för andra länder. För att fullt ut kunna dra nytta av våra unika förutsättningar behövs en effektivare användning av befintliga register och databaser. Att bättre utnyttja dessa är viktigt, inte bara för forskning på området utan även för en framgångsrik och kunskapsbaserad utveckling av berörda verksamheter inom hälso- och sjukvård. Lagstiftning för samutnyttjande av registerdata och andra data kan behöva granskas och anpassas till nya organisatoriska och tekniska förutsättningar.2
År 2012 framhöll regeringen i forskningspropositionen Forskning
och innovation bland annat följande. För att kunna utnyttja den fulla
potentialen av registeruppgifter vid forskning uppkommer ofta behov av sambearbetning av data från olika register. Sambearbetning av registeruppgifter kan underlättas genom att det upprättas nya databasinfrastrukturer för bestämda, men relativt allmänt hållna forskningsändamål. Det finns t.ex. behov av att kunna sambearbeta personuppgifter från olika myndigheters register och att kunna skapa register för bestämda men relativt allmänt hållna forskningsändamål, dvs. register som är uppbyggda i syfte att insamlade personuppgifter ska kunna användas av forskare i flera olika forskningsprojekt inom ramen för det angivna ändamålet. 3
År 2016 underströk regeringen i forskningspropositionen Kunskap
i samverkan – för samhällets utmaningar och stärkt konkurrenskraft 4
bland annat följande. Det finns en stor potential för framgångsrik forskning i Sveriges sjukvårdssystem, biobanker och personuppgiftsregister. För att bättre kunna ta till vara denna potential behövs strategiska satsningar med långsiktiga perspektiv och stöd till nationella forskningsinfrastrukturer. Inom allt fler vetenskapsområden är
2 Regeringens proposition Ett lyft för forskning och innovation (prop. 2008/09:50), bl.a. s. 190 f. 3 Regeringens proposition Forskning och innovation (prop. 2012/13:30), s. 149. 4 Regeringens proposition Kunskap i samverkan – för samhällets utmaningar och stärkt kon-
kurrenskraft
(
prop. 2016/17:50), kapitel 9 och 10.
tillgång till ändamålsenlig och högkvalitativ forskningsinfrastruktur en förutsättning för att bedriva forskning av högsta vetenskapliga kvalitet. Området är därför av stor strategisk betydelse. Fortsatta investeringar i forskningsinfrastruktur är nödvändiga för att Sverige ska behålla sin position som ett framstående forsknings- och innovationsland.
Vidare hänvisade regeringen tillbaka till propositionen Ett lyft för
forskning och innovation från 2008 där det aviserades att universiteten
och högskolorna har fullt ansvar för infrastruktur och utrustning som används lokalt på lärosätet och anförde följande. Sådana utrustningar har i många fall potential att göras tillgängliga för fler aktörer än det egna lärosätet, exempelvis företag och andra forskargrupper.
Regeringen hänvisade också till att Vetenskapsrådet har i uppgift att finansiera forskningsinfrastruktur av nationellt intresse samt svenskt medlemskap i internationella forskningsinfrastrukturer inom alla vetenskapliga discipliner och betonar härvid att forskningsinfrastruktur av nationellt intresse kan vara såväl nationella som internationella forskningsinfrastrukturer.5 Regeringen hänvisade även till att den förstärkning av anslagen för forskning och utbildning på forskarnivå som regeringen beräknat i budgetpropositionen för 2017 bl.a. syftar till att stärka lärosätenas förutsättningar att göra strategiska prioriteringar och satsningar för forskningsinfrastrukturen på lång sikt och anförde följande. Tillförseln av forskningsmedel de senaste åren har dessutom varit omfattande, särskilt för de äldre universiteten. Därför borde lärosätena ha förutsättningar att göra sådana prioriteringar och satsningar. Under perioden 2017–2020 kommer flera stora internationella forskningsinfrastrukturer att färdigställas och uppgraderas. Återkommande utvärderingar och prioriteringar av såväl nya som befintliga svenska åtaganden blir därför viktiga för att hitta en balans mellan svensk medverkan i internationell forskningsinfrastruktur och satsningar på nationell infrastruktur.6
Vidare angavs bland annat att regeringen ser positivt på Vetenskapsrådets pågående arbete med att skapa processer för att långsiktigt prioritera infrastruktursatsningar. Det är en generell trend inom nästan alla vetenskapsområden att forskare både producerar och analyserar allt större datamängder. Genom att möjliggöra och stödja
5Prop. 2016/17:50 kapitel 9 och 10. 6Prop. 2016/17:50 kapitel 9 och 10.
forskning av hög vetenskaplig kvalitet bidrar forskningsinfrastrukturer till målsättningen att Sverige ska vara ett av världens främsta forskningsländer och en ledande kunskapsnation, där högkvalitativ forskning, högre utbildning och innovation leder till samhällets utveckling och välfärd, näringslivets konkurrenskraft och svarar mot samhällsutmaningarna vi står inför, både i Sverige och globalt.
Näringslivets medverkan i utveckling och konstruktion av forskningsinfrastrukturer bör bygga på den styrka som samverkan med universitet, högskolor och forskningsinstitut innebär. Det är viktigt att rådande styrdokument för forskningsinfrastrukturer inte utesluter forskare verksamma utanför universitet och högskolor. För att kunna möta samhällsutmaningarna måste styrdokumenten överensstämma med regeringens övergripande ambition om ökad tillgänglighet till forskningsinfrastrukturer
Budgetpropositionen för år 2018
I budgetpropositionen för år 2018, Utgiftsområde 16 Utbildning och
universitetsforskning, framgår att regeringen ger anslag till bland annat
registerbaserad forskning. I budgetpropositionen framhåller regeringen att Sverige har unika samlingar av biologiskt material i olika biobanker som tillsammans med välutvecklade persondataregister utgör en stor potential för forskning och innovation. Regeringen föreslår en satsning på en nationell forskningsinfrastruktur för insamlande och bevarande av biologiskt material från människor i biobanker. Regeringen föreslår vidare en satsning på tvärvetenskaplig och tvärsektoriell registerbaserad forskning, som kan bidra till att denna forskningsinfrastruktur utvecklas och utnyttjas effektivt. Vidare ökar regeringen anslagen till bland annat datadriven forskning (registerbaserad forskning, se kap. 3) och ökat nyttjande av forskningsinfrastrukturer. 7
7 Regeringens proposition Budgetpropositionen för 2018 (2017/18:1), s. 213 f. samt s. 325.
Regeringens digitaliseringsstrategi
Regeringen presenterade i maj 2017 en strategi8 för hur digitaliseringspolitiken ska bidra till konkurrenskraft, full sysselsättning samt ekonomiskt, socialt och miljömässigt hållbar utveckling. Strategin anger inriktningen för regeringens digitaliseringspolitik. Det övergripande målet är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. För att nå det övergripande målet sätts fem delmål upp om digital kompetens, digital trygghet, digital innovation, digital ledning och digital infrastruktur. Delmålen förklarar hur digitalisering ska kunna bidra till en positiv samhällsutveckling. En av ambitionerna i strategin är att öka fokus på digitalt driven innovation och forskning.
I strategidokumentet anförs att den möjlighet som digitalisering genom avancerade analysmetoder, maskininlärning och artificiell intelligens (AI) medför när det gäller hantering av stora datamängder behöver synliggöras och potentialen tillvaratas. Exempelvis genererar modern forskning i allt snabbare takt ökande datavolymer som kräver utveckling av ändamålsenlig digital infrastruktur så att kunskap snabbare kan omsättas i nya frågeställningar. För att ytterligare stärka möjligheterna till datadriven och digitalt driven innovation behöver forskning och innovation inom relevanta områden prioriteras och uppmuntras.
Följande anförs i digitaliseringsstrategin om användningen av befintliga register.
När exempelvis forskningsdata tillhandahålls i öppen och återanvändbar form ökar förutsättningarna för datadriven forskning och innovation. Sverige har stora konkurrensfördelar inom klinisk forskning genom sina omfattande personbaserade register och biobankssamlingar, där ett ökat utnyttjande av dessa datamängder för forskning är prioriterat och kan bidra till kunskap och lösningar rörande stora folkhälsofrågor.
Vår slutsats
Vi uppfattar att det är tydligt att regeringen genom sin politik vill stimulera registerbaserad forskning och att det finns en uttalad politisk vilja att forskningen ska dra nytta av den kunskap som går att utvinna från våra gemensamma register. Regeringen vill satsa på
8För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi (dnr N2017/03643/D).
registerbaserad forskning och ett ökat nyttjande av forskningsinfrastrukturer.
7.2.4. Vår ansats utifrån den politiska viljan och forskningens behov
I detta avsnitt redogör vi kortfattat för de ansatser som vi formulerat som utgångspunkter och stöd i utredningsarbetet och för våra val av förslag på lösningar.
Forskning är värdefullt för vårt samhälle
Vår utgångspunkt är att forskning är värdefullt för vårt samhälle och måste kunna bedrivas på ett lagenligt och etiskt korrekt sätt. Vi har i uppgift att föreslå en reglering som möjliggör en ändamålsenlig och säker behandling av personuppgifter i forskningsdatabaser. Regleringens ska både uppfylla forskningens behov och innefatta ett gott skydd för den personliga integriteten. Av de nämnda propositionerna och av digitaliseringsstrategin framgår att den politiska viljan i stort överensstämmer med det behov av att kunna använda ändamålsenliga forskningsmetoder som forskare uttrycker.
Inom forskningen hanteras i dag stora mängder personuppgifter. Det medför att det finns ett behov av tydliga regler om och metoder för hur dessa ska hanteras. Dataskyddsförordningen och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) är härvid av grundläggande betydelse. Vår ansats är att de principer och regler som gäller för behandling av personuppgifter enligt dataskyddsförordningen kommer att utgöra en bra grund för att skapa en ändamålsenlig reglering av forskningsdatabaser. En genomgång av de rättsliga förutsättningarna enligt dataskyddsförordningen görs i kapitel 5.
Initiativen ska komma från forskningsverksamheten
Vi har under utredningstiden kommit till slutsatsen att initiativen till forskningsdatabaser ska komma från forskningsverksamheten. Detta ställningstagande ligger i linje med forskningens frihet som har sitt
stöd i 2 kap. 18 § andra stycket regeringsformen och fastslås i 1 kap. 6 § högskolelagen (1992:1434). Enligt högskolelagen gäller som allmänna princip att forskningsproblem får väljas fritt, forskningsmetoder får fritt utvecklas och forskningsresultat får fritt publiceras. Vi menar att det är i forskningsverksamheten som behoven av uppgiftssamlingar i form av forskningsdatabaser bäst kan identifieras och formuleras.
Ett integritetsskydd i balans med andra grundläggande rättigheter och legitima samhällsintressen
Enligt 2 kap. 6 § andra stycket regeringsformen ska den enskilde skyddas mot betydande intrång i den personliga integriteten om intrånget sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna rättighet får enbart göras genom lag, och endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och dessa får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett begränsningarna. Vi bedömer således att en reglering av behandling av personuppgifter i en forskningsdatabas ska göras i lagform. Lagen måste uppfylla de krav som ställs i grundlagen.
I våra bedömningar och förslag går vi igenom dataskyddsprinciperna i relation till forskningens behov av att hantera stora mängder personuppgifter. I enlighet med vårt uppdrag ska den reglering vi föreslår – utöver att uppfylla forskningens behov – också infatta ett gott skydd för den personliga integriteten. Enligt vår mening föreligger det ett gott skydd för den personliga integriteten när denna rättighet står i balans med andra grundläggande rättigheter och legitima samhällsintressen.9
En avvägning måste därvid göras mellan forskningens behov av tillgång till personuppgifter och forskningspersonernas rätt till personlig integritet. Vi utgår från våra direktiv som anger att syftet med våra förslag i olika delar ska möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter. Vi beaktar även Registerforskningsutredningens direktiv om att integritetsaspekterna måste beaktas vid reglering av forskningsdatabaser och att förslag måste
9 Jfr Integritetskommitténs betänkande Så stärker vi den personliga integriteten (SOU 2017:52), s. 56 ff.
lämnas i syfte att göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.10
I kapitel 13 redogör vi för vår proportionalitetsbedömning.
Principen om ansvarsskyldighet
Vi utgår från principen om ansvarsskyldighet som uttrycks i dataskyddsförordningen. Det är den personuppgiftsansvariga forskningshuvudmannen som ska ta ansvar för en korrekt personuppgiftsbehandling. Utgångspunkten är att våra författningsförslag ska göra det lätt för de ansvariga att göra rätt. Genom att föreslå bestämmelser som tydliggör forskningshuvudmannens ansvar och vilka regler som ska gälla för forskningsdatabaser kan vi göra det lättare att behandla personuppgifter på ett lagenligt sätt.
Forskningshuvudmannen ska ansvara för ett riskbaserat informationssäkerhetsarbete
Vi noterar att informationssäkerhetsfrågor har betydelse för bland annat skyddet av den personliga integriteten men också är av stor vikt av andra säkerhetsskäl. Det är ett flertal statliga utredningar som har arbetat med samhällets informationssäkerhet. I betänkandena Infor-
mationssäkerhet för samhällsviktiga och digitala tjänster11 och betän-
kandet En ny säkerhetsskyddslag anges exempel på områden, verksamheter och funktioner som är av sådan karaktär att de skulle kunna omfattas av krav på skydd enligt lagen. Det framgår att hoten mot rikets säkerhet har förändrats och att främmande staters underrättelseverksamhet de senaste decennierna har breddats mot bland annat forskning och utveckling inom civila områden. Elektroniska angrepp i olika former betraktas som ett av de allvarligare hoten samtidigt som antalet it-angrepp ökar i omfattning och blir allt mera
10 Kommittédirektiv Förutsättningar för registerbaserad forskning (dir. 2013:8). 11 Utredningens om genomförandet av NIS-direktivet betänkande Informationssäkerhet för
samhällsviktiga och digitala tjänster (SOU 2017:36), s. 85.
riktade och sofistikerade.12 Dessa förhållanden beskrivs även i propositionen Ett modernt och stärkt skydd för Sveriges säkerhet – ny säker-
hetsskyddslag.13
Den som är ansvarig för en forskningsdatabas bör bedriva ett informationssäkerhetsarbete med hänsyn bland annat till den beskrivna hotbilden. Informationssäkerhetsarbete måste också bedrivas på grund av behovet av skydd för den personliga integriteten i allmänhet för den vars personuppgifter förekommer i en forskningsdatabas. I detta sammanhang kan också den obligatoriska it-incidentrapportering som gäller för statliga myndigheter nämnas.14
En forskningsdatabas kan innebära uppgiftsminimering
Vi har konstaterat att olika forskare och forskningsprojekt har ett behov av att dela personuppgifter med varandra. Vi finner att användningen av samma personuppgifter i olika forskningsprojekt i praktiken utgör en särskild form av uppgiftsminimering jämfört med att samma uppgifter samlas in och behandlas i flera olika uppgiftssamlingar. Genom att samla uppgifter i forskningsdatabaser går det också att undvika att samma personuppgifter lagras på många olika ställen. I fråga om stora forskningsdatabaser är det dessutom möjligt att uppgiftsminimera inom databasen vid varje användning av uppgifter i forskningsprojekt. På grund av forskningsdatabasens bredd kommer utlämnandet av uppgifter för enskilda projekt oftast att bestå av en mindre mängd uppgifter än de som omfattas av hela databasen.
Utlämnande från en forskningsdatabas genom fjärråtkomst kan reducera eller helt eliminera behovet av att kopiera uppgifter när de ska användas i enskilda forskningsprojekt. Med fjärråtkomst avses åtkomst till en it-miljö i vilken forskaren kan arbeta med data i en forskningsdatabas, utan att de enskilda uppgifterna behöver överföras till forskarens eget it-system. Det är en form av automatiserat utlämnande – inte direktåtkomst (se avsnitt 3.3.9). Denna metod för utlämnande kan ses som ett sätt att tillfredsställa dataskyddsförord-
12 Utredningens om säkerhetsskyddslagen betänkande En ny säkerhetsskyddslag (SOU 2015:25), s. 221. 13 Regeringens proposition Ett modernt och stärkt skydd för Sveriges säkerhet – ny säker-
hetsskyddslag (prop. 2017/18:89), s. 34.
14 Myndighetens för samhällsskydd och beredskap (MSB) föreskrifter (MSBFS 2016:2) om statliga myndigheters rapportering av it-incidenter.
ningens princip om uppgiftsminimering genom att en forskningsdatabas som används av flera forskningsprojekt huvudsakligen nås genom fjärråtkomst. SCB:s MONA-system kan här användas som förebild.
Offentliga och privata lärosäten ska likställas
Vår bedömning är att det finns såväl en politisk vilja som en reell nödvändighet utifrån hur forskning bedrivs i dag att så långt det är juridiskt möjligt likställa offentliga och privata forskningshuvudmän.
Mot bakgrund av de skyddsaspekter som motiverar en noggrann reglering av forskningsdatabaser är det enligt vår bedömning nödvändigt att en sådan reglering omfattar åtminstone vissa privata forskningshuvudmän. En reglering av forskningsdatabaser ska göra det möjligt att tillgängliggöra uppgifter för forskningsändamål samtidigt som den säkerställer ett enhetligt skydd för den personliga integriteten. En alltför avgränsad lagstiftning riskerar att lämna ett för stort område utanför den reglering som syftar till att höja säkerheten vid behandling av personuppgifter i forskningsdatabaser.
Privata lärosäten utför ofta uppgifter av samma karaktär som de offentligrättsliga. Exempel på detta är den trafiksäkerhetsforskning som bedrivs vid såväl Kungliga Tekniska Högskolan (KTH) som vid Chalmers tekniska högskola. Denna forskning kan medföra behandling av ett stort antal personuppgifter som i original insamlats av privata biltillverkare och som används av såväl KTH som Chalmers.
Vi anser att det är rimligt att forskare som är verksamma vid privata lärosäten kan behandla personuppgifter under samma villkor som de som är verksamma vid de statliga lärosätena. Vi utgår vidare ifrån att lagstiftaren inte har avsett att forskning och utbildning på de lärosäten som har examensrätt ska bedrivas under olika villkor. För de som studerar och forskar på olika lärosäten ska det således inte spela någon roll om lärosättet är offentligt eller privat.
Ansats internationella frågor
Forskningens internationella aspekter är av största betydelse. Lissabonfördraget15 stadgar att EU ska ha som mål att skapa ett europeiskt forskningsområde med fri rörlighet för forskare, vetenskapliga rön och teknik. Svårigheten att skapa enhetlighet vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av personuppgifter inom unionen, vilket utgör ett hinder mot att förverkliga detta mål.16 Flertalet forskningsfrågor har inga nationsgränser. Gemensam resursanvändning kan leda till en snabbare kunskapsutveckling.
Syftet med dataskyddsförordningen är att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom EU. Ett utbyte av uppgifter över gränserna är därför också i linje med dataskyddsförordningens grundläggande principer17 och gynnar det vetenskapliga arbetet.
7.3. En forskningsdatabas livscykel
7.3.1. Livscykelmodellen
Den tid under vilken en forskningsdatabas finns i en forskningshuvudmans verksamhet kan delas in i olika stadier, som beskriver hur databasen skapas, används och avvecklas. De insatser som forskningshuvudmannen måste göra är knutna till olika stadier under forskningsdatabasens bestånd. Vissa aktiviteter pågår löpande, medan andra är starkare knutna till en viss period. För att kunna beskriva vilka handlingsmönster som måste regleras, har vi funnit det användbart att utgå från den livscykel under vilken forskningsdatabasen existerar. Livscykelperspektivet kan användas till att analysera vilka aktiviteter som behöver regleras för att åstadkomma en säker behandling av personuppgifter i forskningsdatabasen. De olika stegen i livscykeln är inte strikt avgränsade från varandra och det finns aktiviteter som hör hemma i flera steg.
15 Artikel 179.1 i EUF-fördraget. 16 Skäl 9 i dataskyddsförordningen. 17 Art 1.3. i dataskyddsförordningen.
Våra överväganden och förslag till en reglering som utgår från en forskningsdatabas livscykel finns i kapitel 8. Beskrivningen av livscykelmodellen är avsedd att göra det lättare att förstå behovet av våra förslag till bestämmelser som både ska underlätta användningen av databaser i forskning och skydda enskildas personliga integritet.
Forskningsdatabasens livscykel redovisas i följande fem steg.
1. Skapandet av en forskningsdatabas
2. Insamlingen av personuppgifter
3. Förvaltning av forskningsdatabasen
4. Användningen av forskningsdatabasen
5. Avvecklingen av en forskningsdatabas
I det följande redovisas de olika stegen i forskningsdatabasens livscykel och exempel ges på de frågor som hör ihop med varje steg. Våra överväganden och förslag till reglering och andra åtgärder behandlas i senare kapitel.
7.3.2. Steg 1. Skapandet
Till steg ett hör frågor om vilka villkor som ska gälla för skapandet av en forskningsdatabas. Vidare hör frågan om ansvaret för forskningsdatabasen hit.
Beslut om att inrätta en forskningsdatabas kan fattas i olika situationer. Ett tänkbart scenario är att ett beslut om att inrätta en forskningsdatabas fattas innan insamling av uppgifter till denna påbörjas. Registerforskningsutredningen hade som utgångspunkt för sitt förslag att ett beslut om inrättandet av en forskningsdatabas skulle fattas av regeringen.18 Beslutet skulle fattas efter en framställning från Vetenskapsrådet, vars beredning var tänkt att garantera en vetenskaplig förankring av processen. Registerforskningsutredningen förutsatte att antalet forskningsdatabaser skulle vara begränsat till en nationell forskningsdatabas per forskningsfält. Vi beskriver Registerforskningsutredningens förslag i kapitel 6.
18 Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45).
Behovet att skapa en forskningsdatabas kan dock även uppstå genom att ett forskningsområde etableras inom vilket behovet av data kommer att bli alltmer gemensamt så att uppgifterna behöver delas mellan olika forskargrupper. Det kan i sådana fall uppstå en önskan om att kunna ta del av andras personuppgifter och att dela med sig av uppgifter som man själv samlat in samt att tillsammans iordningsställa dem på lämpligt sätt. I ett sådant fall har uppgifter samlats in redan innan ett beslut om att inrätta en forskningsdatabas har fattats. Utvecklingen sker ofta stegvis utan att gränsen mellan projektspecifika uppgiftssamlingar och forskningsdatabaser är tydlig.
7.3.3. Steg 2. Insamlingen
Till steg två hör frågor om hur personuppgifterna kan samlas in till forskningsdatabasen, frågor om forskningsdatabasen ska innehålla direkt identifierbara personuppgifter, och om vilka andra uppgifter som får samlas in samt om skyddet av uppgifterna m.m. I linje med de olika varianter som vi har beskrivit när det gäller skapande av en forskningsdatabas förekommer olika tillvägagångssätt när det gäller insamling av uppgifter.
Insamling av uppgifter till forskningsdatabaser kan förekomma med den uttalade huvudmålsättningen att använda uppgifterna i en sådan databas. Uppgifter kan samlas in till en forskningsdatabas på samma sätt som när uppgifter samlas in för enskilda projekt. Det kan handla om att samla in uppgifter direkt från enskilda personer eller från andra källor såsom myndighetsregister. Det kan också vara fråga om uppgifter insamlade från individer som kombineras med uppgifter om samma personer från exempelvis populationstäckande administrativa register.
För att underlätta insamlingen av uppgifter behöver forskningshuvudmannen kunna visa att uppgifterna hanteras på ett säkert sätt. Det behövs alltså regler till skydd för de uppgifter som ska behandlas i forskningsdatabasen. Därför hör frågor om inre sekretess19 och forskningssekretess m.m. också till detta steg.
19 Bestämmelser om inre sekretess reglerar hur den interna elektroniska åtkomsten till personuppgifter får användas. I kapitel 5 och avsnitt 8.10. 5 redogör vi för inre sekretess.
7.3.4. Steg 3. Förvaltningen
Det tredje steget innefattar alla åtgärder som krävs för att sköta forskningsdatabasen så att den ska kunna användas på ett ändamålsenligt, korrekt och säkert sätt. Forskningshuvudmannens organisatoriska åtgärder hör till detta steg. Förvaltningen av forskningsdatabasen omfattar också en säker och ändamålsenlig behandling av personuppgifter. Det handlar om rutiner för hur uppgifterna får hanteras, och av vem med beaktande av sekretess, tystnadsplikt och informationssäkerhet.
Det är också en grundläggande förvaltningsuppgift att bearbeta uppgifterna i registret så att de kan användas för forskning. Rättning av de uppgifter som kommer från registerhållaren måste ofta genomföras. Det kan handla om att felaktiga eller sinsemellan inkonsistenta uppgifter, eller om att ett felaktigt eller olämpligt urval av variabler eller observationer (personer) levererats från registerhållaren i förhållande till vad forskaren beställt. Ofta krävs också en konvertering och anpassning av uppgifterna till former som är anpassade för forskningsdatabasens forskningsområde.
Även uppföljning och utvärdering av verksamheten är sådana aktiviteter som hör samman med steg tre.
Den som ansvarar för en forskningsdatabas kan också ha anledning att revidera de ändamål som gäller för forskningsdatabasen eller att ompröva behovet av att behandla uppgifter i den aktuella forskningsdatabasen överhuvudtaget.
7.3.5. Steg 4. Användningen
Steg fyra handlar om användningen av uppgifterna i en forskningsdatabas. Hit hör frågor utlämnande av uppgifter från forskningsdatabasen för specifika forskningsprojekt. Till denna punkt hör frågor om vilken typ av åtkomst som ska finnas till uppgifterna och vilka villkor som ska gälla för utlämnandet. Det finns alltså sekretessfrågor kopplade även till detta steg i livscykeln.
7.3.6. Steg 5. Avvecklingen
Forskningsdatabaser förväntas ha en livslängd som överstiger andra uppgiftssamlingar för forskning. På grund av den vetenskapliga utvecklingen, förändringar i tillgången på uppgifter eller förändringar i regleringen av uppgifternas tillgänglighet för forskning kan det uppstå en situation där det inte längre är motiverat att behålla forskningsdatabasen. Till det femte steget hör därför de frågor som behöver hanteras när en forskningsdatabas ska avvecklas, såsom frågor om villkor för avveckling och arkivering.
7.4. Forskningsdatabaser som bör omfattas av våra förslag
7.4.1. Olika typer av forskningsdatabaser
Forskningsdatabaser med uppgifter direkt insamlade från enskilda
En forskningsdatabas kan byggas upp med hjälp av uppgifter som är direkt insamlade från de registrerade för ett tydligt definierat forskningsområde.
Den svenska regeringen medverkar t.ex. genom Vetenskapsrådet i en frågeundersökning med syfte att samla in analysera och sprida kunskap om sociala förhållanden i Europa, inklusive attityder, värderingar, uppfattningar och beteenden (ESS).20 Forskningsdatabasen består av en serie urvalsundersökningar där direkta identifierade uppgifter inte behålls efter insamlingsskedet och där ingen uppföljning av individernas utveckling görs över tid. ESS uppgifter ska enligt dess grundprinciper fritt tillgängliggöras för forskare.
Databaser av detta slag kan också ha syftet att följa personer över tid, så att direkt identifierbara personuppgifter är nödvändiga för såväl återkommande insamling som för återkommande analys. Ett exempel på denna typ av insamling är den europeiska undersökningen av hälsa,
20 http://www.europeansocialsurvey.org/
åldrande och pensionering (SHARE).21 Uppgifter från undersökningen är fritt tillgängliga för forskare över hela världen med beaktande av tillämplig dataskyddslagstiftning.
Båda dessa exempel utgör officiellt reglerade europeiska forskningsinfrastrukturer (ERIC)22 med uppgifter insamlade från personer i flera europeiska länder. De är tillgängliga för forskare över hela världen. Man kan också tänka sig att denna typ av forskningsdatabaser täcker ett mer begränsat område, exempelvis Sverige,23 eller ett större geografiskt område (även utomeuropeiska länder).
Forskningsdatabaser med uppgifter inhämtade från myndigheter
En vanlig modell för forskningsdatabaser är sådana som består av enbart sekundärt insamlade uppgifter. Det handlar om uppgifter som finns tillgängliga på grund av andra ändamål än forskning, men som under vissa betingelser får användas också för forskningsändamål.
Den enklaste formen av denna modell är när alla uppgifter samlats in från en och samma myndighet, vanligen genom sammanläggning av uppgifter från flera register inom myndigheten eller är hämtade från en sådan sammanlagd databas som redan finns där. I regel utgörs uppgifterna av longitudinella data, dvs. uppgifter om personer som härrör från flera tidpunkter och behöver uppdateras med nya uppgifter. Ett typiskt exempel på detta kan vara forskningens användning av Registret över totalbefolkningen (RTB) i demografisk forskning. Den demografiska forskningen är ofta komparativ, dvs. den jämför befolkningsutvecklingen i olika länder. Man behöver således ofta använda uppgifter från flera statistikmyndigheter. Ett annat exempel kan vara de vid myndigheterna för analysändamål sammanställda databaserna Longitudinell integrationsdatabas för sjukförsäkrings- och arbetsmarknadsstudier (LISA) vid SCB eller Mikrodata för analys av socialförsäkringen (MiDAS) vid Försäkringskassan.
Det är som regel nödvändigt att studera uppgifter longitudinellt, antingen genom att följa förändringar av en variabel över tid (som arbetsmarknadsstatus, sjukskrivning) eller att undersöka hur värdet
21 Survey of Health, Ageing and Retirement (SHARE), http://www.share-project.org/ 22 https://ec.europa.eu/research/infrastructures/index.cfm?pg=eric 23 Ett sådant exempel kan vara Levnadsnivåundersökningen, http://www.sofi.su.se/forskning/tre-forskningsavdelningar/lnu
på en persons bakgrund (t.ex. exponering för risk) påverkar värdet på en annan variabel flera år senare (såsom förekomst av viss sjukdom). Ibland kan detta göras genom att samla in alla uppgifter i efterhand, men ofta krävs att uppgifterna uppdateras löpande under forskningsdatabasens livscykel. Ett exempel på denna typ av forskningsdatabas utgörs av den (för närvarande i särskild ordning reglerade) databasen vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.24 Ett annat exempel utgörs av de uppgifter som används för mikrosimulering.25
En annan form av registerbaserad forskning är att kombinera uppgifter från flera olika myndigheter. Det kan vara fråga om att jämföra inkomstuppgifter från SCB med uppgifter från Socialstyrelsens hälsodataregister och/eller uppgifter om sjukvård från hälso- och sjukvårdens kvalitetsregister.
Kombinerade forskningsdatabaser
En annan vanlig modell för forskningsdatabaser är den där uppgifter som samlats in direkt från den registrerade för forskningsändamål kombineras med uppgifter som tas från uppgiftssamlingar med annat ändamål insamlade vid annat tillfälle. Det kan handla om att komplettera en direkt frågeundersökning, en provtagning eller en medicinsk undersökning för forskningsändamål med uppgifter från sociala register eller tidigare insamlade biologiska uppgifter från hälso- och sjukvårdens biobanker. Det kan också vara fråga om att komplettera sådant material som samlats in från en myndighet (exempelvis förekomst av sjukdomsdiagnos eller riskexponering) med direkt insamlade uppgifter (exempelvis frågor, prover, eller kompletterande uppgifter från patientjournaler).
Ibland kan en sådan insamling innebära att enbart en mindre del av det ursprungliga materialet behålls i forskningsdatabasen. Det kan vara fråga om att söka efter uppgifter i register som täcker hela befolkningen för en grupp personer som finns i en mindre uppgiftssamling, t.ex. en frågeundersökning på slumpmässigt utvalda personer eller ett patientmaterial från en lokal eller regional vårdgivare. Det kan också
24 Se SOU 2014:45 s. 355 f. 25 Se exempelvis Reglering av mikrosimuleringsmodellen Fasit (Ds 2018:2, Finansdepartementet).
vara fråga om att utifrån ett brett definierat material i ett befolkningsbaserat register (t.ex. patientregistret) söka efter uppgifter i ett begränsat register (t.ex. en biobank).
Ett välkänt exempel på en kombinerad forskningsdatabas av ovanstående slag är LifeGene, där biologiska prover och uppgifter om levnadsvillkor samlas in för att i ett senare skede kombineras med hälsouppföljning i syfte att kartlägga inverkan från arv och miljö på hälsan på lång sikt. Denna s.k. epigenetiska forskning är på stark frammarsch inom den epidemiologiska forskningen där man på senare år upptäckt att genetiska förutsättningar och social miljö samverkar på lång sikt. Denna forskning har inneburit ett ökat behov av att bygga upp, förvalta och uppdatera långsiktiga forskningsdatabaser.
Forskningsdatabaser som omfattades av Registerforskningsutredningens förslag
Registerforskningsutredningens förslag till reglering av forskningsdatabaser avsåg kombinerade forskningsdatabaser. De skulle alltså kunna bestå såväl av uppgifter direkt insamlade från enskilda och av uppgifter från myndighetsregister.
Enligt förslaget till reglering skulle forskningsdatabaser kunna skapas vid statliga universitet och högskolor samt vid andra statliga myndigheter som har i uppdrag att bedriva forskning. Det skulle således inte vara tillåtet för privata lärosäten eller landsting och kommuner att ansvara för forskningsdatabaser.
Vetenskapsrådet skulle ha i uppdrag att föreslå för regeringen vilka forskningsdatabaser som ska få finnas. Vetenskapsrådet skulle träffa avtal med värduniversiteten om finansiering, organisation och tillgänglighet. Det skulle finnas ett tydligt behov av en databas inom det aktuella området och det skulle ställas höga krav på kvalitet och säkerhet hos den verksamhet som ska hålla databasen.
Tanken med förslaget var att forskningsdatabasen skulle bevaras under en längre tid och möjliggöra longitudinella studier av samma personer över tid eller jämförande studier av likvärdiga urval av personer över tid. Utgångspunkten var att det endast skulle finnas en forskningsdatabas för varje större forskningsfält i Sverige.
7.4.2. Forskningsdatabaser som vi avser att reglera
Vi kommer i vårt förslagskapitel (8) lämna förslag till en rättslig reglering av forskningsdatabaser.
Det existerar redan flera olika sorters forskningsdatabaser (se ovan och i kapitel 4) hos flera olika typer av forskningshuvudmän. En reglering som bara omfattar ett fåtal centralt utpekade forskningsfält och ett mindre antal forskningshuvudmän skulle inte vara tillräcklig för att tillgodose en säker hantering av personuppgifter i forskningsdatabaser. Vår utgångspunkt är därför att föreslå en reglering som omfattar så många databaser som möjligt.
Vi finner också att forskningens frihet innebär att initiativet till att skapa en forskningsdatabas bör komma från forskningshuvudmännen och inte från regeringen. Vi konstaterar att det är i forskningsverksamheten som behoven av uppgiftssamlingar bäst kan identifieras och formuleras.
8. Förslag till reglering av forskningsdatabaser
8.1. Inledning
I förevarande kapitel redogör vi för utredningens förslag till reglering av personuppgiftsbehandling i forskningsdatabaser. Detta innefattar ett förslag till en ny lag om forskningsdatabaser och förslag till ändringar i lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen), i offentlighets- och sekretesslagen (2009:400), förkortad OSL, och i förordningen (2009:975) med instruktion för Vetenskapsrådet.
Från och med avsnitt 8.8 och till och med avsnitt 8.12 utgår utredningens presentation av förslagen från en forskningsdatabas livscykel. Livscykelmodellen beskrivs i kapitel 7.
8.2. Personuppgiftsbehandling i forskningsdatabaser
Vår bedömning: I vårt förslag till reglering av forskningsdatabaser
måste en forskningsdatabas godkännas vid etikprövning. Genom detta krav etableras en i nationell rätt fastställd rättslig grund för forskningshuvudmännens behandling av personuppgifter i en forskningsdatabas.
Etikprövning enligt etikprövningslagen är även en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter för andra forskningsändamål än klinisk läkemedelsprövning enligt dataskyddsförordningen.1
1 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av
Etikprövning är också en sådan i svensk rätt fastställd lämplig skyddsåtgärd som krävs för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt dataskyddsförordningen.
8.2.1. Inledning
I vårt delbetänkande har vi ingående redogjort för de rättsliga förutsättningarna för personuppgiftsbehandling för forskningsändamål och hur förutsättningarna kommer att ändras när dataskyddsförordningen börjar tillämpas.
I kapitel 5 i detta slutbetänkande har vi åter gått igenom på vilket sätt dataskyddsförordningen reglerar behandling av personuppgifter för forskningsändamål i forskningsdatabaser eller på annat sätt. Här beskriver vi enbart kortfattat vilka rättsliga grunder som olika forskningshuvudmän kan tillämpa vid behandling av personuppgifter och vad som i övrigt krävs för att behandlingen av personuppgifter i en forskningsdatabas ska vara förenlig med dataskyddsförordningen.
8.2.2. Förenlighet med dataskyddsförordningen
För att det ska vara tillåtet att behandla personuppgifter i en forskningsdatabas måste forskningshuvudmannen bedöma:
- om det finns någon rättslig grund för behandlingen (artikel 6),
- i de fall den rättsliga grunden är sådan som avses i artikel 6.1 c eller e, om den är fastställd i nationell rätt eller i unionsrätten (artikel 6.3),
- i de fall behandlingen omfattar känsliga personuppgifter
(artikel 9.1), om något av undantagen mot förbudet att behandla känsliga personuppgifter kan vara tillämpligt (artikel 9.2), och om det i sådana fall finns stöd för undantagen i unionsrätten eller nationell rätt,
sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen.
- i de fall behandlingen omfattar uppgifter om lagöverträdelser
(artikel 10), om behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt,
- om behandlingen omfattas av lämpliga skyddsåtgärder (artikel 89.1), och
- om de grundläggande principerna för behandling är uppfyllda
(artikel 5).
8.2.3. Rättslig grund
Vår bedömning av vilka rättsliga grunder som de olika forskningshuvudmännen kan tillämpa framgår kortfattat i det följande.2 Vi utgår i våra bedömningar från att uppbyggnaden av en forskningsdatabas omfattar personuppgiftsbehandling för forskningsändamål (se vidare avsnitt 3.3.1). Behandling av personuppgifter i en forskningsdatabas utgör således en fas i själva forskningsprocessen.
Uppgiften att forska är en uppgift av allmänt intresse i dataskyddsförordningens mening.3 För att den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse, ska vara tillämplig och kunna åberopas krävs dock enligt artikel 6.3 att uppgiften att forska är fastställd i enlighet med unionsrätten eller den nationella rätten. Förutsättningarna för detta varierar beroende på vilken typ av rättssubjekt som är forskningshuvudman.
Statliga universitet och högskolor
För universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt. I 2 kap. 18 § andra stycket regeringsformen (RF) fastslås att forskningens frihet är skyddad enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434) reglerar verksamhet vid universitet och högskolor under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagen anges forskning som en huvuduppgift.
2 Jfr Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för
forskningsändamål (Dnr U2018/01639/F).
3 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50), s. 128, jfr även Utbildningsdepartementets utkast till lagrådsremiss
Behandling av personuppgifter för forskningsändamål (Dnr U2018/01639/F).
I 1 kap. 3 a § samma lag ställs det krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten. 1 kap. 6 § regleras sedan forskningens frihet genom att det anges allmänna principer för den delen av högskolornas verksamhet. För forskningen ska gälla att forskningsproblem får fritt väljas, forskningsmetoder får fritt utvecklas och forskningsresultat får fritt publiceras. Vår bedömning är därför att för universitet och högskolor med staten som huvudman är forskningsuppgiften fastställd i svensk lag och de kan därför behandla personuppgifter i en forskningsdatabas som är nödvändiga för att utföra forskningen med stöd av artikel 6.1 e.
Andra statliga myndigheter
Utöver universitet och högskolor behandlar många andra statliga myndigheter personuppgifter för forskningsändamål. Dessa myndigheters möjligheter att behandla personuppgifter för forskningsändamål med stöd av artikel 6.1 e är beroende av vilket uppdrag och vilka uppgifter som har ålagts respektive myndighet i gällande rätt. Flera myndigheter har en förordningsreglerad uppgift som omfattar forskning, se t.ex. 2 § förordningen (2007:1170) med instruktion för Brottsförebyggande rådet eller 4 § förordningen (2013:1020) med instruktion för Folkhälsomyndigheten. Uppgiften att forska kan även regleras på annat sätt, t.ex. direkt i lag eller genom särskilda regeringsbeslut. Om uppgiften att forska är tydligt fastställd på detta sätt för en myndighet har myndigheten möjlighet att grunda behandling av personuppgifter som är nödvändig för att skapa en forskningsdatabas på artikel 6.1 e.
Statliga forskningsinstitut drivs ofta i myndighetsform, vilket medför att samma resonemang kan föras för dem som för myndigheter i allmänhet. Exempel på sådana forskningsinstitut är Institutet för rymdfysik och Totalförsvarets forskningsinstitut. Det finns dock även forskningsinstitut som drivs i aktiebolagsform med staten som delägare helt eller delvis. RISE (Research Institutes of Sweden) är ett exempel på nätverk av teknikinriktade forskningsinstitut som samverkar med akademi, näringsliv och samhälle. För sådana organ är det bedömningarna beträffande privaträttsliga forskningsutförare som är relevanta (se nedan).
Kommunala myndigheter
Verksamheten vid kommuner och landsting är reglerad i RF, kommunallagen (2017:725) och speciallagstiftning för t.ex. skola, miljö och vård- och omsorg. När det gäller kommunernas verksamhet anges det i 14 kap. 2 § RF att kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Kommunallagen reglerar såväl kommuner som landsting på en övergripande nivå. Där anges att kommuner och landsting får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar.
Forskning och innovation är en viktig del av många kommuners utvecklingsarbete. Nämnas kan att enligt hälso- och sjukvårdslagen (2017:30) ska landsting och kommuner medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete.
När det gäller kommuner och landsting kan forskningsuppgiften vara fastställd genom beslut om verksamheten i kommunen som fattats av fullmäktige i enlighet med bestämmelserna i kommunallagen. I sådana beslut bör forskningsuppgiften anges tydligt så att forskningsuppgiften därigenom kan anses vara fastställd i nationell rätt. Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behandling av personuppgifter i en forskningsdatabas som är nödvändig för att utföra forskningen.
Privaträttsliga forskningshuvudmän
En privaträttslig forskningshuvudmans forskningsuppgift är fastställd i enlighet med nationell rätt om det krävs tillstånd för forskningsprojektet enligt t.ex. etikprövningslagen och huvudmannen har fått de tillstånd som krävs. Vårt förslag till reglering av forskningsdatabaser innebär att forskningsdatabasen måste vara etikgodkänd. En privat forskningshuvudman får därigenom sin uppgift att behandla personuppgifter i en forskningsdatabas fastställd i enlighet med svensk rätt om tillstånd har meddelats i enlighet med etikprövningslagen.
Ett beslut enligt etikprövningslagen och stöd av sådana andra författningar som nämns i detta avsnitt ger enligt vår uppfattning en
sådan grund för behandlingen som är fastställd i enlighet med nationell rätt enligt artikel 6.3 dataskyddsförordningen. Detta innebär att en privat forskningshuvudman som avser att skapa en forskningsdatabas som kräver godkännande enligt etikprövningslagen kan åberopa den rättsliga grunden allmänt intresse för den personuppgiftsbehandling som är nödvändig för projektet eller forskningsdatabasen, om forskningen godkänts av Etikprövningsmyndigheten4(se vidare avsnitt 8.8.2 för vår bedömning av vilka privata forskningshuvudmän som ska kunna få ansvara för en forskningsdatabas). Detta gäller på motsvarande sätt även för offentliga forskningshuvudmän, men som redovisats ovan har dessa i regel möjlighet att åberopa den rättsliga grunden allmänt intresse redan mot bakgrund av en i nationell rätt fastställd uppgift att forska.
8.2.4. Känsliga personuppgifter
Behandlingar av personuppgifter i en forskningsdatabas kommer ofta att omfatta känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. Om så är fallet måste forskningshuvudmannen ta ställning till om något av undantagen mot förbudet att behandla känsliga personuppgifter kan vara tillämpligt enligt artikel 9.2.
De undantag som enligt vår bedömning kan komma i fråga, är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g), eller av hänsyn till vetenskapliga eller historiska forskningsändamål (artikel 9.2 j). Det är därför nödvändigt att göra en bedömning av om kraven i artikel 9.2 g eller 9.2 j är uppfyllda. Kraven innefattar förutom de beskrivna ändamålen att det finns stöd för undantagen i unionsrätten eller nationell rätt. Vi har tidigare gjort bedömningen att vid personuppgiftsbehandling för forskningsändamål ska undantaget i artikel 9.2 j användas,5 och vi ser inte något skäl att frångå den bedömningen vid forskningsverksamhet i form av forskningsdatabaser.
Forskning som innefattar känsliga personuppgifter kräver enligt gällande rätt – oavsett om forskningshuvudmannen är en statlig myndighet eller en fysisk eller juridisk person – ett godkännande enligt 6 § etikprövningslagen. Av dess sista stycke framgår även att ett
4 Etikprövningsnämnderna ersätts den 1 januari 2019 av Etikprövningsmyndigheten, se avsnitt 5.4.1. 5SOU 2017:50 s. 191.
godkännande enligt den lagen inte medför att forskningen får utföras om den strider mot någon annan författning. Det är alltså för ett forskningsprojekt inte alltid tillräckligt med ett beslut om godkännande enligt etikprövningslagen utan det kan även krävas tillstånd av myndigheter enligt andra författningar, exempelvis krävs tillstånd av Läkemedelsverket vid kliniska läkemedelsprövningar.
Skyddsåtgärder
Behandling av känsliga personuppgifter för forskningsändamål måste omfattas av lämpliga och särskilda åtgärder som är fastställda i unionsrätt eller nationell rätt (artikel 9.2 j). Behandling av personuppgifter om lagöverträdelser för forskningsändamål som utförs av andra än myndigheter får utföras när behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder måste vara fastställda (artikel 10).
Dataskyddsförordningen preciserar inte närmare hur de nationella skyddsåtgärderna ska utformas för att anses vara lämpliga och särskilda. Av dataskyddsförordningen framgår att lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter måste vidtas av personuppgiftsansvariga och personuppgiftsbiträden (artiklarna 24 och 32).
Enligt etikprövningslagen får forskning bara godkännas om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov och forskning får bara godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Forskning får vidare inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser får
bara godkännas om den är nödvändig för att forskningen ska kunna utföras och forskning får bara godkännas om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs (7–11 §§ etikprövningslagen). Vi föreslår i detta kapitel att etikprövningslagen ska utvidgas så att lagen även ska tillämpas på forskningsdatabaser.
Vi har tidigare bedömt att etikprövning uppfyller förordningens krav på skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål.6 En etikprövning enligt etikprövningslagen uppfyller enligt vår uppfattning dataskyddsförordningens krav på en objektiv bedömning av de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter även vid sådan forskning som utgörs av forskningsdatabaser. Vi bedömer således att etikprövning av forskning i form av forskningsdatabaser är en sådan i nationell rätt fastställd lämplig och särskild åtgärd som artikel 9.2 j i dataskyddsförordningen kräver vid nödvändig behandling av känsliga personuppgifter för forskningsändamål.
8.2.5. Grundläggande principer för behandling
All personuppgiftsbehandling måste, utöver kraven i artikel 6, 9 och 10, som vi redogjort för ovan, också uppfylla de grundläggande principerna som framgår av artikel 5. Forskningshuvudmännen ansvarar för att behandlingen i en forskningsdatabas uppfyller även dessa dataskyddsprinciper. I avsnitt 5.3.5. har vi redogjort för dessa krav.
8.3. En lag om forskningsdatabaser
Vårt förslag: Villkoren för att behandla personuppgifter i forsk-
ningsdatabaser ska vara reglerade i lag. Bestämmelserna ska finnas i en ny lag om forskningsdatabaser. Ytterligare skyddsbestämmelser utöver de som ska finnas i den nya lagen ska införas i etikprövningslagen och i offentlighets- och sekretesslagen.
När den nya lagen träder i kraft ska lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa upphöra att gälla.
6SOU 2017:50 s. 332 ff.
Ett av våra uppdrag är att föreslå en långsiktig reglering av forskningsdatabaser. Vi ska föreslå ändamålsenliga bestämmelser om hur personuppgifter får behandlas i sådana databaser. Regleringen ska vara ändamålsenlig på så vis att den ger goda förutsättningar för forskningen att använda personuppgifter för att skapa ny kunskap. En sådan reglering måste samtidigt säkerställa den enskildes fri- och rättigheter. Vårt förslag måste innefatta sådana skyddsåtgärder att den enskildes integritet skyddas på ett godtagbart sätt vid behandlingen av personuppgifter i forskningsdatabasen.
I 2 kap. regeringsformen, förkortad RF, finns bestämmelser som ger ett grundläggande skydd för den personliga integriteten. Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket). Detta integritetsskydd får begränsas genom lag (2 kap. 20 §). Begränsningar i skyddet av den personliga integriteten får enligt 2 kap. 21 § RF göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och inte heller gå utöver vad som är nödvändigt med hänsyn till det ändamål som föranlett den. I den typ av uppgiftssamling som en forskningsdatabas utgör kommer personuppgifter som avser ett stort antal människor att behandlas under lång tid. Det kan också handla om särskilt integritetskänsliga personuppgifter såsom uppgifter om sjukdomar och hälsotillstånd samt uppgifter om lagöverträdelser. Vi anser att forskningsdatabaser ska regleras i lag.
Vi föreslog i vårt delbetänkande7 en ny lag om reglering av personuppgiftsbehandling för forskningsändamål. Lagen skulle komplettera dataskyddsförordningen vid personuppgiftsbehandling för forskningsändamål. Syftet med förslaget var att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Utbildningsdepartementet har i april 2018 lämnat ett utkast till en lagrådsremiss.8 Departementet föreslår dock inte någon forskningsdatalag. Enligt departementet ger dataskyddsförordningen och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) tillsammans
7SOU 2017:50. 8 Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för
forskningsändamål (Dnr U2018/01639/F).
med etikprövningslagen ett tillräckligt stöd för behandling av personuppgifter för forskningsändamål.
Mot denna bakgrund föreslår Forskningsdatautredningen att de nya bestämmelserna som gör det tillåtet med personuppgiftsbehandling i forskningsdatabaser ska finnas i en egen lag – lagen om forskningsdatabaser.
Lagen innebär en generell reglering av forskningsdatabaser. Det hindrar i och för sig inte att vissa forskningsdatabaser kan ha en specialreglering. Det är upp till lagstiftaren att bedöma om en forskningsdatabas är av en sådan karaktär att det av olika skäl vore lämpligare att reglera den i en särskild lag. Vår bedömning är dock att lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen) ska upphöra att gälla när lagen om forskningsdatabaser träder i kraft. Den eller de forskningsdatabaser som har byggts upp med stöd av denna lag kan lämpligen styras av vårt förslag till generell lagstiftning.
LifeGene-lagen tillkom för att ge ett tydligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt. Lagens giltighetstid tidsbegränsades, först i avvaktan på beredningen av den översyn av förutsättningarna för registerbaserad forskning som gjordes av Registerforskningsutredningen,9 sedan i avvaktan på vår redovisning i detta betänkande. Lagens giltighetstid har förlängts, senaste gången till och med den 31 december 2020.10 Vårt förslag till lag om forskningsdatabaser innefattar en sådan reglering av forskningsdatabaser som kan ersätta den tillfälliga LifeGene-lagen.
8.4. Lagens innehåll och syfte
Vårt förslag: Lagen ska innehålla bestämmelser om behandling av
personuppgifter i en forskningsdatabas. Lagen ska även innehålla en bestämmelse om tystnadsplikt hos privata forskningshuvudmän.
9 Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45). 10 Lag (2017:1102) om fortsatt giltighet av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa
Syftet med lagen är att möjliggöra behandling av personuppgifter i en forskningsdatabas. Syftet är också att säkerställa att de registrerades personliga integritet skyddas vid denna behandling.
Vi föreslår att lagen om forskningsdatabaser (forskningsdatabaslagen) ska inledas med en bestämmelse som beskriver vilken typ av regler som ska finnas i lagen. Lagen ska innehålla bestämmelser om behandling av personuppgifter i forskningsdatabaser. Därutöver kommer lagen att innehålla andra bestämmelser som behövs för att lagen ska fungera författningsmässigt, t.ex. bestämmelser om förhållande till annan lagstiftning och om tillämpningsområdet. I den inledande bestämmelsen ska också anges att det i lagen finns en bestämmelse om tystnadsplikt hos enskilda (privata) forskningshuvudmän.
För att behandling av personuppgifter i en forskningsdatabas ska kunna göras på ett lagligt sätt krävs en reglering som tydligt beskriver under vilka villkor det är tillåtet och vilka skyddsåtgärder som krävs (jämför avsnitt 8.2.3 om rättslig grund). Syftet med lagen är således att möjliggöra en sådan behandling.
Behandling av personuppgifter i en forskningsdatabas innebär ofta att stora mängder uppgifter om enskilda samlas in, bearbetas och används för forskningsändamål. Det är inte ovanligt att forskare kan ha behov av att behandla uppgifter som är närgångna för individen. Det kan t.ex. handla om uppgifter om politisk tillhörighet, sexuell läggning, relationer till andra m.m. För att nå ny kunskap om t.ex. sjukdomar och hur de bäst kan behandlas kan forskningen behöva uppgifter ur patientjournaler, hälsodataregister och kvalitetsregister. Det rör sig i sådana fall om uppgifter som är kategoriserade som känsliga enligt dataskyddsförordningen. Det kan också handla om forskningsprojekt där forskningen inriktar sig på att samla kunskap om olika brott m.m. I dessa fall måste forskaren behandla personuppgifter om lagöverträdelser. Även denna kategori omfattas av särskilda regler i dataskyddsförordningen. Oavsett om det rör sig om sådana personuppgifter eller andra måste behandlingen utföras med respekt för de registrerades integritet. Syftet med forskningsdatabaslagen är att möjliggöra för forskningen ändamålsenlig behandling samtidigt som de registrerades integritet skyddas.
Forskningsdatautredningen anser att det är möjligt att skapa en långsiktig reglering av forskningsdatabaser som innehåller sådana krav på skyddsåtgärder att den enskildes integritet får ett gott skydd. Vi
menar att det inte är en fråga om antingen personlig integritet eller god tillgång till personuppgifter för forskningen, utan snarare om hur integritetsskyddet bör utformas för att ge så goda förutsättningar som möjligt att bedriva en forskningsverksamhet av hög kvalitet. Det handlar därför enligt utredningens uppfattning om att konstruera och upprätthålla ett integritetsskydd som faktiskt bidrar till att stimulera kunskapsutvecklingen, vilket också är ett krav från lagstiftaren. Utredningens förslag i detta betänkande handlar således inte i sak om att stärka integritetsskyddet i forskningen. Å andra sidan är det inte heller så att utredningen föreslår att forskning ska få företräde framför integritetsskyddet. I kap. 7 utvecklar vi vår inställning till integritetsfrågorna ytterligare. Förslagen handlar om att öka förutsättningarna för forskning av hög kvalitet som kan bidra till nya kunskaper till nytta för individer och samhälle. För att detta ska vara möjligt är integritetsskydd givetvis en viktig beståndsdel.
Vi förslår därför att syftet med den nya lagen ska vara att möjliggöra behandling av personuppgifter i en forskningsdatabas. Syftet är också att säkerställa att de registrerades integritet skyddas vid denna behandling.
8.5. Förhållande till annan lagstiftning
Vårt förslag: Lagen ska innehålla kompletterande bestämmelser
till dataskyddsförordningen.
Om inte annat följer av forskningsdatabaslagen ska dataskyddslagen gälla.
Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från forskningsdatabaslagen ska de bestämmelserna gälla.
Dataskyddsförordningen ska inte genomföras i svensk lagstiftning, utan ska i stället tillämpas direkt av enskilda, myndigheter och domstolar. När dataskyddsförordningen nu har börjat tillämpas kommer alltså den generella regleringen om behandling av personuppgifter att finnas i dataskyddsförordningen.
Den omständigheten att den nya generella unionsrättsakten om dataskydd är en förordning, och inte ett direktiv, innebär således om-
fattande begränsningar av möjligheten att införa eller behålla nationella bestämmelser om dataskydd. Dataskyddsförordningen både förutsätter och medger emellertid nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler.
Vissa av de kompletterande bestämmelser som behövs eller är lämpliga är av generell karaktär, i betydelsen att de rör hela samhället eller flertalet myndigheter och inte bara en viss sektor. Denna typ av generella bestämmelser finns samlade i den övergripande dataskyddslagen.
Dataskyddsförordningen har emellertid delvis en direktivliknande karaktär och tillåter i vissa avseenden att förordningens regler specificeras i nationell rätt. Detta följer bl.a. av artikel 6.2, där det anges att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som utförs med stöd av artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Medlemsstaterna får närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av skäl 10 framgår att detta även gäller för behandlingen av känsliga personuppgifter.
Av artikel 6.3 framgår vidare att, vid behandling enligt artikel 6.1 c och e, ska den rättsliga grunden fastställas i unionsrätten eller i nationell rätt. Där anges också att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Detta innebär att det även fortsättningsvis finns ett utrymme för sådan sektorsspecifik särreglering om behandling av personuppgifter som finns i de svenska registerförfattningarna, t.ex. studiestödsdatalagen (2009:287) och domstolsdatalagen (2015:728). Den lag som vi förslår kommer att utgöra en sådan sektorsspecifik särreglering.
Forskningsdatabaslagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen.
Lagen innehåller de kompletterande bestämmelser som behövs för att en behandling av personuppgifter i forskningsdatabaser ska vara förenlig med dataskyddsförordningen.
Den föreslagna forskningsdatabaslagen måste således tillämpas i kombination med flera andra rättskällor. Det är dataskyddsförordningen som utgör den centrala regleringen på området. Därutöver finns det och kommer att finnas ytterligare tillämpliga författningar i svensk rätt. Dataskyddsutredningens uppdrag att anpassa nationell lagstiftning till dataskyddsförordningen har resulterat i att personuppgiftslagen upphävts och att dataskyddslagen har införts.11
I enstaka fall kan bestämmelser i den lag som vi förslår komma att avvika från bestämmelser i dataskyddslagen. Om inte annat följer av den lag vi föreslår ska dataskyddslagen tillämpas.
Utöver den föreslagna forskningsdatabaslagen kommer det att finnas författningar med karaktären av registerförfattningar som innehåller bestämmelser som specifikt är inriktade på behandling av personuppgifter i en forskningsdatabas. Här kan t.ex. nämnas lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. I den mån en sådan registerförfattning innehåller avvikande bestämmelser, exempelvis i fråga om vilka skyddsåtgärder som ska tillämpas, får förutsättas att dessa bestämmelser är utformade efter de konkreta förutsättningarna för den specifika forskningsdatabasen. En sådan registerförfattning bör därför tillämpas framför forskningsdatabaslagen.
8.6. Regleringens territoriella tillämpningsområde
Vårt förslag: Forskningsdatabaslagen ska tillämpas vid behandling
av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige.
Etikprövningslagens tillämpningsområde ska ändras så att detta, vad avser behandling av personuppgifter, överensstämmer med det som ska gälla för forskningsdatabaslagen. När det gäller
11 Regeringens proposition Ny dataskyddslag (prop. 2017/18:105).
forskning som enbart avser olika fysiska ingrepp m.m. ska etikprövningslagen alltjämt tillämpas på forskning som ska utföras i Sverige.
8.6.1. Dataskyddslagstiftningens territoriella tillämpningsområde
Dataskyddsförordningen föreskriver att det fria flödet av personuppgifter inom unionen varken ska begränsas eller förhindras av skäl som hör ihop med skyddet för fysiska personer med avseende på behandling av personuppgifter (artikel 1.3). Det anges därutöver i skäl 159 att all reglering av vetenskaplig forskning ska ta hänsyn till unionens målsättning att uppnå ett europeiskt forskningsområde. Denna målsättning har formulerats i artikel 179.1 i fördraget om europeiska unionens funktionssätt.12
Dataskyddsförordningen är tillämplig på all behandling av personuppgifter inom ramen för den verksamhet en personuppgiftsansvarig eller personuppgiftsbiträde har i unionen, oavsett om behandlingen äger rum inom unionen eller inte (artikel 3.1). Detta är den så kallade
etableringslandsprincipen. Etableringslandsprincipen är utgångs-
punkten i dataskyddsförordningens reglering om det territoriella tillämpningsområdet (artikel 3.1 och 3.3).
Etableringslandsprincipen är huvudregel även för dataskyddslagens tillämpningsområde. Denna utgångspunkt har valts eftersom den harmonierar med regleringen i dataskyddsförordningen. Enligt 1 kap. 5 § första stycket dataskyddslagen gäller lagen vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Enligt samma stycke gäller lagen även vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten. Det saknar därmed betydelse var behandlingen faktiskt utförs och var den registrerade befinner sig. Omvänt gäller lagen, enligt huvudregeln, inte för personuppgiftsansvariga som saknar verksamhetsställe i Sverige, även om de behandlar uppgifter om personer i Sverige.
12 Fördraget om europeiska unionens funktionssätt. Europeiska unionens officiella tidning C 326/47. 26.10.2012.
8.6.2. Forskningsdatabaslagens territoriella tillämpningsområde
Behandling av personuppgifter är i många fall en gränsöverskridande aktivitet. Detta gäller inte minst i forskningssammanhang. Det är till exempel inte ovanligt att den som behandlar personuppgifter om personer i Sverige inte själv är etablerad i landet. På motsvarande sätt kan företag och organisationer som är etablerade i Sverige behandla personuppgifter om individer i andra länder utan att vara etablerade där.
Det förekommer ofta samarbete mellan forskningshuvudmän i olika länder. Forskare önskar och behöver kunna använda forskningsdata om forskningspersoner i andra länder. I forskningsprojekt behöver uppgifter om forskningspersoner i olika länder kunna utbytas och sammanställas. För att inte hindra att forskning bedrivs eller förhindra flödet av personuppgifter är det viktigt att forskare vet vilka bestämmelser de har att rätta sig efter. Utan reglering av det territoriella tillämpningsområdet kommer det att råda osäkerhet i denna fråga. Av rättssäkerhetsskäl bör det därför införas en uttrycklig bestämmelse om det territoriella tillämpningsområdet i forskningsdatabaslagen.
Etableringslandsprincipen är som vi konstaterade ovan utgångspunkten i dataskyddsförordningens reglering om det territoriella tillämpningsområdet (artikel 3.1 och 3.3). Ett val av etableringslandsprincipen som huvudregel för forskningsdatabaslagens tillämpningsområde skulle således överensstämma med såväl regleringen i dataskyddsförordningen som i dataskyddslagen.
Mot denna bakgrund bedömer vi att etableringslandsprincipen bör gälla som utgångspunkt även för forskningsdatabaslagens territoriella tillämpningsområde. Lagen bör tillämpas vid behandling av personuppgifter som utförs inom ramen för den verksamhet som bedrivs vid en personuppgiftsansvarigs verksamhetsställe i Sverige. Om forskningsdatabasens verksamhet bedrivs inom ramen för den personuppgiftsansvariges verksamhetsställe i Sverige kommer forskningsdatabaslagen att gälla även om behandlingen av personuppgifter avser personer i ett annat land. Omvänt kommer lagen inte att gälla för personuppgiftsansvariga som saknar verksamhetsställe i Sverige, även om de behandlar uppgifter om personer i Sverige. Avgörande för om
forskningsdatabaslagen ska tillämpas blir således om personuppgifterna behandlas inom ramen för en forskningsdatabas som drivs vid den personuppgiftsansvariges verksamhetsställe i Sverige, oavsett var själva personuppgiftsbehandlingen rent fysiskt äger rum.
När det gäller tillämpningsområdet för dataskyddslagen ska den enligt 1 kap. 5 § andra stycket, utöver vad som anges i första stycket, dessutom gälla vid behandling av personuppgifter som avser registrerade som befinner sig i Sverige och som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som endast är etablerade i tredjeland, om behandlingen har anknytning till utbjudande av varor eller tjänster till registrerade i Sverige, eller övervakning av registrerades beteende i Sverige. Detta stadgande överensstämmer med vad som gäller för dataskyddsförordningens tillämpningsområde enligt artikel 3.2 a och b. Eftersom behandling av personuppgifter för forskningsändamål inte har någon anknytning till utbjudande av varor eller tjänster eller övervakning av registrerades beteende bedömer vi att någon motsvarighet till bestämmelsen i dataskyddslagen i denna del inte behöver införas i forskningsdatabaslagen.
8.6.3. Etikprövningslagens territoriella tillämpningsområde
Etikprövningslagen ska enligt gällande rätt tillämpas på forskning13som ska utföras i Sverige (5 § etikprövningslagen). Regleringen i dataskyddsförordningen, i dataskyddslagen och i den ovan föreslagna bestämmelsen i forskningsdatabaslagen bygger på ett tillämpningsområde som är relaterat till var den personuppgiftsansvarige är etablerad och till att behandling av personuppgifter utförs inom ramen för den verksamhet som denne bedriver, oberoende av var behandlingen faktiskt äger rum. Regleringen i etikprövningslagen utgår i stället från var forskningen som innefattar personuppgiftsbehandling utförs.
I de allra flesta fall skulle det föreslagna tillämpningsområdet för forskningsdatabaslagen innebära att regleringen i den lagen och etikprövningslagen ändå är förenliga. I vissa fall skulle dock situationen kunna vara sådan att personuppgiftsbehandling som utförs inom ramen för en forskningsdatabas som drivs av en forskningshuvudman som har verksamhetsställe i Sverige rent faktiskt äger rum utanför
13 Enligt vår bedömning är den tillämpliga rättsliga grunden för personuppgiftsbehandling i en forskningsdatabas att behandlingen är nödvändig för forskningsändamål, se avsnit t 8.2.3.
Sverige. Etikprövningslagen skulle i sådana fall inte vara tillämplig. Det kan alltså uppstå situationer då lagarnas territoriella tillämpningsområde inte är helt förenliga.
Etikprövningslagen ska enligt 3 § tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser.14 Enligt 4 § ska dessutom forskning som innefattar olika fysiska ingrepp och studier på biologiskt material från människor etikprövas. I praktiken innefattar en övervägande del av ärendena en prövning av om behandlingen av personuppgifter görs på ett godtagbart sätt.
Vi föreslår att etikprövning av en forskningsdatabas ska vara ett grundläggande villkor för att forskningsdatabasen ska vara tillåten enligt forskningsdatabaslagen. Vi föreslår också att varje forskningsprojekt som ska bedrivas med hjälp av uppgifter i en forskningsdatabas måste vara etikgodkänt.
Dataskyddsförordningen lämnar utrymme för medlemsstaterna att införa mer strikta regler för behandling av känsliga personuppgifter, bland annat för hälsorelaterade syften. Om behandlingen av känsliga personuppgifter begränsas genom bestämmelser i nationell lagstiftning bör den inte hindra det fria flödet av personuppgifter inom unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter (skäl 53).
Etikprövning utgör en sådan lagstadgad skyddsåtgärd som krävs vid behandling av känsliga personuppgifter enligt dataskyddsförordningen (artikel 9.2 j). Enligt 5 § etikprövningslagen är etikprövning dock endast möjlig för forskning som genomförs i Sverige. Internationell forskning med stöd av forskningsdatabaser skulle med etikprövningslagens nuvarande tillämpningsområde försvåras i de fall behandlingen behöver utföras utanför landets gränser. Denna bristande överensstämmelse mellan de olika lagarna skulle kunna utgöra ett hinder för den fria rörligheten av personuppgifter för forskningsändamål inom unionen. Enligt skäl 53 till dataskyddsförordningen bör nationella skyddsåtgärder inte hindra det fria flödet av personuppgifter inom unionen, när de tillämpas på gränsöverskridande behandling av sådana uppgifter. Denna icke önskvärda konsekvens skulle ytterligare förstärkas om det, enligt vårt förslag (se avsnitt 8.11.2),
14 Enligt förslag till ändring i etikprövningslagen i utkast till lagrådsremiss om personuppgiftsbehandling för forskningsändamål, ska hänvisningen till personuppgiftslagen i 3 § bytas till en hänvisning till artikel 9.1. i dataskyddsförordningen, se Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för forskningsändamål (Dnr U2018/01639/F).
införs ett obligatoriskt etikprövningsförfarande vid uthämtandet av uppgifter från en forskningsdatabas.
Vid införandet av etikprövningslagen övervägdes om lagens tillämpningsområde även skulle avse sådan forskning som utförs utanför Sverige, om forskningshuvudmannen har sitt säte (hemvist) i Sverige. Regeringen ansåg då att ytterligare överväganden behövde göras beträffande konsekvenserna av ett sådant system och föreslog att etikprövning skulle göras av forskning som ska utföras i Sverige.15
Mot bakgrund av att etikprövningslagen i så stor omfattning handlar om villkor för behandling av personuppgifter bedömer vi att tillämpningsområdet för denna lag bör utgå från samma princip som dataskyddslagstiftningen i övrigt. Vi anser således att huvudregeln bör vara att det är etableringsprincipen som ska ligga till grund för etikprövningslagens tillämpningsområde. Det är möjligt att det åtminstone i teorin kan förekomma enstaka forskningsprojekt som inte behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser och som därför enbart ska prövas med stöd av 4 § etikprövningslagen. För sådana prövningar anser vi att det nuvarande tillämpningsområdet ska få finnas kvar.
Vi föreslår att etikprövningslagens bestämmelse om territoriellt tillämpningsområde ska ändras på så sätt att det enligt en huvudregel överensstämmer med forskningsdatabaslagens föreslagna tillämpningsområde. Etableringslandsprincipen ska gälla för de båda lagarna på samma sätt som för dataskyddslagstiftningen i övrigt.
Vårt förslag innebär att etikprövningslagen ska tillämpas på forskningsdatabaser och forskning som ska utföras inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. När det gäller forskning som enbart avser olika fysiska ingrepp m.m. ska lagen tillämpas på forskning som ska utföras i Sverige.
8.7. Definitioner
Vårt förslag: I den föreslagna forskningsdatabaslagen ska det in-
föras en definition av begreppet forskningsdatabas.
Med forskningsdatabas ska avses en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller
15 Regeringens proposition Etikprövning av forskning (prop. 2002/03:50), s. 109.
från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt.
Med forskningshuvudman ska avses detsamma som i etikprövningslagen.
I etikprövningslagen ska med forskningsdatabas avses detsamma som i forskningsdatabaslagen.
Utredningen föreslår att det grundläggande begreppet forskningsdatabas definieras i forskningsdatabaslagens inledning. I detta kapitel motiverar vi varför just detta begrepp bör ha en legaldefinition i den författning vi föreslår. Utöver detta ska anges att forskningsdatabaslagen använder samma definition av begreppet forskningshuvudman som i etikprövningslagen. I kap. 3 finns en utförligare redovisning av de begrepp som är relevanta för vår utredning.
Vi föreslår också att etikprövningslagen ska använda samma definition av forskningsdatabaser som i forskningsdatabaslagen.
8.7.1. Forskningsdatabas
Vi definierar forskningsdatabas som en databas (uppgiftssamling) med uppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt. Utanför lagens definition faller således forskningsregister som har skapats för ett visst projekt, en del av ett projekt eller på ett på liknande sätt bestämd forskning. Motivet till denna definition, och skillnaden gentemot Registerforskningsutredningens, har behandlats i avsnitt 3.3.3. Eftersom detta begrepp utgör en avgränsning av forskningsdatabaslagens tillämpningsområde anser vi att det finns skäl att ta in definitionen direkt i författningstexten.
Denna definition kommer också att ha betydelse för tillämpningen av etikprövningslagen. Vi föreslår därför att etikprövningslagen ska hänvisa till forskningsdatabaslagens definition av begreppet.
8.7.2. Forskningshuvudman
Begreppet forskningshuvudman har behandlats i avsnitt 3.3.6. Eftersom vi föreslår att forskningshuvudmän under vissa förutsättningar ska få behandla personuppgifter i en forskningsdatabas är det nödvändigt att tydliggöra i författningstexten att begreppet definieras på samma sätt som i 2 § etikprövningslagen.
8.8. Skapandet av en forskningsdatabas
8.8.1. Behov av reglering i detta steg av livscykeln
Behovet av att skapa en forskningsdatabas hos en forskningshuvudman kan uppkomma av flera olika orsaker. Den kan också upprättas från olika utgångspunkter. Vi kan börja med att föreställa oss att flera olika forskare hos en forskningshuvudman har behov av ungefär samma uppgifter om enskilda för olika forskningsprojekt. Forskningshuvudmannen har också anledning att förvänta att det kommer att starta fler forskningsprojekt även utanför den egna verksamheten som kommer att ha användning av dessa uppgifter. I stället för att flera olika forskningsprojekt eller forskningsprogram (se avsnitt 3.3.7) ska begära ut samma uppgifter från en eller flera myndigheter, kan forskningshuvudmannen finna att det vore bättre att upprätta en forskningsdatabas. Forskningshuvudmannen har alltså identifierat behov av en uppgiftssamling med breda ändamål som servar flera forskningsprojekt eller program. Det kan också vara så att det finns behov av att forska med hjälp av insamlade uppgifter över tid, dvs. longitudinellt.
Behovet av att skapa en forskningsdatabas kan också uppmärksammas i ett senare skede. En uppgiftssamling som nyttjas av ett forskningsprojekt eller ett forskningsprogram har blivit intressant för flera forskningsprojekt. Efter att ha hanterat flera olika förfrågningar om utlämnande av uppgifter, gör forskningshuvudmannen bedömningen att det vore lämpligt att omvandla uppgiftssamlingen till en forskningsdatabas.
Forskningsdatautredningen anser att det är lämpligt att reglera vilka villkor som ska vara uppfyllda för att forskningshuvudmannen ska få skapa en forskningsdatabas i sin verksamhet. Det är också en
viktig säkerhetsåtgärd att reglera vilka forskningshuvudmän som ska få behandla personuppgifter i en forskningsdatabas.
I följande avsnitt redovisar utredningen de bestämmelser som vi anser är nödvändiga för att forskningsdatabaser ska skapas på ett säkert sätt.
8.8.2. Ansvar för forskningsdatabasen
Vårt förslag: Statliga och kommunala myndigheter ska få vara
personuppgiftsansvariga för behandling av personuppgifter i en forskningsdatabas liksom även juridiska personer och enskilda näringsidkare som bedriver högre utbildning och som har examensrätt enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL ska jämställas med myndigheter.
Personuppgiftsansvaret
Av definitionen i artikel 4 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Motsvarande gäller enligt artikel 2 d i dataskyddsdirektivet. Det är således, precis som enligt dataskyddsdirektivet, tillåtet även enligt dataskyddsförordningen att i nationell lagstiftning peka ut vem som är personuppgiftsansvarig. Om den personuppgiftsansvarige finns angiven i befintlig lagstiftning, får det förutsättas att även ändamål och medel för behandlingen av personuppgifter har bestämts i nationell rätt.16
16 Socialdataskyddsutredningens betänkande Dataskydd inom Socialdepartementets verksam-
hetsområde – en anpassning till EU:s dataskyddsförordning (SOU 2017:66), s. 214 ff. samt
regeringens proposition Dataskydd inom Socialdepartementets verksamhetsområde – en
anpassning till EU:s dataskyddsförordning (prop. 2017/18:171), s. 191.
Vilka som får vara personuppgiftsansvariga för personuppgiftsbehandling i en forskningsdatabas
Det är vanligt att det i registerförfattningar pekas ut vem som är personuppgiftsansvarig för den behandling som regleras i den särskilda lagstiftningen. Ur ett integritetsskyddsperspektiv är det lämpligt att i en registerförfattning precisera vem som är personuppgiftsansvarig för sådan behandling av personuppgifter som utförs enligt lagen. Det bör därför av forskningsdatabaslagen klart framgå att det är vissa i lagen bestämda forskningshuvudmän som får vara personuppgiftsansvariga för personuppgiftsbehandling i forskningsdatabaser och som ansvarar för att det görs på ett ändamålsenligt och säkert sätt. I ett tidigare avsnitt, 8.2.3, har vi redogjort för vilken rättslig grund för behandling av personuppgifter som olika forskningshuvudmän kan finna stöd i.
En betydande del av den forskning i Sverige som bedrivs av offentligrättsliga aktörer utförs vid universitet och högskolor, men det bedrivs omfattande forskningsverksamhet också vid många andra offentliga organ. Flera andra statliga myndigheter har en uttalad forskningsuppgift inom ramen för sin ordinarie verksamhet och i såväl kommuner som landsting pågår forskning där personuppgifter används. I vårt delbetänkande har vi skrivit mer om forskning hos olika offentliga aktörer.17
Flera av de landsting som svarade på remissen av Registerforskningsutredningens betänkande uttryckte missnöje med att kommuner och landsting inte enligt det förslaget skulle få ansvara för forskningsdatabaser. Remissinstanserna anförde bl.a. att förslaget förbisåg sjukvårdshuvudmännens roll och ansvar för den kliniska medicinska forskningen i relation till registerforskning. Landstingen är nämligen också forskningshuvudmän och verksamma inom registerforskning. Det framkom också av svaren att det i dag finns många forskningsdatabaser inom landstingen och regionerna.
Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Kommuner och landsting får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar. De har möjlighet att genom beslut om reglementen för verksamheten se till att forskningsuppgiften blir fastställd i
17SOU 2017:50 s. 134 ff.
enlighet med rättsordningen i Sverige och de kan då basera personuppgiftsbehandling som är nödvändig för att utföra forskningsuppgiften på den rättsliga grunden uppgift av allmänt intresse.
Universitet och högskolor bedriver forskning och har behov av att behandla personuppgifter i forskningsdatabaser. Samarbetet mellan forskare ökar i snabb takt och digitaliseringen har inneburit radikala förbättringar av forskares möjligheter att på distans koppla upp sig mot gemensamma resurser, bland annat i form av gemensamma forskningsdatabaser (se kap. 4). Utredningen har vid samtliga besök på lärosäten fått del av exempel på uppbyggnad av forskningsdatabaser och erfarit krav på att dessa regleras på ett ändamålsenligt sätt. Vetenskapsrådet uppmuntrar vidare bildandet av samarbeten mellan forskningshuvudmän i konsortier för att skapa nationellt och internationellt tillgängliga forskningsdatabaser. De flesta sådana institutioner är offentliga, men det finns också privata forskningshuvudmän.
Registerforskningsutredningen föreslog att enbart statliga universitet och högskolor skulle få bygga upp forskningsdatabaser så länge som det inte finns någon reglerad tystnadsplikt för forskning som bedrivs av de privata lärosätena.18 Forskningsdatautredningen föreslår att sådana krav på en forskningshuvudman ska införas (se avsnitt 8.9.6) och att de privata lärosäten som har examensrätt i övrigt ska omfattas av samma skyddsregler för forskning som de offentliga.
De privata högskolorna, som bl.a. Chalmers tekniska högskola, Röda Korsets högskola och Stiftelsen Högskolan i Jönköping utför uppgifter i sin verksamhet som i allt väsentligt liknar den verksamhet som utförs vid de offentligt finansierade högskolorna. De privata högskolorna har, liksom de offentliga, tillstånd att examinera. Detta framgår av lagen (1993:792) om tillstånd att utfärda vissa examina. Av den lagen framgår det att utbildningen ska bedrivas så att den uppfyller kraven som ställs i högskolelagens första kapitel. I övrigt gäller inte högskolelagen för dessa aktörer. För varje examen som tillståndet gäller ska utbildningen dessutom uppfylla de särskilda krav som gäller enligt examensordningen som är en bilaga till högskoleförordningen. Av första kapitlet i högskolelagen framgår det att högskolorna ska verka för att utbildning och forskning håller god kvalitet samt att man ska verka för att de forskningsresultat som är tillkomna vid högskolan kommer till nytta.
18SOU 2014:45, s. 427 ff.
Vidare gäller offentlighetsprincipen för många privata lärosäten, som t.ex. Chalmers tekniska högskola och Stiftelsen Högskolan i Jönköping samt, i begränsad omfattning, Handelshögskolan i Stockholm. Detta regleras i en bilaga till OSL. Där finns reglerat vilka övriga juridiska personer – s.k. jämställda organ – som omfattas av offentlighetsprincipen. Dessa kan vara statliga aktiebolag, ekonomiska föreningar eller stiftelser, men även andra privaträttsliga organ än statliga företag. Förekommer organet i bilagan till OSL innebär detta enligt 2 kap. 4 § OSL att organet måste tillämpa offentlighetsprincipen och i sådana fall bara i den verksamhet som anges i bilagan. Utöver att de organ som är uppräknade i bilagan omfattas av offentlighetsprincipen omfattas de även av reglerna för statliga myndigheters arkiv enligt arkivlagen (1990:782). Vi anser att forskningshuvudmän som ska ansvara för forskningsdatabaser ska vara likställda på så sätt att de omfattas av samma regler om bevarande av allmänna handlingar och sekretess.
För de studenter och forskare som är verksamma vid en högskola är det i praktiken ingen formell skillnad mellan att vara verksam vid en offentlig eller privat finansierad högskola. Vår bedömning är därför att såväl offentliga som privata högskolor utför uppgifter av allmänt intresse. Vi bedömer att det inte finns några skäl att göra skillnad mellan offentliga lärosäten och privata sådana som har examensrätt och som enligt OSL jämställs med myndigheter. Vi anser att såväl offentliga som vissa privata lärosäten ska få vara personuppgiftsansvariga för behandling av personuppgiftsbehandling i forskningsdatabaser.
Inom staten utförs forskning främst vid universitet och högskolor, men även hos vissa andra myndigheter. Behov av att bygga upp forskningsdatabaser kan uppkomma även hos sådana myndigheter samt hos kommunala myndigheter (kommuner och landsting). Kommunala myndigheter som är vårdgivare bedriver omfattande forskning. Vi anser att myndigheter som har i uppdrag att bedriva forskning också ska få ansvara för forskningsdatabaser.
Vi föreslår därför att såväl de statliga högskolorna och universiteten som omfattas av högskolelagen som de privata lärosätens som omfattas av offentlighetsprincipen samt har examensrätt ska få behandla personuppgifter i forskningsdatabaser. Även andra myndigheter än sådana som bedriver undervisning ska få ansvara för forskningsdatabaser, om forskning ingår i deras uppdrag.
8.8.3. De övergripande ändamålen med en forskningsdatabas
Vårt förslag: I en forskningsdatabas ska personuppgifter få
behandlas för ändamålet att skapa underlag för olika forskningsprojekt och för att lämna ut uppgifter till flera olika forskningsprojekt inom ett angivet forskningsområde.
Vi anser att det i forskningsdatabaslagen ska finnas bestämmelser som beskriver de övergripande ändamålen för vilka behandling av personuppgifter i en sådan databas ska vara tillåten. Dessa ändamål är relativt breda. Varje enskild forskningsdatabas ska sedan ha särskilt angivna ändamål (se avsnitt 8.8.4).
Forskningshuvudmannens övergripande syfte med forskningsdatabasen ska vara att skapa en uppgiftssamling som kan användas som underlag för olika forskningsprojekt. Syftet med behandlingen ska inte vara att skapa underlag för ett visst, redan definierat projekt utan att samla in uppgifter som kan utgöra underlag för olika framtida forskningsprojekt. I definitionen av en forskningsdatabas anges att uppgiftssamlingen ska vara en nationell resurs. En databas som endast är tillgänglig för en begränsad krets användare utgör således inte en forskningsdatabas enligt vår definition.
Med begreppet ”skapa underlag” avses olika former av behandlingar som krävs för att föra en välfungerande databas, såsom insamling, registrering, bevarande och uppdatering av personuppgifter.
Det andra syftet med forskningsdatabasen ska vara att lämna ut uppgifter till flera olika forskningsprojekt. Utlämnande till forskning får bara göras under förutsättning att projektet godkänts enligt 6 § etikprövningslagen. Detta villkor ska också framgå av lagen (se avsnitt 8.8.6). Godkännande krävs oavsett vilken typ av personuppgifter som ska behandlas, det vill säga även om behandlingen inte omfattar känsliga personuppgifter eller uppgift om lagöverträdelser med mera.
Uppgifter i en forskningsdatabas ska få lämnas ut både till forskningsprojekt som drivs av en statlig myndighet och till forskningsprojekt hos en privat forskningshuvudman.
Vi föreslår dessutom att personuppgifter i en forskningsdatabas också ska få användas för utlämnande till en utredning av oredlighet i
forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning (se avsnitt 8.11.2).
8.8.4. Grundläggande villkor för skapandet av en forskningsdatabas
Vårt förslag: En forskningshuvudman ska i ett beslut om att skapa
en forskningsdatabas fastställa vilka uppgifter som ska behandlas i forskningsdatabasen och för vilka särskilda ändamål dessa uppgifter är nödvändiga att behandla.
Personuppgifter får behandlas i en forskningsdatabas under förutsättning att
1. den har godkänts enligt lagen om etikprövning av forskning som avser människor, och
2. forskningshuvudmannen har säkerställt finansieringen av forskningsdatabasen.
Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om begränsning av de ändamål för vilka uppgifter får behandlas i en forskningsdatabas, begränsningar av de uppgifter som en databas får innehålla, och om begränsningar av behandling av uppgifter i en forskningsdatabas.
Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om finansieringen av en forskningsdatabas.
Beslut om skapandet av forskningsdatabasen och om vilka uppgifter som ska behandlas och för vilka särskilda ändamål
Ett nytt krav i dataskyddsförordningen är att den personuppgiftsansvarige ska ansvara för och kunna visa att den följer förordningens principer för behandling av personuppgifter. Det nya kravet omtalas ibland i termer av en ny princip, vilken då kallas för principen om ansvarsskyldighet.
Vårt förslag till reglering av forskningsdatabaser utgår från den principen. Det är den personuppgiftsansvarige som ska ansvara för att behandlingen av personuppgifter är laglig och korrekt. Det innebär att forskningshuvudmannen måste ta ansvar för sin behandling av personuppgifter i en forskningsdatabas och förvissa sig om att det
görs på ett korrekt sätt. Forskningshuvudmannen ska därför enligt vårt förslag manifestera sitt ansvarstagande genom att fatta ett beslut om att skapa en forskningsdatabas.
En forskningshuvudman som enligt vårt förslag är berättigad till att behandla personuppgifter i en forskningsdatabas måste ha god kontroll över den behandlingen. God kontroll är en förutsättning för att kunna ta ansvar för forskningsdatabasen och personuppgiftsbehandlingen. Vi anser därför att forskningshuvudmannen ska fatta ett uttryckligt beslut om att en viss forskningsdatabas ska inrättas.
I beslutet ska forskningshuvudmannen fastställa vilka uppgifter som ska behandlas i forskningsdatabasen och för vilka ändamål dessa uppgifter är nödvändiga att behandla.
Vi anser att det är lämpligt att även annan grundläggande information om databasen går att utläsa av beslutet. Beslutet bör bifogas ansökan om etikprövning av forskningsdatabasen. Det utgör ett viktigt underlag för prövningen. Detta är ett dokument som också kan vara betydelsefullt för tillsynsmyndigheterna och Vetenskapsrådet.
Innan forskningshuvudmannen börjar samla in uppgifter till en forskningsdatabas eller omvandlar en existerande uppgiftssamling till en forskningsdatabas, måste huvudmannen således kunna precisera ändamålet och vilka uppgifter som ska samlas in något mer än vad som framgår av det övergripande ändamålet för forskningsdatabaser; att skapa underlag för olika forskningsprojekt. Det kan t.ex. handla om att precisera vilka typer av forskningsprojekt som forskningsdatabasen ska kunna utgöra underlag till, vilka forskningsfrågor som ska besvaras, inom vilka forskningsområden projekten ska genomföras och vilken typ av uppgifter som ska samlas in till en viss närmare angiven typ av forskning.
Även om ändamålet för en forskningsdatabas måste vara preciserat och alltså inte utgöras av ett generellt ändamål såsom ”stöd till framtida forskning” bör det ändå kunna vara relativt brett. Det bör kunna utformas på motsvarande sätt som i LifeGene-lagen: ”...att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt.”19 Ändamålet kan också avgränsas till en sjukdom eller en sjukdomsgrupp. Ett exempel på detta är PCBaseSweden, vars ändamål beskrivs vara en databas för klinisk epidemiologisk forskning om prostatacancer baserad på länkningar
19 1§ LifeGene-lagen.
mellan nationella prostatacancerregistret och andra nationella register.20 Den demografiska databasen (DDB) vid Umeå universitet har en bred uppgift. Enligt dess fortfarande gällande förordning är den ”att registrera och bearbeta huvudsakligen demografiska och historiska data för forsknings-, utbildnings- och arkivändamål samt att göra dessa data tillgängliga för forskare.” DDB ska dessutom enligt förordningen verka för vetenskapligt samarbete och metodutveckling.21
En forskningsdatabas ska kunna innehålla uppgifter som samlas in direkt från enskilda, uppgifter från olika myndighetsregister och från andra källor, t.ex. privata forskningshuvudmän.
De grundläggande ändamålen med registret ska således vara dels att skapa underlag för olika tänkbara framtida forskningsprojekt (t.ex. om uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt), dels att lämna ut uppgifter till sådan forskning under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts enligt etikprövningslagen.
Vi förslår att forskningshuvudmannen sedan ska precisera de grundläggande ändamålen genom att bestämma vilka uppgifter som ska få behandlas och de närmare ändamålen för behandling av personuppgifter i den forskningsdatabas som ska upprättas. I detta sammanhang måste forskningshuvudmannen se till att samtliga de grundläggande principerna som framgår av artikel 5 i dataskyddsförordningen kan uppfyllas. Utöver kraven på ändamålsbegränsning i artikel 5.1 b (att uppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål) är även principen om uppgiftsminimering i artikel 5.1 c av central betydelse. Av dess krav på att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas följer att det angivna särskilda ändamålet blir styrande för vilka uppgifter som får samlas in i forskningsdatabasen.
20 Hagel E, Garmo H, Bikll-Axelson A, Bratt O, Johansson JE, Adolfsson J, Lambe M, Stattin P. PCBase Sweden: a register based resource for prostate cancer research. Scan J Urolo Nephrol 2009; 43(5), s. 342–349. 21 2 § Förordning om demografiska databasen vid universitetet i Umeå 1990-05-03 (UHÄ-FS 1990:8).
Forskningsdatabasen ska etikprövas
Ytterligare ett grundläggande villkor för att personuppgiftsbehandling i en forskningsdatabas ska vara tillåten ska vara att forskningsdatabasen är etikgodkänd. Kravet på ett externt godkännande av forskningsdatabasen utgör en nödvändig skyddsåtgärd i vårt förslag till en långsiktig reglering av forskningsdatabaser. I följande två avsnitt (8.8.5 och 8.8.6) presenterar vi detta förslag ytterligare.
Finansieringen ska vara säkerställd
Det ska också vara ett villkor att forskningshuvudmannen har säkerställt finansieringen av forskningsdatabasen. Ändamålet med en databas är att skapa underlag för olika framtida forskningsprojekt och att lämna ut uppgifter till forskningsprojekt. För att uppfylla sitt syfte måste forskningsdatabasen bevaras under en längre tid för att möjliggöra longitudinella studier eller jämförande studier över tid.
För att garantera långsiktighet och kvalitet i verksamheten bör finansieringen av forskningsdatabasen därför vara säkerställd under så lång tid att ändamålet med forskningsdatabasen kan uppfyllas. För att forskningsdatabasen verkligen ska bli till nytta för sitt ändamål måste den som ansvarar för databasen bl.a. ha kompetens och tillräckliga resurser för att behandla förfrågningar om uttag ur forskningsdatabasen inom rimlig tid.
Enligt utredningen är även en tryggad finansiering en viktig säkerhetsåtgärd. Finansieringen ska kunna säkerställa att forskningshuvudmannen över tid har tillräckliga resurser för den organisation och de säkerhetsåtgärder som krävs för en laglig, ändamålsenlig och säker behandling av personuppgifter. Det är viktigt att det finns tillräcklig finansiering också för avveckling av en forskningsdatabas.
Vi föreslår att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om finansieringen. Det kan t.ex. handla om att bestämma för hur lång tid finansieringen av en forskningsdatabas måste vara säkerställd.
Sammanfattning
För att forskningshuvudmannen ska få skapa en forskningsdatabas, ska alltså följande villkor vara uppfyllda.
- Forskningshuvudmannen har fastställt vilka uppgifter som får behandlas i forskningsdatabasen.
- Forskningshuvudmannen har fastställt för vilka särskilda ändamål dessa uppgifter är nödvändiga att behandla.
- Forskningsdatabasen ska vara godkänd enligt etikprövningslagen.
- Forskningshuvudmannen har säkerställt finansieringen av forskningsdatabasen.
Vi föreslår också att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om
- begränsning av de ändamål för vilka uppgifter får behandlas i en databas,
- begränsningar av de uppgifter som en forskningsdatabas får innehålla,
- begränsningar av behandling av uppgifter i en forskningsdatabas, och
- finansieringen av en forskningsdatabas.
8.8.5. En forskningsdatabas ska etikprövas
Vårt förslag: Tillämpningsområdet för etikprövningslagen ska
ändras så att det också omfattar sådan forskning som innefattar behandling av personuppgifter i en forskningsdatabas. Ett godkännande av Etikprövningsmyndigheten ska få avse en forskningsdatabas.22
Vid etikprövning av en forskningsdatabas bör Etikprövningsmyndigheten besluta inom 120 dagar.
En ny ansökningsavgift föreslås för ansökningar om etikprövning av forskningsdatabaser.
22 Vi föreslår att våra författningsändringar träder i kraft den 1 juli 2019. Vi hänvisar därför genomgående i våra förslag till den nya organisation med en etikprövningsmyndighet som har beslutats träda i kraft den 1 januari 2019 (se avsnitt 5.4.1) i stället för till nu gällande regionala etikprövningsnämnder.
Inledning
Vi anser att en uppgiftssamling som är en nationell resurs och som ska användas som underlag för flera olika framtida forskningsprojekt måste vara kringgärdad av skyddsåtgärder. Vi föreslår genom vår reglering ett flertal villkor för och krav på skyddsåtgärder för att få skapa och driva en forskningsdatabas. En ytterligare säkerhetsåtgärd är att kräva någon form av externt godkännande av forskningsdatabasen.
Etikprövning av forskningsprojekt är en etablerad skyddsåtgärd. I delbetänkandet redovisade vi som vår bedömning att etikprövning enligt etikprövningslagen utgör en sådan fastställd lämplig och särskild åtgärd som krävs vid behandling av känsliga personuppgifter för forskningsändamål enligt artikel 9.2 j i dataskyddsförordningen.
Vi gjorde även bedömningen att etikprövning enligt etikprövningslagen utgör en sådan fastställd lämplig skyddsåtgärd som krävs för behandling av personuppgifter om lagöverträdelser m.m. enligt artikel 10 i dataskyddsförordningen.23
Etikprövning av forskningsdatabaser
Eftersom det redan finns en välfungerande mekanism för att godkänna forskning anser vi att det är lämpligt att utvidga denna möjlighet till prövning till att också omfatta en forskningsdatabas i sig.
Möjligheten att utvidga etikprövningslagens tillämpningsområde på detta sätt övervägdes också av Registerforskningsutredningen.24Mot bakgrund av det förslag till reglering som föreslogs ansåg utredaren dock att det inte var en lämplig lösning:
Den beredning som VR förutsätts göra och den prövning som sedan regeringen gör inför en ny databasförordning kan förutsättas innehålla etiska överväganden av det slag som utförs av en etikprövningsnämnd. Regeringen har i denna process möjlighet att inhämta åsikter från till exempel Centrala etikprövningsnämnden, SCB och Datainspektionen för att på detta sätt belysa förslagets etiska aspekter. Jag menar därför att etikprövningsnämndens tillämpningsområde inte bör utvidgas till att omfatta även skapandet av forskningsdatabaser.
23SOU 2017:50, s. 332 ff. 24SOU 2014:45, s. 424 ff.
Registerforskningsutredningen föreslog en lösning med en centraliserad beslutsprocess avseende inrättande av forskningsdatabaser. Vetenskapsrådet skulle förslå för regeringen vilka forskningsdatabaser som skulle få bildas och sedan skulle regeringen fatta beslut. Det framstår som om utredaren ansåg att den prövning som den centraliserade lösningen innebär motsvarar en etikprövning.
Vi föreslår till skillnad från Registerforskningsutredningen en decentraliserad beslutsprocess, där varje enskild forskningshuvudman beslutar om att inrätta en forskningsdatabas i den egna verksamheten. Vi bedömer därför att en centraliserad, utomstående bedömning i form av etikprövning av forskningsdatabasen i sig är en lämplig skyddsåtgärd.
Vårt förslag till reglering av forskningsdatabaser innebär att etikprövningslagen måste få ett vidare tillämpningsområde och ett antal nya bestämmelser. Etikprövning ska omfatta såväl själva forskningsdatabasen, som all forskning som ska utföras med hjälp av personuppgifter i den. För att forskningsdatabasen ska få lämna ut uppgifter till forskning, ska forskningsprojekten vara godkända genom etikprövning. Se vidare om utlämnande för forskning i avsnitt 8.11.2.
I delbetänkandet lämnade vi ett författningsförslag avseende 3 § etikprövningslagen för att anpassa lagen till dataskyddsförordningen. När det gäller dessa anpassningar hänvisar vi till våra överväganden i delbetänkandet.25 Vi föreslår nu att lagens tillämpningsområde utvidgas. Lagen ska tillämpas även på forskning som innefattar behandling av personuppgifter i en forskningsdatabas och på forskning som använder personuppgifter som samlas in från en forskningsdatabas. Detta ska framgå av 3 § etikprövningslagen.26
25SOU 2017:50 s. 346 ff. 26 I vårt författningsförslag i detta betänkande, avsnitt 1.3, återfinns den lydelse av 3 § första och andra punkterna etikprövningslagen som vi föreslog i SOU 2017:50.
Ansökningsavgifter och Etikprövningsmyndighetens beslut
Avgifterna för etikprövningsärenden sätts av regeringen.27 Dessa avgifter ska beräknas så att full kostnadstäckning för prövningen uppnås.28 I praktiken uppnås inte detta i dag,29 utan nämndernas kostnad per ärende överstiger den schabloniserade avgiften (normalt 5 000 kronor) med mellan 20 och 85 procent. För ändringsärenden enligt 4 § etikprövningslagen överstiger nämndernas faktiska kostnader den schabloniserade avgiften (2 000 kronor) med mellan 85 till 183 procent.30 Frågan om avgifter för etikprövningsärenden har utretts i samband med utredande av en ny organisation för etikprövning (där en avgiftshöjning till 8 000 kronor för annan forskning än klinisk läkemedelsprövning föreslås, samt en höjning till 3 000 kronor för ändringsärenden)31. För just ärenden som rör klinisk läkemedelsprövning har föreslagits ett nytt förfarande, där kostnaden för den del av ansökningsavgiften för tillstånd att utföra klinisk läkemedelsprövning som avser etisk granskning bör vara 21 000 kronor.32 Vi utgår dock i vår bedömning från de avgifter som gäller i dag.
Vi gör bedömningen att ett ärende om etikprövning av forskningsdatabaser i genomsnitt kommer att vara mer resurskrävande än andra etikprövningar, men att det är svårt att säga exakt hur mycket mer resurskrävande. Vi gör ett schablonartat antagande att den nya typen av prövning kommer kunna vara dubbelt så resurskrävande som en vanlig prövning. Ett genomsnittligt ärende har i dag en kostnad på cirka 7 500 kronor. En rimlig avgift för ansökan om forskningsdatabas skulle därför inledningsvis kunna sättas till 15 000 kronor. Vi föreslår att en sådan bestämmelse tas in i bilaga 2 till etikprövningsförordningen.
Mot bakgrund av att ett ärende om etikprövning av en forskningsdatabas kommer att vara mer resurskrävande behöver även tiden inom vilken Etikprövningsmyndigheten ska ta ställning till etikprövningen
27 Bilaga 2 förordningen (2003:615) om etikprövning av forskning som avser människor (etikprövningsförordningen). 28 Regleringsbrev för budgetåret 2018 avseende regionala Etikprövningsnämnder, U2017/05023/BS (delvis), U2017/05089/F, s. 9. 29 Riksrevisionens årliga rapport 2017, s. 22. 30 Årsredovisningar 2016 för de regionala etikprövningsnämnderna i Göteborg, Linköping, Lund, Stockholm, Umeå och Uppsala, tillgängliga via https://www.epn.se/start/ 31 Departementsserien En ny organisation för etikprövning av forskning (Ds 2016:46), s. 116 f. 32 Departementsserien Etisk granskning av klinisk läkemedelsprövning (Ds 2016:12), s. 86 ff.
utökas. Enligt förordningen om (2003:615) om etikprövning av forskning som avser människor bör en regional etikprövningsnämnds33beslut om etikprövning av forskning göras inom 60 dagar. Med hänsyn till att etikprövning av forskningsdatabaser bedöms vara mer tidskrävande än andra etikprövningar föreslår vi ett tillägg till bestämmelsen med innebörden att beslut om etikprövning av en forskningsdatabas ska göras inom 120 dagar.
Sammanfattning
Genom dessa grundläggande krav på behandlingen anser utredningen att stommen för en ansvarsfull och säker behandling av personuppgifter i en forskningsdatabas är lagd. Därutöver måste fler skyddsåtgärder regleras. Vi beskriver dessa krav i det följande.
8.8.6. Etikprövningen av en forskningsdatabas
Vårt förslag: En forskningsdatabas ska bara få godkännas om
behandlingen av personuppgifter i forskningsdatabasen kan utföras med respekt för människovärdet
Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov.
En forskningsdatabas ska få godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde.
Forskningsdatabasen får inte godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet.
Behandling av personuppgifter som avses får godkännas bara om den är nödvändig för att forskningen ska kunna utföras.
Forskningsdatabasen får bara godkännas om forskningsdatabasen uppfyller villkoren för skapandet av en forskningsdatabas
33 Ändringar med hänsyn till den nya organisationen har ännu inte gjorts i förordningen.
och de krav på organisatoriska åtgärder som ställs i 3 och 4 kap. lagen om forskningsdatabaser.
Inledning
Forskning som är viktig för samhället och för människors välfärd bedrivs ofta med enskilda individer som försökspersoner eller genom att människor på annat sätt ingår i forskningen. I samband med sådan forskning uppkommer ofta olika etiska frågeställningar som berör ett allmänt intresse av att skydda de enskilda individerna, men också av att skydda människovärdet i stort.
De deltagande försökspersonerna behöver skyddas från risker att skadas fysiskt, psykiskt eller integritetsmässigt i samband med forskning. Integritetsaspekterna i samband med forskning har, i takt med det moderna samhällets utveckling, allt mer kommit att koncentreras till hanteringen av den information som samlas in och som utgör underlag för forskningen.
I 7–11 §§ nu gällande etikprövningslagen anges de allmänna utgångspunkter som gäller vid etikprövningen. Bestämmelserna har sin bakgrund i artikel 16 i Europarådets konvention om mänskliga rättigheter och biomedicin. Syftet med bestämmelserna är att skydda både människovärdet i stort och den enskilde forskningspersonens välbefinnande.34
En prövning från etiska utgångspunkter måste bygga på en helhetsbedömning av den forskning som en viss ansökan avser. Vid prövningen beaktas bland annat den aktuella forskningens frågeställningar, syfte, vetenskapliga värde, utförande, risker för forskningspersoner eller för synen på människovärdet, tilltänkta kontakter med forskningspersoner samt forskningsledningens och de deltagande forskarnas kompetens.35
34Prop. 2002/03:50 s. 196. 35 Utredningens om översyn av etikprövningen betänkande Etikprövning – en översyn av
reglerna om forskning och hälso- och sjukvård (SOU 2017:104), s. 68 ff.
Respekt för människovärdet
Skyddet för de personer som deltar i forskning är således av central betydelse när formerna för etikprövning ska regleras. Denna omsorg om den enskilde uttrycks på det sättet att vid etikprövningen får forskning godkännas bara om den bedrivs med respekt för människovärdet. Vi bedömer att detta villkor kan tillämpas även när forskningen ska utföras i en forskningsdatabas. En forskningsdatabas ska alltså bara få godkännas om behandlingen av personuppgifter i forskningsdatabasen kan utföras med respekt för människovärdet.
Mänskliga rättigheter och forskning
Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov.
Bestämmelserna innebär att välfärden för de människor som deltar i eller på annat sätt ingår i forskning ska gå före samhällets och vetenskapens intressen. De medför också enligt förarbetena att man vid etikprövningen bör se längre än till de direkta riskerna för de medverkande. I förarbetena konstateras att lagens krav både kan tala för och emot forskningen, eftersom människans välfärd i stort ofta gynnas av att forskningen kommer till stånd. Det framhålls också att det från samhällelig synpunkt är mycket viktigt att det skapas möjlighet att genom forskning utveckla ny kunskap.36
Vi bedömer att detta krav för godkännande utan materiella förändringar också ska tillämpas i samband med etikprövning av en forskningsdatabas.
Avvägning mellan risk och vetenskapligt värde
Av avvägningsregeln (9 § etikprövningslagen) följer att forskning får godkännas endast om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Enligt förarbetena ligger det i sakens natur att riskerna i normalfallet måste vara begränsade och att sökanden
måste visa att värdet av forskningen verkligen är så högt att det väger tyngre än intresset av att forskningspersonerna skyddas mot risker.37
Avvägningen ska göras i två steg. Först ska en bedömning av forskningens vetenskapliga bärkraft göras. Forskningen ska kunna generera kunskap som är väl underbyggd. Vid avvägningen ska också beaktas om de metoder som används ger tillförlitliga svar på forskningens frågeställningar eller det problem eller förhållande som forskaren vill belysa. Som allmänt krav på forskning där människor ska ingå bör gälla att forskningen ska kunna innebära teoretisk eller praktisk nytta för samhället och mänskligheten i stort.
Efter bedömningen av forskningens vetenskapliga bärkraft ska en avvägning göras mellan riskerna för skada eller obehag och det väntade värdet av den kunskap forskningen sannolikt kan ge. Vid denna så kallade risk-värdebedömning får riskerna inte stå i bristande proportion till forskningens potentiella allmängiltiga värde.
Risk- och värdebedömningen är enligt förarbetena ett av de mest centrala inslagen i etikprövningen. Avsaknaden av denna princip skulle teoretiskt kunna innebära att om bara det vetenskapliga värdet av viss forskning bedöms vara tillräckligt stort kan allvarliga skador på deltagande människor accepteras. Forskning kan leda till banbrytande upptäckter, men detta bör inte få genomföras på bekostnad av t.ex. bestående skador hos deltagande människor, i vart fall inte om skadorna kunnat förutses. Det bör därför finnas en grundnorm med innebörden att forskning får godkännas bara om den kan genomföras med respekt för människovärdet och om de risker för deltagarnas hälsa, säkerhet och personliga integritet som är förenade med forskningen uppvägs av dess vetenskapliga värde.38
Vi bedömer att denna avvägning också bör utgöra ett villkor för godkännande när forskningen utförs i en forskningsdatabas. När det gäller forskningsdatabaser kommer det i första hand handla om att vid prövningen bedöma riskerna för den personliga integriteten.
37Prop. 2002/03:50 s. 98, 99 och 196. 38Prop. 2002/03:50 s. 99.
Bedömning av det vetenskapliga värdet av en forskningsdatabas
Vid bedömning av det vetenskapliga värdet av den uppgiftssamling som en forskningsdatabas utgör kan ledning t.ex. hämtas från de kriterier som Vetenskapsrådet ställer vid utlysning av bidrag till databaser.39 Eftersom godkännande av forskningsdatabaser innebär en ny uppgift i samband med etikprövning kan Etikprövningsmyndigheten behöva anpassa sin kompetens till detta område, t.ex. genom att anlita externa experter för den vetenskapliga bedömningen av forskningsdatabasen.
Med utgångspunkt från de krav som Vetenskapsrådet ställer i samband med utlysning av bidrag, kan den vetenskapliga värderingen av en forskningsdatabas exempelvis göras utifrån följande kriterier.
- Forskningsdatabasens nationella eller internationella (alternativt allmänna) intresse.
- Forskningsdatabasens vetenskapliga mål.
- Forskningsdatabasens utvecklingsplan.
- Den aktuella och framtida forskning som möjliggörs eller avsevärt underlättas genom forskningsdatabasen.
- Befintliga och förväntade framtida användargrupper.
För att utgöra en forskningsdatabas i lagens mening måste databasen utgöra en nationell resurs. Vetenskapsrådets har återkommande inventeringar av vilka områden som anses ha tydliga behov av nya forskningsinfrastrukturer.40 Vid bedömningen av vilka forskningsinfrastrukturer som ska stödjas tar Vetenskapsrådet hänsyn till om resursen kommer att vara tillgänglig för alla forskare som är verksamma inom området. Vi gör bedömningen att den nationella tillgängligheten även är ett viktigt kriterium att använda vid bedömningen det vetenskapliga värdet av en forskningsdatabas.
Vi bedömer att avvägningsregeln i etikprövningslagen kan tillämpas även på forskning i form av forskningsdatabaser.
39 Vetenskapsrådets utlysning av bidrag till drift av databaser inom samhällsvetenskap och medicin 2015. 40 Se Bilaga till Vetenskapsrådets guide till infrastrukturen, Vetenskapsrådet 2016.
Bedömning av risker för den personliga integriteten
Den materiella prövningen av riskerna för forskningspersonernas personliga integritet har tidigare bedömts inte böra detaljstyras i lagform, eftersom forskning bedrivs på så många olika sätt, och att forskningsmetoder och andra förhållanden av betydelse ständigt utvecklas och förändras.41
Vi gör bedömningen att inte heller när det är fråga om forskningsdatabaser så bör kriterier för denna bedömning regleras. I stället bör mer generella normer på dataskyddsområdet beaktas. Några aspekter som allmänt bör ingå i Etikprövningsmyndighetens bedömning av riskerna för den personliga integriteten är mängden uppgifter som ska behandlas om varje enskild forskningsperson, känsligheten av uppgifterna isolerat och sammantaget, antalet forskningspersoner som totalt ingår i databasen, huruvida pseudonymisering kan användas i databasen och vilka källor som uppgifterna kommer ifrån.
Bedömning av om det finns alternativa metoder
Forskning får inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet (10 § etikprövningslagen). Forskningen bör således bara få genomföras om det inte finns några alternativa likvärdiga metoder som inte innefattar försök på människor eller om det kan utföras annan forskning som visserligen innefattar risker för människor men som innebär mindre risker än i det projekt som ansökan avser.42
Behandling av känsliga personuppgifter eller personuppgifter som rör lagöverträdelser m.m. får godkännas bara om den är nödvändig för att forskningen ska kunna utföras (10 § andra stycket etikprövningslagen).
Dessa befintliga villkor för etikgodkännande av forskning överensstämmer vad gäller behandling av personuppgifter de generella krav som finns i dataskyddslagstiftningen. Vi gör bedömningen att dessa villkor också måste vara uppfyllda för att en forskningsdatabas ska
41Prop. 2002/03:50 s. 101. 42Prop. 2002/03:50 s. 100.
kunna godkännas. Vi bedömer att denna bestämmelse i etikprövningslagen kan tillämpas även på forskning i form av forskningsdatabaser.
Grundläggande villkor och krav på organisatoriska åtgärder
Forskning får enligt nu gällande etikprövningslag godkännas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs (11 § etikprövningslagen). Med detta krav avses för svenska förhållanden en forskare med doktorsexamen eller en motsvarande utländsk examen. Forskaren förutsätts då ha lärt sig självständigt arbete och själv tillämpat vedertagna vetenskapliga undersökningsmetoder. Det bör enligt förarbetena inte ställas upp något generellt krav på viss examen eller kompetens. I stället får kompetensen ställas i relation till den forskning som är aktuell i ett visst fall och de etiska frågeställningar som den kan antas ge upphov till. Krav bör kunna ställas på att forskaren i fråga behärskar aktuella vetenskapliga metoder och i övrigt har visat sig lämpad att hantera ett sådant ansvar. Forskaren ska också ha erfarenhet av att ta ställning till forskningsetiska problem.43
Detta krav på forskare med behövlig vetenskaplig kompetens bör enligt vår mening gälla även för forskning i form av forskningsdatabaser. Det torde oftast vara fråga om en forskare som i en överinseende roll kan bedöma det vetenskapliga värdet av databasen som sådan, vilket kan antas ge upphov till frågeställningar om bl.a. metodik vid registerbaserad forskning. Om verksamhetschefen för en forskningsdatabas (se avsnitt 8.10.2) inte besitter denna kompetens, så får forskningshuvudmannen se till att det finns någon annan som har den kompetens som krävs för uppgiften och som kan bistå verksamhetschefen med att utöva den vetenskapliga kontrollen av forskningsdatabasen.
Utöver detta krav anser vi även att det i etikprövningslagen ska finnas uttryckliga krav på forskningsdatabasen som ska kontrolleras i samband med etikprövningen. Den skyddsåtgärd som etikprövningen i sig innebär fråntar på intet sätt forskningshuvudmannen från dennes ansvar att bedriva verksamheten vid en forskningsdatabas så att den
uppfyller de krav som ställs i dataskyddslagstiftningen och i forskningsdatabaslagen. För att etikprövningen ska bli en verklig skyddsåtgärd bör prövningen dock omfatta vissa grundläggande krav som ställs i forskningsdatabaslagen.
Vi anser att det är lämpligt att Etikprövningsmyndigheten i samband med etikprövningen ställer krav på forskningshuvudmannen att denne kan visa hur de grundläggande villkoren för att få skapa en forskningsdatabas är uppfyllda liksom även hur kraven på organisatoriska åtgärder uppfylls. Vi föreslår därför att dessa krav på etikprövningen ska uttryckas i etikprövningslagen.
8.9. Insamlingen av uppgifter till en forskningsdatabas
8.9.1. Behov av reglering i detta steg av livscykeln
En forskningsdatabas består av personuppgifter som samlas in från myndigheter, privata forskningshuvudmän och enskilda individer, eller från enbart någon av dessa källor. För att uppgiftssamlingen ska kunna få tillgång till uppgifter från myndigheter måste det finnas fungerande rutiner hos de registerförande myndigheterna för utlämnande av uppgifterna. Dessa myndigheter ska tillämpa de regler som gäller för utlämnande och kunna känna tillit till att uppgifterna hanteras på ett korrekt och säkert sätt i forskningsdatabasen.
Vi gör därför bedömningen att en ändamålsenlig reglering av forskningsdatabaser måste omfatta olika skyddsåtgärder. Detta är under vissa omständigheter också ett krav enligt dataskyddsförordningen (se avsnitt 8.2.4).
För att upprätthålla allmänhetens förtroende för forskningen är det viktigt att regelverket tillgodoser den enskilda individens integritetsskydd. Regleringen måste därför omfatta bestämmelser om sekretess och tystnadsplikt. Ett enhetligt sekretesskydd i forskningsverksamhet underlättar såväl utlämnande av uppgifter till forskningsdatabasen som utlämnande från databasen till olika forskningsprojekt.
Vi anser att det är grundläggande att det finns tillämpliga regler om sekretess som gäller för forskningshuvudmannen, liksom att det finns bestämmelser om inre sekretess (se avsnitt 8.10.5) som gäller för verksamheten. På så sätt får den utlämnande myndigheten ett tydligare underlag för sin menprövning.
Om den som ska lämna ut en uppgift vet att uppgiften skyddas även hos mottagaren är det mer sannolikt att det inte innebär någon skada eller men att lämna ut uppgiften. I avsnitt 5.5.5 har vi redogjort för hur en prövning av en forskares begäran om att få ta del av uppgifter från en statistikansvarig myndighet kan gå till.
Vilken betydelse den registrerades inställning har till att personuppgifter samlas in och används för forskning hör egentligen hemma i samtliga steg av livscykeln, men vi väljer att redovisa hur dessa frågor ska hanteras i detta avsnitt.
8.9.2. Direkt identifierbara uppgifter ska få behandlas i en forskningsdatabas
Vårt förslag: Personuppgifter i en forskningsdatabas får vara
direkt identifierbara, om det är nödvändigt för att uppfylla ändamålet med forskningsdatabasen.
Forskningshuvudmannen ska besluta om en forskningsdatabas ska få bestå av direkt identifierbara uppgifter eller om det är tillräckligt för ändamålet att uppgifterna är pseudonymiserade eller skyddade på annat sätt.
Enligt vad utredningen inhämtat om de forskningsdatabaser som finns i dag så är det en grundläggande egenskap hos de forskningsdatabaser som bevaras under lång tid, att uppgifter tillkommer eller förändras över tid. Endast i undantagsfall tillförs nya registrerade utan att de uppgifter som redan finns i databasen förändras. I vissa fall uppdateras uppgifterna relativt sällan, medan man i många andra fall har återkommande eller löpande uppdatering av uppgifterna i realtid.
En forskningsdatabas som fortlever över tid kan basera sig på
- återkommande insamlingar av en fast uppsättning variabler för en grupp registrerade personer,
- successiv tillförsel av uppgifter på nya variabler för en grupp registrerade,
- tillskott vid ett eller flera tillfällen av nya registrerade på en fast uppsättning variabler,
- sammanläggning av uppgifter på variabler från olika källor för samma registrerade, eller
- tillförsel över tid av såväl nya registrerade som nya variabler och dessutom nya mätvärden på existerande variabler för de redan registrerade.
För att göra uppdateringar av data behöver uppgifterna vara identifierbara. Det kan i undantagsfall vara möjligt att göra detta genom att vid särskilda tillfällen använda separat förvarade kodnycklar. Detta förutsätter att kodnyckeln bevaras under hela forskningsdatabasens livscykel.
Enligt dataskyddsförordningen ska uppgifterna i forskningsdatabasen korrigeras om de är felaktiga. I vissa fall kan den registrerade begära att få uppgifterna strukna. För detta krävs direkt eller indirekt identifierbara uppgifter.
För att kunna tillföra, rätta och radera uppgifter bedömer vi att det i normalfallet torde vara nödvändigt att forskningsdatabasen innehåller direkt identifierbara personuppgifter.
Forskningshuvudmannen ska ta ställning till om det behövs direkt identifierbara uppgifter för den aktuella forskningsdatabasen, eller om uppgifterna i forskningsdatabasen på något annat sätt kan identifieras vid tillförande, förändring eller radering av uppgifter.
Vi föreslår därför att det ska vara tillåtet att behandla direkt identifierbara uppgifter i en forskningsdatabas. Beroende på vilken typ av uppgifter som behövs för att uppfylla ändamålet med forskningsdatabasen, ska forskningshuvudmannen besluta om uppgifterna ska vara direkt identifierbara eller om det är tillräckligt att uppgifterna är pseudonymiserade eller skyddade på likvärdigt sätt.
I avsnitt 8.11.3 föreslår vi att uppgifter som lämnas ut från forskningsdatabasen som huvudregel ska vara pseudonymiserade eller skyddade på likvärdigt sätt.
8.9.3. En forskningsdatabas kan helt eller delvis bestå av uppgifter som samlas in direkt från den registrerade
Vår bedömning: Dataskyddsförordningen bör normalt inte inne-
bära något hinder för forskningshuvudmän att använda samtycke som rättslig grund för sin personuppgiftsbehandling. Det måste dock beaktas om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt, särskilt när den personuppgiftsansvarige är en offentligrättslig forskningshuvudman.
Forskningsdatabaser som skapas med stöd av vårt förslag till reglering kommer att kunna bestå av personuppgifter som samlas in från myndigheter respektive direkt från forskningspersonerna. Eventuellt kommer det även att skapas forskningsdatabaser som enbart behandlar uppgifter som samlas in direkt från forskningspersonerna.
Samtycke är en av de rättsliga grunder för behandling som är tillåten enligt dataskyddsförordningen. Om en behandling av personuppgifter i en forskningsdatabas grundar sig på samtycke ska forskningshuvudmannen kunna visa att den registrerade har samtyckt till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (artikel 6.1 a och 7.1 i dataskyddsförordningen).
Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11). Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32).
En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lättillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda.
Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).
Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den person-uppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).
I skäl 33 konstateras det att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.
Artikel 29-gruppen44 har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör enligt yttrandet göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en uppgift av allmänt intresse snarare än samtycke.45
Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. Denna begränsning innebär dock inte att ett inhämtande av samtycke ska förbises. Eftersom vi föreslår att en forskningsdatabas ska etikgodkännas kan ett samtycke, i de fall där det är genomförbart, anses vara en skyddsåtgärd som stärker databasens legitimitet.
44 Artikel 29-gruppen är EU:s oberoende rådgivande instans för dataskydd och skydd för privatlivet och som består av en företrädare för varje nationell tillsynsmyndighet i EUmedlemsstaterna, en företrädare för EU-kommissionen och den europeiske datatillsynsmannen. 45 Artikel 29-gruppens yttrande 15/2011 om definitionen av begreppet samtycke s. 13–14 och 16–17.
8.9.4. Den registrerade kan invända mot behandlingen
Vår bedömning: Det framgår av dataskyddsförordningen att den
registrerade kan invända mot behandlingen av hans eller hennes personuppgifter i en forskningsdatabas.
Den registrerade ska, enligt artikel 21 i dataskyddsförordningen, av skäl som hänför sig till dennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 e (bl.a. uppgift av allmänt intresse) eller f (intresseavvägning). Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det görs för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1).
Senast vid den första kommunikationen med den registrerade ska bl.a. rätten att göra invändningar uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information (artikel 21.4). Om personuppgifter behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska den registrerade ha rätt att göra invändningar mot behandling av hans eller hennes personuppgifter om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6).
Det är tre rättsliga grunder för behandling av personuppgifter som är relevanta vid forskning: samtycke, uppgift av allmänt intresse eller intresseavvägning. Artikel 21.6 i dataskyddsförordningen innebär att om den registrerade invänder mot behandling av dennes personuppgifter för forskningsändamål måste den personuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända.
Artikel 21.1 blir tillämplig om forskningen däremot baseras på den rättsliga grunden intresseavvägning. Om den registrerade gör invändningar mot att dennes personuppgifter behandlas i forskningsprojektet får den personuppgiftsansvarige inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.
Artikel 21 omfattar alltså de rättsliga grunder som personuppgiftsbehandling för forskningsändamål i praktiken kommer att grundas på, förutom samtycke som enligt artikel 7.2 alltid kan återkallas.
Bestämmelserna i dataskyddsförordningen innebär att den enskilde har vissa möjligheter att motsätta sig behandlingen av uppgifter i en forskningsdatabas. Vilka möjligheter den enskilde har att motsätta sig beror på vilken rättslig grund för behandling som forskningshuvudmannen använder sig av.
Eftersom rätten att göra invändningar mot behandlingen av personuppgifter är reglerad i dataskyddsförordningen ska det inte finnas någon sådan bestämmelse i den lag vi föreslår.
8.9.5. Forskningssekretess
Vårt förslag: Sekretess ska gälla hos en forskningshuvudman för
uppgift om enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.
Forskningssekretess ska innebära en inskränkning i meddelarfriheten.
Forskningssekretessen ska regleras i offentlighets- och sekretesslagen och ska ersätta bestämmelsen om sekretess för psykologiska undersökningar, som i stället ska omfattas av den nya bestämmelsen.
Forskningssekretessen ska inte omfattas av bestämmelserna som medger undantag från sekretess i 10 kap.23 och 27 §§offentlighets- och sekretesslagen.
Vår bedömning: De privata lärosäten som enligt vårt förslag ska
få ansvara för forskningsdatabaser kommer att omfattas av den bestämmelse om forskningssekretess som vi föreslår.
Det finns i dag ingen sekretessbestämmelse som generellt reglerar sekretesskyddet för enskilds personliga och ekonomiska förhållanden inom forskningsverksamheten. Som angetts i kapitel 5 finns det inom forskningsverksamheten vissa områden som inte är reglerade av någon primär sekretessbestämmelse. Sekretesskyddet för uppgifter i forskningen har därför blivit svåröverskådligt och inte heltäckande. Dessa
tillämpningsproblem är något som forskare gett uttryck för i samband med vår utredning. Detta har också konstaterats av Registerforskningsutredningen, som lämnat förslag på forskningssekretess och sekretess för uppgifter i forskningsdatabaser.46
En ny sekretessbestämmelse
Statistiksekretess är enligt huvudregeln i 24 kap. 8 § OSL absolut, vilket innebär att inga uppgifter får lämnas ut. Bestämmelsen innehåller detta till trots fyra undantag från huvudregeln. Det undantag som är mest relevant i forskningssammanhang är att uppgifter som behövs för forskningsändamål får lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (ett så kallat omvänt skaderekvisit). Här mjukas alltså den absoluta sekretessen upp. I kapitel 5 redogör vi mer utförligt om innebörden av de olika sekretessreglerna som finns i dag.
Registerforskningsutredningen pekade på de praktiska problem som ett bristande sekretesskydd kan ge upphov till vid sekretessprövningen hos den utlämnande myndigheten. Som ett exempel nämndes att SCB och Socialstyrelsen endast lämnar ut uppgifter om det står klart att uppgifterna kommer skyddas av statistiksekretessen enligt 24 kap. 8 § OSL hos den mottagande myndigheten.47 Utredningen menade att en forskarsekretess var vägen fram till ett starkare sekretesskydd som inte bara omfattar ett brett tillämpningsområde, utan även stärker den enskildes personliga integritet. Av det skälet menade utredningen också att sekretessen i en forskningssekretessbestämmelse enligt huvudregeln skulle vara absolut. Även här föreslogs dock ett undantag för utlämnande för forskningsändamål genom ett omvänt skaderekvisit.48 Det innebär att det är möjligt att lämna ut uppgifter för forskningsändamål efter en menprövning. Sekretessen är alltså inte absolut när det gäller utlämnande till forskning.
De praktiska problem som Registerforskningsutredningen tar upp i sitt betänkande har ännu inte fått någon lösning. Ett heltäckande
46SOU 2014:45, s. 395 ff. 0ch 452 ff. 47SOU 2014:45 s. 407. 48 En uppgift som omfattas av en sekretessregel med ett omvänt skaderekvisit är bara offentlig om det står klart att den kan lämnas ut utan risk för skada. Tvärt emot vad som gäller vid ett rakt skaderekvisit så är sekretess alltså huvudregeln och offentlighet undantaget.
sekretesskydd saknas fortfarande. För att upprätthålla allmänhetens förtroende för forskningen är det viktigt att regelverket tillgodoser den enskilda individens integritetsskydd. Det finns i dag flera olika bestämmelser som innebär sekretesskydd för personuppgifter som behandlas i forskning. Regelverket är dock inte lätt att överblicka, vilket skapar oklarhet om vad som gäller. Vi föreslår därför en bestämmelse om forskningssekretess till skydd för uppgift om enskilds personliga och ekonomiska förhållanden.
Undantaget från huvudregeln om absolut sekretess i statistiksekretessen innebär att man i stället tillämpar ett omvänt skaderekvisit vid utlämnande till forskning. Vi anser därför att samma sekretesskydd, det vill säga ett omvänt skaderekvisit ska gälla för forskningssekretessen. Detta ligger dessutom i linje med hälso- och sjukvårdssekretessen i 25 kap. 1 § OSL som även den omfattas av ett omvänt skaderekvisit. På så vis skapas ett heltäckande sekretesskydd med samma skyddsnivå oavsett vilken verksamhet som de begärda uppgifterna kommer från.
Vi föreslår således en ny bestämmelse om forskningssekretess som ska gälla hos en forskningshuvudman. Sekretessen ska omfatta uppgifter om enskilds personliga och ekonomiska förhållanden. Denna sekretessbestämmelse gäller således för uppgifter hos en forskningshuvudman oavsett om uppgifterna behandlas i en forskningsdatabas eller i enskilda forskningsprojekt. Uppgifter får bara lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller denna närstående lider skada eller men.
Forskningssekretess hos privata forskningshuvudmän som får ansvara för forskningsdatabaser
Sekretess innebär förbud att röja uppgift, vare sig det görs muntligen, skriftligen eller på något annat sätt. Som nämnts ovan omfattas i regel enskild forskningsverksamhet inte av sekretess enligt OSL annat än genom överföring och förbehåll.
Vid utlämnande av uppgifter som omfattas av statistiksekretessen till en privat forskningshuvudman brukar i stället den utlämnande myndigheten upprätta ett förbehåll som inskränker den enskildes rätt att lämna uppgifterna vidare. Annorlunda blir det dock då uppgifterna samlas in till en privat forskningshuvudman direkt från den enskilde
själv. I dessa fall saknas ett sekretesskydd för uppgifterna hos forskningshuvudmannen.
Vi föreslår att det enbart är vissa privata forskningshuvudmän som ska få ansvara för forskningsdatabaser (avsnitt 8.8.2). Juridiska personer och enskilda näringsidkare som bedriver högre utbildning och som har examensrätt enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL ska jämställas med myndigheter ska få ha ett sådant ansvar. Genom att det enbart är forskningshuvudmän som omfattas av offentlighets- och sekretesslagen som får vara personuppgiftsansvariga för forskningsdatabaser, kommer samtliga forskningshuvudmän som får inrätta forskningsdatabaser att omfattas av bestämmelsen om forskningssekretess.
Överföring av sekretess
I kapitel 5 har vi redovisat att bestämmelsen om överföring av sekretess i 11 kap. 3 § OSL medför att sekretessen kan överföras från den utlämnande myndigheten, om den mottagande myndigheten inte omfattas av en bestämmelse om primär sekretess. Detta innebär att en forskare vid ett statligt universitet eller högskola som inhämtar uppgifter från en statistikansvarig myndighet såsom t.ex. Socialstyrelsen ska tillämpa statistiksekretessen i 24 kap. 8 § OSL. Detta beror på att det i dag inte finns någon sådan generell forskningssekretess, som vi föreslår i detta kapitel.
Får en myndighet i sin forskningsverksamhet från en annan myndighet en sekretessreglerad uppgift, blir sekretessbestämmelsen enligt 11 kap. 3 § OSL tillämplig på uppgiften även hos den mottagande myndigheten. Forskningssekretess kommer därför att kunna överföras med stöd av denna bestämmelse. Om det inte skulle finnas någon sekretessbestämmelse som skyddar uppgifterna hos den myndighet som efter sekretessprövning får ut uppgifter, så kommer forskningssekretessen att bli tillämplig även hos den mottagande myndigheten. Vårt förslag om en särskild forskningssekretess kommer därför att göra skyddet för uppgifter inom forskningen mer heltäckande.
Meddelarfrihet
I avsnitt 5.5.3 redogör vi för meddelarfriheten och inskränkningarna därav.
Vid införandet av en ny sekretessbestämmelse måste man ta ställning till om den föreslagna tystnadsplikten bör ha företräde framför rätten att meddela och offentliggöra uppgifter. Enligt förarbetena till gamla sekretesslagen (1980:100) ska återhållsamhet iakttas vid prövningen av om en sekretessbestämmelse ska innehålla ett undantag från meddelarfriheten. En avvägning mellan sekretessintresset och rätten till offentlig insyn ska göras. Det angavs inga fasta kriterier på när en sådan begränsning får göras. Däremot ansåg lagstiftaren att sekretessbestämmelsens konstruktion kan ge viss vägledning. Ett omvänt skaderekvisit anges som ett skäl att överväga undantag från meddelarfriheten. Även det fallet där en uppgift lämnas av en enskild i en förtroendesituation bör tala för att ett undantag kan vara berättigat.49
Den sekretessbestämmelse vi föreslår avser uppgifter som används för forskningsändamål. I vissa fall kommer uppgifterna lämnas till forskaren direkt av en enskild. Syftet med vårt förslag är att dels stärka skyddet för de uppgifter som förekommer i forskningsverksamheter, dels bibehålla förtroendet för forskningen. Vi anser därför att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen bör ha företräde framför rätten att meddela och offentliggöra uppgifter.
Undantag från sekretess
Enligt generalklausulen i 10 kap. 27 § OSL får en sekretessbelagd uppgift lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Viss sekretess, som det har ansetts särskilt angeläget att upprätthålla i förhållande till andra myndigheter, bl.a. statistiksekretessen enligt 24 kap. 8 § OSL och hälso- och sjukvårdssekretessen i 25 kap. 1–8 §§ OSL har undantagits från generalklausulens tillämpningsområde.
I vissa fall har det ansetts viktigt att även sådan sekretess som har undantagits från generalklausulen kan brytas, bl.a. när det är fråga om misstankar om brott. När det bl.a. gäller uppgifter inom hälso- och sjukvården hindrar sekretess för uppgift i sådan verksamhet inte att
49Prop. 1979/80:2 Del A s. 111.
uppgift lämnas till en åklagarmyndighet eller en polismyndighet om uppgiften angår misstanke om vissa brott mot unga som inte fyllt 18 år (10 kap. 21 och 22 §§ OSL).
Som nämnts i avsnitt 5.5.3 får enligt 10 kap. 23 § OSL en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt bl.a. 24 kap. 8 § och 25 kap. 1 §, 2 § andra stycket eller 3–8 §§ samma lag lämnas till en åklagarmyndighet, polismyndighet eller annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).
När den s.k. LifeGene-lagen infördes bedömde regeringen att det skulle finnas vissa möjligheter att bryta sekretessen vid misstanke om allvarligare brottslighet. På motsvarande sätt föreslog Registerforskningsutredningen en sekretessbrytande regel i 10 kap. 23 § OSL för att möjliggöra ett utlämnande av uppgifter till en polismyndighet med anledning av grovt brott. Några av remissinstanserna
50
avstyrkte dock
denna del av utredningens förslag. Det motiverades med att en enskild som samtyckt till att medicinska uppgifter används i forskningens intresse, kan uppfatta detta som ett allvarligt integritetsintrång. Det anfördes också att en sådan möjlighet kan skada allmänhetens förtroende, vilket i förlängningen riskerar att göra det svårare att få samtycke till angelägen forskning.
Forskningsdatautredningen instämmer i dessa remissinstansers uppfattning och anser att dessa argument talar emot en reglering liknande den som Registerforskningsutredningen föreslog och som i dag gäller för LifeGene-lagen. Vi föreslår därför att forskningssekretessen inte ska omfattas av möjligheterna till undantag som regleras i 10 kap. 23 § OSL.
Av samma integritetsskäl anser vi att forskningssekretessen inte heller ska omfattas av möjligheterna till undantag från sekretess med stöd av generalklausulen i 10 kap. 27 § OSL.
50 SACO, TCO och Sveriges läkarförbund.
8.9.6. Tystnadsplikt hos samtliga privata forskningshuvudmän
Vårt förslag: Den som arbetar hos en enskild (privat) forsknings-
huvudman ska inte obehörigen få röja vad han eller hon i sitt arbete har fått veta om en enskilds personliga eller ekonomiska förhållanden. När någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning ska detta inte anses utgöra obehörigt röjande. I det allmännas verksamhet ska bestämmelserna i offentlighets- och sekretesslagen tillämpas.
Sekretess innebär förbud att röja uppgift, vare sig det görs muntligen, skriftligen eller på något annat sätt. Forskningsverksamhet hos en privat forskningshuvudman omfattas inte av sekretess enligt OSL annat än genom överföring och förbehåll. De privata forskningshuvudmän som får ansvara för forskningsdatabaser kommer dock att omfattas av bestämmelserna i offentlighets- och sekretesslagen (se avsnitt 8.9.5 ovan).
En utlämnande myndigheten brukar därför vid utlämnande till en privat forskningshuvudman upprätta ett förbehåll, som inskränker den enskildes rätt att lämna uppgifterna vidare. I de fall då uppgifterna samlas in till en privat forskningshuvudman direkt från den enskilde själv saknas ett sekretesskydd för uppgifterna hos forskningshuvudmannen. Avsnitt 5.5.4 handlar om tystnadsplikt i privat verksamhet.
Motsvarande förhållande mellan privata och offentliga huvudmän gäller i hälso- och sjukvården. Inom den offentligt bedrivna vården gäller hälso- och sjukvårdssekretess enligt OSL. För att uppgifter hos privata vårdgivare ska omfattas av motsvarande skydd gäller i stället tystnadsplikt enligt annan lagstiftning i den verksamheten. I privat hälso- och sjukvård gäller att den som tillhör eller har tillhört hälso- och sjukvårdspersonal inte obehörigen får röja vad han eller hon i sin verksamhet fått veta om den enskildes hälsotillstånd eller personliga förhållanden. Denna tystnadsplikt regleras i patientsäkerhetslagen (2010:659). Det är vår bedömning att en liknande struktur är lämplig även i forskningssammanhang. Som ett led i prövningen av vad som kan anses omfattas av tystnadsplikten (vara ett obehörigt röjande) kan en privat forskningshuvudman hämta ledning från den skade- och
menprövning som offentliga forskningshuvudmän följer enligt regelverket i offentlighets- och sekretesslagen.51
Vi anser att det behövs ett enhetligt skydd för uppgifterna även när de har lämnats ut från en forskningsdatabas till en privat forskningshuvudman. Därför behövs en generell regel om tystnadsplikt för privata forskningshuvudmän. Endast på så sätt kan tystnadsplikten för uppgifter som hanteras i forskningen bli heltäckande. En enhetlig tystnadsplikt gör det också enklare för utlämnande myndigheter att göra sin menprövning i samband med utlämnande av utgifter till en forskningsdatabas.
Vi föreslår därför en bestämmelse som anger att den som arbetar hos en privat forskningshuvudman har tystnadsplikt gällande det som han eller hon i sitt arbete har fått veta om en enskilds personliga eller ekonomiska förhållanden. Tystnadsplikten ska inte gälla i de fall någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. I bestämmelsen ska det finnas en upplysning om att det är offentlighets- och sekretesslagen som gäller för det allmännas verksamhet. Offentliga forskningshuvudmän och de forskningshuvudmän som enligt 2 kap. 4 § OSL ska jämställas med myndigheter, ska tillämpa de bestämmelser om forskningssekretess som vi föreslår i avsnitt 8.9.5.
8.10. Förvaltningen av en forskningsdatabas
8.10.1. Behov av reglering i detta steg av livscykeln
Förvaltningen av en forskningsdatabas innefattar alla åtgärder som krävs för att sköta databasen så att den ska kunna användas på ett ändamålsenligt och korrekt sätt. En reglering av forskningshuvudmannens organisatoriska åtgärder hör till nödvändiga bestämmelser i detta steg av databasens livscykel. Till förvaltningen av forskningsdatabasen hör också en säker och ändamålsenlig behandling av personuppgifter hos forskningshuvudmannen.
Bearbetning av uppgifterna innefattar till att börja med korrigering och rättelse av grunduppgifter som särskilt äger rum i samband med den inledande insamlingen av uppgifter, inklusive tillförandet av nya uppgifter efter hand. Därefter vidtar anpassning av uppgifterna för det
51 Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126), s. 132 ff.
ändamål som databasen är avsedd för. Detta inbegriper tolkning och omkodning av uppgifter samt organisering av observationer (registrerade personer eller händelser) på ett för forskningen ändamålsenligt sätt.
I vissa fall har ett omfattande arbete lagts ner på detta vid originalkällan. Ett exempel på detta kan vara de beräkningar av disponibel inkomst som görs av SCB för den officiella statistiken som är direkt användbara för forskare i många sammanhang. I andra fall krävs ett grundläggande originalarbete hos forskargruppen, exempelvis om man behöver klassificera textsträngar som ingår som värden på variabler från originalkällan. Tillförandet av nya registrerade samt nya mätningar eller nya uppgifter för befintliga registrerade utgör också en löpande uppgift för databasens förvaltare. En stor del av arbetet består således av förädling av det material som insamlades vid forskningsdatabasens inrättande. Gränsen mellan dataförvaltning, begreppsutveckling och analys av data blir i många fall inte tydlig utan uppgifterna integreras med varandra. Bearbetningen försiggår under hela forskningsdatabasens livscykel.
Förvaltningen av forskningsdatabasen innebär också teknisk hantering av information, behörigheter, säkerhet, utlämnande och administrativa rutiner i samband med skötseln av forskningsdatabasen.
Det finns här anledning att följa hur lagregleringen av forskningsdatabaser kommer att fungera i praktiken. Vetenskapsrådet bör enligt vår mening få i uppgift att regelbundet följa upp hur verksamheten bedrivs i olika forskningsdatabaser (se avsnitt 8.10.7).
Till förvaltningsfasen hör också en uppgift för forskningshuvudmannen att regelbundet ta ställning till om forskningsdatabasen fungerar på avsett sätt. Bör ändamålen för behandlingen av uppgiften revideras eller kan det finnas anledning att avveckla databasen?
8.10.2. Organisatoriska åtgärder
Verksamhetschef
Vårt förslag: Forskningshuvudmannen ska utse en verksamhets-
chef för forskningsdatabasen.
Verksamhetschefen ska minst en gång per år sammanställa och lämna information om behandlingen av personuppgifter i forskningsdatabasen till forskningshuvudmannen.
För att forskningshuvudmannen ska kunna utöva sitt ansvar över verksamheten som bedrivs i forskningsdatabasen genom hela dess livscykel, måste verksamheten vara organiserad på sådant sätt att den tillgodoser säkerhet och kvalitet. Denna verksamhet måste vara organiserad så att forskningshuvudmannen kan utöva kontroll över verksamhetens olika delar.
Ett sätt att utöva kontroll är att utse en verksamhetschef som inför forskningshuvudmannen ansvarar för att forskningsdatabasen fungerar på ett rättsenligt och säkert sätt. På så sätt finns en utpekad person med ett verkställande ansvar och som tillsynsmyndigheter, utlämnande myndigheter och enskilda kan vända sig till.
För att verksamheten i en forskningsdatabas ska kunna kontrolleras på ett effektivt sätt krävs det att ledningsfunktionen inom verksamheten är tydlig. En verksamhetschef ska därför bl.a. ansvara för den löpande verksamheten och upprätthålla och bevaka att behandlingen av personuppgifter uppfyller säker och god kvalitet och att verksamheten bedrivs kostnadseffektivt. Verksamhetschefen ska alltid ha det samlade ansvaret för forskningsdatabasens verksamhet, men kan och bör när det så krävs uppdra åt någon annan att sköta vissa uppgifter. Det kan bli nödvändigt om verksamhetschefen själv inte har den kompetens som krävs för att forskningsdatabasen ska bli godkänd vid etikprövningen. Forskning får enligt 11 § etikprövningslagen bara godkännas om den skall utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs.
Verksamhetschefen ska arbeta tillsammans med den organisatoriska enhet som ska ha i uppgift att säkerställa informationssäkerheten och skyddet för den personliga integriteten integritetsskyddet i forskningsdatabasen (avsnitt 8.10.3).
Verksamhetschefen har ett helt annat uppdrag än det dataskyddsombud som regleras i dataskyddsförordningen. Ett dataskyddsombud ska enligt förordningen ha till uppgift att informera de personuppgiftsansvariga, biträden och anställda om skyldigheterna enligt förordningen och andra unions- eller medlemsstatsreglerade dataskyddsbestämmelser. Ombudet ska också bland annat övervaka efterlevnaden av förordningen och samarbeta med tillsynsmyndigheten (artikel 39). Verksamhetschefen för en forskningsdatabas har ett konkret verkställande ledningsansvar för en forskningsdatabas,
medan dataskyddsombudet ska övervaka efterlevnaden av dataskyddsförordningen i hela forskningshuvudmannens verksamhet.
Verksamhetschefen ansvarar för att forskningshuvudmannen löpande får information om hur verksamheten i forskningsdatabasen bedrivs. Forskningshuvudmannen är beroende av denna insyn i verksamheten för att kunna utöva sitt yttersta ansvar. Vi anser att verksamhetschefen utöver den löpande informationen som forskningshuvudmannen behöver, minst en gång per år ska sammanställa och lämna skriftlig information om verksamheten.
Vi förslår således att forskningshuvudmannen ska utse en verksamhetschef som ska ansvara för den löpande hanteringen av forskningsdatabasen. Verksamhetschefen ska minst en gång per år sammanställa och lämna en redovisning med information om behandlingen av personuppgifter i forskningsdatabasen till forskningshuvudmannen.
8.10.3. En organisatorisk enhet med ansvar för informationssäkerhet och personlig integritet
Vårt förslag: Det ska hos forskningshuvudmannen finnas en
organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen. Enheten ska ha till uppgift att genom tekniska och organisatoriska åtgärder skydda enskildas personliga integritet och upprätthålla en tillräcklig säkerhetsnivå för de personuppgifter som behandlas i en forskningsdatabas.
Forskningshuvudmannen ska i denna organisatoriska enhet samla sådan kompetens som krävs för att förvalta och använda forskningsdatabasen på ett rättsenligt, effektivt och säkert sätt.
En forskningsdatabas kan komma att innehålla en stor mängd uppgifter om ett stort antal individer. Det kan också vara fråga om att behandla känsliga personuppgifter. För att minska de integritetsrisker som är förknippade med att behandla personuppgifter måste behandlingen vara omgärdad av olika typer av skyddsåtgärder. Det krävs också för att behandlingen är tillåten enligt dataskyddsförordningen.
Den personuppgiftsansvarige ska enligt artikel 25 genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje
specifikt ändamål med behandlingen behandlas. Framför allt ska säkerställas att personuppgifter inte görs tillgängliga för obehöriga.
Dataskyddsförordningen innehåller uttryckliga krav på s.k. inbyggt dataskydd52 och dataskydd som standard.53 Enligt artikel 25 ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder. De nödvändiga skyddsåtgärderna ska integreras i behandlingen, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas. Åtgärderna ska väljas med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter.
Detta kan också uttryckas som att den personuppgiftsansvarige ska låta integritetsfrågor påverka ett it-systems hela livscykel – från förstudie och kravställning via design och utveckling till användning och avveckling. Enligt vår uppfattning ska forskningshuvudmannen ta ett motsvarande ansvar genom forskningsdatabasens hela livscykel.
Enligt artikel 24 i dataskyddsförordningen ska forskningshuvudmannen genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med förordningen. Ett sätt att uppfylla kravet på organisatoriska åtgärder och på inbyggt dataskydd är att inrätta en särskild enhet i verksamheten. Detta kan vara en åtgärd för att stärka arbetet med integritetsskydd och informationssäkerhet vid behandlingen av uppgifter i forskningsdatabasen. Vi föreslår därför att det i forskningsdatabaslagen ska finnas en bestämmelse om att forskningshuvudmannen ska ha en sådan enhet. Inrättandet av enheten utgör i sig en sådan organisatorisk åtgärd. Det arbete som enheten ska ansvara för ska sedan vara att se till att ytterligare tekniska och organisatoriska åtgärder genomförs som är lämpliga med beaktande av behandlingens omfattning, sammanhang, ändamål och riskerna av varierande sannolikhet och allvar.
Syftet med att inrätta en sådan funktion är att stärka såväl persondataskyddet som informationssäkerheten i samband med forskningshuvudmannens behandling av personuppgifter i en eller flera forskningsdatabaser.
Den organisatoriska enheten ska ha till uppgift att se till att utlämnandet från forskningsdatabasen enligt huvudregeln (avsnitt 8.11.3)
52 Ibland används det engelska uttrycket privacy by design. 53 Ibland används det engelska uttrycket privacy by default.
görs med uppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt. Enheten ska också administrera behörigheter till åtkomst, bl.a. genom att styra åtkomsten för de som behöver ha åtkomst för att utföra sina arbetsuppgifter. I avsnitt 8.9.5 redogör vi för förslag till bestämmelser om inre sekretess, styrning av åtkomst och kontroll av åtkomst till personuppgifter. Det är enheten som ska ha det verkställande ansvaret för att genomföra forskningshuvudmannens ansvar för dessa skyddsåtgärder. Enheten ska också ansvara för arbetet med det systematiska och riskbaserade informationssäkerhetsarbetet.
Forskningshuvudmannen ska tilldela enheten de befogenheter och de uppdrag som behövs för att skydda personuppgifterna. Forskningshuvudmannen har ett ansvar för att de som arbetar på enheten har de kunskaper och den kompetens som krävs för att förvalta och använda forskningsdatabasen på ett rättsenligt, effektivt och säkert sätt. Det är forskningshuvudmannen som ansvarar för att enheten har tillräckliga resurser för sitt arbete.
Utredningen om personuppgiftsbehandlingen vid ISF föreslog att en liknande funktion skulle krävas vid behandling av personuppgifter hos Inspektionen för socialförsäkringen (ISF).54 Utredningen anförde bl.a. följande angående skälet till detta:
Automatiserad behandling av personuppgifter bör ges en sådan utformning att riskerna för otillbörliga intrång i enskildas personliga integritet minimeras. Det är här lämpligt att bygga in mekanismer i verksamheten – s.k. inbyggd integritet (eng. privacy by design) – som ger ett tekniskt och administrativt skydd vid behandlingen av sådana uppgifter.
Socialdataskyddsutredningen anförde i sitt betänkande55 angående förslaget om en integritetsskyddsfunktion att det får anses utgöra en skyddsåtgärd som är förenlig med dataskyddsförordningen.
Vi anser att det är nödvändigt att personuppgifter i en forskningsdatabas behandlas på ett sådant sätt att riskerna för otillbörligt intrång minimeras. Vi anser därför i likhet med Utredningen om personuppgiftsbehandling vid ISF att det är lämpligt att bygga in mekanismer i verksamheten som skyddar behandlingen. En enhet med ansvar för integritetsskydd är ett sätt att använda sig av inbyggd integritet.
54 Utredningen om personuppgiftsbehandlingen vid ISF:s betänkande Inbyggd integritet inom
Inspektionen för socialförsäkringen (SOU 2014:67).
55SOU 2017:66, s. 285 ff. och 458 ff.
Vi föreslår att det hos forskningshuvudmannen ska finnas en organisatorisk enhet som arbetar med integritetsskydd och informationssäkerhet.
8.10.4. Ett riskbaserat informationssäkerhetsarbete
Vårt förslag: Forskningshuvudmannen ska bedriva ett syste-
matiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet.
Forskningshuvudmannen ska tilldela tillräckliga resurser för informationssäkerhetsarbetet. Den som utför detta arbete ska hålla forskningshuvudmannen informerad.
Bestämmelsen vi föreslår tar sikte på forskningshuvudmannens ansvar för att säkerställa de grundläggande informationssäkerhetsaspekterna vid behandlingen av personuppgifter i forskningsdatabasen. Vi anser att en verksamhets arbete med informationssäkerhet innefattar nödvändiga och obligatoriska skyddsåtgärder vid behandling av personuppgifter.
Informationssäkerhetsarbetet ska syfta till att hindra obehörig åtkomst (konfidentialitet), att informationen inte förändras eller förstörs på ett obehörigt sätt (integritet), samt säkerställa tillgänglighet vid behörig användning. Det ska även vara möjligt att spåra vem som har gjort vad och när med informationen. Konfidentialitet, integritet, tillgänglighet och spårbarhet är centrala begrepp i arbetet för att nå en god informationssäkerhet.
Enligt 5 § Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1) ska varje myndighet bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. Ett ledningssystem är enligt 4 § i föreskrifterna ett sätt för organisationens ledning att på ett systematiskt sätt styra arbetet med informationssäkerhet i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksamhetens informationshantering. Ledningssystemet ska utformas utifrån verksamhetens behov och vara styrande för all hantering av information som myndigheten ansvarar för. Genom ledningssystemet ska myndigheten tydliggöra myndighetsledningens och den övriga
organisationens ansvar för myndighetens informationssäkerhetsarbete, tilldela nödvändiga befogenheter för de roller som arbetet med informationssäkerhet kräver, säkerställa att informationssäkerhetsarbetet bedrivs samordnat samt att det regelbundet utvärderas och löpande utvecklas. I detta arbete ska standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 beaktas. Tillräckliga resurser ska enligt dessa föreskrifter tilldelas för informationssäkerhetsarbetet samt löpande och regelbunden information lämnas till myndighetsledningen. Standarden ISO/IEC 27001:2014 anger de åtgärder och krav en verksamhet bör följa för att införa ett ledningssystem för informationssäkerhet. 56
De forskningshuvudmän som är statliga myndigheter omfattas alltså redan av denna skyldighet. Vårt förslag till en reglering av forskningsdatabaser ska dock tillämpas även av kommunala myndigheter som är forskningshuvudmän och av privata lärosäten. Vi föreslår därför en generell regel om krav på ett sådant informationssäkerhetsarbete oavsett vilken typ av forskningshuvudman det är som ansvarar för en forskningsdatabas.
I 2 § MSBFS 2016:1 stadgas att om det i en annan författning finns någon bestämmelse om statliga myndigheters informationssäkerhet som avviker från denna författning, gäller den bestämmelsen. Den föreslagna bestämmelsen i forskningsdatabaslagen avviker inte från MSBFS 2016:1. MSB:s föreskrifter gäller alltså för statliga forskningshuvudmäns informationssäkerhetsarbete även vid behandling av personuppgifter i en forskningsdatabas såvida avvikande bestämmelser inte meddelas i enlighet med det bemyndigande vi föreslår.
Vi föreslår att regeringen eller den myndighet som regeringen bestämmer ska få meddela ytterligare föreskrifter om det systematiska och riskbaserade informationssäkerhetsarbetet som forskningshuvudmannen ska bedriva. Sådana föreskrifter kan t.ex. innefatta specificerade krav på vilka standarder som ska beaktas i detta arbete. I likhet med vad som föreskrivs i MSB:s föreskrifter skulle ett krav på att beakta standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 kunna föreskrivas (mer om bemyndiganden i avsnitt 8.13).
56 Stöd för hur ett ledningssystem för informationssäkerhet (LIS) kan införas och utformas i en verksamhet finns på www.informationssäkerhet.se, ytterligare stöd för informationssäkerhetsarbete finns på www.msb.se.
Enligt vårt lagförslag ska det finnas en organisatorisk enhet som ansvarar för att genom tekniska och organisatoriska åtgärder säkerställa informationssäkerheten och skydda enskildas personliga integritet samt upprätthålla en tillräcklig säkerhetsnivå för de personuppgifter som behandlas i en forskningsdatabas. Vi föreslår alltså en organisatorisk hemvist för informationssäkerhetsarbetet hos forskningshuvudmannen. Den eller de personer som utses att leda och samordna informationssäkerhetsarbetet på denna enhet bör få en sådan ställning i organisationen att arbetet kan prioriteras och utföras effektivt. Det innebär att den eller de som utsetts behöver ha möjlighet och befogenhet att fullgöra uppgiften samt att ansvaret är känt och förankrat i verksamheten. Forskningshuvudmannen ansvarar för att det finns tillräckliga resurser för arbetet.
Det är viktigt att det finns ett tydligt utpekat ansvar för informationssäkerhetsarbetet samt att arbetet är ändamålsenligt och följer bestämmelserna i dataskyddsförordningen och den föreslagna lagen och andra författningar. Den eller de som ansvarar för informationssäkerhetsarbetet ska hålla forskningshuvudmannen informerad. Det kan t.ex. handla om information om de riskanalyser som har gjorts av informationssäkerheten, incidenter som har påverkat informationssäkerheten och som medfört eller hade kunnat medföra integritetsskador, uppföljningar som har gjorts samt förbättringsåtgärder som har vidtagits.
Genom dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident. Detta är enligt dataskyddsförordningen en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlats. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter. Detta regleras i artikel 33 och 34 (skäl 85–88).
Krav på incidentrapportering finns också i Myndigheten för samhällsskydd och beredskaps föreskrifter (MSBFS 2016:2) om statliga myndigheters rapportering av it-incidenter. Här ges föreskrifter om hur statliga myndigheter till MSB ska rapportera it-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten levererar till en annan organisation.
Krav på intern incidenthantering finns i 10 § MSBFS 2016:1. En myndighet ska enligt dessa ha rutiner för att identifiera, rapportera, bedöma, hantera och dokumentera incidenter som kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Myndigheten ska även ha rutiner för att lära av sådana inträffade incidenter och utförda åtgärder.
Det är oftast negativt att en avvikelse inträffar i en verksamhet. Däremot kan varje upptäckt av en sådan avvikelse vara något positivt och utgöra en nödvändig del av ett systematiskt förbättringsarbete Genom upptäckten av en avvikelse säkerställs dels att den kan åtgärdas, dels att verksamheten får en möjlighet att se över sin styrning och därigenom kan förhindra att liknande avvikelser återupprepas. Därmed utvecklas och säkras verksamhetens kvalitet.
Vi föreslår att en forskningshuvudman som ansvarar för en forskningsdatabas ska bedriva ett riskbaserat informationssäkerhetsarbete. Forskningshuvudmannen ska tilldela tillräckliga resurser för informationssäkerhetsarbetet. Den som utför detta arbete ska hålla forskningshuvudmannen informerad.
8.10.5. Intern tillgång till personuppgifter i en forskningsdatabas
Vi föreslår i detta avsnitt ett antal bestämmelser som på olika sätt reglerar den interna tillgången till personuppgifter i forskningsdatabasen. Det är bestämmelser om inre sekretess, styrning av behörighet till åtkomst och åtkomstkontroll (loggning).
Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull reduceras, får mer specifika krav fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen. För behandling av känsliga personuppgifter med stöd av artikel 9.2 g, i eller j i dataskyddsförordningen gäller att nationell lagstiftning ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Motsvarande krav gäller enligt artikel 10 i dataskyddsförordningen för nationell lagstiftning som tillåter behandling av uppgifter om lagöverträdelser utan kontroll av en myndighet. Olika skyddsåtgärder är således inte bara något som
kan framgå av nationell rätt, utan även något som i vissa fall måste fastställas i nationell rätt.
En avgränsning av vilka personuppgifter som får behandlas i en forskningsdatabas är ett förtydligande och en tillämpning av vad som gäller enligt den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Bestämmelserna om begränsningar av användares åtkomst till personuppgifter samt om uppföljning av åtkomsten är tänkta att innebära en konkretisering av dataskyddsförordningens bestämmelser om säkerhet. Genom att användaren endast får tillgång till sådana personuppgifter som han eller hon exempelvis har behov av i sitt arbete, kan risken för otillåten behandling av personuppgifter förbyggas eller åtminstone minskas. Loggkontroller medger uppföljning av användarnas behandling av personuppgifter och syftar till att upptäcka situationer då personuppgifter behandlats på ett otillåtet sätt.
Dataskyddsförordningen hindrar således inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras.57
Inre sekretess
Vårt förslag: Den som arbetar hos en forskningshuvudman ska
bara få ta del av personuppgifter i en forskningsdatabas om han eller hon behöver uppgifterna för sitt arbete hos huvudmannen.
Med inre sekretess avses frågan om i vilken omfattning befattningshavare får ta del av uppgifter som omfattas av sekretess och i vilken mån sådana uppgifter får lämnas mellan befattningshavarna. Bestämmelser om inre sekretess reglerar hur den interna elektroniska åtkomsten till personuppgifter får användas. I kapitel 5 redogör vi för inre sekretess.
I förarbetena till patientdatalagen (2008:355) menar man att inre sekretess inrymmer ett antal frågeställningar om hur integritetskänsliga personuppgifter om enskildas hälsa och andra personliga förhållanden bör hanteras inom en verksamhet för att motverka obefogade intrång i den personliga integriteten. Exempel på åtgärder som bedömdes som viktiga för att stärka den inre sekretessen var
57 Jfr SOU 2017:66 s. 285 ff. och 337 samt prop. 2017/18:171 s. 136 ff.
behörighetstilldelning och kontroll av elektronisk åtkomst, s.k. loggning.58 Det är vår bedömning att dessa tankegångar även gäller hos en forskningshuvudman.
Regler om inre sekretess avser att skydda enskilda från att uppgifter om dem sprids på ett obehörigt sätt inom ett sekretessområde. Även om uppgifterna finns tillgängliga inom en viss verksamhetsdel betyder det inte att uppgifterna får användas eller spridas obefogat inom detta område. Den som t.ex. arbetar i hälso- och sjukvården ska bara ta del av de uppgifter som han eller hon behöver för att utföra sina arbetsuppgifter. Den inre sekretessen avseende dokumenterade uppgifter är reglerad i patientdatalagen. Dessa centrala bestämmelser och principer bärs upp både av vårdgivare och yrkesutövare och säkerställer ett grundläggande skydd för patientens integritet. Detta skydd är helt nödvändigt för allmänhetens förtroende för hälso- och sjukvården. Vi anser att det i forskningsdatabaslagen ska införas en motsvarande bestämmelse om inre sekretess som ska gälla hos en forskningshuvudman.
Det ligger ett ansvar på forskningshuvudmannen att med hjälp av den enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen (se avsnitt 8.10.3) utveckla goda rutiner och adekvata metoder för att uppfylla de krav på säker och ändamålsenlig hantering av personuppgifter som måste ställas. Det innebär ett ansvar för att genom utbildning och på annat sätt se till att personalen känner till vad som gäller avseende hantering av personuppgifter. I detta ansvar ingår att följa upp att utarbetade rutiner och andra interna regler verkligen tillämpas av personalen i det vardagliga arbetet.
Syftet med en sådan bestämmelse är att bidra till att stärka integritetsskyddet och upprätthålla förtroendet för informationshanteringen i forskningsdatabasen samt göra det tydligt för den som arbetar med den när man får bereda sig åtkomst till uppgifterna.
Vi föreslår alltså att personuppgifterna i forskningsdatabasen ska skyddas av en uttrycklig bestämmelse om inre sekretess. Den som arbetar med en forskningsdatabas ska bara få ta del av de uppgifter som denne behöver för att utföra sina arbetsuppgifter hos forskningshuvudmannen.
58 Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126), s. 141 ff.
Intern elektronisk åtkomst
Vårt förslag: Forskningshuvudmannen ska bestämma villkoren
för tilldelning av behörighet för elektronisk åtkomst till personuppgifter i en forskningsdatabas. Behörigheten ska anpassas och begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter.
Regler om behörighetsstyrning är enligt utredningens bedömning nödvändiga för att tillgodose enskildas behov av integritetsskydd inom forskningen. Bestämmelser om behörighetsstyrning syftar till att upprätthålla integritetsskyddet och allmänhetens förtroende för informationshantering i forskningsdatabaser. En välutvecklad behörighetsstyrning kan ha positiva effekter inte bara på integritetsskyddet och på kvaliteten och effektiviteten i forskningen, utan även på informationssystemens användbarhet.
Vi vill tydliggöra att behörighetsstyrning inte endast handlar om åtgärder som begränsar utan även om åtgärder som anpassar informationstillgången efter användarens behov. Vi anser därför att det i bestämmelsen inte bara ska uttryckas att behörigheterna ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter utan också att behörigheterna ska anpassas till vad som behövs för arbetsuppgifterna. Utformningen av behörigheten för åtkomst ska inte enbart skydda den registrerades integritet utan den ska också säkerställa tillgång till de uppgifter som behövs för att förvalta och använda forskningsdatabasen på det sätt som avses i regleringen.
Behörighet för åtkomst är en användares faktiska möjligheter att ta del av uppgifter exempelvis i en forskningsdatabas. Behörighetsstyrningen är de organisatoriska, administrativa och tekniska åtgärder som ska vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete. Den som arbetar hos en forskningshuvudman ska tilldelas en individuell behörighet för åtkomst till uppgifter om enskilda.
Det är inte endast användarens behörighet för åtkomst till uppgifter som avgör vad som är tillåtet i enskilda fall. Behörigheten anger generellt, som nämnts ovan, endast vad användaren kan göra, dvs. vilka tekniska möjligheter användaren har att ta del av uppgifter. För att en användare ska få ta del av uppgifter krävs dessutom att denne
har behov av de aktuella uppgifterna för att kunna utföra sitt arbete. Det är här bestämmelserna om inre sekretess blir tillämpliga, se ovan.
Ju mer omfattande användarnas behörigheter är, desto större kan utrymmet sägas bli mellan vad användarna kan göra och vad de får göra. Det ställer stora krav på olika former av integritetsskyddande åtgärder som verkar både preventivt och reaktivt. Det handlar exempelvis om kontinuerlig information till användarna om vilka förväntningar forskningshuvudmannen har på hur uppgifter ska användas i verksamheten, om vad som är tillåten användning och inte. Ytterligare en viktig åtgärd är självklart systematiska och fortlöpande kontroller av användarnas åtkomst till uppgifter om enskilda.
Det är den enhet som ska ansvara för informationssäkerheten och integritetsskyddet (se 8.10.3) som ska ansvara för arbetet med behörighetsstyrningen till personuppgifterna i forskningsdatabasen.
Vi föreslår att forskningshuvudmannen ska bestämma villkoren för tilldelning av behörighet för elektronisk åtkomst till personuppgifter i en forskningsdatabas. Behörigheten ska anpassas och begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter. Detta utgör en viktig beståndsdel de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna i forskningsdatabasen.
Kontroll av elektronisk åtkomst
Vårt förslag: Forskningshuvudmannen ska se till att elektronisk
åtkomst till personuppgifter i en forskningsdatabas dokumenteras och kan kontrolleras.
Forskningshuvudmannen ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt personuppgifter i en forskningsdatabas.
En förutsättning för att överhuvudtaget kunna kontrollera om någon obehörig har tagit del av uppgifter om enskilda i en forskningsdatabas är att den åtkomst som förekommer till uppgifter dokumenteras, dvs. loggas.
Loggen bildar den behandlingshistorik som behövs för att kunna ta ställning till om en otillåten åtkomst har ägt rum. Av behandlingshistoriken måste det därför gå att utläsa den information som behövs
för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst.
Bestämmelsen som vi föreslår innebär att forskningshuvudmannen ska genomföra systematiska och återkommande kontroller av om någon obehörigen kommit åt uppgifter om enskilda. Det räcker därmed inte att göra kontroller vid särskilda fall när obehörig åtkomst misstänkts, utan kontrollerna ska göras systematiskt och återkommande.
Det är den enhet som ska säkerställa informationssäkerheten och integritetsskyddet (se avsnitt 8.10.3) i forskningsdatabasen som ska utföra arbetet med att dokumentera och kontrollera åtkomsten till personuppgifterna i forskningsdatabasen.
Vi föreslår att forskningshuvudmannen ska dokumentera och kontrollera åtkomsten till personuppgifter. Detta arbete utgör en viktig beståndsdel i de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna i forskningsdatabasen.
8.10.6. Intern uppföljning (revidering)
Vårt förslag: Forskningshuvudmannen ska regelbundet ta ställ-
ning till om behandlingen av personuppgifter i en viss forskningsdatabas ska fortsätta.
Forskningshuvudmannen är personuppgiftsansvarig för behandlingen av personuppgifterna i forskningsdatabasen. Detta ansvar innebär att behandlingen i varje stund måste vara laglig. Det finns därför anledning för den ansvarige att regelbundet bilda sig en uppfattning om hur forskningsdatabasen fungerar. Kan den användas på det sätt som planerades när beslutet om att inrätta en forskningsdatabas fattades? Är forskningsdatabasen ändamålsenlig? Kommer den att användas fortsättningsvis?
Om forskningshuvudmannen får indikationer på att forskningsdatabasen inte fungerar ändamålsenligt finns anledning att överväga om behandlingen av personuppgifter ska fortsätta. Finner forskningshuvudmannen att det inte finns någon sådan anledning måste forskningsdatabasen avvecklas. Se vidare avsnitt 8.12 om avvecklingen av en forskningsdatabas.
En långsiktigt bevarad forskningsdatabas kan efter många år visa sig kunna utgöra ett värdefullt underlag för annan forskning än den som var avsedd vid databasens tillkomst. Det kan, som anges i dataskyddsförordningens skäl 33, vara svårt att i detalj avgöra vilka frågeställningar inom forskningen som kan komma att få användning av databasen inom från början dess definierade gränser. Det kan även förekomma att det grundläggande ändamålet kan komma att behöva förändras i grunden. Ett gammalt forskningsområde kan ha fått minskad betydelse, exempelvis i samband med att det samhällsproblem som varit föremål för forskning försvunnit (t.ex. en smittsam sjukdom) eller ändrat karaktär. Forskningshuvudmannen bör därför löpande utvärdera formuleringen av ändamålet och vid behov ta ett beslut om förändrad inriktning. I samband med ett sådant ställningstagande måste forskningshuvudmannen bedöma om en sådan förändring är förenlig med grundläggande bestämmelser om dataskydd.
Vi föreslår att forskningshuvudmannen regelbundet ska ta ställning till om behandlingen av personuppgifter i en viss forskningsdatabas ska fortsätta.
8.10.7. Extern uppföljning och utvärdering
Vårt förslag: Vetenskapsrådet ska regelbundet följa upp och ut-
värdera verksamheten i en forskningsdatabas. Vetenskapsrådet ska i sin utvärdering granska forskningsdatabasen avseende säkerhet och ändamålsenlighet.
Vetenskapsrådet ska redovisa resultatet av sin utvärdering till regeringen.
Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvärdering ska utföras.
Vårt förslag till en reglering av forskningsdatabaser syftar till att göra det såväl lagligt som säkert att behandla personuppgifter i forskningsdatabaser. Eftersom behandling av personuppgifter i en forskningsdatabas kan innebära integritetsrisker för enskilda, måste verksamheten omgärdas av ändamålsenliga skyddsåtgärder och regler om organisation och ansvarstagande. Behandlingen av personuppgifter i
forskningsdatabaser kommer att vara föremål för tillsyn av Datainspektionen. Det är nödvändigt att det finns en kontroll över forskningsdatabasen så att denna personuppgiftsbehandling bedrivs med hög säkerhet och på ett rättsenligt sätt. Vi anser dock att det, utöver den insyn och kunskap som kan utvinnas genom tillsyn av verksamheten i forskningsdatabasen, även behövs en annan typ av myndighetskontroll.
Såväl regeringen som Vetenskapsrådet och tillsynsmyndigheten har behov av kunskap för att kunna följa utvecklingen när det gäller inrättande av forskningsdatabaser med stöd av den lagstiftning som utredningen föreslår. Sådan kunskap behövs för att på olika sätt kunna påverka utvecklingen i önskvärd riktning. Kunskapen är exempelvis värdefull när det gäller att bedöma effekterna av den nya lagstiftningen och kunna ställning till behov av förändringar i regleringen. Den utvärdering som vi föreslår att Vetenskapsrådet ska göra utgör således inte tillsyn. Däremot kan utvärderingen utgöra viktig information för tillsynsmyndigheten.
Detta uppdrag stämmer också väl överens med det uppdrag som Vetenskapsrådet redan har inom forskningens område. Myndigheten ska enligt sin instruktion bl.a. utvärdera forskning och bedöma forskningen och dess vetenskapliga kvalitet och betydelse och genomföra forskningspolitiska analyser samt ge regeringen råd i forskningspolitiska frågor. En betydelsefull del av myndighetens uppgifter handlar om att stödja utvecklingen av forskningsinfrastrukturer. I detta ingår att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och bistå forskare med information om relevanta bestämmelser om register.
Vi föreslår därför att Vetenskapsrådet också ska få i uppdrag att regelbundet följa upp och utvärdera verksamheten i forskningsdatabaser och redovisa resultatet till regeringen. Varje forskningsdatabas ska vara godkänd vid etikprövning. Information om vilka forskningsdatabaser som finns kommer därför att kunna inhämtas från Etikprövningsmyndigheten.
Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvärdering ska utföras. Sådana föreskrifter kan t.ex. reglera hur omfattande och frekvent sådana utvärderingar ska göras.
8.11. Användningen av en forskningsdatabas
8.11.1. Behov av reglering i detta steg av livscykeln
En forskningshuvudman skapar en forskningsdatabas för att uppgiftssamlingen ska komma till användning i forskningen. Därför kommer de frågor som hör ihop med detta steg i livscykeln främst att handla om villkoren och sättet för utlämning av uppgifter från forskningsdatabasen. Bestämmelserna om sekretess hör därför till detta steg, men dessa förslag behandlar vi dock i steg 2. Dessa frågor aktualiseras redan i samband med insamlingen av uppgifter till databasen. Formerna för åtkomst till uppgifterna i databasen hör också till detta steg.
Andra skyddsåtgärder som aktualiseras i detta steg är kravet på etikprövning av det forskningsprojekt som vill använda uppgifter i forskningsdatabasen.
Uppgiften för Vetenskapsrådet att initiera och stödja arbetet med utarbetandet av uppförandekoder (avsnitt 8.11.7) utgör också exempel på en typ av skyddsåtgärd som kommer att göra det lättare för forskningshuvudmännen att göra rätt.
8.11.2. Villkor för utlämnande av personuppgifter från en forskningsdatabas
Vårt förslag: Personuppgifter i en forskningsdatabas ska få lämnas
ut till ett forskningsprojekt under förutsättning att
1. tystnadsplikt enligt offentlighets- och sekretesslagen eller
denna lag inte hindrar det, och
2. forskningsprojektet har godkänts enligt etikprövningslagen.
Etikprövningslagen ska utvidgas så att kravet på etikprövning ska gälla alla forskningsprojekt som använder sig av personuppgifter som samlas in från forskningsdatabaser.
Personuppgifter som behandlas för att lämnas ut till forskning, får också lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.
Utöver de integritetsrisker som behandling av personuppgifter som insamlingen till och bevarandet av uppgifterna i forskningsdatabasen innebär tillkommer ytterligare riskfaktorer i samband med utlämnandet av uppgifter från forskningsdatabasen. Syftet med forskningsdatabasen är att använda uppgifterna för forskningsändamål. Forskningsdatabasen måste kunna fungera ändamålsenligt samtidigt som den enskildes integritet skyddas. Det är därför nödvändigt att omgärda själva utlämnandet av uppgifterna med en tydlig reglering som innefattar ytterligare skyddsåtgärder.
När en forskningshuvudman får en förfrågan om utlämnande av personuppgifter från en forskningsdatabas ska en prövning göras om uppgifterna får lämnas ut med hänsyn till reglerna om tystnadsplikt.
Uppgifter ska kunna lämnas ut från forskningsdatabasen såväl till forskningsprojekt där en myndighet är forskningshuvudman som till forskningsprojekt som bedrivs av privata forskningshuvudmän. Det är inte vilken typ av huvudman som ansvarar för projektet som ska ha betydelse för frågan om uppgifterna får lämnas ut, utan om de grundläggande villkoren är uppfyllda.
Utöver att det krävs att uppgifterna får lämnas ut med hänsyn till tystnadsplikten ska också krävas att forskningsprojektet har godkänts vid etikprövning. Detta krav ska gälla oavsett om forskningsprojektet avser att behandla känsliga personuppgifter eller uppgifter om lagöverträdelser eller inte. För forskningsprojekt som inte kommer att använda sig av uppgifter från forskningsdatabaser kommer de regler fortsätta att gälla som gäller i dag, det vill säga att endast forskningsprojekt som ska använda känsliga personuppgifter eller uppgifter om lagöverträdelser behöver ha ett etikgodkännande. Vi bedömer dock att det är ändamålsenligt att kräva en extra skyddsåtgärd avseende forskning som använder sig av personuppgifter från en forskningsdatabas.
Behandling av personuppgifter i en forskningsdatabas och utlämnande av uppgifter från den innefattar risker för den personliga integriteten som måste beaktas. För att sådan behandling ska vara godtagbar anser vi att det måste ställas sådana krav på säkerhet vid hanteringen att risker för felaktig hantering av uppgifterna minimeras. Vi anser därför att den behandling av personuppgifter som är syftet med en forskningsdatabas – att samla in och sedan lämna ut uppgifter för forskningsändamål – måste omfattas av etikprövning i två steg. Såväl själva forskningsdatabasen, som de forskningsprojekt som ska
använda sig av den måste vara etikprövade. Vi förslår därför att detta ska regleras som villkor i lagen om forskningsdatabaser, men det måste också leda till en utvidgning av den prövning som regleras i etikprövningslagen. Vi förslår därför även ändringar av etikprövningslagens tillämpningsområde. Lagen ska tillämpas på forskning som innefattar behandling av personuppgifter i en forskningsdatabas och även på forskning som innefattar behandling av uppgifter som samlas in från en forskningsdatabas.
Etikprövning av forskning som avser behandling av personuppgifter som begärs ut från en forskningsdatabas ska göras på motsvarande sätt som etikprövning av andra forskningsprojekt. Den enda skillnaden är att etikprövningen ska göras av alla sådana forskningsprojekt oavsett vilken typ av personuppgifter som begärs ut från forskningsdatabasen. En sådan forskning ska således etikprövas även om forskningen inte omfattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser.
I 7–11 §§ nu gällande etikprövningslagen anges de allmänna utgångspunkter som ska kontrolleras vid etikprövningen. Det är dessa villkor som ska prövas även för forskningsprojekt som använder uppgifter som begärs ut från forskningsdatabaser.
Vi bedömer att det är en lämplig skyddsåtgärd att all personuppgiftsbehandling som hör ihop med forskningsdatabaser ska omfattas av etikprövning. Därför föreslår vi att sådan forskning som ska baseras på uppgifter som begärs ut från en forskningsdatabas alltid ska etikprövas.
Det huvudsakliga syftet med en forskningsdatabas ska alltså vara att göra det möjligt att bygga upp databaser som kan utgöra underlag för forskningsprojekt och att lämna ut uppgifter till sådana projekt. För att möjliggöra granskning av sådana projekt som använder personuppgifter från en forskningsdatabas krävs också att utlämnande får göras även till ett universitet eller en högskola som genomför en utredning om misstanke om oredlighet i forskning. Vi anser också att lämnande av uppgifter till Överklagandenämnden för etikprövning ska vara möjlig så att yttrande enligt 1 kap. 16 § högskoleförordningen (1993:100) i samband med en sådan utredning kan lämnas.59
59 Enligt lagen (2018:147) om ändring i lagen (2003:460) om etikprövning av forskning som avser människor kommer den Centrala etikprövningsnämnden att ersättas av Överklagandenämnden för etikprövning. Enligt vad utredningen kunnat inhämta finns ännu inga beslutade ändringar av högskoleförordningen och förordningen. (2007:1068) med instruktion för
Vi föreslår således att personuppgifter i en forskningsdatabas ska få användas för att lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.
Enligt de regler som finns om god forskningssed60 ska forskningen kunna kontrolleras, vilket ställer krav på att andra forskare ska kunna få tillgång till uppgifterna. Forskningresultaten ska alltså kunna verifieras genom att det är möjligt att i detalj kontrollera beräkningar och analyser. Utöver detta ska ny forskning kunna verifiera resultat genom oberoende analyser med användning av samma metoder som den ursprungliga forskningen använde. Tillräcklig vetenskaplig evidens för att överföra forskningsresultat till praktisk tillämpning anses inte föreligga förrän en sådan verifierings- och replikeringsprocess har genomförts. För att detta ska vara möjligt krävs ofta tillgång till de ursprungliga uppgifterna. Om forskningen ska kontrolleras genom sådan annan forskning, ska i stället de grundläggande bestämmelserna om utlämnande till forskningsprojekt tillämpas.
8.11.3. Pseudonymisering och annat likvärdigt skydd
Vårt förslag: Personuppgifter som lämnas ut från en forsknings-
databas ska vara pseudonymiserade eller skyddade på likvärdigt sätt.
Personuppgifter får dock vara direkt identifierbara vid utlämnandet, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna ska lämnas ut till.
Pseudonymisering som skyddsåtgärd
Vi föreslår att uppgifterna som samlas in till och behandlas i en forskningsdatabas ska få vara direkt identifierbara om det är nödvändigt för att uppfylla ändamålet med uppgiftssamlingen (avsnitt 8.9.2) . Däremot anser vi att de uppgifter som lämnas ut från forskningsdatabasen för att användas i forskningen som regel inte ska få vara direkt
Centrala etikprövningsnämnden. Sådana förslag till ändringar finns i departementspromemorian En ny organisation för etikprövning av forskning, Ds 2016:46. 60 Vetenskapsrådet har år 2017 uppdaterat sin publikation God forskningssed, som finns att hämta på myndighetens webbplats www.vr.se
identifierbara utan ska vara pseudonymiserade eller skyddade på likvärdigt sätt.
I de allra flesta fall innebär forskningen att direkt identifikation av personer är ointressant. Det är därför oftast möjligt att arrangera uppgifterna på ett för den aktuella frågeställningen relevant sätt redan innan utlämnandet. Detta underlättas vidare om forskningsdatabasen förvaltas av forskningshuvudmannen där avståndet mellan forskare och databasförvaltare är relativt kort och de senare besitter den kompetens som forskningshuvudmannen bedömer nödvändig.
Av dataskyddsförordningen framgår också att tillämpningen av pseudonymisering kan minska riskerna för de registrerade och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i förordningen är dock inte avsett att utesluta andra åtgärder för dataskydd (skäl 28).
För att en åtgärd ska utgöra pseudonymisering krävs alltså att uppgifter som möjliggör identifikation ska förvaras separat. En s.k. kodnyckel kan användas för att ersätta direkta identifierare (t.ex. personnummer eller namn) I vissa fall kan kodnyckeln vara tillräcklig för att också eliminera möjligheten till indirekt identifiering. I andra fall krävs ytterligare separation av uppgifter från det ursprungliga materialet för att kriterierna för pseudonymisering ska vara uppfyllda. Vid fjärråtkomst till forskningsdatabasen kan en pseudonymisering åstadkommas genom att åtkomst erbjuds endast till en del av uppgifterna.
Pseudonymiserade uppgifter är fortfarande personuppgifter och faller därför inom förordningens tillämpningsområde. Pseudonymisering framhålls på flera ställen i dataskyddsförordningen som en tänkbar skyddsåtgärd. I praktiken är också pseudonymisering och liknande åtgärder viktiga för att skydda enskildas integritet i samband med forskning. Vid registerbaserad forskning är det exempelvis vanligt att personuppgifter lämnas ut från registren i kodad eller pseudonymiserad form.
Alternativ till pseudonymisering enligt dataskyddsförordningen
Den legaldefinition av pseudonymisering som finns i dataskyddsförordningen är strikt och ställer framför allt kravet på att uppgifterna inte ska kunna tillskrivas en specifik registrerad utan att kompletterande uppgifter (som en kodnyckel) används. Detta kräver att all information som direkt kan identifiera en person ersätts med pseudonymer/koder. Utöver detta krävs även att annan information som kan användas för att indirekt identifiera personen behandlas så att detta inte längre är möjligt.
Sådan behandling kan medföra att uppgifterna blir mindre lämpade för det aktuella forskningsändamålet.61 Sett till syftet med pseudonymisering bör det därför vara möjligt att använda alternativa skyddsåtgärder, som uppfyller samma syfte, och därmed ger ett likvärdigt eller bättre skydd. Utvecklingen, framför allt på det tekniska området, gör det mindre lämpligt att föreskriva en viss form av skyddsåtgärder om lämpligare tekniker kan komma att utvecklas i framtiden.
Vad är likvärdigt skydd?
Det skydd som följer av pseudonymisering utgörs främst av att identifierande uppgifter avlägsnas från de uppgifter som behandlas. Information som kan användas för att identifiera den enskilde bevaras separat och omgärdas av säkerhetsåtgärder. Detta hindrar att den enskilde sammankopplas med sina uppgifter.
Med likvärdigt skydd avser vi en åtgärd eller kombination av åtgärder som i samma utsträckning som pseudonymisering förhindrar att den enskilde obehörigen sammankopplas med sina personuppgifter. Med obehörig sammankoppling avser vi här en sammankoppling mellan den enskilde och dennes uppgifter som inte framgår från det angivna ändamålet med behandlingen.
Alternativa åtgärder kan åstadkomma ett likvärdigt skydd genom att exempelvis begränsa åtkomst till identifierande uppgifter, eller omfatta instruktioner för hur personuppgiftsbehandling får bygga på användning av identifierande uppgifter. Exempel på sådana åtgärder kan vara att en separat organisation har hand om sådan information
61 Se exempelvis diskussionen om skyddsåtgärderna randomisering och generalisering i avsnitt 12.3.3 i vårt delbetänkande SOU 2017:50.
som kan användas för att identifiera den enskilde, eller att instruktionerna för personuppgiftsbehandling inom ramen för forskningen uttryckligen förbjuder försök till återidentifiering.62
Detta likvärdighetskriterium för skyddsåtgärder gör det möjligt att exempelvis använda mindre ingripande metoder för att behandla uppgifterna, exempelvis att endast ersätta direkt identifierande uppgifter med pseudonymer eller koder (kodning), under förutsättning att ytterligare åtgärder vidtas för att säkerställa att någon obehörig sammankoppling mellan den enskilde och dennes personuppgifter inte görs.
Undantag från kravet på pseudonymisering eller likvärdigt skydd
Av artikel 89.1 i dataskyddsförordningen framgår att skyddsåtgärder vid personuppgiftsbehandling får inbegripa pseudonymisering under förutsättning att ändamålen kan uppfyllas på det sättet. Det finns alltså ett utrymme i förordningen att inte tillämpa pseudonymisering. Det kan förekomma forskningsmetoder där identifierande uppgifter såsom personnummer måste bevaras och/eller behandlas i själva forskningsverksamheten. Forskningsmetoden kan utgöra det minst ingripande sättet att uppnå det förväntade resultatet, och forskningens vetenskapliga värde kan väga upp risken för den enskildes personliga integritet. Det bör därför finnas en möjlighet att inte tillämpa pseudonymisering eller något annat likvärdigt skydd, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna lämnas ut till.63
Nödvändighetsrekvisitet ska här tolkas som i dataskyddsförordningen, dvs. en behandling är nödvändig om det önskade resultatet inte rimligen kan uppnås på annat sätt (jfr skäl 39). I vårt delbetänkande gjorde vi bedömningen att användning av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet, och att detta bör kunna beaktas vid en nödvändighetsbedömning. Vi diskuterade i detta sammanhang ingående nödvändighetsrekvisitet.64 Även användning av direkt identifierbara uppgifter kan i vissa fall medföra högre kvalitet och tillförlitlighet i forskningsresultat än om pseudonymiserade eller på likvärdigt sätt skyddade
62SOU 2017:50, avsnitt 12.3.2. 63SOU 2017:50 s. 288. 64SOU 2017:50 s. 124 ff.
uppgifter används. Detta ska enligt vår mening beaktas vid bedömningen av om det är nödvändigt att personuppgifterna som lämnas ut är direkt identifierbara.
I sammanhanget bör även uppmärksammas att 10 § etikprövningslagen ställer krav på att integritetskänslig forskning inte får godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners personliga integritet m.m.
Sammanfattning
Med beaktande av skaderisken vad gäller intrånget i den registrerades personliga integritet som sammankopplingen mellan dennes identitet och anknytande personuppgifter medför anser vi att det ska vara en huvudregel att forskningshuvudmannen ska skydda personuppgifterna i forskningsdatabasen genom att vid utlämning av uppgifterna tillämpa pseudonymisering eller något annat likvärdigt skydd. Endast undantagsvis ska det vara tillåtet för forskningshuvudmannen att lämna ut personuppgifter utan sådant skydd.
8.11.4. Utlämnande av uppgifter till LIS och andra forskningsdatabaser i Europa
I kapitel 11 lämnar vi förslag till en ny bestämmelse i offentlighets- och sekretesslagen som ska göra det möjligt att pröva utlämnande av uppgifter till forskningsdatabaser utanför Sverige som omfattas av dataskyddsförordningen.
8.11.5. Direktåtkomst ska inte vara tillåten för andra än de registrerade
Vårt förslag: Personuppgifter i en forskningsdatabas får inte
lämnas ut genom direktåtkomst annat än till den enskilde själv.
Syftet med den föreslagna lagen om forskningsdatabaser är att en forskningsdatabas ska kunna lämna ut uppgifter som ska ligga till grund för forskning och att dess uppgifter ska vara tillgängliga för många olika forskningsprojekt. Frågan uppkommer då på vilket sätt
som uppgifterna i forskningsdatabasen ska få lämnas ut. Hanteringen förenklas om det är möjligt och tillåtet att lämna ut uppgifterna elektroniskt, t.ex. genom direktåtkomst.
Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av.65 Se även avsnitt 3.3.9 om begreppets användning i olika sammanhang.
Effektivitetsskäl skulle kunna tala för ett utlämnande genom direktåtkomst av uppgifter från den forskningshuvudman som ansvarar för databasen och det forskningsprojekt som ska använda uppgifterna.
Det finns integritetsskäl som talar mot en sådan reglering. En forskningsdatabas kommer att innehålla personuppgifter, även känsliga personuppgifter och uppgifter om lagöverträdelser, om en stor mängd personer. Dessa skulle genom direktåtkomst kunna göras tillgängliga utan att forskningsprojektet kommer ha ett egentligt behov av samtliga uppgifter. Att ett större antal personer har möjlighet att ta del av uppgifter ökar risken för obehörig vidarespridning även om de personer hos den andra myndigheten som får del av informationen har tystnadsplikt.
Bestämmelser om direktåtkomst medför vidare att ett forskningsprojekt hos en mottagande myndighet vid en begäran om utlämnande måste överföra och ta del av information för att kunna göra en sekretessprövning, även av sådan information som den mottagande myndigheten egentligen inte är behov av i sin egen verksamhet. Att flera myndigheter ska göra sekretessprövning avseende samma material ökar också risken för att de olika myndigheterna tillämpar den gällande sekretessbestämmelsen på olika sätt.
Sammanfattningsvis anser vi att integritetsskäl talar mot att de mottagande forskningsprojekten ska ha direktåtkomst till personuppgifter i en forskningsdatabas.
Lagen bör därför innehålla en bestämmelse av vilken det framgår att utlämnande av personuppgifter i databasen genom direktåtkomst inte får förekomma.
65 Se t.ex. prop. 2004/05:164 s. 83, 2009/10 :85 s. 168 och 2011/12 :45 s. 133.
Eftersom avsikten är att personuppgifter i register enligt den föreslagna lagen ska kunna lämnas ut för att behandlas vidare i viss registerbaserad forskning, gör vi dock bedömningen att det inte bör uppställas några restriktioner för andra former av elektroniskt utlämnande av personuppgifter än direktåtkomst. Det bör således inte uppställas några särskilda begränsningar i fråga om t.ex. utlämnande på medium för automatiserad behandling.
Utlämnande genom fjärråtkomst utgör ett automatiserat utlämnande (således inte direktåtkomst) och kan reducera eller helt eliminera behovet av att kopiera uppgifter när de ska användas i enskilda forskningsprojekt. En forskningsdatabas som är gemensam för flera forskningsprojekt kan huvudsakligen lämna ut uppgifter genom fjärråtkomst. Denna metod för utlämnande kan ses som ett sätt att tillfredsställa dataskyddsförordningens princip om uppgiftsminimering. SCB:s MONA-system kan här användas som förebild.
8.11.6. Direktåtkomst för den registrerade själv
Vårt förslag: En forskningshuvudman ska få medge en registrerad
direktåtkomst till direkt identifierbara uppgifter om den enskilde själv som behandlas i en forskningsdatabas.
Innan uppgifterna lämnas ut på detta sätt till den registrerade ska forskningshuvudmannen pröva om uppgifterna får lämnas ut.
Den registrerade får under samma förutsättningar medges direktåtkomst till loggdokumentation.
Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst.
Allt fler medborgare förväntar sig att i de flesta sammanhang kunna använda sig av olika elektroniska tjänster. Inom hälso- och sjukvården t.ex. kan patienter söka information om sjukdomar och behandlingar via internet. Det har också blivit vanligt att patienter kan boka tider, förnya recept eller ställa frågor via internet. Patienter har även i stor utsträckning möjlighet att ta del av sina patientjournaler på nätet.
Mot bakgrund av den ökade digitaliseringen i samhället framstår det som naturligt att registrerade ges möjlighet att få direktåtkomst till sådana direkt identifierbara uppgifter i en forskningsdatabas som
får lämnas ut till dem. Vi anser att det är rimligt att erbjuda de registrerade möjlighet till insyn i den behandling av personuppgifter som en forskningsdatabas utgörs av. Det blir ett sätt för forskningen att ge något tillbaka till dem som bidrar med sina uppgifter för att möjliggöra ett ökat kunskapsläge.
Möjligheten att erbjuda patienter direktåtkomst till sina patientjournaler infördes genom patientdatalagen, som trädde i kraft år 2008. Det har tagit lång tid för vårdgivarna att införa system som möjliggör det. Det var först under år 2017 som möjlighet till sådan åtkomst kunde erbjudas i stor skala. Någon rättighet för enskilda att ha direktåtkomst till sina uppgifter till forskningsdatabaser bör därför inte införas för närvarande. I nuläget skulle det föra för långt att ålägga samtliga forskningshuvudmän en sådan skyldighet. Det är nödvändigt att ett sådant erbjudande kan genomföras på ett säkert sätt. Det måste t.ex. gå att säkerställa den registrerades identitet på ett sådant sätt att det är rätt person som får åtkomst till uppgifterna.
Direktåtkomsten bör avse sådana uppgifter om den enskilde själv som är lämpliga att lämnas ut till honom eller henne och som är direkt identifierbara. Om uppgifterna i en forskningsdatabas är pseudonymiserade eller skyddade på annat likvärdigt sätt, ska direktåtkomst inte erbjudas. Forskningshuvudmannen ska inte behöva göra uppgifterna direkt identifierbara i syfte att erbjuda direktåtkomst.
Uppgifterna i en forskningsdatabas kommer ofta vara av mycket integritetskänslig karaktär, och regelmässigt omfattas av sekretess (avsnitt 8.9.5) . Enligt 12 kap. 1 § OSL gäller sekretess som huvudregel inte mot den enskilde, om inte annat anges i lagen. I de fall där det saknas tillämpliga undantag från denna huvudregel utgör därför inte sekretessreglering ett hinder mot att erbjuda direktåtkomst för den enskilde.
Forskningsdatabaser kan omfattas av personuppgifter som är insamlade från hälso- och sjukvården. I vården är dessa uppgifter omfattade av hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL. En sådan sekretess kan i undantagsfall gälla mot patienten själv (25 kap. 6 § OSL). Det är en bestämmelse som ytterst sällan används, men som alltjämt finns kvar.66 I teorin skulle det därför kunna finnas uppgifter i en forskningsdatabas, som i hälso- och sjukvården inte skulle lämnas
66 Utredningen om rätt information i vård och omsorg föreslog i sitt betänkande Rätt infor-
mation på rätt plats i rätt tid (SOU 2014:23) att denna sekretessbestämmelse skulle upphöra
att gälla, s. 886 ff.
ut till patienten. Vi föreslår inte att det ska finnas någon sådan bestämmelse om sekretess mot den registrerade själv i anslutning till den forskningssekretess som ingår i våra förslag. Däremot ska ju en sekretessprövning göras vid utlämnande av uppgifter. Om forskningshuvudmannen vet att det finns uppgifter i forskningsdatabasen som det skulle kunna innebära men för den registrerade om de lämnades ut till denne, bör uppgifterna inte lämnas ut. Forskningshuvudmannen bör alltså inte erbjuda direktåtkomst till sådana uppgifter. Detta är dock troligen ett teoretiskt problem som sällan bör uppstå.
En registrerad som har fått direktåtkomst till sina uppgifter och som på egen hand tar del av dessa kanske kan ha svårt att förstå uppgifterna. En forskningshuvudman som erbjuder forskningspersonerna direktåtkomst till sina uppgifter bör därför också erbjuda de registrerade hjälp med att förstå vad det är de får ta del av.
Forskningshuvudmannen ansvarar för att enbart rätt personer i verksamheten får åtkomst till uppgifterna och för att åtkomsten används på rätt sätt. Därför finns det i vårt lagförslag krav på att forskningshuvudmannen ska styra och kontrollera åtkomsten. Genom att erbjuda de registrerade möjlighet till direktåtkomst till de loggar som dokumenterar vilken åtkomst som förekommit, kan forskningshuvudmannen få den registrerades hjälp med denna kontroll. Vetskapen om att en sådan kontroll från den registrerade kan förekomma, kan också ha en avhållande effekt mot felaktig användning av uppgifterna.
Vi bedömer att det krävs säkerhetsåtgärder för att forskningshuvudmän ska kunna medge de registrerade direktåtkomst till sina uppgifter. Det måste t.ex. finnas tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är inte möjligt att i lag precisera de krav som bör ställas. Vi föreslår därför att regeringen, eller den myndighet som regeringen bestämmer, efter samråd med Datainspektionen får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid direktåtkomst för forskningspersoner.
Sammanfattningsvis föreslår vi således att forskningshuvudmän ska få erbjuda forskningspersoner direktåtkomst till direkt identifierbara uppgifter om sig själva och till den logginformation som finns om åtkomst till dessa uppgifter.
8.11.7. Uppförandekoder som stöd vid behandling av personuppgifter i forskningsdatabaser
Vårt förslag: Vetenskapsrådet ska få i uppdrag att stödja forsk-
ningshuvudmännen i utarbetandet av gemensamma uppförandekoder.
Principen om ansvarsskyldighet som den uttrycks i dataskyddsförordningen innebär en skyldighet att kunna visa att regelverket följs. Förordningen pekar också på hur detta kan gå till. Exempelvis är ett sätt för den personuppgiftsansvarige att visa detta, att ansluta sig till en godkänd uppförandekod eller en godkänd certifieringsmekanism (art 24.3 och art 32.3).
I syfte att specificera hur dataskyddsförordningen ska tillämpas inom en viss bransch eller sektor, får sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden, utarbeta uppförandekoder (artikel 40).
I dataskyddsförordningens artikel 40 regleras vidare att medlemsstaterna, tillsynsmyndigheterna, Europeiska dataskyddsstyrelsen67och kommissionen ska uppmuntra utarbetandet av uppförandekoder. Dessa koder är avsedda att bidra till att förordningen efterlevs, med hänsyn till särdragen hos de olika sektorer där uppgifter behandlas, och de särskilda behoven hos mikroföretag samt små och medelstora företag.
En gemensam uppförandekod är alltså enligt dataskyddsförordningen en möjlighet för sammanslutningar som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden inom en viss bransch eller sektor, att specificera hur man i praktiken ska tillämpa dataskyddsförordningens bestämmelser, som i många avseenden är allmänt hållna. Uppförandekoder är möjliga även om det finns nationella bestämmelser som, med stöd i dataskyddsförordningen, närmare reglerar hur uppgifter får behandlas inom en sektor.
67 Europeiska dataskyddsstyrelsen kommer att inrättas när dataskyddsförordningen börjar tillämpas i maj 2018. Den kommer att bestå av representanter från samtliga EU-länders dataskyddsmyndigheter, däribland Datainspektionen (artikel 68 i dataskyddsförordningen). Styrelsen har befogenhet att fatta beslut i frågor där nationella tillsynsmyndigheter inte kan komma överens, ge råd och vägledning om hur dataskyddsförordningen ska tillämpas och godkänna EU-omfattande uppförandekoder och certifieringar (artikel 40–42 m.fl. artiklar i dataskyddsförordningen).
Uppförandekoder kan på flera sätt spela en viktig roll i tillämpningen av förordningen. En sådan kan tydliggöra hur förordningen ska tillämpas och på det sättet underlätta för den ansvarige att visa att den följer förordningen och på vilket sätt.
Av dataskyddsförordningen framgår att de som får utarbeta uppförandekoder är sammanslutningar och andra organ, som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden. Det är med andra ord företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som står bakom en kod, och som står som författare till koden.
Förordningen innehåller vidare ett aktivitetskrav på både nationella myndigheter och EU-gemensamma organ när det gäller utarbetandet av uppförandekoder. I förordningens artikel 40 sägs att medlemsstaterna, tillsynsmyndigheterna, dataskyddsstyrelsen och kommissionen ska uppmuntra utarbetandet av uppförandekoder.
Integritetskommittén anförde i sitt slutbetänkande att ”uppmuntra” bör förstås som att de nämnda organen ska initiera och stödja företrädare för personuppgiftsansvariga eller personuppgiftsbiträden i arbetet med att ta fram uppförandekoder.68
Enligt dataskyddsförordningen ska sammanslutningar och andra organ som avser att utarbeta en uppförandekod eller ändra eller utöka befintliga uppförandekoder, lämna in utkastet till den behöriga tillsynsmyndigheten. Tillsynsmyndigheten ska yttra sig om utkastet överensstämmer med förordningen och godkänna det om den finner att tillräckliga garantier tillhandahålls.
Om utkastet till kod godkänns, och om den berörda uppförandekoden inte avser behandling i flera medlemsstater, ska tillsynsmyndigheten registrera och offentliggöra uppförandekoden.
Dataskyddsförordningens regler behöver i många fall specificeras och förtydligas. Förordningens krav behöver beskrivas i praktiska anvisningar till de personuppgiftsansvariga för att kraven ska kunna göra någon verklig skillnad för den personliga integriteten och faktiskt bidra till bättre skydd och större tydlighet för de registrerade.
Vi bedömer att uppförandekoder på ett pedagogiskt sätt kan anpassas till de befattningshavare i de berörda verksamheterna som i praktiken gör bedömningar och val avseende hur uppgifterna ska behandlas i en forskningsdatabas. Vi anser därför att det vore önskvärt om de forskningshuvudmän som ansvarar för forskningsdatabaser tog
68 Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52), s. 75.
fram en uppförandekod till stöd för tillämpningen av dataskyddsförordningen och forskningsdatabaslagen vid behandling av personuppgifter. En säkrare rättstillämpning inom detta område stärker skyddet för den personliga integriteten.
Även om utarbetandet av förslag till uppförandekoder ska utföras av de personuppgiftsansvarigas eller personuppgiftsbiträdenas branschorganisationer, kommer arbetet med att uppmuntra, granska och godkänna uppförandekoder att behöva göras av nationella myndigheter och EU-gemensamma organ.
Vi bedömer att Vetenskapsrådet är den branschspecifika myndigheten som bäst känner till forskningshuvudmännen och de vanligast förekommande integritetsrelaterade frågorna och problemen. Det kan således vara lämpligt att myndigheten initierar arbetet genom att exempelvis samla forskningshuvudmännen till ett första möte där möjligheten till uppförandekod diskuteras. Myndigheten kan också vid behov hålla samman arbetet fram till dess att koden ska godkännas. Vi föreslår därför att Vetenskapsrådet ska få i uppdrag att initiera och stödja arbetet med framtagande av uppförandekoder för behandling av personuppgifter i forskningsdatabaser. Detta uppdrag stämmer väl överens med det uppdrag som myndigheten redan har att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och bistå forskare med information om relevanta bestämmelser om register. Detta framgår av 2 § förordningen (2009:975) med instruktion för Vetenskapsrådet.
Vi föreslår således att det av Vetenskapsrådets instruktion ska framgå att det också är en uppgift för myndigheten att initiera och stödja arbetet med att ta fram en gemensam uppförandekod enligt dataskyddsförordningen.
8.12. Avvecklingen av en forskningsdatabas
8.12.1. Behov av reglering i detta steg av livscykeln
En forskningsdatabas kan av olika anledningar behöva avvecklas. Behovet kan vara täckt av andra databaser, forskningsproblemet kan ha upphört att vara intressant, eller ny teknik kan ha utvecklats så att uppgifterna kan nås på annat sätt. Till detta steg i en forskningsdatabas livscykel, avvecklingen, hör frågan om uppgifterna ska gallras eller bevaras genom arkivering.
8.12.2. Arkivering
Vår bedömning: Arkivlagstiftningens principer om bevarande bör
vara utgångspunkten för uppgifter i en forskningsdatabas. Enligt vår bedömning är detta förenligt med dataskyddsförordningen. Någon särskild gallringsbestämmelse föreslås därför inte.
Utgångspunkter för bedömningen
Vårt föreslag till reglering av forskningsdatabaser innebär att statliga och kommunala myndigheter ska få behandla personuppgifter i forskningsdatabaser liksom även juridiska personer och enskilda näringsidkare, som bedriver högre utbildning och som enligt 2 kap. 4 § OSL ska jämställas med myndigheter samt har examensrätt enligt lagen om tillstånd att utfärda vissa examina (se avsnitt 8.8.2). Som konstaterat i avsnitt 5.6 har myndigheter och andra jämställda organ på grund av offentlighetsprincipen en grundläggande skyldighet att bevara sina allmänna handlingar i arkiv.
Sådana forskningshuvudmän som behandlar personuppgifter i en forskningsdatabas ska enligt vårt förslag vara personuppgiftsansvarig för behandlingen. Arkivlagstiftningen gäller för dessa myndigheter och organ enligt arkivlagen (se avsnitt 5.6). För organ som avses i 2 kap. 4 § första meningen OSL gäller arkivlagen till den del arkivet härrör från den verksamhet som avses i bilagan till offentlighets- och sekretesslagen. Detta innebär att de aktuella forskningshuvudmännen har en grundläggande skyldighet att arkivera allmänna handlingar.
Varje myndighet69 är ansvarig för arkivvården av den egna myndighetens handlingar. Enligt arkivlagen är huvudprincipen bevarande. Allmänna handlingar ska alltså som huvudregel bevaras i myndigheternas arkiv. En myndighets arkiv består av de allmänna handlingarna från myndighetens verksamhet och vissa andra handlingar som myndigheten beslutar ska tas om hand för arkivering.
Arkivvård innefattar även gallring. Enligt 10 § tredje stycket arkivlagen är denna lag subsidiär till avvikande bestämmelser om gallring av vissa allmänna handlingar i lag eller förordning. Vid gallring ska det alltid beaktas att arkiven utgör en del av kulturarvet och att det
69 När det fortsättningsvis står myndighet eller statlig myndighet innefattas som ovan angetts även de organ som enligt 2 kap. 4 § OSL ska jämställas med myndigheter.
arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, forskningens behov m.m.
Allmänna handlingar hos en statlig myndighet får endast gallras i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Bestämmelser om att uppgifter ska gallras ur register med känsliga uppgifter finns i olika registerförfattningar, se avsnitt 5.6.4.
Vi har i avsnitt 5.6.2 gått igenom dataskyddsförordningens bestämmelser om arkivering och arkivändamålens särställning. Den behandling av personuppgifter som myndigheter och andra utför när de arkiverar sina handlingar i enlighet med bestämmelser om arkiv utgör en sådan ytterligare behandling, vidarebehandling, som görs för arkivändamål av allmänt intresse och som enligt förordningen inte ska anses oförenlig med de ursprungliga ändamålen. Det krävs inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Den personuppgiftsansvarige ska se till att behandlingen omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Den personuppgiftsansvarige ges alltså i dessa fall ansvaret för att i det enskilda fallet se till att lämpliga skyddsåtgärder tillämpas.
Enligt 3 kap. 6 och 8 §§ dataskyddslagen får känsliga personuppgifter och personuppgifter som rör lagöverträdelse behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. När det gäller allmänna handlingar konstaterar regeringen att det finns sådana lämpliga och särskilda åtgärder som skyddar enskildas integritet och som krävs enligt dataskyddsförordningen t.ex. i form av sekretess, rätt till partsinsyn och föreskrifter om informationssäkerhet.
Bevarande eller gallring som huvudregel?
Frågan är vilken reglering som är lämplig i lagen om forskningsdatabaser, dvs. om arkivlagens princip om bevarande bör vara huvudregeln eller om utgångspunkten bör vara den motsatta, alltså att uppgifterna som huvudregel bör gallras. I kapitel 5 redogör vi för dessa principer.
Vid besvarande av frågan bör hänsyn tas till integritetsaspekter, möjligheterna till insyn samt till forskningens behov.
De databaser som kommer att möjliggöras genom den föreslagna lagen kommer att kunna innehålla en stor mängd personuppgifter, även känsliga sådana. Uppgifterna kan både vara insamlade efter samtycke av enskilda individer och inhämtade från myndighetsregister eller andra källor.
För de forskningshuvudmän som omfattas av våra förslag är de aktuella uppgifterna allmänna handlingar. Bevarande är den principen som gäller för allmänna handlingar, på grund av bland annat offentlighetsprincipen. Eftersom forskningshuvudmannen är bunden av arkivlagen är därför bevarande en utgångspunkt. Kravet på medborgerlig insyn och kontroll av myndigheternas verksamhet är dock inte lika starkt som i vissa andra fall eftersom uppgifterna i en forskningsdatabas inte ska användas vid myndighetsutövning mot enskilda individer. Det finns dock andra skäl för bevarande när det gäller uppgifter i en forskningsdatabas.
Databaserna kommer att kunna existera under lång tid. Det kan förutsättas att forskningsprojekt som kommer att hämta uppgifter från sådana forskningsdatabaser som möjliggörs enligt den föreslagna lagen kommer att kräva tillgång till uppgifter som ligger långt tillbaka i tiden, t.ex. för longitudinella studier. Syftet med lagen om forskningsdatabaser är att möjliggöra insamling av personuppgifter som ska kunna användas i olika, även framtida, forskningsprojekt. Det är därför tänkt att forskningsdatabaserna ska kunna bidra med uppgifter till flera olika forskningsprojekt. För tidig gallring skulle motverka detta syfte.
Eftersom de forskningsdatabaser som möjliggörs enligt lagen ska kunna användas för olika forskningsprojekt under lång tid och även möjliggöra tillgång till uppgifter som ligger långt tillbaka i tiden, kommer det att vara svårt att fastställa när uppgifterna inte längre behövs i en forskningsdatabas.
Vidare är möjligheten att granska tidigare utförd forskning viktig. Det finns en risk att granskning försvåras om personuppgifter gallras alltför snabbt.
Med hänsyn till det anförda är det i vart fall så länge en databas består en utgångspunkt att uppgifterna i den bör bevaras. Det finns annars risk för stora informations- och kunskapsförluster.
Integritetshänsyn kan tala för en specialreglering för forskningsdatabaser med gallring som utgångspunkt. Den handlar ju om att behandla en stor mängd uppgifter, och i många fall även integritetskänsliga personuppgifter. Särskilda gallringsföreskrifter om att uppgifter ur register med känsliga personuppgifter ska gallras finns ofta i s.k. registerförfattningar. I sådana som reglerar register med integritetskänsliga personuppgifter är det vanligt att det föreskrivs att personuppgifter ska gallras när uppgiften inte längre behövs för sitt ändamål. Det rör sig då om bestämmelser som på grund av integritetshänsyn avviker från arkivlagstiftningens huvudregel om bevarande. Då gäller normalt en omvänd princip i förhållande till den som gäller enligt arkivlagen. Sådana uppgifter ska ofta gallras senast efter en viss tid, om inte undantag har föreskrivits i registerförfattningen eller i andra bestämmelser som meddelats med stöd av denna. I avsnitt 5.6.4 redogör vi för gallringsföreskrifter i särskilda registerförfattningar.
Det finns anledning att även i detta avsnitt nämna gallringsbestämmelserna i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen) samt i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen). Bestämmelserna i de lagarna innebär att huvudregeln är att gallring ska göras när uppgifterna inte längre behövs för de ändamål de behandlas för. Motivet har varit att integritetsskyddsintresset har ansetts väga över intresset av att bevara handlingarna. När det gäller IFAU-lagen vägdes även in att merparten av de uppgifter som IFAU behandlar ursprungligen har hämtats från andra myndigheter och att intresset av att uppgifterna bevaras anses tillgodosett genom att de myndigheter uppgifterna hämtats ifrån i stor utsträckning arkiverar och bevarar och arkiverar uppgifterna i enlighet med arkivlagens bestämmelser.
Till skillnad från den ovan nämnda IFAU-lagen ska behandling av uppgifterna i LifeGene-registret göras med stöd av den registrerades uttryckliga samtycke till behandling för vissa bestämda ändamål. I förarbetena till LifeGene-lagen angavs att det är troligt att uppgifterna i registret kommer att behöva lagras för de primära ändamålen under mycket lång tid. Gallringsbestämmelsen föreslogs ändå med motiveringen att det inte kan uteslutas att det kan komma att visa sig att vissa uppgifter inte längre behövs och därför kan gallras.
I remissbehandlingen av den promemoria som föregick propositionen till LifeGene-lagen framfördes kritik mot den föreslagna
gallringsbestämmelsen. Skåne läns landsting och Statens medicinsketiska råd ställde sig frågande till den i promemorian föreslagna bestämmelsen om att personuppgifter som bedöms inte längre behövas för de primära ändamålen ska utplånas eller avidentifieras. Med hänsyn till ändamålet med registret ifrågasatte myndigheterna när och om utplåning eller avidentifiering av uppgifter skulle bli aktuell.
Örebro universitet påpekade att det finns en potentiell risk att en granskning vid eventuella metodologiska frågetecken eller forskningsfusk i tidigare studier försvåras om personuppgifter utplånas alltför snabbt. Örebro universitet föreslog att man kan överväga säker arkivering av material med åtkomst endast i de fall då det finns metodologiska frågetecken eller när man misstänker forskningsfusk, åtminstone för större eller kontroversiella projekt, under en period av några år efter det att projektet har avslutats.
Riksarkivet framförde att det enligt myndighetens uppfattning saknas motiv för att meddela från arkivlagen avvikande bestämmelser om gallring av personuppgifter.70
I Registerforskningsutredningens förslag till lag om forskningsdatabaser fanns en gallringsbestämmelse som överensstämmer med den som finns i LifeGene-lagen. Utredaren gjorde en avvägning av de olika intressen som ställdes mot varandra. Enligt utredningen talade integritetsaspekterna och att uppgifterna inte skulle användas vid myndighetsutövning för en specialreglering med gallring som utgångspunkt. Kravet på medborgerlig rätt till insyn och kontroll av myndigheternas verksamhet bedömdes relativt sett inte vara lika starkt.
Å andra sidan poängterades att forskningsdata skulle sparas i databasen under lång tid för att göra det möjligt att efter utlämnande genomföra longitudinella studier eller undersöka till exempel vad olika förhållanden i ungdomen har för betydelse för sjukdom senare i livet. Det var alltså troligt att uppgifterna i registret skulle komma att behöva lagras för de primära ändamålen under mycket lång tid. Det anfördes att många projekt förutsätter att man har tillgång till uppgifter som ligger långt tillbaka i tiden. De insamlade personuppgifterna skulle kunna användas i olika ännu inte specificerade forskningsprojekt, vilket enligt utredaren gjorde att det skulle komma
att bli svårt att fastställa en tidpunkt när uppgifterna inte längre behövdes i databasen.
Detta, jämte möjligheten att granska tidigare utförd forskning, talade enligt utredaren för bevarande i stället för gallring. Utredaren drog dock slutsatsen att skälen för gallring vägde tyngre och konstaterade att även om det krävs att uppgifterna bevaras under lång tid så är det viktigt att sådana uppgifter som inte längre behövs för de primära ändamålen ska gallras.
Det kan dock enligt Registerforskningsutredningen uppstå situationer där det finns anledning att bevara uppgifterna. När det gäller formuleringen av bestämmelsen hänvisar utredaren till hur bestämmelserna brukar se ut i de särskilda registerförfattningarna. Regeringen eller den myndighet regeringen bestämmer skulle enligt registerforskningsutredningen ges möjlighet att meddela föreskrifter eller i ett enskilt fall besluta att uppgifterna skulle bevaras för historiska, statistiska eller vetenskapliga ändamål.
I remissbehandlingen av Registerforskningsutredningens förslag tillbakavisade Riksarkivet gallringsbestämmelsen och anförde att arkivlagens regler borde gälla. Riksarkivets angav som skäl för denna ståndpunkt att andra föreslagna bestämmelser i den nya lagen skyddar den personliga integriteten, som exempelvis att samtycke fordras för behandlingen av personuppgifter som lämnas direkt från den enskilde och kan återkallas av den enskilde, att uppgifter som hämtas från andra myndighetsregister enligt huvudregeln får behandlas under förutsättningen att uppgifterna inte direkt kan hänföras till en person, att kodnyckelförfarande ska tillämpas och att personuppgifter som inte direkt kan hänföras till en person inte ska få behandlas i syfte att röja en persons identitet. Riksarkivet ansåg vidare att den föreslagna ändamålsanknutna gallringsbestämmelsen skulle bli svår att tillämpa eftersom ändamålen var brett formulerade.
Riksarkivet ansåg slutligen att införandet av en gallringsbestämmelse är direkt missvisande, eftersom uppgifter som kan behövas för olika forskningsprojekt i bl.a. longitudinella studier måste bevaras under mycket lång tid. Riksarkivet tillade även att arkivlagens bestämmelser inte utesluter gallring. Det anfördes att om uppgifter i en forskningsdatabas inte är nödvändiga för att tillgodose arkivlagens ändamål, i detta fall forskningens behov eller för att tillgodose det nationella kulturarvet, kan föreskrifter om gallring meddelas av Riksarkivet. Även Socialstyrelsen var negativ till bestämmelsen och
menade att den var otydligt formulerat och skulle riskera att öppna upp för godtyckliga resonemang.
Vi instämmer i att en gallringsbestämmelse som stadgar att gallring ska göras om uppgifterna inte behövs för ändamålet kan vara svår att tillämpa eftersom det sannolikt sällan kan konstateras att uppgifter inte längre behövs. Dessutom instämmer vi i att en sådan bestämmelse kan vara missvisande av den anledningen att den stadgar gallring som huvudregel, trots att gallring i praktiken skulle bli en mycket ovanlig åtgärd.
Vanligen innehåller en bestämmelse om gallring också ett undantag med möjlighet att meddela föreskrifter eller i ett enskilt fall besluta om arkivering. Detta leder till att det i praktiken inte skulle bli någon större skillnad, men att en reglering som innebär arkivering som huvudregel tydligare återspeglar det som faktiskt görs med uppgifterna.
Arkivlagens bestämmelser om bevarande gäller för uppgiftssamlingar som inte räknas som forskningsdatabaser, som t.ex. samlats in för enstaka forskningsprojekt. Det är därför rimligt att uppgifter bevaras på samma sätt oavsett om en uppgiftssamling uppfyller kriterierna för en forskningsdatabas i lagens mening eller inte. Intresset av insyn och av ytterligare behandling av uppgifterna torde vara det samma i båda fallen. Starka skäl för att ha olika reglering avseende arkivering beroende på om uppgifterna finns i en forskningsdatabas eller i ett forskningsprojekt har enligt vår mening inte framkommit. Skyddet för den personliga integriteten, vilket är det skäl som tyngst talar för gallring som huvudregel, är enligt vår mening tillgodosett genom de skyddsåtgärder som vårt lagförslag innefattar. Övervägande skäl talar således för bevarande av uppgifterna i forskningsdatabas och mot en särskild gallringsbestämmelse i forskningsdatabaslagen.
Förenlighet med dataskyddsförordningen
Vi instämmer i regeringens bedömning i propositionen Ny data-
skyddslag att den behandling av personuppgifter som myndigheter och
andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör en vidarebehandling som görs för arkivändamål av
allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen.71
Behandling av personuppgifter i en forskningsdatabas för arkivering kan röra känsliga personuppgifter och personuppgifter om lagöverträdelser. För att det inte ska råda något tvivel om att även sådana uppgifter ska få behandlas för arkivändamål även efter det att dataskyddsförordningen börjar tillämpas finns bestämmelser i dataskyddslagen. Enligt 3 kap. 6 § dataskyddslagen får känsliga personuppgifter behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Detta är således en undantagsbestämmelse som grundar sig på artikel 9.2 j i dataskyddsförordningen.
När det gäller personuppgifter som rör lagöverträdelser stadgas i 3 kap. 8 § dataskyddslagen att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter och att även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.
För att nödvändig behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser för arkivändamål av allmänt intresse ska vara tillåten krävs att unionsrätten eller den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder. Den nödvändiga behandlingen av personuppgifter som görs vid arkiv som omfattar allmänna handlingar har rättslig grund i arkivlagen och anslutande föreskrifter. Vi anser i likhet med regeringen72 att svensk rätt innehåller lämpliga och särskilda åtgärder som skyddar enskildas integritet vid hanteringen av allmänna handlingar, t.ex. i form av sekretess, rätt till insyn och föreskrifter om informationssäkerhet.
Att principen om bevarande ska vara gällande för uppgifter som behandlas i en forskningsdatabas enligt vår föreslagna lag är alltså förenligt med dataskyddsförordningen.
71 Se angående regeringens resonemang i denna fråga och Riksarkivets avvikande uppfattning i prop. 2017/18:105 s. 110. 72 Regeringens proposition Ny dataskyddslag (prop. 2017/18:105), s. 86 f och 116 f.
Sammanfattning
Vi finner att arkivlagstiftningens princip om bevarande bör vara utgångspunkten för uppgifter i en forskningsdatabas. Enligt vår bedömning är detta förenligt med dataskyddsförordningen. Någon särskild gallringsbestämmelse föreslås därför inte.
8.13. Bemyndiganden
Behov av ytterligare föreskrifter
Med hänsyn till kravet i 2 kap. 20 § RF på reglering i lag för begränsningar i skyddet av den personliga integriteten anser vi att forskningsdatabaser ska regleras i lag. Forskningsdatabaslagen innebär en generell reglering av forskningsdatabaser. Som ovan angetts (avsnitt 8.5) hindrar denna reglering inte att vissa forskningsdatabaser kan ha en specialreglering och vi anser att det är upp till lagstiftaren att bedöma om en forskningsdatabas är av en sådan karaktär att det av olika skäl vore lämpligare att reglera den i en egen lag.
Vid sidan av den föreslagna forskningsdatabaslagen kommer det att behövas bestämmelser som meddelas av regeringen i förordning eller av myndighet i föreskrifter. Vi har, som ovan angetts i respektive avsnitt, identifierat ett antal frågor som kan behöva mer detaljerad reglering, förtydliganden eller preciseringar, som lämpligen kan regleras i förordning eller föreskrift.
Vi bedömer att det i första hand kommer att vara Vetenskapsrådet eller Datainspektionen som kommer att bli bemyndigade att meddela sådana föreskrifter som vårt förslag om bemyndigande avser.
I de följande redovisar vi kortfattat för de föreslagna bemyndigandena. Våra förslag till bemyndiganden redovisas också i anslutning till de förslag som ska preciseras genom ytterligare föreskrifter.
Finansieringen av en forskningsdatabas.
Innan personuppgifter får börja behandlas i en forskningsdatabas ska forskningshuvudmannen ha säkerställt finansieringen av forskningsdatabasen. Vi föreslår att regeringen eller den myndighet regeringen bestämmer ska få meddela föreskrifter om finansieringen av en
forskningsdatabas. Det kan t.ex. handla om föreskrifter om under hur lång tid finansieringen ska vara tryggad.
Begränsningar av uppgifter och ändamål m.m.
Vi har föreslagit en generell ändamålsbestämmelse (avsnitt 8.8.3) som innebär att personuppgifter får behandlas i en forskningsdatabas för att skapa underlag för olika forskningsprojekt och lämna ut uppgifter till forskningsprojekt. Vidare har vi föreslagit att varje forskningshuvudman själv ska besluta om vilka uppgifter som ska få behandlas i forskningsdatabasen och formulera mer precisa ändamål för varje forskningsdatabas som finns i huvudmannens verksamhet (avsnitt 8.8.4). Det kan dock finnas skäl att föreskriva om begränsningar av de ändamål för vilka uppgifter får behandlas i en databas och begränsningar av de uppgifter som en forskningsdatabas får innehålla. Vi föreslår därför ett bemyndigande som ger möjlighet att meddela ytterligare föreskrifter om detta.
Informationssäkerhetsarbete
Vi har föreslagit att det hos forskningshuvudmannen ska finnas en organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen (8.10.3). Vidare har vi föreslagit att forskningshuvudmannen ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet samt tilldela tillräckliga resurser för informationssäkerhetsarbetet (avsnitt 8.10.4). Vi föreslår att regeringen eller den myndighet som regeringen bestämmer ska få meddela ytterligare föreskrifter om informationssäkerhetsarbetet. Sådana föreskrifter kan t.ex. innefatta specificerade krav på vilka standarder som ska beaktas i detta arbete. I likhet med vad som föreskrivs i MSB:s föreskrifter skulle ett krav på att beakta standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 kunna föreskrivas.
Den registrerades direktåtkomst
Vi har föreslagit att en forskningshuvudman ska få medge en registrerad direktåtkomst (8.11.6) till direkt identifierbara uppgifter om den enskilde själv som behandlas i en forskningsdatabas. Vi bedömer att det krävs säkerhetsåtgärder för att forskningshuvudmän ska kunna medge de registrerade direktåtkomst till sina uppgifter, såsom tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Vi föreslår därför att regeringen, eller den myndighet som regeringen bestämmer, efter samråd med Datainspektionen får meddela sådana preciserade föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid direktåtkomst för forskningspersoner.
Uppföljning av forskningsdatabaser
Vi har föreslagit att Vetenskapsrådet ska få i uppdrag att regelbundet följa upp och utvärdera verksamheten i en forskningsdatabas och redovisa resultatet till regeringen (avsnitt 8.11.7). På vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvärdering ska utföras bör regleras, men detta behöver dock inte göras i lag.
DEL III
Särskilda uppdrag
9. Rättspsykiatriska forskningsregistret
9.1. Inledning
9.1.1. Uppdraget
Vårt uppdrag i denna del är att undersöka hur lagen om rättspsykiatriskt forskningsregister (1999:353), nedan kallad registerlagen, används i dag, analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister. Om så bedöms vara fallet ska vi analysera hur en sådan reglering i så fall bör utformas och lämna behövliga författningsförslag.1 I vårt delbetänkande föreslog vi anpassningarna av lagen inför att dataskyddsförordningen2 skulle börja tillämpas.3
9.1.2. Bakgrund
Av våra direktiv4 framgår det att det är regeringens uppfattning att det behövs bättre förutsättningar för registerbaserad forskning. I några fall har särskilda lagar stiftats för att möjliggöra forskningsdatabaser. Registerlagen är en sådan lag.
Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för det rättspsykiatriska forskningsregistret. Registret får användas för två ändamål, dels för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt
1 Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65). 2 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen. 3 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). 4 Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65).
lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen), dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättspsykiatrin.
Enligt registerlagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål har utfärdats. Lagen innehåller vidare en uttömmande uppräkning av vilka uppgifter om personerna som får registreras. Endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Kriminalvården, Statens institutionsstyrelse, respektive Socialstyrelsen ska lämna uppgifter till registret. I 24 kap. 2 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, finns bestämmelser om sekretess i verksamhet som avser förande av eller uttag ur det rättspsykiatriska forskningsregistret.
I rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behand-
ling av personuppgifter, m.m.5 redovisar RMV en översyn av myndig-
hetens behandling av personuppgifter. I rapporten framhålls att registerlagen inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt rapporten att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade uppgifter som får registreras i registret.
9.2. Gällande rätt
Av 1 § registerlagen framgår det att RMV är personuppgiftsansvarigt för det rättspsykiatriska registret. Samma bestämmelse anger att RMV får, för de ändamål som anges i 3 §, med hjälp av automatiserad behandling föra ett rättspsykiatriskt forskningsregister. I 2 § anges att om inget annat följer av registerlagen ska personuppgiftslagen (1998:204) tillämpas vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret.
Det rättspsykiatriska forskningsregistret får endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och personuppgiftsbehandlingen har godkänts enligt etikprövningslagen, eller för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättspsykiatrin.
5 Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju2013/8833/Å).
Enligt 4 § får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande enligt lagen (1991:1137) om rättspsykiatrisk undersökning, ett intyg enligt 7 § lagen om särskild personutredning i brottmål, m.m. eller motsvarande utlåtande eller intyg enligt äldre lagstiftning har utfärdats. I andra stycket anges vidare att uppgifterna inte får föras in i registret förrän domen i det mål i vilket utlåtandet eller intyget inhämtats har vunnit laga kraft. Har åtalet helt ogillats får inga personuppgifter från det brottmålet föras in i registret. Av tredje stycket följer att det endast är de uppgifter i 5–9 §§ som får registreras i registret, vilket är bl.a. namn, personnummer eller samordningsnummer,6 kön, medborgarskap, vilken domstol som har begärt undersökningen och förslag till påföljd.
I 10 § föreskrivs det att Statens institutionsstyrelse, Kriminalvården respektive Socialstyrelsen ska lämna uppgifter enligt 6–9 a §§ till det rättspsykiatriska forskningsregistret. Av 11 § slås fast att endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret.
9.3. Hur används lagen i dag och finns ett långsiktigt behov av ett rättspsykiatriskt forskningsregister?
9.3.1. Bakgrund till registerlagen
Registerlagen uppstod ur ett behov av förbättrade möjligheter för forsknings- och utvecklingsarbete inom det rättspsykiatriska området. Regeringen beslutade den 21 juni 1995 att tillsätta en särskild utredare för att utreda frågan om ett personregister för forsknings- och utvecklingsändamål inom rättspsykiatrin.7
Utredningen, som antog namnet Utredningen om register för forskning inom rättspsykiatrin, lade i maj 1996 fram betänkandet
Rättspsykiatriskt forskningsregister.8 I betänkandet föreslog utred-
ningen att ett särskilt register, ett rättspsykiatriskt forskningsregister, skulle inrättas vid RMV för att tillgodose behovet av personuppgifter
6 Samordningsnummer är en identitetsbeteckning för personer som inte är eller har varit folkbokförda i Sverige. Syftet med samordningsnummer är att myndigheter och andra samhällsfunktioner ska kunna identifiera personer även om de inte är folkbokförda i Sverige. 7 Kommittédirektiv Författningsreglering av personregister för forsknings- och utvecklings-
ändamål inom rättspsykiatrin (dir. 1995:96).
8 Utredningens om register för forskning inom rättspsykiatrin betänkande Rättspsykiatriskt
forskningsregister (SOU 1996:72).
för forskning inom rättspsykiatrin och för RMV:s utvecklingsarbete. Som skäl anförde utredningen bl.a. att behovet av forskning inom det rättspsykiatriska området var stort, att den rättspsykiatriska verksamheten innehöll känsliga personuppgifter om enskilda personers psykiska hälsa och om lagöverträdelser. Utredningen framförde även att det fanns ett stort behov av tillgång till uppgifter om personer som varit föremål för åtgärder på området samt att sådana uppgifter borde, för att tillgodose dessa intressen, vara registrerade på ett sådant sätt att ett stort underlag kunde hanteras effektivt. Det framfördes även att mindre grupper, utifrån inriktningen på olika forskningsprojekt, kunde tas fram ur det stora underlaget.9
Enligt utredningen fanns det inte något realistiskt alternativ till ett dataregister. Både praktiska aspekter och integritetshänsyn talade enligt utredningen för att en lösning med ett register borde väljas framför en lösning med flera register. En modell med flera register skulle i och för sig kunna innebära att respektive register innehöll uppgifter om färre personer och färre uppgifter om respektive person. En lösning med ett enda register skulle i stället medföra bättre tillsyn, färre inblandade personer och möjligheter till ett bättre skalskydd. Utredningen föreslog vidare att uppgifterna i registret enbart skulle få användas för två ändamål. Det ena ändamålet avsåg forskning inom rättspsykiatrin som hade godkänts av en forskningsetisk kommitté. Det andra avsåg uppföljning, utvärdering eller kvalitetssäkring av RMV:s verksamhet.
Vidare övervägde utredningen vilka uppgifter som skulle få registreras i registret och föreslog att endast uppgifter om personer som hade genomgått rättspsykiatrisk undersökning eller så kallad ”§ 7-undersökning” eller motsvarande undersökningsformer enligt äldre lagstiftning skulle få registreras. Rättsmedicinalverket skulle inte heller enligt utredningen få registrera uppgifter från ett brottmål där åtalet mot den undersökte i dess helhet hade ogillats. Vidare skulle endast uppgifter från undersökningsstadiet, domstolarnas domar och verkställighetsstadiet få registreras. Utredningen ansåg att domstolar, Kriminalvården och Socialstyrelsen skulle åläggas en författningsreglerad skyldighet att lämna vissa uppgifter till det rättspsykiatriska forskningsregistret. Detta resulterade i ytterligare förslag om sekretess, information till den registrerade samt om bevarande av uppgifter i registret.
9 Skalskydd innebär att man skyddar ett specifikt objekt eller ett tydligt avgränsat område.
I propositionen föreslog regeringen att ett rättspsykiatriskt och författningsreglerat forskningsregister skulle inrättas vid RMV.10Regeringen konstaterade att det behövdes ökade kunskaper om bl.a. effekterna av vård och behandling av psykiskt störda lagöverträdare. Många problemställningar var outforskade och krävde grundläggande forskning. För att genomföra sådan angelägen forskning på området krävdes tillgång till databaser med systematiserade personuppgifter om många individer. Samtidigt skulle ett rättspsykiatriskt forskningsregister innehålla uppgifter av mycket integritetskänslig natur och forskningsbehoven måste hela tiden vägas mot respekten för den enskildes personliga integritet. En utgångspunkt var därför att endast de uppgifter som var nödvändiga borde få förekomma i ett sådant register och att de endast borde få användas i ett sammanhang som hade ett verkligt samhällsintresse. 11
Regeringen övervägde flera olika lösningar, bl.a. om de personuppgifter som behövde registreras för ändamålet verksamhetsuppföljning och kvalitetssäkring i stället skulle registreras i det befintliga ärenderegistret vid RMV, PsykBase. Enligt Datainspektionens beslut fick PsykBase användas för handläggning av rättspsykiatriska ärenden samt för underlag för statistik och planering av verksamheten.12 Enligt den gamla datalagen (1973:289) var myndigheter skyldiga att ansöka om tillstånd för att få upprätta personregister. När personuppgiftslagen trädde i kraft 1998 infördes övergångsbestämmelser gällande de äldre tillstånden. Dessa fick gälla fram till 2001 för att därefter upphöra.
Regeringen ansåg dock att det inte var en lämplig ordning att använda ärendehanteringssystemet vid RMV, PsykBase. Som skäl anfördes bl.a. att de ytterligare uppgifter som skulle tillföras för forsknings- och utvecklingsändamål inte skulle få användas för ärendehantering. Vidare anförde regeringen att det borde finnas en klar rågång mellan uppgifter som registreras för ärendehantering och uppgifter som registreras för forskningsändamål.
Efter att ha övervägt fördelar och nackdelar med det föreslagna forskningsregistret, stannade regeringen vid uppfattningen att det bästa integritetsskyddet för de registrerade antagligen uppnåddes genom att ett särskilt register för forsknings- och utvecklingsändamål
10 Regeringens proposition Rättspsykiatriskt forskningsregister (prop. 1998/99:72). 11Prop. 1998/99:72 s. 26 f. 12 Datainspektionens beslut dnr 5133-91.
inrättades. En sådan lösning skulle enligt regeringen innebära att man fick en bättre garanti för att registret inte användes vid beslutsfattande mot den enskilde samt att ärendehanteringssystemet vid RMV, PsykBase, inte skulle tillföras uppgifter som inte var relevanta för undersökningsverksamheten. Enligt regeringen skulle forskningsregistret enbart få innefatta behandling av personuppgifter för forsknings- och verksamhetsutvecklingsändamål.
Beträffande registrering av domar hade utredningen inte berört frågan om lagakraftvunnen dom skulle vara en förutsättning för registrering av domen. Utredningen hade inte heller berört frågan om uppgift om påföljdseftergift skulle få registreras, vilket uppmärksammades av remissinstanserna. Regeringen ansåg att det ur integritetssynpunkt var en klar fördel om registreringen avvaktade lagakraftvunnen dom. Den tidsutdräkt detta skulle förorsaka kunde enligt regeringen inte vara så stor att den skulle orsaka några beaktansvärda olägenheter för forskningen. Tvärtom ansåg regeringen att det var en fördel om det när uppgifter registrerades stod klart att domstolsprövningen var avslutad. Om registrering skulle få göras innan domen vunnit laga kraft fanns risk att uppgifter skulle behöva tas bort från registret i efterhand. Regeringen ansåg därför att uppgifter om en person skulle få registreras i det rättspsykiatriska forskningsregistret först när domen i det aktuella brottmålet vunnit laga kraft. Detta gällde således även uppgifter från undersökningsstadiet.13
Regeringen redogjorde även för vilka uppgifter som skulle tillföras forskningsregistret. Från Socialstyrelsen skulle inhämtas dels uppgifter ur yttranden av det rättsliga rådet, dels uppgifter som myndigheten hade erhållit från sjukvårdsinrättningar. Från Kriminalvården skulle inhämtas uppgifter om verkställigheten av fängelsestraff. Domstolarna skulle lämna uppgifter om utgången i ansvarsdelen, avgörandet i påföljdsfrågan samt eventuella beslut om utvisning i mål där den dömde varit föremål för ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen om särskild personutredning i brottmål, m.m. Det rörde sig alltså om vissa begränsade uppgifter i domslut.14
Registerlagen trädde i kraft den 1 juli 2000 och blev föremål för en lagändring år 2005 med innebörden att även Statens institutionsstyrelse skulle lämna uppgifter till forskningsregistret.
13Prop. 1998/99:72 s. 43. 14Prop. 1998/99:72 s. 47.
9.3.2. Forskningsregistret i dag
Registrets konstruktion
Rättsmedicinalverket påbörjade arbetet med att skapa det rättspsykiatriska forskningsregistret i januari 2001. Arbetet med registret pågick till och med 2005, men lades sedan ned på grund av problem med interoperabilitet,15 kvalitetsbrister i inlämnade uppgifter samt som ett resultat av att den rättspsykiatriska forskningens frågeställningar inte kunde besvaras utifrån de begränsade uppgifter som fick registreras i registret. De myndigheter som enligt 10 § registerlagen hade en skyldighet att försörja registret med uppgifter upphörde härmed helt med det. Något arbete med att lösa de tekniska problemen och utveckla registret har utifrån vad som framkommit inte bedrivits av RMV sedan 2005, främst som en följd av registrets begränsade kvalitativa egenvärde för den rättspsykiatriska forskningen och RMV:s utvecklingsarbete.
Det rättspsykiatriska forskningsregistret finns i dag på en server som RMV ansvarar för. Strukturellt byggdes en grunddatabas16 för forskningsregistret samt parallella databaser som var avsedda att rymma uppgifter från de myndigheter som var skyldiga att lämna ut sådana. Det finns uppgifter registrerade mellan åren 2000–2004. Senast registrerade aktivitet i registret är från 2005. Totalt finns 7 134 uppgifter registrerade. Tabellen för uppgifter från Statens institutionsstyrelse är tom och inga uppgifter från myndigheten förekommer i databasen. Socialstyrelsetabellen innehåller 1000 poster och Kriminalvårdstabellen likaså.
Uppgifter i registret
Enligt 30 § förordningen (1990:893) om underrättelse om dom i vissa brottmål ska en kopia av domen sändas till RMV inom en vecka, om någon av följande handlingar om den tilltalade har inhämtats i målet:
15 Interoperabilitet är förmågan hos olika system att utbyta information och att använda information som de får från varandra. 16 Uppgifterna som hämtas från RMV:s system till servern där registret finns hålls åtskilda från uppgifterna från uppgiftslämnande myndigheter när de kommer in.
1. ett utlåtande över en rättspsykiatrisk undersökning,
2. ett intyg enligt 7 § lagen om särskild personutredning i brottmål,
m.m., eller
3. ett yttrande av Socialstyrelsen över en rättspsykiatrisk under-
sökning eller ett intyg enligt 7 § lagen om särskild personutredning i brottmål, m.m.
Av 4 § registerlagen följer emellertid att uppgifter om en person endast får registreras i forskningsregistret om domen vunnit laga kraft. RMV får sällan en uppgift om att en dom överklagats. Myndigheten får inte heller uppgift om utgången i en dom i en högre instans, om inte den högre instansen begär en § 7-undersökning eller en rättspsykiatrisk undersökning. Eftersom några uppgifter inte får föras in i registret förrän domen i det mål i vilket utlåtandet eller intyget inhämtats har vunnit laga kraft har detta lett till att registret inte fylls på. Har åtalet helt ogillats gäller dessutom, enligt andra stycket i 4 § registerlagen, att inga personuppgifter från brottmålet får föras in i registret.
Problem med interoperabilitet och kvalitetsbrister i lämnade uppgifter
Enligt personer som arbetar i den rättspsykiatriska verksamheten på RMV har det rättspsykiatriska forskningsregistret inte kunnat användas för avsedda ändamål. Registerhanteringen har dragits med ett flertal tekniska problem, bl.a. beträffande formatet på uppgifter från de myndigheter som har en skyldighet att försörja registret. Vidare har Socialstyrelsens patientregister saknat uppgift om vilken typ av psykiatrisk vård en patient erhållit. Uppgifter om vilka diagnoser som ställts i samband med utskrivning, jfr. 8 § 3 p. registerlagen, har därmed inte kunnat registreras i forskningsregistret.
I utbyten med andra myndigheter har olika standarder för målnummer dessutom orsakat problem. En domstols namn och domstolskod har inte heller redovisats på samma sätt av berörda myndigheter. Olikheter har framkommit även avseende format på personnummer, där vissa myndigheter använt bindestreck medan andra inte gjort det. Inte heller personnummerbyten har kunnat hanteras av
forskningsregistret. Detsamma gäller personer med ofullständiga personnummer. Detta har lett till brister i forskningsregistret.
9.3.3. Rättspsykiatrisk verksamhet vid RMV
Enligt 2 § förordningen (2007:976) med instruktion för RMV ska myndigheten särskilt svara för rättspsykiatriska undersökningar i brottmål, läkarintyg (§ 7-undersökningar) som avses i 7 § lagen om särskild personutredning i brottmål, m.m. samt utredningar om risk för återfall i brottslighet enligt lagen (2006:45) om omvandling av fängelse på livstid.
Rättsmedicinalverket ansvarar inte för den rättspsykiatriska vården i landet. Det är i stället sjukvårdshuvudmännen som har en skyldighet att enligt hälso- och sjukvårdslagen (1982:763) bedriva denna. Rättsmedicinalverkets rättspsykiatriska verksamhet består i huvudsak just av utförande av rättspsykiatriska undersökningar, § 7-undersökningar och riskbedömningar av livstidsdömda. Det utesluter inte att misstänkta som t.ex. är föremål för en rättspsykiatrisk undersökning vid RMV är i behov av psykiatrisk eller somatisk vård under vistelsetiden vid myndigheten. I dessa delar får RMV betraktas som vårdgivare och är underkastad hälso- och sjukvårdslagens krav på god och säker vård.
Rättsmedicinalverket får också enligt myndighetens instruktion utföra andra uppdrag inom sitt ansvarsområde om verksamheten i övrigt medger det, exempelvis riskbedömningar och diagnostiska bedömningar på uppdrag av bl.a. barn- och ungdomspsykiatriska mottagningar (BUP), Kriminalvården och socialnämnder. Dessa externa uppdrag är en relativt liten verksamhet. Samtliga ärenden, förutom de externa uppdragen som registreras i RMV:s allmänna diarium, registreras i den rättspsykiatriska undersökningsverksamhetens ärende- och dokumenthanteringssystem, PsykBase. Systemet får användas för handläggning av rättspsykiatriska ärenden samt för statistik och planering av verksamheten men används inte för journalföring i den rättspsykiatriska hälso- och sjukvårdsverksamheten.
9.3.4. Rättspsykiatrisk forskning och utvecklingsarbete
I Sverige
I betänkandet av Bergwallkommissionen17 pekade utredningen på ett ökat behov av kunskapsstyrning inom rättspsykiatrin. Regeringen gav därför Vetenskapsrådet i uppdrag18 att genomföra en kartläggning av den rättspsykiatriska forskningen. Uppdraget redovisades i rapporten Kartläggning av rättspsykiatrisk forskning.19
Vetenskapsrådet definierade inom ramen för arbetet begreppet rättspsykiatri som den medicinska specialitet vars syfte är att utreda, bedöma, diagnostisera, behandla, habilitera alternativt rehabilitera samt följa upp personer som kan misstänkas lida av, alternativt lider av en psykisk sjukdom, i samband med lagöverträdelser. Kartläggningen, som rapporterades till regeringen i augusti 2017, visar att Sverige publicerar cirka tio publikationer per år och tillhör de nio länder som publicerar mest vetenskaplig litteratur inom rättspsykiatri. I Sverige är det Karolinska institutet som står för störst antal publikationer följt av Göteborgs universitet. Den svenska forskningen görs främst inom områdena klinisk medicin och hälsovetenskap.
Kunskapsluckor
Av intervjuerna utförda i kartläggningen med verksamma forskare inom området framgår att det finns ett stort behov av att utveckla forskningsstrukturer och samordning såväl internationellt som nationellt. Forskarna anser vidare att det råder stora kunskapsluckor inom fältet. De betonar att det särskilt behövs forskning inom rehabilitering, omvårdnad, farmakologisk behandling, missbruksbehandling och forskning kring våldsbeteende, men också inom det begreppsliga och juridiska fält som definierar det rättspsykiatriska området. Flera av de tillfrågade forskarna lyfte särskilt fram att det bristfälliga forskningsläget är ännu större vad gäller forskning om kvinnor inom rättspsykiatrin. Det rättspsykiatriska forskningsfältet är brett och omfattar många olika forskningsdiscipliner och forskningsteman. Rättspsykiatri kopplar inte bara till olika discipliner, utan
17 Bergwallkommissionens betänkande Rapport från Bergwallkommissionen (SOU 2015:52). 18 U2016/04441/F. 19 Kartläggning av rättspsykiatrisk forskning, Vetenskapsrådet 2017.
sträcker sig också över olika nivåer från grundforskning till ren tillämpning och klinisk forskning och utveckling.
Straffrättens och förvaltningsrättens olika regelverk behöver enligt kartläggningen kunskap från psykiatrin på många olika plan. Lagstiftaren kan behöva orientera sig efter vetenskapliga insikter. Det kan exempelvis gälla behov att förstå sammanhang mellan psykisk sjukdom och våld som en grund för adekvata regler om särskilda straffrättsliga reaktioner och rättspsykiatrisk tvångsvård. Det kan också gälla mer generella insikter om hur olika psykiska störningstillstånd inverkar på tankar, känslor och handlingar. En viktig aspekt rör exempelvis vilka mentala brister som finns vid personlighetsstörningar, och om dessa bör vara relevanta för regler om straffansvar och straff. Därför är det också praxis att rättspsykiatriskt sakkunniga bidrar till domstolens domslut. Här behövs psykiatrisk forskning för att ge både de sakkunniga och domaren ett gott vetenskapligt underlag.
Inom ramen för Vetenskapsrådets kartläggning intervjuades tolv forskare, aktiva inom det rättspsykiatriska forskningsfältet med avseende på deras syn på styrkor och svagheter inom forskningsfältet, både i och utanför Sverige. De intervjuade beskriver ett flertal fält med pågående forskning i Sverige. Intervjupersonerna uppger att det pågår forskning i biomedicin, neuropsykiatri, genetik och psykopati. Det nämns även angränsande områden där den svenska registerforskningen framhålls som särskilt betydande. Historiskt finns i Sverige en god tradition av forskning på riskbedömningar, dvs. effektiviteten av strukturerade verktyg för bedömning av risk för framtida brottslighet som genomförts tillsammans med internationellt högt rankade forskare. Det nämns även att det i Sverige finns en del vetenskaplig forskning med fokus på innehållet i vården. Flera betonar att forskning om själva vårdinsatserna och rehabiliteringen av de rättspsykiatriska patienterna är eftersatt. 20
Om man närmare analyserar de svenska forskarnas svar på enkäten framhöll flera av dem behovet av utökad forskning inom det rättspsykiatriska området, speciellt gällande brottsprevention och läkemedelsbehandling, liksom utvärderingsstudier av psykosociala insatser, brottsbearbetning (samtal där man genom fördjupad analys och bearbetning konfronterar patienten med hans eller hennes brottsliga handlingar) och rehabilitering med fokus på våldsbeteende.
20 Kartläggning av rättspsykiatrisk forskning, Vetenskapsrådet 2017, s. 19 ff.
Forskarna ansåg bl.a. att det finns behov av såväl randomiserade kontrollstudier som studier där man använder den befintliga kliniska miljön och jämför de som får en intervention med de som inte får interventionen. Gemensamt för flera svar var att man framhöll behovet av utökat samarbete mellan olika forskningsdiscipliner och behov av finansiella möjligheter till större longitudinella studier.
Genom Vetenskapsrådets kartläggning av forskningen inom det rättspsykiatriska området framgår med andra ord att Sverige är i kvantitativt hänseende väl representerat internationellt. Det finns också flera framstående studier, där Sverige exempelvis har bidragit med forskning angående riskbedömningar, om risk för återfall i allvarliga våldsbrott, samt registerstudier. Däremot saknas mer övergripande forskningsprogram och samordning mellan olika forskningsverksamheter i landet.
Forsknings- och utvecklingsarbete vid RMV
Universitetens rättspsykiatriska forskning är i hög grad beroende av data från den rättspsykiatriska undersökningsverksamheten vid RMV. Det medför att RMV ofta får pröva ansökningar om utlämnande av uppgifter till externa forskningsprojekt. Rättsmedicinalverket bedriver även en omfattande operativ verksamhet som är både kunskapsintensiv och starkt inriktad på ett vetenskapligt arbetssätt. Enligt RMV:s forskningspolicy21 anses forskning och utveckling inom myndigheten vara av avgörande betydelse för att bibehålla och utveckla kvaliteten i verksamheten och för att säkerställa en hög kompetens. Myndigheten framhåller vidare att målet är att göra forsknings- och utvecklingsarbetet till en naturlig och integrerad del av myndighetens verksamhet på samtliga avdelningar samt att låta resultaten av arbetet komma verksamheten till godo. Forsknings- och utvecklingsarbetet ska också utnyttja de möjligheter till samarbete mellan avdelningarna som organisationen skapar.
Rättsmedicinalverkets insatser på forskningsområdet bygger på samverkan mellan olika personalkategorier samt samarbete med universitet, både nationella och utländska, och andra myndigheter. Inom samtliga verksamhetsområden stödjer verket den akademiska anknytningen genom finansiering av flera tjänster vid universiteten
21 Rättsmedicinalverkets forskningspolicy, 2017-05-10, dnr X17-90385.
som adjungerande professorer och lektorer. Stödet för den här typen av finansiering finns i 2 § 9 myndighetens instruktion. Till detta kommer examensarbeten och andra fördjupningsarbeten genomförda av studenter. Det finns mot denna bakgrund en konsensus inom myndigheten om att de uppgifter som myndigheten förvaltar ska ställas till både forskningens och andra samhällsfunktioners förfogande i den utsträckning det är praktiskt och vetenskapligt möjligt. RMV är i liten omfattning huvudman för rättspsykiatriska forskningsprojekt.
Som exempel på studier som har genomförts kan nämnas en om neurokognitiv begåvningsprofil och beteendestörning, en deskriptiv studie av ungdomar omhändertagna för samhällsvård. I en annan beskrivande studie undersöktes 100 män i åldrarna 18–25 som var dömda till ungdomsvård för våldsbrott och sexualbrott. Syftet var att beskriva männens neuropsykologiska funktioner. Härutöver är det vanligt med tillbakablickande registerstudier för att utvärdera metoder för exempelvis riskskattningsinstrument i verksamheten. I en studie undersökte verksamheten om ett riskskattningsinstrument fungerar på rättspsykiatriskt undersökta våldsförövare. Syftet var att undersöka instrumentets förmåga att förutsäga återfall i kriminalitet bland psykiskt störda lagöverträdare samt jämföra instrumentets egenskaper avseende fängelsedömda respektive rättspsykiatriskt vårdade förövare. RMV var huvudman för nämnda studier och studierna var godkända av etikprövningsnämnd.
I övrigt är det som nämnts i huvudsak universiteten som svarar för den rättspsykiatriska forskningen. Som exempel kan nämnas att Karolinska institutet är huvudman för majoriteten av forskningsprojekten vid RMV:s rättspsykiatriska enhet i Stockholm. RMV finansierar vidare en professur i rättspsykiatri vid Karolinska institutet och en vid Göteborgs universitet. Den rättspsykiatriska verksamheten deltar också i ett flertal internationella nätverk inom sitt expertområde. Verksamheten sprider dessutom kunskap om sitt forsknings- och utvecklingsarbete genom publikationer och studiebesök.
RMV:s rättspsykiatriska ärenderegister
Som nämnts ovan finns vid RMV utöver forskningsregistret det rättspsykiatrisk ärenderegistret PsykBase. Ärenderegistret är indelat i två delar. En del av registret används för hantering av § 7-undersökningar och en del för hantering av ärenden enligt lagen om rättspsykiatrisk undersökning. Ärenderegistret används för planering och genomförande av rättspsykiatriska undersökningar vid undersökningsenheterna och för statistik, uppföljning, utvärdering, kvalitetssäkring och utvecklingsarbete inom ramen för RMV:s ansvarsområde. Uppgifterna i registret får efter sekretessprövning lämnas ut för forskning som godkänts av en etikprövningsnämnd. I PsykBase registreras bl.a. uppgifter om domar i brottmål. De uppgifter som registreras rör utgången i ansvarsdelen samt påföljd, såsom t.ex. överlämnande till rättspsykiatrisk vård. Skälet till att uppgifterna registreras är att de behövs i RMV:s utvecklingsarbete.
Pågående forsknings- och utvecklingsarbete vid RMV
Vid RMV har ett större forskningsprojekt initierats inom den rättspsykiatriska utredningsverksamheten för att öka samstämmigheten och kunskapen om personer som genomgår en rättspsykiatrisk undersökning. Resultaten förväntas öka kunskapen om sambandet mellan förövare, brottssituation, brottsbeteende och offerrelation. De rättspsykiatriska enheterna vid RMV har samarbetsavtal med Göteborgs universitet och Karolinska institutet. För att sprida kunskap till övriga medarbetare har forskarna bland annat arrangerat symposier, seminarier om forskningsartiklar och ordnat utbildningsinsatser gällande psykopatibedömning. Tillsammans med Institutionen för klinisk neurovetenskap vid Karolinska institutet har forskning utförts angående ökad förståelse av mekanismer bakom psykopatiskt beteendemönster. Projektet görs i samarbete med Kriminalvården. Vidare bedrivs forskning avseende våld mot kvinnor. Det pågår också ett forskningsprogram som kartlägger psykossjuka lagöverträdare dömda till rättspsykiatrisk vård som alla har genomgått rättspsykiatrisk undersökning vid RMV. Dessa jämförs med psykossjuka inom allmänpsykiatrin som inte är våldsamma.
9.4. Överväganden och förslag
9.4.1. Lagen om rättspsykiatriskt forskningsregister ska upphävas
Vårt förslag: Lagen om rättspsykiatriskt forskningsregister ska
upphävas.
Enligt vad utredningen inhämtat har forskningsregistret sedan det inrättades haft ett ringa kvalitativt egenvärde för den rättspsykiatriska verksamheten. Vi bedömer att registerlagen inte har tillhandahållit de möjligheter som behövs för att bedriva en kvalitativ och över tid föränderlig forskning. I dagsläget utlämnas inte heller uppgifter från Socialstyrelsen, Kriminalvården eller Statens institutionsstyrelse till RMV. Vidare bedrivs forskning inom den rättspsykiatriska utredningsverksamheten inte med hjälp av det rättspsykiatriska forskningsregistret. Som redovisats ovan skulle det även krävas omfattande arbete för att utveckla registrets kvalitet eftersom registret inte underhållits sedan år 2005.
Även om Sverige ligger långt fram när det gäller rättspsykiatrisk forskning kvarstår ändå behov av fortsatt forskning och utveckling inom detta område. Registret kan emellertid inte med stöd av de begränsade data som får registreras enligt registerlagen besvara rättspsykiatrins frågeställningar inom forskning och utvecklingsarbete. Regleringen är således inte ändamålsenlig för rättspsykiatrisk forskning och utveckling. Större delen av den rättspsykiatriska forskningen bedrivs i dag vid landets universitet.
Kvalificerad forskning inom rättspsykiatrin kan inte bedrivas enbart med användning av uppgifter från det rättspsykiatriska forskningsregistret. Sådan forskning förutsätter sambearbetning av personuppgifter från andra register än RMV:s, Socialstyrelsens, Kriminalvårdens och Statens institutionsstyrelses, dvs. de myndigheter som i dag har en skyldighet att förse registret med uppgifter.
Även om de problem som beskrivits ovan kan avhjälpas är det utredningens bedömning att registret saknar kvalitativt egenvärde för den rättspsykiatriska verksamheten. Inte heller för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättspsykiatrin skulle registret komma att ha något kvalitativt egenvärde eftersom detta arbete, såsom i dag, skulle kunna bedrivas med stöd av
uppgifterna i PsykBase. Vidare föreslår vi i detta betänkande en långsiktig och generell reglering av forskningsdatabaser (kap. 8).
Av nu nämnda skäl anser vi att registerlagen ska upphävas.
9.4.2 24 kap. 2 § i OSL ska upphöra att gälla
Vårt förslag: Som en följd av att lagen om rättspsykiatriskt
forskningsregister upphävs ska bestämmelsen om sekretess för det rättspsykiatriska forskningsregistret i 24 kap. 2 § OSL upphöra att gälla och rubriken närmast före bestämmelsen utgå.
Vi har föreslagit att lagen om rättspsykiatriskt forskningsregister ska upphöra att gälla eftersom lagen inte har något kvalitativt egenvärde för den rättspsykiatriska forskningen. Som en följd av detta förslag bör även 24 kap. 2 § i OSL som gäller sekretess i verksamhet som avser förande av eller uttag ur register som förs enligt lagen om rättspsykiatriskt forskningsregister upphävas. Rubriken närmast före bestämmelsen bör utgå. I kapitel 10 föreslår vi en ny bestämmelse om sekretess i verksamhet som avser uppgifter ett nationellt biobanksregister enligt biobanks¬lagen (2018:000). Vi föreslår att den bestämmelsen får ersätta nuvarande lydelse av 24 kap. 2 § OSL.
I avsnitt 8.9.5 föreslår vi en generell sekretessbestämmelse för enskilds personliga och ekonomiska förhållanden inom forskningsverksamhet. Denna forskningssekretess kommer enligt vår bedömning att skydda uppgifterna i det rättspsykiatriska forskningsregistret under avvecklingen.
9.4.3. Ikraftträdande
Vårt förslag: Lagen om upphävande av lagen (1999:353) om
rättspsykiatriskt forskningsregister och lagen om ändring i offentlighets- och sekretesslagen ska träda i kraft den 1 juli 2019.
Vår bedömning: Regeringen bör ge RMV i uppdrag att samråda
med Riksarkivet om hur det rättspsykiatriska forskningsregistret ska avvecklas.
Registerlagen bör upphävas så snart som möjligt och de ändringar som föreslås i OSL bör träda i kraft samtidigt med upphävandet. Vi föreslår att registerlagen ska upphävas den 1 juli 2019.
Ett arbete som behöver genomföras är att avveckla det forskningsregister som finns och som byggts upp med stöd av registerlagen. Regeringen bör ge RMV i uppdrag att samråda med Riksarkivet om hur det rättspsykiatriska forskningsregistret ska hanteras om förslaget att lagen ska upphävas genomförs.
10. En reglering av ett nationellt biobanksregister
10.1. Inledning
10.1.1. Uppdraget
Vårt uppdrag i denna del är att göra en vidare beredning av det förslag till ett nationellt biobanksregister som Registerforskningsutredningen lämnade.1 I detta arbete ska vi bereda remissinstansernas synpunkter. Enligt våra direktiv2 ska vi även analysera vilka anpassningar av förslaget som kan krävas med hänsyn till dataskyddsförordningen och den kompletterande reglering som nu beslutats i form av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
10.1.2. Bakgrund
Den nuvarande biobankslagstiftningen återfinns i lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen).3Biobankslagen reglerar endast de enskilda biobankerna, dvs. de samlingar av biologiskt material (vävnadsprover) från en eller flera människor som bevaras tills vidare eller för en bestämd tid och vars ursprung kan härledas till den eller de människor från vilka materialet har tagits. I dagsläget finns cirka 450 biobanker enligt lagens definition.4 I lagen
1 Registerforskningsutredningens slutbetänkande Unik kunskap genom registerforskning (SOU 2014:45), s. 456 ff. 2 Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65). 3 Utöver biobankslagen kan även vissa andra författningar på hälso- och sjukvårdens område vara tillämpliga i de vårdsammanhang där vävnadsprover tas, såsom hälso- och sjukvårdslagen (2017:30) och patientlagen (2014:821). Biobankslagen är i huvudsak subsidiär i relation till övriga författningar (1 kap 4 §). Se vidare Utredningens om regleringen av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4), s. 101 ff. 4SOU 2018:4 s. 87.
finns inga bestämmelser om hur vävnadsprover från en viss individ eller med vissa egenskaper ska kunna lokaliseras till de olika biobanker där sådana prover kan finnas.
Det finns således inget reglerat centralt register över de vävnadsprover som finns i landets olika biobanker. Det finns däremot ett landstingsgemensamt register över sparade vävnadsprover tagna inom vården (Svenska biobanksregistret). Arbetet med det registret inleddes år 2005, och är fortfarande i en uppbyggnadsfas.5 Syftet med registret är att underlätta administration som t.ex. hantering av provgivares samtycken och spårbarhet av prover för hälso- och sjukvården, samt att vara ett redskap för att hitta vävnadsprover för etikgodkända forskningsprojekt. Registret ägs gemensamt av landstingen och regionerna och hanteras av de sammanlagt sex regionala biobankscentrum (RBC) som finns i varje sjukvårdsregion. RBC har ingen lagreglerad funktion utöver vad som regleras genom avtal. Respektive biobankshuvudman är personuppgiftsansvarig för de uppgifter som finns lagrade i biobankerna och som överförs till Svenska biobanksregistret.6 Det får till följd att respektive biobankshuvudman ansvarar för beslut om utlämnande av uppgifter ur registret.
Frågan om ett lagreglerat centralt register för spårbarhet till vävnadsprover i landets biobanker har, helt eller delvis, varit föremål för tre olika statliga utredningar: Biobanksutredningen, Registerforskningsutredningen och Utredningen av regleringen av biobanker.
Biobanksutredningen
Biobanksutredningen7 fick år 2008 bl.a. i uppdrag att överväga och lämna förslag till hur kraven på spårbarhet ska kunna uppfyllas samt att överväga inrättande av regionala biobanksregister. Med spårbarhet avsågs här främst möjligheten att hitta de vävnadsprover som behövs för en provgivande patients fortsatta vård. Med spårbarhet avsågs dock även möjligheten att kunna lokalisera vävnadsprover i de fall en provgivares samtycke återkallas, samt för forskningens behov.
Biobanksutredningen lämnade sitt betänkande8 år 2010 och föreslog i huvudsak i denna del att vissa uppgifter om vävnadsprover
5SOU 2018:4 s. 242. 6SOU 2018:4 s. 241. 7 S 2008:08. 8 Biobanksutredningens betänkande En ny biobankslag (SOU 2010:81).
från hälso- och sjukvården skulle registreras i Svenska biobanksregistret, medan motsvarande uppgifter om andra prover (exempelvis i biobanker uppbyggda för forskningsändamål) skulle registreras i den specifika biobanken. Utredningen föreslog att Svenska biobanksregistret skulle innehålla tillräckliga uppgifter för att varje vävnadsprov som hör till eller har hört till de ingående biobankerna ska kunna återfinnas. Biobanksutredningen föreslog att en vårdgivare skulle vara huvudman, tillika personuppgiftsansvarig, för registret, men överlät frågan om vilken vårdgivare till regeringen.
Remissinstanserna var i huvudsak positiva till lagreglering av Svenska biobanksregistret.9 De kritiska synpunkter som framkom rörde frågor om vilka aktörer som skulle ha skyldighet att registrera uppgifter i det centrala registret respektive vilka som skulle kunna göra det frivilligt. Det fanns också en oro över att reglera ett register som vid den tidpunkten var under utveckling och inte var prövat i praktiken. Datainspektionen ansåg att det var svårt att överblicka förslagets konsekvenser för integritetsskyddet som helhet, vad gällde både spårbarhetsregistrering och framtida forskning.10
10.2. Registerforskningsutredningen
Efter att Biobanksutredningens slutbetänkande hade remissbehandlats beslutade Socialdepartementet att inte gå vidare med utredningens förslag. Fråga uppkom då om Registerforskningsutredningen inom ramen för sitt uppdrag skulle kunna ta hand om några av Biobanksutredningens förslag, som var avsedda att underlätta för forskningen.11 Registerforskningsutredningen lämnade i sitt slutbetänkande år 2014 ett förslag till reglering av ett centralt register för biobanksuppgifter.
10.2.1. Förslaget i korthet
Registerforskningsutredningen föreslog i huvudsak följande reglering av Svenska biobanksregistret. Svenska biobanksregistret skulle göras om till ett nationellt system för registrering av biobanksprover
9 Se sammanställningen i SOU 2014:45 s. 473 ff. 10 Datainspektionens yttrande dnr 1939-2010. 11SOU 2014:45 s. 458.
(Nationella biobanksregistret) med Socialstyrelsen som huvudman och personuppgiftsansvarig. Vårdgivare skulle under ett inledningsskede lämna uppgifter till registret på frivillig basis. Registrering skulle även vara frivilligt för den enskilde provgivaren, med undantag för uppgifter om vävnadsprover som redan behandlades av vårdgivare före lagens ikraftträdande.
Det skulle enbart vara tillåtet att behandla personuppgifter i registret för ändamålen
- att säkerställa spårbarhet för vävnadsprover i syfte att möjliggöra vård och behandling av den registrerade,
- forskning, kvalitetssäkring och framställning av statistik, samt
- förstörande eller avidentifiering av vävnadsprover när den registrerade har återkallat sitt samtycke.
Registret skulle endast få innehålla vissa uppräknade uppgifter, bl.a. provgivarens identitet, vävnadsprovers identitet, karaktär och hantering, men även uppgifter om diagnos och analysresultat. De uppgifter som skulle ingå i registret skulle få användas som sökbegrepp. Direktåtkomst till uppgifter i registret skulle däremot inte vara tillåtet.12 Socialstyrelsen skulle begränsa sina anställdas och uppdragstagares elektroniska åtkomst till registret till vad var och en behöver för att fullgöra sina arbetsuppgifter.
En ny sekretessregel skulle införas för uppgifter i registret om en enskilds hälsotillstånd eller andra personliga förhållanden. Sekretessen skulle dock inte hindra att uppgift lämnas ut om det stod klart att uppgiften kunde röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen skulle även kunna brytas vid allvarligare brottslighet.
12 Med direktåtkomst avsågs i detta sammanhang att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst, så som det användes i detta sammanhang, ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. (SOU 2014:45 s. 540). Se även det senare avgörandet HFD 2015 ref 61 (LEFI Online).
10.2.2. Remissinstansernas synpunkter
Kritiken mot Registerforskningsutredningens förslag om reglering av ett nationellt biobanksregister bestod dels av generell kritik mot registrets effekter på den personliga integriteten, dels av kritik mot det angivna registrets ändamål, verkställighetsreglering, huvudmannaskap och innehåll.
Personlig integritet
Framför allt Datainspektionen ansåg i sitt remissvar att förslaget öppnade upp för en närgången kartläggning av enskildas hälsoprofiler genom insamling av uppgifter av mycket känslig karaktär och att det möjliggjorde insamling av en omfattande mängd personuppgifter utan den registrerades samtycke.13 Datainspektionen vände sig särskilt mot den delen av förslaget som innebar att redan insamlade uppgifter skulle få behandlas i registret utan provgivarens samtycke, och att provgivaren under vissa omständigheter inte heller skulle bli informerad om sådan behandling. Datainspektionen bedömde att det kunde vara svårt för en underårig att inse vidden av ett lämnat samtycke, och även för en vårdgivare att bedöma om en underårig uppnått en sådan ålder och mognad att han eller hon själv kan ta ställning i frågan. Datainspektionen saknade vidare såväl utredning som analys av behovet av reglering rörande vilka säkerhetsåtgärder som är nödvändiga för att skydda uppgifterna som behandlas.
Registrets ändamål och utlämnande
Flera remissinstanser, särskilt bland landstingen, vände sig mot att registret skulle kunna användas för brottsutredning. Man ansåg att detta skulle undergräva förtroendet för registret och insamling av vävnadsprover inom hälso- och sjukvården.
13 Datainspektionens yttrande dnr 2469-2014.
Innehåll och verkställighetsreglering
Ett flertal remissinstanser efterlyste ett bemyndigande för registrets huvudman att meddela verkställighetsföreskrifter om hur och vilken information som skulle överföras till det centrala registret.
Läkemedelsverket ansåg att om diagnos och analysresultat skulle vara obligatoriska uppgifter i registret krävdes att denna information kvalitetssäkrades på ett betryggande sätt. Stockholms läns landsting, tillsammans med Region Skåne, ansåg att registret inte borde innehålla uppgifter om diagnos och analysresultat som per definition är patientjournaldata. Västmanlands läns landsting ansåg dock att det skulle underlätta för forskare om uppgift om diagnos och analysresultat fanns i ett nationellt biobanksregister.
Huvudmannaskap
Flera remissinstanser ifrågasatte om det var lämpligt att Socialstyrelsen ensam skulle ha huvudmannaskap för det föreslagna registret. Även Socialstyrelsen stämde in i denna kritik. Det ansågs inte lämpligt att Socialstyrelsen skulle hantera ett register som skulle ge service åt hälso- och sjukvården. Region Skåne uttryckte oro för att utlämnandet skulle ta för lång tid om Socialstyrelsen var registerhållare.
Flera remissinstanser föreslog olika varianter på ett delat huvudmannaskap där befintliga regionala biobankscentra (RBC) skulle ha ansvar för vårddelarna av registret.
10.3. Utredningen om regleringen av biobanker
Parallellt med vår utredning har Utredningen om regleringen av biobanker haft i uppdrag att bl.a.
- analysera och lämna förslag till hur ett krav på registrering i ett nationellt register bör utformas och för vilka verksamheter som ett obligatorium bör genomföras, samt
- analysera om det ska finnas möjlighet att i ett nationellt register eller på annat sätt registrera och sammanställa uppgifter om prover som tagits utanför hälso- och sjukvården.
Utredningen om reglering av biobanker har redovisat sina förslag i slutbetänkande i januari 2018.14
10.3.1. Centrala delar av förslaget
Utredningen om reglering av biobanker föreslår att ett nationellt biobanksregister ska inrättas för forskningens behov, samtidigt som det Svenska biobanksregistret ska finnas kvar. Det senare registret ska tillgodose hälso- och sjukvårdens behov av spårbarhet av prover som tagits i samband med vård och behandling. Uppgifterna ska göras tillgängliga för vårdgivare och nås genom direktåtkomst i system för sammanhållen journalföring enligt 6 kap. patientdatalagen (2008:355), förkortad PDL.15 Vidare föreslås uppgifterna tillgängliggöras för patienter i enlighet med vad som gäller i 5 kap. 5 § PDL.16
Socialstyrelsen föreslås vara huvudman och personuppgiftsansvarig för ett nationellt biobanksregister. Myndigheten ska få bemyndigande att bestämma om ytterligare uppgifter ska överföras till det nationella registret, samt hur information ska lämnas.
Det ska vara obligatoriskt för alla vårdgivare att lämna uppgifter om prov tagna för hälso- och sjukvård till det nationella biobanksregistret. Detta register ska innehålla uppgifter som är tillräckliga för att varje prov som registreras ska kunna spåras. Det handlar bl.a. om provgivares identitet, lämnade samtycken, återkallelser och begränsningar av samtycken samt provets identitet, karaktär och hantering, men inte diagnos eller analyssvar.
I det nationella biobanksregistret ska personuppgifter få behandlas för ändamålen forskning, kvalitetssäkring och framställning av statistik.
Statistiksekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, ska gälla för uppgifter i registret. Identifierbara uppgifter ska dock få lämnas ut till annan myndighet eller forskningshuvudman om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Den överförda statistiksekretessen ska gälla framför annan primär sekretessbestämmelse hos den mottagande myndigheten vid utlämning för
14SOU 2018:4 s. 229 ff. 15 Med ”direktåtkomst” avses här samma begrepp som i 6 kap. PDL. 16SOU 2018:4 s. 307 ff.
forskningsändamål i syfte att koppla samman prov och data med tillhörande information om prov.
10.3.2. Förhållningssätt till Utredningens om regleringen av biobanker förslag
Vårt uppdrag är att vidarebereda Registerforskningsutredningens förslag med hänsyn till remissinstansernas synpunkter och till de anpassningar som kan behövas med hänsyn till dataskyddsförordningen och dataskyddsutredningens förslag till kompletterande nationell lagstiftning.17 Enligt tidplanen i våra första direktiv18 skulle vi ha lämnat vårt slutbetänkande innan Utredningen om regleringen av biobanker lämnade sitt. Utredningstiden för vårt uppdrag förlängdes senare till den 25 maj 2018.19
Nu när ett förslag ändå är framlagt av Utredningen om regleringen av biobanker är vårt förhållningssätt att vi bör beakta detta nyare förslag, särskilt i den mån det vidareutvecklar Registerforskningsutredningens förslag.
Vad det gäller två avgränsade frågor avseende dels hur ett krav på uppgiftslämnande för vårdgivare ska utformas, dels de närmare förutsättningarna för hur andra biobanker ska kunna registrera uppgifter i registret, anges uttryckligen i våra direktiv att dessa har ingått i uppdraget för Utredningen om regleringen av biobanker.20 Vi har därför inte vidareberett den delen av Registerforskningsutredningens förslag som behandlar dessa frågor, och kommer således inte att lämna något förslag i denna del.
Vad det gäller övriga delar av Registerforskningsutredningens förslag innebär det nyare föreslagets uppdelning att personuppgifter dels ska behandlas i det oreglerade Svenska biobanksregistret, dels i det nationella biobanksregistret. Jämfört med Registerforskningsutredningens förslag hanterar det nu föreslagna registret färre uppgifter och för färre ändamål. Som framgår av avsnitt 10.4.1 ansluter vi oss till denna del av Utredningens om regleringen av biobanker förslag.
17 Dataskyddsutredningens betänkande Ny dataskyddslag – Kompletterande bestämmelser till
EU:s dataskyddsförordning (SOU 2017:39). Se även den beslutade lagen (2018:218) med
kompletterande bestämmelser till EU:s dataskyddsförordning. 18 Dir. 2016:65. 19 Dir. 2017:87. 20 Dir. 2016:65, s. 19.
Förutsättningarna för Registerforskningsutredningens förslag blir därför så pass förändrade att vi inte har berett detta äldre förslag vidare i detalj. I stället har vi utgått från Utredningens om regleringen av biobanker förslag i det nedanstående.
10.4. Överväganden och förslag
Vår bedömning: Vi ansluter oss i huvudsak till Utredningens om
regleringen av biobanker förslag om reglering av ett nationellt register för prover i biobanker som ska få användas för forskning, kvalitetssäkring och framställning av statistik.
10.4.1. Förslag i enlighet med Utredningens om regleringen av biobanker betänkande
Ändamål och relation till Svenska biobanksregistret
Vi ansluter oss till förslaget att instifta ett nationellt biobanksregister för bl.a. forskningsändamål, skilt från det existerande svenska biobanksregistret, med ett tydligt separat ändamål. Ändamålet med registret ska vara forskning, kvalitetssäkring och statistik samt att tillgodose självbestämmande via den enskildes rätt till tillgång (s.k. registerutdrag).21 Uppgifter tillgängliggörs för dessa ändamål efter beslut om utlämnande.
Det svenska biobanksregistret bör kunna finnas kvar som ett separat register, och precis som i dag ha som ändamål att bl.a. underlätta sökandet efter tidigare tagna prov för en patients egen vård och behandling.22
Denna uppdelning i ändamål mellan det nationella biobanksregistret och Svenska biobanksregistret medför ett mer begränsat ansvar för registrets huvudman jämfört med Registerforskningsutredningens förslag.
21SOU 2018:4 s. 246. 22SOU 2018:4 s. 242.
Rättslig grund för behandlingen
Förslaget innebär ett konstaterande att det är en uppgift av allmänt intresse att föra det nationella biobanksregistret för ovan angivna ändamål för den myndighet som får detta uppdrag. Detta medför att den personuppgiftsbehandling som är nödvändig för att utföra denna uppgift har en rättslig grund i dataskyddsförordningens artikel 6.1 e.23Denna rättsliga grund blir genom författningsförslaget fastställd i nationell rätt, vilken uppfyller de krav på sådan rätt som framgår av artikel 6.3. Det nationella biobanksregistret kommer att innehålla stora mängder personuppgifter som i sin helhet kan medföra betydande risker för den personliga integriteten. De angivna ändamålen, skyddsåtgärderna och den föreslagna sekretessregleringen avgränsar dock vilken behandling som är möjlig. Vi bedömer sammantaget att denna nationella reglering är proportionell i förhållande till det eftersträvade målet.
De uppgifter som kan förekomma i registret innefattar inte analyser, diagnoser eller andra direkta uppgifter om hälsa. Däremot ska registret innehålla uppgifter om provernas karaktär, vilket kan innefatta uppgift om vilket humanbiologiskt material som ingår i proverna, vilken del av kroppen provet kommer ifrån och vilka provtagningsmetoder som använts. 24 Sådana uppgifter kan utgöra i vart fall indirekta uppgifter om hälsa i den utsträckning de exempelvis avslöjar att en viss behandling eller en viss diagnosmetod har använts. Behandling av sådana uppgifter är enligt huvudregeln i artikel 9.1 förbjuden.
I 3 kap. 3 § dataskyddslagen regleras vissa situationer där känsliga personuppgifter får behandlas av en myndighet. Av paragrafens andra stycke framgår dock att personuppgiftsbehandling i form av sökningar inte får göras med stöd av denna bestämmelse om syftet är att få fram ett urval av personer grundat på känsliga personuppgifter. När registret används för forskningsändamål måste det dock vara möjligt att göra urval baserade på de faktorer som ska studeras. Dessa faktorer kan utgöras av känsliga personuppgifter.25 Utredningens om regleringen av biobanker förslag anger också att de uppgifter som ingår i registret ska få användas som sökbegrepp.26 Det är därför inte möjligt
23 Jfr SOU 2017:39 s. 117. 24SOU 2018:4 s. 247. 25 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50), s. 267 ff. 26SOU 2018:4 s. 250.
att bedriva den nödvändiga personuppgiftsbehandlingen med stöd av dataskyddslagen.
I förarbetena till dataskyddslagen klargörs dock att i vissa verksamheter kommer att finnas ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dataskyddslagens bestämmelser medger. Vidare poängteras att bestämmelserna i dataskyddslagen inte ersätter artiklarna i dataskyddsförordningen och att känsliga personuppgifter får behandlas med stöd av artikel 9.2 g även i andra fall.27 Vi gör bedömningen att behandlingen är nödvändig av hänsyn till det viktiga allmänna intresset att uppnå en bra spårbarhet för biobanksprover som bevaras för de syften som registret ska tillgodose. Bestämmelserna om rätt att motsätta sig registrering (optout, se nedan) och skyldigheten att informera den registrerade utgör bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Även känsliga personuppgifter kan därför behandlas med stöd av artikel 9.2 g. Eftersom personuppgiftsbehandlingen är nödvändig även för forskningsändamål kan även artikel 9.2 j utgöra stöd för densamma.
Innehåll i registret
Vi delar Utredningens om regleringen av biobanker bedömning att det i dagsläget inte är lämpligt att reglera att uppgifter om diagnos och analysresultat knutet till vävnadsprover ska överföras till och registreras i ett nationellt biobanksregister.28
Verkställighetsföreskrifter
I likhet med Utredningen om regleringen av biobanker anser vi att Socialstyrelsen, i sin roll som huvudman för registret, bör bemyndigas att utfärda föreskrifter om hur uppgifterna ska överföras till registret. Vi delar däremot inte uppfattningen att Socialstyrelsen bör bemyndigas att ändra vilka uppgifter som ska få finnas i registret (se avsnitt 10.4.2).
27 Regeringens proposition Ny dataskyddslag (prop. 2017/18:105), s. 91. 28SOU 2018:4 s. 248 f.
Huvudmannaskap
Med undantag för den första biobanksutredningen har de tidigare redovisade utredningarna på området föreslagit att Socialstyrelsen ska ansvara för ett nationellt biobanksregister. Den kritik som framförts mot denna bedömning har huvudsakligen gått ut på att myndigheten inte borde ha till uppgift att bistå hälso- och sjukvårdsverksamheten i enskilda ärenden. Även Socialstyrelsen har delat den uppfattningen.
Det befintliga Svenska biobanksregistret föreslås dock finnas kvar. Det registret ska med stöd av reglerna om sammanhållen journalföring tillhandahålla uppgifter om biobanksprover till hälso- och sjukvården. På så sätt renodlas uppdraget för det nationella biobanksregistrets huvudman.
Mot bakgrund av detta gör vi bedömningen att Socialstyrelsen kan ansvara för det nationella biobanksregistret.
10.4.2. Bedömningar och förslag som avviker från Utredningens om regleringen av biobanker betänkande
Hantering av redan insamlade uppgifter
Vår bedömning: Dataskyddsförordningen lämnar inte utrymme
att generellt underlåta att informera den registrerade om den personuppgiftsbehandling som görs i det nationella biobanksregistret, även om det är fråga om uppgifter som samlats in till lokala biobanker innan den föreslagna lagens ikraftträdande.
Den rättsliga grunden för behandlingen i det nationella registret är enligt förslaget att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Behandlingen är alltså inte, till skillnad från Registerforskningsutredningens förslag, beroende av ett aktivt samtycke från den registrerade.
Vi anser dock, i likhet med Utredningen om regleringen av biobanker,29 att den enskilde ska ha en absolut rätt att motsätta sig registrering och behandling i ett nationellt biobanksregister (optout). Den enskilde ska informeras om denna rätt av den vårdgivare eller biobankshuvudman som samlar in prover till en biobank och
29SOU 2018:4 s. 250 f.
överför uppgifter till det nationella registret. Om den enskilde motsätter sig att uppgifterna registreras får ingen registrering göras.
Utredningen om regleringen av biobanker uttalar dock i motiven till den föreslagna bestämmelsen att situationen avseende dem som redan har sina prover bevarade hos en vårdgivare eller biobankshuvudman när lagen träder i kraft är mer komplicerad.30 Det är i praktiken omöjligt att kontakta samtliga provgivare för att informera dem om rätten att motsätta sig registrering. Om uppgifter får registreras först från lagens ikraftträdande skulle det enligt Utredningens om regleringen av biobanker bedömning ta många år innan registret kommer till nytta. Mot bakgrund av detta föreslår utredningen ett undantag från informationskravet, och därmed från den praktiska möjligheten att motsätta sig behandling, för sådana uppgifter som redan finns sparade i biobanker vid lagens ikraftträdande. I stället föreslog utredningen att allmänheten på lämpligt sätt skulle informeras om registrets existens, ändamål och innehåll. Utöver detta skulle en myndighet ges i uppdrag att utforma och genomföra en informationsinsats riktad till de provgivare som redan har prover bevarade i biobanker. Informationsinsatsen skulle så långt som möjligt tillse att dessa provgivare fick kännedom om överföring av information till det nationella biobanksregistret och sin rätt att motsätta sig registrering.
Registerforskningsutredningen föreslog, till skillnad från Utredningen om regleringen av biobanker, att registrering och behandling av personuppgifter i det nationella biobanksregistret skulle bygga på samtycke. För uppgifter som samlats in i lokala biobanker innan lagens ikraftträdande skulle dock ett motsvarande undantag på samtyckeskravet gälla.31 Som redovisats ovan var dock detta undantag från samtyckeskravet en av de regler som föranledde kritik från remissinstanserna.
Utredningens om regleringen av biobanker förslag utgår inte från att personuppgiftsbehandlingen i det nationella biobanksregistret ska bygga på samtycke. Den registrerade ska dock informeras om behandlingen och om sin rätt att motsätta sig behandling, vilket i praktiken leder till ett förfarande som låter den enskildes inställning vara avgörande för om behandling ska få utföras. På samma sätt som
30SOU 2018:4 s. 252. 31SOU 2014:45 s. 484.
Registerforskningsutredningen föreslog ett undantag från samtyckeskravet för redan insamlade uppgifter, föreslår Utredningen om reglering av biobanker ett undantag från informationskravet vad gäller redan insamlade uppgifter. Det föreslagna undantaget från informationskravet framgår dock bara tydligt från utredningens motivuttalanden – det författningsförslag som presenterats innehåller inte något uttryckligt undantag från informationsplikten för sådana uppgifter som redan finns sparade i biobanker vid lagens ikraftträdande.
I sammanhanget bör dataskyddsförordningens reglering av informationsplikt uppmärksammas. Eftersom uppgifterna som ska registreras i det nationella biobanksregistret inte tillhandahålls av den registrerade blir artikel 14 tillämplig. Enligt denna bestämmelse ska den personuppgiftsansvariga förse den registrerade med bl.a. uppgifter om sin identitet och kontaktuppgifter, ändamålen med och den rättsliga grunden för behandlingen samt de kategorier av personuppgifter som behandlingen gäller. Det finns ett antal möjliga undantag från denna informationsplikt i artikel 14.5, bl.a. om tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning (artikel 14.5 b).
Vår bedömning är att dataskyddsförordningen inte tillåter ett generellt undantag från informationsplikten för ett nationellt biobanksregister. Om det visar sig oproportionerligt svårt att kontakta en viss provgivare får den personuppgiftsansvarige göra bedömningen om något undantag från informationsplikten kan vara tillämpligt i det enskilda fallet. Vi bedömer att allmänt riktad kommunikation, exempelvis information på myndighetens webbplats, inte uppfyller förordningens krav på informationsplikt.
Om provgivaren har avlidit utgör uppgifterna om dennes prov inte längre personuppgifter. I dessa fall utgör överföringen av uppgifterna till ett nationellt register ingen personuppgiftsbehandling. Det finns därmed i dessa fall inte något krav på information till den registrerade.
Sekretess
Vårt förslag: En ny sekretessregel med omvänt skaderekvisit ska
gälla för uppgifterna i det nationella biobanksregistret. Den tystnadsplikt som följer av sekretessbestämmelsen ska inskränka den grundlagsfästa rätten att meddela och offentliggöra uppgifter.
Vi gör i likhet med Utredningen om regleringen av biobanker bedömningen att uppgifterna i ett nationellt biobanksregister är känsliga på sådant sätt att de bör omfattas av en sekretessbestämmelse. I detta beaktar vi att uppgiften om att någon lämnat vävnadsprov i hälso- och sjukvårdssammanhang kan utgöra en i vart fall indirekt känslig personuppgift. Utredningen om reglering av biobanker har gjort bedömningen att uppgifterna i det nationella biobanksregistret omfattas av statistiksekretess.
Statistiksekretess gäller enligt 24 kap. 8 § OSL i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Som huvudregel är sekretessen absolut, även om en uppgift kan lämnas ut om den behövs för forsknings- eller statistikändamål och det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada. Huruvida statistiksekretess är tillämplig på en uppgift i en myndighets verksamhet beror bl.a. på om den förekommer i sådan särskild verksamhet som avser framställning av statistik. Vid den bedömningen är det inte myndigheten som sådan eller dess eventuella ställning som statistikansvarig myndighet32 som avgör om det är fråga om sådan särskild verksamhet. Med särskild verksamhet avses verksamhet som är skild från annan verksamhet hos myndigheten.33Utmärkande är att verksamheten är organiserad som en egen enhet eller liknande.34
Det aktuella registret föreslås ha flera olika syften där statistik är ett. Förslaget omfattar dock inte vilken typ av statistik som ska framställas från uppgifterna i registret. Mer framträdande är i stället registrets roll att tillhandahålla underlag till forskning samt möjliggöra
32 Vilka myndigheter som är statistikansvariga framgår av bilagan till förordningen (2001:100) om den officiella statistiken. Socialstyrelsen ingår bland dessa myndigheter. 33 Regeringens proposition Ändringar av statistiksekretessen (prop. 2013/14:162), s. 9. 34 Regeringens proposition med förslag till sekretesslag m.m. (prop. 1979/80:2), del A s. 263.
för den enskilde att motsätta sig vidare behandling av vävnadsprover och personuppgifter i biobankerna. Under dessa förutsättningar gör vi bedömningen att registret inte kommer att föras i sådan särskild verksamhet som avses i 24 kap. 8 § OSL. Inte heller hälso- och sjukvårdssekretess i enlighet med 25 kap. 1 § OSL torde vara tillämplig på uppgifterna hos Socialstyrelsen, eftersom myndigheten inte omfattas av bestämmelsen som gäller sekretess i hälso- och sjukvården.
Vi föreslår (avsnitt 8.9.5) att det ska införas en ny generell forskningssekretess. Tillämpningsområdet för denna sekretess är dock begränsat till myndigheter som själva behandlar uppgifter för forskningsändamål. Det nationella biobanksregistret har enligt vårt förslag ett bredare syfte och passar därför inte in på forskningssekretessens tillämpningsområde.
Däremot skulle uppgifterna åtminstone omfattas av den svagare sekretessen i 21 kap. 1 § OSL. Vi bedömer dock att sekretessens styrka i detta fall (rakt skaderekvisit) inte är tillräcklig. För att tillförsäkra uppgifterna i registret ett godtagbart skydd föreslår vi i stället en särskilt avgränsad sekretessbestämmelse som avser uppgifter om enskild i ett nationellt biobanksregister. Sekretessen ska gälla såvida det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (omvänt skaderekvisit). Sekretess kommer alltså att vara huvudregeln för dessa uppgifter. Det är samma sekretesskydd som gäller för dessa uppgifter när de hanteras i hälso- och sjukvården.
Syftet med vårt förslag är att dels stärka skyddet för de uppgifter som förekommer i ett nationellt biobanksregister, dels bibehålla förtroendet för forskningen. Vi anser därför att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen bör ha företräde framför rätten att meddela och offentliggöra uppgifter. Mot bakgrund av uppgifternas skyddsvärde anser vi därför att uppgifterna ska omfattas av det undantag från meddelarfriheten som regleras i 24 kap. 9 § OSL.
Föreskrifter om vilka uppgifter som ska överföras till registret
Vårt förslag: Socialstyrelsen bör inte bemyndigas att meddela
föreskrifter om vilka uppgifter som ska överföras till registret. Sådana ändringar bör ges i lagform.
Utredningen om regleringen av biobanker anger i sitt författningsförslag att det nationella biobanksregistret uttryckligen endast ska innehålla vissa uppräknade uppgifter (3 kap. 2 § i förslaget till ny biobankslag), men föreslår samtidigt att Socialstyrelsen ska bemyndigas att meddela föreskrifter om vilka uppgifter som ska överföras till registret (9 kap 4 § 3 p). Vi utgår i vår bedömning från att en sådan föreskrift faktiskt avser att resultera i att de överförda uppgifterna också lagras i registret. Effekten av bemyndigandet skulle då bli att en myndighetsföreskrift i praktiken ges företräde framför en lag.
En utökning av uppgifter i registret kan, om det görs utan den registrerades samtycke, medföra att det blir fråga om så betydande intrång i den personliga integriteten att det kan utgöra en kartläggning av den registrerades personliga förhållanden. En sådan inskränkning i den enskildes rätt får enligt 2 kap. 6 och 21–22 § regeringsformen endast göras i lag. Vi anser därför att det inte är lämpligt att lämna ett bemyndigande vars tillämpning riskerar att strida mot grundlagen. En ändring av vilka uppgifter som registret får innehålla bör därför beredas i lagform.
10.5. Förslag till författningsreglering
Eftersom vår beredning av frågan om ett nationellt biobanksregister inte föranleder oss att lämna något eget förslag till en reglering hänvisar vi till Utredningens om regleringen av biobanker förslag till en ny biobankslag, med de ändringar som vi ovan föreslagit.35 Vi föreslår dock en annan konstruktion för sekretessreglering av det nationella biobanksregistret.
10.6. Sammanfattning
Vi har i detta kapitel vidareberett Registerforskningsutredningens förslag till reglering av ett nationellt biobanksregister, och särskilt beaktat den kritik som framkommit bland remissinstanserna. Vi har i denna del i betydande utsträckning anslutit oss till de bedömningar som nyligen gjorts av Utredningen om reglering av biobanker.
11. Utlämnande av uppgifter till europeiska forskningsdatabaser
11.1. Vårt uppdrag i denna del
Internationella organisationer som FN och EU har satt upp mål för att minska inkomstskillnaderna. FN:s Agenda 2030 för hållbar utveckling har bl.a. som mål att utrota fattigdomen och minska inkomstspridningen inom och mellan länder. 1 EU har ett mål om att antalet människor inom EU som lever eller riskerar att leva i fattigdom och social utestängning ska ha minskat med minst 20 miljoner till år 2020.2
Svenska forskare har sedan länge bidragit till den internationella forskningen om befolkningens inkomstskillnader, fattigdom och hur skatte- och socialförsäkringssystemen påverkar befolkningens disponibla inkomster. Bidragande till detta har varit den goda tillgången på registerdata av hög kvalitet som finns att tillgå hos Statistiska centralbyrån (SCB). Forskningen har även underlättats av ett internationellt samarbete kring en databas benämnd Luxembourg Income Study (LIS-databasen). Databasen administreras av en icke vinstdrivande forskningsorganisation i Luxemburg, LIS Cross-National Data Center (LIS). LIS-databasen innehåller uppgifter om individers inkomster, skatter, socialförsäkringar och bidrag i cirka 50 länder.3
SCB levererade uppgifter till databasen från det att den skapades år 1983 fram till år 2007. SCB har därefter bedömt att det saknas rättsliga förutsättningar för myndigheten att leverera uppgifter. Riksrevisionen har granskat förutsättningarna för SCB att lämna ut data till LIS. I oktober 2016 lämnade Riksrevisionen granskningsrapporten
1 https://sustainabledevelopment.un.org/ 2 http://ec.europa.eu/europe2020/targets/eu-targets/index_sv.htm 3 http://www.lisdatacenter.org/our-data/lis-database/
Internationella jämförelser av inkomstskillnader – Sveriges möjligheter att bidra med statistik (RIR 2016:24). Riksrevisionen konstaterade i rapporten att de uppgifter som LIS har behov av torde omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL. För att möjliggöra ett utlämnande av uppgifterna krävs det därför en författningsreglerad skyldighet för SCB att lämna ut dem till LIS. Riksrevisionen rekommenderade att regeringen, utifrån en avvägning mellan databasens nytta för forskningen och den enskildes behov av integritet, tar ställning till om uppgifterna ska lämnas ut till LIS.
I våra direktiv4 anges att databasen har stor betydelse för forskning på området och att det är av vikt att uppgifter från svenska myndigheter kan ingå i databasen. Enligt direktiven krävs det en sekretessbrytande bestämmelse för att SCB ska kunna lämna ut uppgifterna. Vidare behöver vissa frågor utredas närmare, bl.a. vilka uppgifter som bör lämnas ut, i vilket format uppgifterna ska lämnas och SCB:s möjligheter att lämna ut uppgifterna utifrån dataskyddsförordningen5och de kompletterande författningsbestämmelserna i dataskyddslagen (2018:218). Vi har därför fått i uppdrag att analysera vilken rättslig reglering som behövs och är lämplig för att SCB ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden ur sina register till den organisation som administrerar databasen samt att lämna nödvändiga författningsförslag.
Det är dock inte enbart LIS-databasen som är av intresse för vårt uppdrag att möjliggöra behandling av personuppgifter i forskningsdatabaser.6 Inom EU finns fler exempel på forskningssamarbeten där Sverige deltar tillsammans med andra länder. Vår bedömning av gällande rätt kan därför komma att omfatta även andra forskningsdatabaser än LIS-databasen. Av den anledningen är nedanstående bedömningar även applicerbara på det generella behovet av utbytet med forskningsdatabaser inom Europa.
4 Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04) (dir. 2017:61), s. 3. 5 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 6 Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65).
11.2. Rättsliga förutsättningar
11.2.1. Offentlighets- och sekretesslagen
Vår bedömning: Det behöver införas en sekretessbrytande
bestämmelse som möjliggör för statistikansvariga myndigheter att lämna ut uppgifter till LIS och andra forskningsdatabaser inom Europa.
Sekretess som gäller för uppgifterna hos statistikansvariga myndigheter
Av 24 kap. 8 § första stycket OSL framgår att sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Den officiella statistikproduktionen, som regleras i lagen (2001:99) och förordningen (2001:100) om den officiella statistiken, utgör det centrala området för sådan särskild verksamhet som avses här. 7 De uppgifter som bör lämnas ut till LIS omfattas av sekretess enligt 24 kap. 8 §.8
Enligt 8 kap. 1 § OSL får en uppgift för vilken sekretess gäller inte röjas för enskilda eller för andra myndigheter, om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till.
Representanter för LIS har åberopat 8 kap. 3 § 2 OSL som stöd för att SCB ska kunna lämna ut begärda uppgifter.9 Enligt nämnda lagrum får en uppgift för vilken sekretess gäller inte röjas för en utländsk myndighet eller en mellanfolklig organisation, om inte
1. utlämnande görs i enlighet med särskild föreskrift i lag eller
förordning, eller
2. uppgiften i motsvarande fall skulle få lämnas ut till en svensk
myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften
7 Lenberg m.fl., Offentlighets- och sekretesslagen (1 januari 2017, Zeteo), kommentaren till 24 kap. 8 §. 8 Se SCB:s skrivelse 2014-09-16, dnr 2014/1071Ad1, och Riksrevisionens rapport Inter-
nationella jämförelser av inkomstskillnader – Sveriges möjligheter att bidra med statistik
(RIR 2016:24) s. 16. 9 Skrivelse 2013-02-27 till SCB från R. Erikson och M. Jäntti vid Stockholms universitet, dnr SU 328-0003-13 (Stockholms universitets dnr) och 2013/0442 (SCB:s dnr).
lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.
Lagrådet har påpekat att en svensk myndighet i princip inte har någon skyldighet att tillhandagå en utländsk myndighet eller en mellanfolklig organisation med uppgifter vare sig dessa är sekretessbelagda eller inte, såvida inte en sådan uppgiftsskyldighet är särskilt föreskriven. Paragrafen medför således inte någon förpliktelse att lämna uppgifter utan har endast till funktion att fastställa under vilka förutsättningar sekretessbelagda uppgifter får lämnas till en utländsk myndighet eller en internationell organisation.10
Någon särskild föreskrift om statistikansvariga myndigheters utlämnande av uppgifter till LIS eller någon annan europeisk forskningsdatabas finns varken i lag eller förordning.
Utlämnande till utländska myndigheter eller mellanfolkliga organisationer
De ansvariga för LIS-databasen har som nämnts ovan åberopat det andra undantaget i 8 kap. 3 § OSL. Den fråga som behöver klargöras är således om LIS-databasen och andra europeiska forskningsdatabaser omfattas av bestämmelserna i 8 kap. 3 § 2 OSL. Bestämmelserna i 8 kap. 3 § tar sikte på i vilka fall uppgifter kan lämnas till en utländsk myndighet eller en mellanfolklig organisation.
Det måste först avgöras om den europeiska forskningshuvudmannen är en utländsk myndighet. Är svaret på den frågan nekande måste man i stället bedöma om forskningshuvudmannen är att betraktas som en mellanfolklig organisation enligt kriterierna uppställda i 8 kap. 3 § OSL. I det följande undersöker vi därför främst LIS ur ett organisatoriskt perspektiv.
LIS är en oberoende icke vinstdrivande forskningsorganisation som är registrerad och belägen i Luxemburg med en filial vid The City University of New York. 11 LIS är således inte en utländsk myndighet. Frågan är därmed om LIS är att betrakta som en mellanfolklig organisation.
10 Konstitutionsutskottets betänkande 1982/83:KU12 s. 36 och Lenberg m.fl., Offentlighets- och sekretesslagen (1 januari 2017, Zeteo), kommentaren till 8 kap. 3 §. 11 http://www.lisdatacenter.org/wp-content/uploads/brochure.pdf
Riksrevisionen har funnit att det inte är entydigt om LIS rent juridiskt är att betrakta som en mellanfolklig organisation. Forskare från svenska statliga universitet deltar i arbetet, något som enligt Riksrevisionen skulle kunna tala för att organisationen är att betrakta som mellanfolklig. Om detta faktum är tillräckligt för att klassificera organisationen som mellanfolklig kan enligt Riksrevisionen emellertid inte fastslås med säkerhet.12
Det finns inte någon definition av mellanfolklig organisation i OSL och fanns inte heller i den äldre sekretesslagen (1980:100), förkortad SekrL. Någon definition nämns inte heller i förarbetena till bestämmelserna i 8 kap. 3 § OSL, som tidigare fanns i 1 kap. 3 § tredje stycket SekrL.
Uttrycket mellanfolklig organisation förekommer också i 10 kap. 1 § regeringsformen, förkortad RF. Enligt nämnda paragraf är det regeringen som ingår överenskommelser med bl.a. mellanfolkliga organisationer. I förarbetena till den bestämmelsen anges att uttrycket mellanfolklig organisation bara omfattar organisationer som är rättssubjekt enligt folkrätten, vilket är fallet i huvudsak med organisationer som är sammanslutningar av stater.13 Lagrådet har ansett att hit torde också få räknas organisationer som upprättats genom avtal mellan flera stater utan att för den skull de enskilda staterna ses som medlemmar i organisationerna.14 Regeringen har uttalat att det inte finns någon allmänt vedertagen definition av vad som är en mellanfolklig eller internationell organisation. Enligt regeringen brukar dock vanligtvis sägas att en mellanfolklig organisation för det första ska skapas genom en internationell överenskommelse, för det andra ska vara ett självständigt organ samt för det tredje ska ha etablerats i enlighet med internationell rätt.15
Den ovan återgivna synen på vad som karaktäriserar en mellanfolklig organisation, dvs. organisationer som är sammanslutningar av stater eller som upprättats genom avtal mellan flera stater eller genom en internationell överenskommelse, förefaller också vara relevant för bestämmelserna i 8 kap. 3 § OSL. I förarbetena till bestämmelsen i
12 Riksrevisionens rapport Internationella jämförelser av inkomstskillnader – Sveriges möjlig-
heter att bidra med statistik (RIR 2016:24) s. 10.
13 Kungl. Maj:ts proposition med förslag till ny regeringsform och ny riksdagsordning m. m (prop. 1973:90 s. 357 och 360). 14 Regeringens proposition Samarbete med Specialdomstolen för Sierra Leone (prop. 2005/06:93), s. 88. 15Prop. 2005/06:93 s. 29 f.
8 kap. 3 § 1 nämns som exempel de socialförsäkringskonventioner som Sverige har ingått med främmande länder och som innehåller åtaganden om att lämna uppgifter i olika hänseenden.16 Som ytterligare exempel kan nämnas lagen (2000:1219) om internationellt tullsamarbete.17 I förarbetena till den lagen anges FN och EG som exempel på mellanfolkliga organisationer.18 Vidare kan nämnas att Förenta Nationerna och Europarådet anges som exempel på mellanfolkliga organisationer i förarbetena till bestämmelserna om utrikessekretess i 15 kap. 1 § OSL, vilka tidigare fanns i 2 kap. 1 § SekrL.19
Är LIS en mellanfolklig organisation?
Luxembourg Income Study bildades år 1983 av forskare från sju länder, däribland Sverige.20 Även om det är flera länder som bidrar med uppgifter till LIS är det enligt vår bedömning inte fråga om en organisation som är en sammanslutning av stater eller som har upprättats genom avtal mellan flera stater eller genom en internationell överenskommelse. LIS är således inte att betrakta som en mellanfolklig organisation. Bestämmelsen i 8 kap. 3 § 2 OSL är därmed inte tillämplig här. Nämnda bestämmelse kan därmed inte utgöra stöd för SCB att lämna ut uppgifter till LIS.
Statistikansvariga myndigheters möjlighet att lämna ut uppgifter med stöd av 8 kap. 3 § OSL
Även om en europeisk forskningsdatabas skulle vara att betrakta som en mellanfolklig organisation hade det inte per automatik inneburit att den statistikansvariga myndigheten skulle kunna lämna ut önskade uppgifter. Enligt bestämmelsen i 8 kap. 3 § OSL får uppgifter lämnas ut till en utländsk myndighet eller mellanfolklig organisation endast om uppgiften i motsvarande fall fått lämnas ut till svensk myndighet
16 Regeringens proposition om ändring i sekretesslagen (prop. 1981/82:186) s. 58. 17 Lenberg m.fl., Offentlighets- och sekretesslagen (1 januari 2017, Zeteo), kommentaren till 8 kap. 3 §. 18 Regeringens proposition Internationellt tullsamarbete (prop. 1999/2000:122), s. 19. 19 Regeringens proposition med förslag till sekretesslag m.m. (prop. 1979/80:2) Del A s. 130 f. 20 Riksrevisionens rapport Internationella jämförelser av inkomstskillnader – Sveriges möjligheter att
bidra med statistik (RIR 2016:24), s. 10 samt
http://www.lisdatacenter.org/wp-content/uploads/brochure.pdf
och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas ut.
Vid utlämnande till svenska myndigheter tillämpar statistikansvariga myndigheter statistiksekretessen i 24 kap. 8 § OSL. Enligt huvudregeln är sekretessen i 24 kap. 8 § första stycket absolut, dvs. inte försedd med något skaderekvisit. Det innebär att uppgifterna ska hemlighållas utan någon prövning av om ett utlämnande medför någon risk för skada eller men.21 I tredje stycket finns dock undantag från den absoluta sekretessen. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Även i de fall som en forskningsdatabas är en mellanfolklig organisation måste alltså utlämnande myndighet göra en sådan menprövning före ett utlämnande.
SCB har i skrivelse till LIS den 16 september 2014 uttalat22 att det inte går att bedöma att det står klart att uppgifterna kan lämnas ut till LIS utan att någon enskild lider skada eller men. SCB hänvisar i skrivelsen till att uppgifterna ska lämnas ut till en generell databas, i syfte att användas för framtida, ospecificerade forskningsprojekt. Till Riksrevisionen har företrädare för SCB uppgett att myndigheten ansett sig förhindrad att lämna ut uppgifterna eftersom de skulle lämnas ut till en forskningsdatabas för att i ett senare skede lämnas ut till okända forskningsprojekt och att man därför inte kunnat göra någon skadeprövning.23 SCB är således av uppfattningen att motsvarande förfrågan från en svensk myndighet inte hade kunnat godkännas eftersom syftet med uppgifterna är att skapa en databas och inte att användas för ett specifikt forskningsprojekt.24 SCB:s tolkning innebär också att inte heller en förfrågan från någon annan europeisk forskningsdatabas skulle kunna godkännas. Denna bedömning kan inte sägas gälla specifikt för LIS utan torde träffa andra liknande forskningsdatabaser inom EU.
21 Lenberg m.fl., Offentlighets- och sekretesslagen (1 januari 2017, Zeteo), kommentaren till 24 kap. 8 §. 22 Dnr 2014/1071Ad1 (SCB:s diarienummer). 23 Riksrevisionens rapport Internationella jämförelser av inkomstskillnader – Sveriges möjlig-
heter att bidra med statistik (RIR 2016:24) s. 16.
24 Se SCB:s två skrivelser 2013-03-07, dnr 2013/0442 (SCB:s dnr).
Sammanfattningsvis är det utredningens bedömning att det krävs en sekretessbrytande bestämmelse som går utöver de undantag från sekretess som finns i 24 kap. 8 § tredje stycket OSL. Detta för att de statistikansvariga myndigheterna ska kunna lämna ut uppgifter till de europeiska forskningsdatabaserna.
Nedan analyserar vi vilka möjligheter till sådan reglering som finns med beaktande av dataskyddsförordningen och dataskyddslagen.
11.2.2. Dataskyddsregleringen
Vår bedömning: Dataskyddsförordningen och dataskyddslagen
förutsätter att det införs en särskild reglering av en rättslig grund som gör det möjligt för en svensk myndighet att lämna ut uppgifter till LIS eller andra europeiska forskningsdatabaser.
Inledning
Personuppgifter behandlas inom forskningsverksamhet i samband med exempelvis intervjuer av forskningspersoner, inspelningar och genom insamling av registeruppgifter från större register från myndigheter. Vilka typer av personuppgifter det är fråga om kan variera från projekt till projekt. Det kan handla om allt från t.ex. integritetskänsliga personuppgifter om hälsa och sexualliv till uppgifter om lagöverträdelser. I en del forskningsprojekt förekommer inga känsliga personuppgifter alls.
Rättslig grund
Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges under vilka förutsättningar en behandling är laglig. Behandling är endast laglig om och i den mån som åtminstone ett av villkoren i artikel 6.1 a–f är uppfyllt. De rättsliga grunder som enligt vår uppfattning aktualiseras i detta sammanhang finns i artikel 6.1 c och e. Enligt artikel 6.1 c är behandling laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den
personuppgiftsansvarige. Av första ledet i artikel 6.1 e framgår att behandling är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse.
För att nämnda grunder ska kunna tillämpas finns ytterligare krav i artikel 6.3. Enligt första stycket ska den grund för behandling som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Förpliktelser och uppgifter av allmänt intresse som inte är rättsligt förankrade i enlighet med unionsrätten eller medlemsstatens nationella rätt kan därmed inte åberopas som rättsliga grunder för behandling av personuppgifter.
I de allra flesta typer av forskningsprojekt kan det förekomma känsliga personuppgifter och uppgifter om lagöverträdelser. Huvudregeln i dataskyddförordningen anger att behandling av dylika personuppgifter är förbjudna. Det krävs då att det finns ett undantag som är tillämpligt för att behandlingen ska kunna vara tillåten. Det undantag som kan bli aktuella gällande LIS, och andra fall där man behandlar personuppgifter inom en forskningsverksamhet, är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 j. Förutom ändamålet med behandlingen omfattar kraven att det finns stöd i unionsrätt eller nationell rätt. Regleringen ska stå i proportion till syftet med behandlingen, vara förenligt med rätten till dataskydd och utöver detta innehålla bestämmelser om lämpliga och särskilda skyddsåtgärder. Slutsatsen av den bedömningen kan innebära att det saknas nationell reglering eller att den befintliga inte uppfyller samtliga krav. Det kan också innebära att alla krav är uppfyllda och en sekretessprövning enligt gällande rätt kan utföras.
Rättslig grund för utlämnande myndigheter
I detta avsnitt avser vi att belysa den rättsliga grund som statistikansvariga myndigheter har för utlämnande av uppgifter till LIS och andra liknande forskningshuvudmän utomlands.
I bilagan till förordningen om den officiella statistiken anges vilka myndigheter som är statistikansvariga myndigheter. Av 3 § lagen om officiell statistik framgår det att officiell statistik ska finnas för allmän information, utredningsverksamhet och forskning. Denna fastställda uppgift utgör rättslig grund för de statistikansvariga myndigheterna
att utföra en uppgift av allmänt intresse enligt artikel 6.1 e. Det är därmed utredningens bedömning att den personuppgiftsbehandling som krävs i det här fallet är fastställd i nationell rätt och därmed finns det inget behov av en separat reglering i denna del.
Enligt artikel 6.3 andra stycket ska syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse.
Till skillnad mot vad som gäller avseende grunden rättslig förpliktelse behöver ändamålet således inte framgå av den författning eller det beslut där själva uppgiften fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Med andra ord måste det finnas ett samband mellan behandlingen och den fastställda uppgiften.
Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling enligt artikel 6.1 c och e. Enligt artikel 6.3 andra stycket andra meningen kan den rättsliga grunden innehålla särskilda bestämmelser om bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling. Detta omfattar även åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX (där det finns bestämmelser om behandling för bl.a. vetenskapliga eller historiska forskningsändamål eller statistiska ändamål). I artikel 6.3 andra stycket sista meningen anges att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
I dataskyddslagen finns en kompletterande bestämmelse avseende uppgift av allmänt intresse. Enligt 2 kap. 4 § första stycket 1 får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut
som har meddelats med stöd av lag eller annan författning. I förarbetena25 till bestämmelsen i 2 kap. 4 § första stycket 1 anger regeringen att bl.a. statliga myndigheters verksamhet i allt väsentligt är av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av dessa myndigheter, även utanför området för myndighetsutövning. I propositionen anges vidare att myndigheternas uppdrag och åligganden framgår av bl.a. författningar och regeringsbeslut, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed utföras med stöd av artikel 6.1 e i dataskyddsförordningen.26 Även bestämmelserna i dataskyddslagen förutsätter att det finns en särskild reglering som möjliggör nödvändig behandling av personuppgifter vid sådant utlämnande. Det framgår av 1 kap. 3 § dataskyddslagen att en sådan reglering i så fall har företräde framför bestämmelserna i dataskyddslagen, i den mån regleringen avviker från vad som föreskrivs i dataskyddslagen.
Sammanfattningsvis kan konstateras att bestämmelserna i dataskyddsförordningen och dataskyddslagen förutsätter att det införs en särskild reglering av den rättsliga grunden som gör det möjligt för en statistikansvarig myndighet att lämna ut uppgifter till LIS eller andra europeiska forskningsdatabaser.
11.2.3. Uppgiftsskyldighet som bryter sekretess
Vår bedömning: Ett undantag från sekretess på grund av uppgifts-
skyldighet omfattar i gällande rätt inte uppgiftsskyldighet till annat än myndigheter.
Sekretess hindrar inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Detta framgår av 10 kap. 28 § första stycket OSL. Av andra stycket framgår att ytter-
25 Regeringens proposition Ny dataskyddslag (prop. 2017/18:105). 26Prop. 2017/18:105, s. 55 ff.
ligare sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess finns i anslutning till berörda sekretessbestämmelser i lagens avdelning IV–VI. En sekretessbrytande bestämmelse i form av uppgiftsskyldighet förutsätter således att det är en myndighet som är mottagaren. För att uppgiftsskyldigheten ska bryta sekretessen måste den också ha stöd i lag.
Det finns en särskild skyldighet för statliga myndigheter att lämna uppgifter för officiell statistik. Uppgiftsskyldigheten regleras i lagen om den officiella statistiken (statistiklagen) och omfattar näringsidkare och ägare till en fastighet där någon annan driver jordbruk, skogsbruk eller trädgårdsodling eller håller djur samt stiftelser och ideella föreningar, registrerade trossamfund, kommuner och landsting. Uppgiftsskyldigheten innebär alltså att näringsidkare, olika organisationer, kommuner och landsting måste lämna in vissa uppgifter som krävs för att producera Sveriges officiella statistik.
I fråga om statliga myndigheter finns bestämmelser om uppgiftsskyldigheten i statistikförordningen. Enligt förordningen ska en statlig myndighet lämna de uppgifter som behövs för den officiella statistiken till de statistikansvariga myndigheterna. Vilka myndigheter som är statistikansvariga inom vilket område framgår som ovan nämnts av bilagan till förordningen om den officiella statistiken.27Skyldigheten att lämna in uppgifter för statistiska ändamål gäller alltså såväl för vissa myndigheter som för vissa privata aktörer.
Däremot finns ingen reglerad uppgiftsskyldighet från myndighet till en privat forskningshuvudman i svensk lagstiftning. I förarbetena till statistiklagstiftningen28 har hittills endast uppgiftsskyldigheten mellan myndigheter behandlats med utvidgning till att omfatta även EU-myndigheter. Det finns även möjlighet för den svenska staten att göra undantag från sekretess för mellanfolkliga organisationer såsom FN (8 kap 3 § OSL). Det finns dock inte något sådant undantag från sekretessen som omfattar offentliga eller privata forskningshuvudmän utanför Sveriges gränser.
27 Regeringens proposition Ändringar i statistiklagstiftningen (prop. 2013/14:7), s. 12 f 28 Propositionerna 2000/01:27, 2002/03:95, 2008/09:165, 2013/14:7.
11.3. Utredningens förslag
11.3.1. En ny sekretessbrytande bestämmelse
Vårt förslag: En uppgift för vilken sekretess gäller får röjas för en
forskningshuvudman med verksamhetsställe utanför Sverige, som omfattas av EU:s dataskyddsförordning, om uppgiften i motsvarande fall skulle få lämnas ut till en forskningshuvudman med verksamhetsställe i Sverige, och om forskningshuvudmannen omfattas av motsvarande skyddsregler som gäller enligt offentlighets- och sekretesslagen och lagen om forskningsdatabaser.
Vi föreslår även att regeringen ska ge en myndighet i uppdrag att stödja utlämnande myndigheter vid bedömningen av om en forskningshuvudman utanför Sverige uppfyller de villkor som krävs för ett utlämnande av personuppgifter.
De uppgifter som företrädare för europeiska forskningsdatabaser kan vilja samla in från svenska myndigheter omfattas som regel av statistiksekretessen i 24 kap. 8 § OSL. Vid menprövningen i samband med utlämnanden till forskningsprojekt kräver SCB, liksom andra myndigheter, en godkänd etikansökan samt att uppgifterna skyddas av sekretess hos mottagaren antingen genom en primär sekretessbestämmelse eller genom överföring av statistiksekretessen. Dessa krav utgör oftast inte något problem för en svensk myndighet att uppfylla. För utlämnande till privata forskningshuvudmän inom Sverige finns möjligheten för utlämnande myndighet att lämna ut uppgifterna med förbehåll enligt 10 kap. 14 § OSL. För det fall där statistiksekretessen inte finns reglerad hos mottagande myndighet anses sekretessen överföras enligt 11 kap. 3 § OSL.
När forskningshuvudmän från olika länder inklusive en svensk forskningshuvudman tillsammans begär ut uppgifter brukar utlämnande myndighet lämna ut uppgifterna till den svenska forskningshuvudmannen. Den svenska parten får ta huvudansvaret för uppgifterna och hantering av dessa. Detta är dock inte en tillfredsställande lösning eftersom en svensk forskningshuvudman inte deltar i alla forskningssamarbeten.
Som tidigare angetts omfattas inte privata forskningshuvudmän utanför landets gränser av det svenska sekretesskyddet. Detta skapar problem eftersom en utlämnande myndighet i sådana fall anser sig
vara förhindrad att lämnat ut uppgifter. Det finns heller inga sekretessbrytande bestämmelser som ger möjlighet att lämna ut uppgifter till privata forskningshuvudmän utomlands.
Forskare hos svenska forskningshuvudmän deltar i många internationella forskningssamarbeten som förutsätter behandling av personuppgifter i forskningsdatabaser, även i databaser i andra länder. För att möjliggöra forskningssamarbeten inom EU och för att uppfylla syftet med dataskyddsförordningen anser vi att det vore önskvärt med en reglering i offentlighets- och sekretesslagen som möjliggör utlämnande av uppgifter till forskningshuvudmän som omfattas av dataskyddsförordningen.
Vi föreslår således en sekretessbrytande bestämmelse liknande den som återfinns i 8 kap. 3 § OSL. Av bestämmelsen ska framgå att uppgift för vilken sekretess gäller enligt offentlighets- och sekretesslagen inte skulle få röjas för en forskningshuvudman med verksamhetsställe utanför Sverige som omfattas av EU:s dataskyddsförordning. Ett utlämnande skulle ändå vara tillåtet om uppgiften i motsvarande fall skulle få lämnas ut till en svensk forskningshuvudman och den utländske forskningshuvudmannen omfattas av motsvarande skyddsregler som gäller enligt offentlighets- och sekretesslagen och den lag om forskningsdatabaser som vi föreslår. Av den anledningen ska den sekretessbrytande regeln formuleras så att den omfattar både privata forskningshuvudmän och forskningshuvudmän som är utländska myndigheter. Regeln ska bara gälla utländska forskningshuvudmän som omfattas av dataskyddsförordningen. Möjligheten att lämna ut uppgifter till utländska forskningshuvudmän utanför dataskyddsförordningens tillämpningsområde måste utredas utförligare än vad som är möjligt inom ramen för vår utredning.
I Sverige ställer utlämnande myndigheter krav på att forskningshuvudmannen ska ha ett etikgodkännande från en av landets etikprövningsnämnder och ett erforderligt sekretesskydd för att få ut uppgifter till forskning. Vidare ställs krav på att forskningshuvudmannen ska följa bestämmelserna i dataskyddsförordningen. Dessa krav träffar alla forskningshuvudmän, privata som offentliga. Med anledning av vår strävan att behandla alla forskningshuvudmän lika blir det därför rimligt att motsvarande krav även ska träffa forskningshuvudmän utanför Sverige som också är skyldiga att uppfylla kraven i dataskyddsförordningen. Detta ger uppgifterna motsvarande
skydd hos den mottagande parten även i fall där forskningshuvudmannen inte är en myndighet eller mellanfolklig organisation. Av den sekretessbrytande bestämmelsen ska framgå att dessa krav ska vara uppfyllda för att sekretessen ska kunna brytas och uppgifter lämnas ut.
Den sekretessbrytande bestämmelse som vi förslår ska således inte enbart vara tillämplig för utlämnande av uppgifter till LIS, utan till alla forskningsdatabaser som drivs av forskningshuvudmän med verksamhetsställen utanför Sverige som omfattas av dataskyddsförordningen. Vi anser att en sådan bestämmelse möjliggör önskvärda forskningssamarbeten inom EU och innefattar ett gott skydd för den personliga integriteten. Skyddet av uppgifterna måste uppfylla de krav på säkerhet vid behandling av personuppgifter som ställs i dataskyddsförordningen. Under dessa förutsättningar kan även syftet med förordningen uppfyllas, nämligen att skydda fysiska personer med avseende på behandling av personuppgifter samtidigt som det fria flödet av uppgifter inom unionen inte begränsas.
Ett ytterligare skydd för uppgifterna finns genom tillämpning av bestämmelsen i 21 kap 7 § OSL. Enligt den nya lydelsen29 gäller sekretess ifall den utlämnande myndigheten har anledning att anta att uppgifterna efter utlämnandet kommer att behandlas i strid mot dataskyddsförordningen eller dataskyddslagen. Oaktat den bestämmelse som vi föreslår skulle ett antagande om behandling i strid mot dataskyddsförordningen innebära ett hinder mot utlämnande.
Det kommer att vara en ny och inte helt lätt uppgift för en svensk myndighet att avgöra om en forskningsdatabas inom EU uppfyller de villkor som krävs för att uppgifterna ska få röjas enligt vår föreslagna regel. Om det är möjligt ska myndigheten därefter tillämpa sin vanliga sekretessbestämmelse, t.ex. 24 kap. 8 § OSL, alltså göra en menprövning. Om det finns anledning att anta att forskningshuvudmannen skulle behandla uppgifterna i strid mot dataskyddsförordningen eller dataskyddslagen, ska det dessutom göras en prövning enligt 21 kap. 7 § OSL. Det kommer därför att behövas information om hur den mottagande forskningsdatabasen behandlar personuppgifter och om vilka skyddsregler som tillämpas. Utredningen finner att det är lämpligt att en myndighet, t.ex. Vetenskapsrådet, får i uppdrag av regeringen att bistå myndigheterna med sådan information. Den myndighet som får detta uppdrag bör samråda med Datainspektionen.
29 Lag (2018:220).
11.3.2. Alternativ lösning för utlämnande av uppgifter till LIS
Ett annat alternativ för att möjliggöra utlämnande av personuppgifter till LIS, som vi har övervägt, är om Sverige skulle kunna verka för att LIS ska byta organisationsform, från den nuvarande stiftelseliknande organisationen till en s.k. Eric (nedan kallad Erickonsortium).
Inom EU har man sedan länge haft som mål att stödja och utveckla forskningsinfrastrukturer. Traditionellt sett har stödet för användning och utveckling av europeiska forskningsinfrastrukturer företrädesvis bestått av bidrag till redan etablerade forskningsinfrastrukturer. EU har detta till trots ansett att utvecklingen av nya forskningsinfrastrukturer måste stimuleras ytterligare. Som ett led i denna målsättning antog Europeiska unionens råd 2009 förordningen (EG) nr 723/2009 av den 25 juni 2009 om gemenskapens rättsliga ram för ett konsortium för europeisk forskningsinfrastruktur (Ericförordningen). Syftet med förordningen är att det ska vara lättare att inrätta och driva europeiska forskningsinfrastrukturer på icke-ekonomiska grunder. Med forskningens infrastruktur avses t.ex. centrala forskningsanläggningar, databaser, biobanker eller storskaliga beräkningsresurser.
Ett Eric-konsortium är en juridisk person inom EU med huvuduppgift att utan vinstsyfte inrätta och driva en forskningsinfrastruktur. Enligt Eric-förordningen ska ett Eric-konsortium i varje medlemsstat ha den mest omfattande rättskapacitet som tillerkänns juridiska personer enligt den medlemsstatens nationella lagstiftning. Medlemmar i ett Eric-konsortium är minst en medlemsstat och två andra länder som antingen är medlemsstater eller anslutna länder. Ytterligare medlemsstater, anslutna länder, tredjeländer som inte är anslutna länder samt mellanstatliga organisationer kan också ansluta sig som medlemmar till ett Eric-konsortium under vissa förutsättningar.
Organisationen kring LIS är baserad i Europa men är ett vidare internationellt projekt. Forskare från USA var drivande i grundandet av LIS och USA:s National Science Foundation är den viktigaste finansiären. Vi bedömer att det inte är ett möjligt alternativ för LIS att omorganiseras till en ERIC-konsortium. Vi lämnar således inte något sådant förslag.
12. Skydd för uppgifter om avlidna i forskning
12.1. Inledning
12.1.1. Uppdraget
I vårt uppdrag ingår att närmare undersöka om uppgifter om avlidna behöver ett särskilt skydd inom ramen för forensisk forskning. Vi ska dels kartlägga vilket skydd som finns för sådana uppgifter om avlidna som hanteras inom forensisk forskning, dels analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning, och vid behov föreslå de författningsändringar som behövs.1
12.1.2. Avgränsning
Forensik innebär bl.a. att spår av brott på platser och personer samlas in och analyseras för att säkra teknisk bevisning som kan användas för att binda en misstänkt gärningsperson till ett brott eller för att avfärda brottsmisstankar.2 Med forensisk verksamhet avses främst kriminalteknik, rättsmedicin, rättskemi, rättsgenetik och rättspsykiatri.3Forensisk forskning är alltså sådant arbete som utförs för att inhämta ny kunskap inom dessa discipliner samt utvecklingsarbete inom forensisk verksamhet på vetenskaplig grund.
I vår kartläggning och behovsbedömning kommer vi dock inte begränsa oss till enbart reglering som uttryckligen tar sikte på forensisk forskning. I stället gör vi en bredare kartläggning över
1 Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65), s. 18 f. 2 Riksrevisionen, Från spår till bevis – Polisens forensiska organisation, RIR 2017:16, s. 5. 3 RMV/SKL-utredningens delbetänkande Forensiska institutet. Ny myndighet för
kriminalteknik, rättsmedicin och rättspsykiatri (SOU 2006:63), s. 17.
bestämmelser som kan ha inverkan på skyddet för uppgifter om avlidna när dessa behandlas för forskningsändamål i stort. Även vid bedömningen av vilket skydd som bör tillkomma uppgifter om avlidna betraktar vi skyddsintresset inom all forskning. Detta eftersom skyddsintresset för avlidna inte torde vara begränsat till just forensisk forskning.
12.1.3. Bakgrund
Frågan om ett starkare skydd för avlidna väcktes i Rättsmedicinalverkets (RMV) rapport Ett nytt författningsstöd för Rättsmedicinal-
verkets behandling av personuppgifter, m.m. (Ju2013/08833/Å).
I rapporten beskrevs RMV:s behov av tydligare reglering kring integritetsskydd för uppgifter om avlidna som RMV efter begäran lämnar ut till extern forskningshuvudman. Frågan bedömdes av RMV vara principiell och beröra fler samhällsaktörer utöver RMV, varför man rekommenderade att frågan övervägdes närmare i Regeringskansliet.
12.1.4. Disposition
Detta kapitel inleds med en beskrivning av vilken typ av uppgifter om avlidna som typiskt sett kan komma att användas inom forskning, och hur sådana uppgifter i dag behandlas i vissa myndighetssammanhang (avsnitt 12.2). Vi gör sedan en mer detaljerad kartläggning över de rättsliga förutsättningarna och hur det lagreglerade skyddet för dessa uppgifter ser ut (avsnitt 12.3). Vi gör sedan en bedömning av om det finns ett behov av att stärka detta skydd (avsnitt 12.4).
12.2. Uppgifter om avlidna som kan komma att användas inom forskning
För en bättre förståelse av vilken typ av uppgifter om avlidna som kan behandlas i forsknings- och forensiska sammanhang inleder vi denna kartläggning med att undersöka hur sådana uppgifter kan användas i några centrala verksamheter.
12.2.1. Uppgifter om avlidna hos RMV
Allmänt
Inom ramen för en rättsmedicinsk obduktion registrerar och hanterar RMV en rad uppgifter om den avlidna, t.ex. uppgifter om drogmissbruk, sjukdomstillstånd, skador och medicinska ingrepp.4 Digitala bilder på den avlidne registreras också. Om obduktionen är föranledd av misstanke om brott registrerar RMV även uppgifter om lagöverträdelser m.m. Härtill kan även läggas den information om den avlidne som ligger latent i de vävnadsprover som bevaras vid myndigheten. Informationen kan utvinnas på olika sätt, t.ex. genom DNA-analys eller kemisk analys.
Rättsmedicinska uppgifter är alltid individrelaterade och kan alltid hänföras till en enskild individ i de fall där identiteten är fastställd genom namn och personnummer. Uppgifter om drogmissbruk, sjukdomstillstånd, medicinska ingrepp samt lagöverträdelser m.m. utgör typexempel på uppgifter som i dataskyddsförordningens5 mening hade varit att anse som känsliga personuppgifter om personen hade varit i livet (se vidare avsnitt 12.3).
I dödsfallsutredningar är det inte ovanligt att det förekommer uppgifter om anhöriga till den avlidne, t.ex. namn, personnummer och adressuppgifter. I dödsfallsutredningar som har ett samband med brott kan polismyndighetens handlingar innehålla uppgifter om anhöriga och eventuella vittnen. Vid omhändertagande av vävnad för transplantationsändamål inhämtas ett samtycke till donation från närstående eller anhöriga om den avlidnes inställning i donationsfrågan är oklar, vilket resulterar i en dokumentation av närståendes och anhörigas inställning.
Mot bakgrund av personuppgifternas känsliga karaktär, respekten för de avlidna och de anhörigas intressen hanteras i stor utsträckning redan i dag registrerade uppgifter om avlidna som om de vore personuppgifter i personuppgiftslagens (1998:204) och dataskyddsförordningens mening, eftersom det inte kan uteslutas att det kan skada den avlidnes intressen om de röjs (se avsnitt 12.4.1 angående
4 För uppgifter om RMV:s verksamhet har utredningens experter bidragit med erfarenhetsbaserad kunskap om myndigheten. Se vidare kapitel 2 om hur utredningen biståtts med särskilt underlag om RMV:s verksamhet. 5 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
skyddsintresset för den avlidnes uppgifter). Det kan inte heller uteslutas att uppgifterna kan betraktas som indirekta personuppgifter om den avlidnes anhöriga och då även utgöra känsliga personuppgifter om de anhöriga.
Hantering av vävnad från avliden
Inom den rättsmedicinska verksamheten har RMV meddelat riktlinjer dels för hantering av humanbiologiskt material tillvarataget enligt lagen (1995:832) om obduktion m.m. (obduktionslagen), dels för användande av biologiskt material från rättsmedicinska undersökningar för forskning, kvalitetssäkring och kvalitetsutveckling. Av riktlinjerna om kvalitetssäkring m.m. framgår bl.a. att humanbiologiskt material får tillvaratas vid en rättsmedicinsk undersökning för forskningsändamål om den avlidne under sin levnad lämnat sitt samtycke enligt lagen (1995:831) om transplantation m.m. (transplantationslagen).6 Enligt 3 § transplantationslagen får biologiskt material användas för transplantation eller annat medicinskt ändamål. Med annat medicinskt ändamål avses främst läkemedelsframställning.7 Som exempel på andra medicinska ändamål nämner förarbetena till bestämmelsen forskning i syfte att förbättra transplantationstekniken eller medicinsk undervisning. Förarbetena nämner inte rättsmedicinsk eller annan forskning.
Biologiskt material som tillvaratagits för att tillgodose den rättsmedicinska obduktionens syften får däremot, enligt RMV:s riktlinjer, användas utan medgivande från den avlidne för kvalitetssäkring och kvalitetsutveckling av de metoder som används vid rättsmedicinska undersökningar. Enligt riktlinjerna ska sådant material avidentifieras och på så sätt att materialet inte längre kan knytas till provgivaren av någon part.
Enligt riktlinjerna för hantering av biologiskt material får vid rättsmedicinska undersökningar vävnader tas tillvara för bl.a. mikroskopisk undersökning.8 Det rör sig om mindre bitar av organ som
6 Interna riktlinjer och föreskrifter nr 2001–05. 7 Regeringens proposition Transplantationer och obduktioner m.m. (prop. 1994/95:148), s. 73. 8 Interna riktlinjer och föreskrifter nr 2001–09.
bäddas in i paraffin och snittas för mikroskopisk undersökning (så kallade histologiska undersökningar).9
Av 5 § obduktionslagen framgår att humanbiologiskt material ska läggas tillbaka i kroppen när obduktionen har slutförts, om inte syftet med obduktionen kräver att materialet tas till vara för undersökning under en längre tid. I propositionen till obduktionslagen nämner regeringen som exempel på sådana situationer laboratoriemässiga undersökningar. Förvisso får enligt samma bestämmelse organ och annat material tas ut ur kroppen för en undersökning, men enbart om det behövs för att syftet med obduktionen ska kunna tillgodoses. Att sådant material ska återföras till kroppen framgår även av de nämnda riktlinjerna.
Utredningen om dataskydd vid Rättsmedicinalverket har nyligen föreslagit en ny lag om hantering av humanbiologiskt material vid Rättsmedicinalverket. Utredningen föreslår bl.a. att RMV ska få bevara, undersöka och analysera prover av humanbiologiskt material för systematisk utvärdering, utveckling och säkring av kvaliteten, utbildning i undersökningsverksamheten samt forskning inom RMV under förutsättning att forskningen har prövats och godkänts av en etikprövningsnämnd enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Prover ska dessutom få lämnas ut av RMV för forskning som har prövats och godkänts av en etikprövningsnämnd enligt etikprövningslagen.10
Forsknings- och utvecklingsarbete
Den rättsmedicinska vetenskapen är det fundament som den tillämpade rättsmedicinens kvalitet och anseende vilar på. Forskning och utveckling är således en nödvändig verksamhet inom det rättsmedicinska området. Enligt 2 § förordningen (2007:976) med instruktion för RMV ska myndigheten särskilt svara för utvecklingsarbete och stöd åt forskning av betydelse för verksamheten.
RMV bedriver en omfattande operativ verksamhet som är både kunskapsintensiv och starkt inriktad på ett vetenskapligt arbetssätt.
9 Histologi är läran om biologisk vävnad. Genom att studera vävnader kan man upptäcka olika sjukdomar eller förgiftningar. Förberedelserna innefattar fixering, dehydrering, inbäddning (i paraffin), snittning och infärgning. 10 Utredningen om dataskydd vid Rättsmedicinalverkets betänkande Stärkt integritet i Rätts-
medicinalverkets verksamhet (SOU 2017:80), s. 225 f.
Forskning och utveckling anses inom myndigheten vara av avgörande betydelse för att bibehålla och utveckla kvaliteten i verksamheten och för att säkerställa en hög kompetens. Målet är att göra forsknings- och utvecklingsarbetet till en naturlig och integrerad del av myndighetens verksamhet på samtliga avdelningar samt att låta resultaten av arbetet komma verksamheten till godo. Forsknings- och utvecklingsarbetet ska också utnyttja de möjligheter till samarbete mellan avdelningarna som organisationen skapar.
RMV:s insatser på forskningsområdet bygger på samverkan mellan olika personalkategorier samt samarbete med universitet, både nationella och utländska, och andra myndigheter. Inom samtliga verksamhetsområden stödjer myndigheten den akademiska anknytningen genom finansiering av flera tjänster vid universiteten som adjungerande professorer och lektorer. Till detta kommer examensarbeten och andra fördjupningsarbeten genomförda av studenter. Det finns mot denna bakgrund en konsensus inom myndigheten om att de uppgifter som myndigheten förvaltar ska ställas till både forskningens och andra samhällsfunktioners förfogande i den utsträckning det är praktiskt och vetenskapligt möjligt.
Verksamheten sprider dessutom kunskap om sitt forsknings- och utvecklingsarbete genom publikationer och studiebesök.
Studier på biologiskt material från avliden
Humanbiologiskt material som ursprungligen omhändertagits inom ramen för en rättsmedicinsk undersökning kan utgöra underlag för studier inom den rättsmedicinska forsknings- och utvecklingsverksamheten.
Det förekommer emellertid att biologiskt material från avliden omhändertas specifikt för en forskningsstudie i samband med en rättsmedicinsk dödsfallsutredning.
Forskning på biologiskt material från avliden kan söka svar på ett flertal olika frågeställningar. En stor del av de rättsmedicinskt utredda dödsfallen kan direkt eller indirekt härledas till missbruk av alkohol och droger. Den rättsmedicinska forskningen söker bl.a. svar på hur olika drogers effekter kan kopplas till för tidig död eller vilken betydelse användande av olika droger och drogkombinationer har för
uppkomsten av våldsbrott och dessas karaktär, t.ex. graden av utövat våld.
Den rättskemiska verksamheten genomför även studier samt utvecklingsarbete på biologiskt material från avliden med toxikologiska, farmakogenetiska och populationsgenetiska frågeställningar. Flertalet av dessa metodutvecklingsprojekt innefattar nyttjande av biologiskt material från avliden.
Studier på humanbiologiskt material inom den rättsmedicinska verksamheten görs även för att besvara andra frågeställningar. Det förekommer att genetiska studier utförs på humanbiologiskt material som har omhändertagits för att slutföra en rättsmedicinsk undersökning, t.ex. avseende genetiska risker för suicid vid schizofreni.
Registerbaserade studier
I den rättsmedicinska forsknings- och utvecklingsverksamheten studeras data både från den rättsmedicinska undersökningsverksamhetens egna system och från andra informationskällor, t.ex. Socialstyrelsens dödsorsaksregister och patientregister. Merparten av den rättsmedicinska forsknings- och utvecklingsverksamhetens registerstudier får betraktas som naturliga led i det löpande och systematiska utvärderings- och uppföljningsarbetet med syfte att dra nytta av informationen för nya diagnostiska metoder i bl.a. dödsfallsutredningar.
I den rättskemiska verksamheten genomförs också registerbaserade studier på bl.a. data från avliden inom den rättsmedicinska verksamheten. Dessa studier fokuserar på koncentration av droger i blodet hos avlidna. Studierna syftar till att ta fram s.k. gränsvärden för toxiska nivåer eller till att förbättra diagnostiska metoder och tolkning av rättskemiska analysresultat.
12.2.2. Forskning och utvecklingsarbete inom hälso- och sjukvården
Allmänt
Med hälso- och sjukvård avses enligt 2 kap. 1 § hälso- och sjukvårdslagen (2017:30) åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Till hälso- och sjukvården hör även sjuktransporter samt att ta hand om avlidna. Inom begreppet ryms också exempelvis åtgärder med anledning av barnsbörd och abort.11Hälso- och sjukvård ska bedrivas så att den uppfyller kraven på god vård. Det innebär bland annat att hälso- och sjukvården ska vara av god kvalitet och tillgodose patientens behov av trygghet i vården och behandlingen (5 kap. 1 § samma lag). Var och en som söker hälso- och sjukvård ska behandlas av den personal och på det sätt som varje enskilt fall fordrar. All vård, behandling och rådgivning ska utföras i enlighet med vetenskap och beprövad erfarenhet.12 Samma krav ställs på hälso- och sjukvårdspersonal när de ska utföra sitt arbete enligt 6 kap. 1 § patientsäkerhetslagen (2010:659). En patient ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Samma krav framgår även av patientlagen (2014:821).
Klinisk forskning
Landstingen och kommunerna ska enligt 18 kap. 2 § hälso- och sjukvårdslagen medverka vid finansiering, planering och genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område. Landstingen och kommunerna ska i dessa frågor, i den omfattning som behövs, samverka med varandra samt med berörda universitet och högskolor. Det finns ingen författningsreglerad definition av begreppet klinisk forskning och en entydig beskrivning av begreppet saknas. Enligt Utredningen av den kliniska forskningen (U 2007:04) kan klinisk forskning definieras som forskning som förutsätter vårdens strukturer och resurser och som har som mål att lösa ett ohälsoproblem eller att identifiera faktorer som leder till ökad hälsa. Denna
11 Regeringens proposition om hälso- och sjukvårdslag, m.m. (prop. 1981/82:97), s. 40 och 44. 12Prop. 1981/82:97, s. 116.
definition har ett brett stöd bland landstings- och universitets företrädare.13
Forskningen bedrivs ofta i nära anslutning till hälso- och sjukvården, framför allt på universitetssjukhusen, vilket gör att begreppet patientnära forskning många gånger används i sammanhanget. I Kungliga Vetenskapsakademiens och Svenska Läkaresällskapets rapport 2016 Kliniska riktlinjer för användning av obeprövade behand-
lingsmetoder på allvarligt sjuka patienter anges att klinisk forskning
antingen är patientnära och utförs direkt på patienter eller experimentell-laboratorieorienterad och utförs i djurmodeller eller cellsystem. Den kliniska forskningen har som mål att generera vetenskapligt generaliserbara resultat för utveckling av nya diagnostiska och terapeutiska metoder i syfte att lösa ett hälsoproblem, eller att identifiera faktorer som leder till ökad hälsa.
Områden som kan inkluderas i klinisk behandlingsforskning är bland annat prevention, diagnostik, behandling, uppföljning, implementering, omvårdnad och rehabilitering. Inom klinisk behandlingsforskning är syftet att optimera befintliga behandlingsrutiner, läkemedel och medicinsk teknik eller att utveckla och utvärdera nya sådana. Konkret kan det exempelvis röra sig om att utvärdera diagnostiska tekniker, användningen av etablerade läkemedel och om att effektivisera metoder och behandlingar som det finns ett identifierat behov av. Det kan också handla om behandlingsmetoder som inte kräver läkemedel.14
12.2.3. NFC:s forsknings- och utvecklingsarbete
Nationellt forensiskt centrum (NFC) är den avdelning inom Polismyndigheten som ansvarar för myndighetens forensiska verksamhet. NFC ska inom sitt verksamhetsområde bedriva forskning och utveckling inom det forensiska området, kriminalteknisk forskning
13 Utredningen av den kliniska forskningens betänkanden Världsklass! – Åtgärdsplan för den kliniska
forskningen (SOU 2008:7), s. 57 och Klinisk forskning – Ett lyft för sjukvården (SOU 2009:43), s. 41
och 42. Definitionen används även i det s.k. ALF-avtalet (Avtal mellan svenska staten och vissa landsting om samarbete om utbildning av läkare, klinisk forskning och utveckling av hälso- och sjukvården). 14SOU 2017:104 s. 188 ff.
samt samla, bearbeta och offentliggöra resultat inom verksamhetsområdet. Inom NFC bedrivs konventionell forensik, it-forensik15samt kriminaltekniskt fältarbete.16 I detta ingår att följa upp den forensiska verksamheten genom att utföra forensiska undersökningar, forensisk spårsäkring och analys vid händelser som innefattar kemiska, biologiska, radiologiska eller nukleära och explosiva element samt att följa upp och utvärdera befintliga metoder. NFC har även processansvar (ansvar att ta fram, utveckla och styra arbetssätt, metoder, nyckeltal m.m.) för forensisk verksamhet inom Polismyndigheten som utförs utanför avdelningen. Avdelningen ansvarar även för att koordinera beställningar till Rättsmedicinalverket samt vara kontaktpunkt för nationella myndigheter och internationella kontakter inom det forensiska området. Forskning och utveckling bedrivs under ledning av en vetenskapligt meriterad forskningsledare och i nära samverkan med den nationella operativa avdelningen och polisregionerna.17
NFC drev drygt 100 forsknings- och utvecklingsprojekt under år 2016, samt beviljade flera projektansökningar inom bland annat dnaanalys, brottssamordning, provtagning av farliga ämnen (CBRNE) och analys av stora datamängder och bildanalys.18
NFC har tidigare framhållit att forsknings- och utvecklingsverksamheten är av stor vikt när det gäller att utveckla den operativa undersökningsverksamheten. För att laboratoriet ska kunna upprätthålla en hög kvalitet i verksamheten krävs att man använder bästa möjliga kriminaltekniska metoder och kompetens. NFC följer utvecklingen inom det forensiska området, både på nationell och på internationell nivå och har påpekat det angelägna i att ha en väl utvecklad forsknings- och utvecklingsverksamhet, inte minst för att skapa bättre förutsättningar för att rekrytera och behålla personal med hög kompetens.19
15 Eftersökande och säkrande av bevis från teknisk utrustning som lagrar digital information. 16 Polisens årsredovisning 2016 (dnr A534.161/2015, Saknr 902), s. 45. 17 A.a. s. 11 f. 18 A. a. s. 64. 19 RMV/SKL-utredningens betänkande Forensiska institutet. Ny myndighet för kriminalteknik,
rättsmedicin och rättspsykiatri (SOU 2006:63) s. 74 f.
12.2.4. Utlämnande av uppgifter för forskningsändamål
Berörda myndigheter besitter inom sina verksamhetsområden unik kunskap och unika uppgifter om avlidna som är intressanta för internt forsknings- och utvecklingsarbete men också för externa forskningshuvudmän som universitet och andra högskolor m.fl. Myndigheterna får ofta förfrågningar från forskare med anknytning till universiteten om att få del av uppgifter ur myndigheternas uppgiftssamlingar. Det kan röra sig om att forskarna önskar genomföra t.ex. registerforskning, vävnadsstudier eller genetiska studier på material som härrör från myndigheternas verksamhet.
De uppgifter som förekommer i detta sammanhang är av integritetskänslig karaktär, t.ex. uppgifter om sjukdomar, missbruk, våld och brott och det kan inte uteslutas att de utgör indirekta personuppgifter för nu levande personer, t.ex. närstående och anhöriga.
12.3. Vilket skydd finns för uppgifter om avlidna som hanteras inom forskning?
12.3.1. Grundläggande rättsliga förutsättningar
Dataskyddsförordningens avgränsningar
Dataskyddsförordningen är enligt skäl 27 inte direkt tillämplig på uppgifter om avlidna. Medlemsstaterna får dock fastställa bestämmelser för behandling av personuppgifter om avlidna. Även enligt personuppgiftslagen avses med personuppgifter endast sådan information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om en avliden är alltså inte personuppgifter enligt personuppgiftslagen.
Det kan dock inte uteslutas att förordningen är tillämplig på uppgifter om avlidna om uppgifterna direkt eller indirekt går att hänföra till en levande person. Principerna för det tidigare dataskyddsdirektivet och dess svenska genomförande i personuppgiftslagen är fortfarande giltiga (skäl 9). Eftersom förordningen i detta avseende har samma tillämpningsområde som det tidigare dataskyddsdirektivet är antagligen tidigare praxis gällande denna gränsdragning fortfarande tillämplig.
I ett samrådsyttrande från 2006 ansåg Datainspektionen att registrerade uppgifter om avlidna i en demografisk forskningsdatabas (bl.a. uppgifter om dödsorsak och dödsdatum) kunde utgöra personuppgifter i personuppgiftslagens mening i de fall sådana uppgifter direkt eller indirekt kan härledas till en levande person.20 Datainspektionen har gjort motsvarande bedömning beträffande släktforskningsuppgifter.21
Inom ramen för exempelvis RMV:s hantering av en avliden registreras och hanteras en rad känsliga uppgifter, t.ex. uppgifter om drogmissbruk och medicinska ingrepp. Även bilder på den avlidne registreras. Om en dödsfallsutredning har samband med brott registreras uppgifter om lagöverträdelser m.m. Uppgifter om drogmissbruk och medicinska ingrepp m.m. utgör typexempel på vad som i dataskyddsförordningens mening är att anse som känsliga personuppgifter om de direkt eller indirekt kan hänföras till en fysisk individ som är i livet.
Information som hanteras i samband med ett dödsfall är alltid individrelaterad, under förutsättning att individen är identifierad av polisen. Uppgifter kan därför i dokumentationen och ärendehandläggningen i stor utsträckning hänföras till en enskild individ genom namn och personnummer. Om individen hade varit i livet skulle registrerade uppgifter alltså betraktas som personuppgifter i personuppgiftslagens mening, men på grund av dataskyddsförordningens avgränsning till levande personer omfattas de inte utan vidare.
Även uppgifter om avlidna kan, som redan antytts, omfattas av dataskyddsförordningens definition av personuppgifter när en avliden persons uppgifter direkt eller indirekt kan härledas till en levande person.
Datainspektionen ansåg i samrådsyttrandet år 2006 att registrerade uppgifter om avliden i en demografisk forskningsdatabas, bl.a. uppgifter om dödsorsak och dödsdatum, kunde utgöra personuppgifter i personuppgiftslagens mening. Datainspektionen uppgav bl.a. att det inte kunde uteslutas att en dylik uppgift indirekt kunde vara hänförlig till en nu levande person. Enligt Datainspektionen kunde en uppgift om att någon avlidit av en ärftlig sjukdom vara en känslig personuppgift om en nu levande släkting. En uppgift om dödsorsak kunde därmed indirekt utgöra en känslig personuppgift om en nu levande
20 2006-01-12, dnr 1999–2005.
21 2005-12-22, dnr 1908–2005.
persons hälsa. Datainspektionen erinrade om att forskning som innebär att känsliga personuppgifter behandlas utan samtycke ska godkännas av en etikprövningsnämnd samt att bestämmelserna om detta finns i etikprövningslagen. Eftersom uppgifter om avliden kan utgöra känsliga personuppgifter om nu levande personer, påpekade Datainspektionen att forskning avseende känsliga personuppgifter måste godkännas av en etikprövningsnämnd för att behandlingen ska vara laglig.
I rättsmedicinska dödsfallsutredningar är det inte ovanligt att det förekommer registrerade uppgifter om anhöriga till den avlidne i de informations- och ärendehanteringssystemen som används, t.ex. namn, personnummer och adressuppgifter. Det kan inte uteslutas att det i många fall finns en uppfattning bland de anhöriga om att de uppgifter som förekommer om den avlidne utgör känsliga personuppgifter för dem själva.
Det förekommer att en personuppgiftsansvarig som behandlar uppgifter om både levande och avlidna saknar kunskap eller reella möjligheter att ta reda på om uppgifterna om avlidna är direkt eller indirekt hänförliga till levande. Artikel 29-gruppen har i ett rådgivande yttrande rekommenderat att den personuppgiftsansvariga i sådana fall av praktiska skäl ska hantera och skydda uppgifter om avlidna på samma sätt som föreskrivs i medlemslandets lagstiftning om skydd för personuppgifter, såvida inte medlemslandets lagstiftning utsträckts till att omfatta avlidna.22
Europakonventionens skydd för privat- och familjeliv
Frågan om Europakonventionens skydd för privat- och familjeliv (artikel 8) även kan vara tillämplig på avlidna har berörts av Europadomstolen vid några tillfällen. I målet Putistin mot Ukraina (mål 16882/03) gällde frågan om en tidningsartikel som indirekt angav att
22 Artikel 29-arbetsgruppen för skydd av personuppgifter, Yttrande 4/2007 om begreppet personuppgifter, 01248/07/EN, WP 136, 20 juni 2007 s. 22: ”För det första kanske den registeransvarige inte har möjlighet att ta reda på om den person som uppgifterna avser fortfarande lever eller eventuellt har avlidit. Eller även om han gör detta kanske informationen om den avlidne behandlas enligt samma system som informationen om individen i livet, utan åtskillnad. Eftersom den registeransvarige omfattas av skyldigheterna beträffande uppgiftsskydd enligt direktivet i fråga om uppgifter om levande personer, är det i praktiken förmodligen lättare för honom att behandla även uppgifterna om den avlidne på det sätt som föreskrivs av uppgiftsskyddsbestämmelserna än att göra åtskillnad mellan två uppsättningar uppgifter.”
en avliden person samarbetat med tyskarna under andra världskriget kunde kränka de efterlevandes privatliv. Europadomstolen fann att en persons privatliv i och för sig kunde kränkas genom angrepp på en avliden familjemedlem. I det aktuella fallet hade dock angreppet varit indirekt och marginellt då den avlidne inte namngetts, varför ett brott mot artikel 8 inte förelåg.
På liknande sätt bedömdes i Jelševar m.fl. mot Slovenien (mål 47318/07) att en s.k. nyckelroman om en slovensk kvinna, som efterlevande ansåg utgjorde förtal av deras mor, inte utgjorde brott mot artikel 8 med hänvisning till den konstnärliga friheten.
12.3.2. Skyddet för den avlidnes kroppsliga integritet
När det gäller omhändertagande och olika förfaranden med avlidna kroppar, donation, obduktion, gravsättning etc. är det angeläget att det görs i former som är förenliga med vad människor i allmänhet kan godta och på ett sätt som bidrar och bevarar förtroendet för hälso- och sjukvården och andra aktörer som hanterar avlidna. Var och en har under sin livstid intresse av att hans eller hennes integritet respekteras även efter döden. Det gäller inte bara hur ägodelar ska fördelas utan även hur man ska förfara med den döda kroppen. Den döde har ingen nytta av obduktionen. Däremot kan den dödes integritet kränkas genom obduktionen. Framför allt är det de efterlevande som kan lida av att kroppen skadas. Det är också de efterlevande som har det största intresset av att skydda den avlidnes integritet.
Etikprövningslagen
Etikprövningslagen är redan i dag i vissa fall tillämplig när forskning rör avlidna. Etikprövningslagen är nämligen bl.a. tillämplig på forskning som innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa.
Obduktionslagen
Respekten för den avlidne kommer till uttryck i obduktionslagen. Enligt 1 § ska den som gör ett ingrepp i eller avser vidta annan åtgärd med en död kropp fullgöra sin uppgift med respekt för den avlidne. Den avlidnes självbestämmanderätt ska respekteras. Enligt 8 § får som huvudregel en klinisk obduktion utföras om den avlidne skriftligen har medgett obduktion eller uttalat sig för en sådan åtgärd eller om det av andra skäl finns anledning att anta att obduktion skulle stå i överensstämmelse med den avlidnes inställning.
När det gäller rättsmedicinska obduktioner är förhållandena annorlunda. Åtminstone sådana rättsmedicinska undersökningar som görs för brottsutredande syften betraktas allmänt som så viktiga att intresset att kunna genomföra dem fått ta över den enskildes intresse att slå vakt om sin integritet (17 §). Det utesluter inte att undersökningen genomförs med respekt för den avlidnes integritet.
En obduktion innebär bl.a. att en avlidens kropp öppnas för en inre undersökning. I propositionen till nuvarande obduktionslag anför regeringen att en obduktion inte ska innefatta annat tagande av humanbiologiskt material än sådant som behövs för att syftet med obduktionen ska kunna tillgodoses.23 Detta kommer till uttryck i 5 §. Till skillnad från transplantationer enligt transplantationslagen tas inte det uttagna humanbiologiska materialet till vara för någon annan användning. Enligt 5 § ska därför biologiskt material läggas tillbaka i kroppen när obduktionen har slutförts. Av bestämmelsen framgår vidare att sådant material får undersökas ytterligare efter avslutad obduktion, men bara om syftet med obduktionen kräver det. Som exempel på sådana situationer nämner regeringen laboratoriemässiga undersökningar.
Obduktionslagen hänvisar i fråga om forskning till de bestämmelser om etikprövning av forskning på avlidna människor som finns i etikprövningslagen (se 2 §). Dock anges i obduktionslagen att ett ingrepp i syfte att från en avliden ta ut icke-biologiskt material som har infogats i kroppen (implantat) får, om åtgärden är förenlig med den avlidnes eller de närståendes inställning, också göras om implantatet ska användas för behandling av en annan människa eller för forskning eller annat medicinskt ändamål (se 23 §).
Transplantationslagen
Transplantationslagen reglerar i huvudsak de närmare förutsättningarna för kroppsligt ingrepp med syfte att ta till vara organ eller annat biologiskt material från avlidna för behandling av sjukdom eller kroppsskada hos en annan människa (transplantation) eller för annat medicinskt ändamål (1 §). Med annat medicinskt ändamål avses enligt propositionen till transplantationslagen främst läkemedelsframställning.24 Som exempel på andra medicinska ändamål nämner regeringen forskning i syfte att förbättra transplantationstekniken eller medicinsk undervisning.
12.3.3. Skyddet för den avlidnes eftermäle och frid
Även den avlidnes eftermäle och frid har ett visst skydd i form av reglerna i 5 kap. 4 § brottsbalken om brottet förtal av avliden. Rekvisiten för detta brott är samma som för vanligt förtal i 5 kap. 1 §, dvs. att det ska vara fråga om en gärning som utpekar någon såsom brottslig eller klandervärd i sitt levnadssätt eller eljest lämnar uppgift som är ägnad att utsätta denne för andras missaktning. När det är fråga om en avliden person krävs för straffansvar även att gärningen ska vara sårande för de efterlevande eller att den annars kan anses kränka den frid som bör tillkomma den avlidne. I bedömningen ska beaktas den tid som förflutit sedan den avlidne var i livet samt omständigheterna i övrigt. Brottet utgör enligt 7 kap. 4 § 14 punkten tryckfrihetsförordningen även ett tryckfrihetsbrott.
12.3.4. Skydd i generell lagstiftning
Offentlighets- och sekretesslagen
Offentlighets- och sekretesslagen (2009:400, OSL) är inte i första hand en dataskyddsreglering, men har i stora delar ett jämförbart skyddsobjekt i de delar lagen reglerar sekretess till skydd för enskilds personliga eller ekonomiska förhållanden (kap. 21–40). Särskilt vad
gäller uppgifter som myndigheter hanterar inom ramen för sin verksamhet, och som är av intresse för forskningen, får sekretessregleringen karaktär av skydd för den enskilde.
Till skillnad från personuppgiftslagen och dataskyddsförordningen är bestämmelserna i OSL som huvudregel tillämpliga på avlidna.25 I RÅ 2007 ref. 16 uttalade dåvarande Regeringsrätten att sekretess bör kunna gälla om uppgiften kan anses kränka den frid som bör tillkomma den avlidne, dvs. en jämförelse med brottet förtal av avliden.
I samband med riksdagens behandling av patientdatalagen (2008:395) anförde regeringen att uppgifter om avlidna patienter kan vara integritetskänsliga.26 Därför ansåg regeringen att även sådana uppgifter ska omfattas av lagens bestämmelser om personuppgiftsbehandling i tillämpliga delar, t.ex. när det gäller för vilka ändamål uppgifter om avlidna får användas eller när det gäller vilken elektronisk åtkomst som får förekomma till uppgifter om avlidna (se 1 kap. 1 §). I lagen anges vidare att syftet med en patientjournal i första hand är att bidra till en god och säker vård av patienten men att den även är en informationskälla för forskning (se 3 kap. 2 §). Dessutom anges att personuppgifter i de nationella och regionala kvalitetsregistren får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalité men också för ändamålet forskning inom hälso- och sjukvården (se 7 kap. 4 §).
Socialförsäkringsbalkens reglering av personuppgiftsbehandling i 114 kapitlet gäller också, i tillämpliga delar, uppgifter om avlidna (2 §). Ett skäl till detta är att det inom den verksamhet som bedrivs av socialförsäkringens administration förekommer en mängd uppgifter som är hänförliga till avlidna.27
25 Regeringens proposition med förslag till sekretesslag m.m. (prop. 1979/80:2), s. 84. 26 Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126), s. 52. 27 Regeringens proposition En begränsad översyn av socialförsäkringsregisterlagen (prop. 2000/01:69), s. 19 f.
Lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
Lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet gäller enligt 1 kap. 1 § 2 st. också i tillämpliga delar, bl.a. med avseende på ändamålet för behandling och personuppgiftsansvaret, uppgifter om avlidna.
Etikprövningslagen
Etikprövningslagen trädde i kraft den 1 januari 2004 och har nyligen behandlats av Utredningen om översyn av etikprövningen.28 Lagen söker balansera forskningens strävan mot kunskapsinhämtning och de risker för människor och människovärdet som forskningen kan innebära. Syftet med lagen är att skydda de enskilda individer som forskning kan avse mot fysiska eller psykiska skador eller mot integritetskränkningar vid forskning. Men syftet är också att skydda människovärdet som sådant (2 §). Lagen tar också i beaktande de etiska aspekter som kommer till uttryck i EG-direktivet för god klinisk sed vid kliniska prövningar av humanläkemedel.29
Lagen är sålunda tillämplig på forskning som innebär ett fysiskt ingrepp eller bedrivs enligt en metod som syftar till att påverka en människa fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt. Lagen gäller även studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa. Lagen gäller vidare för forskning som innebär ett fysiskt ingrepp på en avliden människa eller som avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna individ.
Dessutom omfattar lagen forskning som inbegriper behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser. Som exempel på forskning som omfattas av lagen kan nämnas läkemedelsforskning och forskning inom klinisk psykologi. Exempel på sådant som inte omfattas är enkätundersökningar som avser rent
28 Se utredningen om översyn av etikprövningens slutbetänkande Etikprövning – en översyn
av reglerna om forskning och hälso- och sjukvård (SOU 2017:104).
29 Europaparlamentets och rådets direktiv 2001/20/EG av den 4 april 2001 om tillnärmning av medlemsstaternas lagar och andra författningar rörande tillämpning av god klinisk sed vid kliniska prövningar av humanläkemedel.
informationsinhämtande om sådant som faller utanför 13 och 21 §§personuppgiftslagen.
Utgångspunkterna för etikprövningslagen har till stor del hämtats från Europarådets konvention om mänskliga rättigheter och biomedicin. Således utgår etikprövningslagen från att forskning bara får genomföras om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen, samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Forskning får godkännas bara om de risker som den kan medföra för människors hälsa, säkerhet och personliga integritet kan uppvägas av dess vetenskapliga värde. Forskningen får inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för de medverkande. Forskningen får godkännas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs.
Annan lagstiftning som berör forskning och genetik
Vid sidan av ovan nämnda lagar finns ytterligare lagstiftning av betydelse för forskning och behandling av personuppgifter i samband med den. Som exempel kan nämnas lagen om genetisk integritet (2006:351) och läkemedelslagen (1992:859). Den senare lagen reglerar främst principer för läkemedelsområdet (hur tillsyn och kontroll ska bedrivas och straffbestämmelser) men även klinisk läkemedelsprövning, dvs. klinisk undersökning på människor eller djur av ett läkemedels egenskaper i syfte att utreda i vad mån läkemedlet är ändamålsenligt. Regler för klinisk läkemedelsprövning finns också i EUförordningen om kliniska prövningar av humanläkemedel 536/2014.
För forskning som inbegriper material som lagras i biobanker finns särskilda bestämmelser om information och samtycke i lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen). Lagen är tillämplig på biobanker som inrättas i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet, oavsett var materialet förvaras men förutsatt att materialet kan härledas till en enskild individ (1 kap. 3 §).
Förslag till Rättsmedicinalverkets datalag
Utredningen om dataskydd vid Rättsmedicinalverket har föreslagit att en särskilt lag ska reglera behandling av personuppgifter i RMV:s verksamhet, och att denna i tillämpliga delar även ska omfatta uppgifter om avlidna. Som skäl för detta förslag har utredningen dels angivit att sådan behandling kan innebära behandling av personuppgifter beträffande en person som är i livet, dels att uppgifterna som kan förekomma vid RMV regelmässigt är så känsliga ur integritetshänseende att en lag som i tillämpliga delar även gäller avlidna personer bidrar till att upprätthålla den frid som bör tillkomma en avliden person.30
12.4. Finns det ett behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning?
12.4.1. Hur omfattande skydd behövs för uppgifter om avlidna?
Vårt uppdrag i denna del är att ta ställning till om det finns ett behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning. Som utgångspunkt för en sådan behovsbedömning kan man beakta att den svenska lagstiftaren avstått från den möjlighet som funnits redan i EU:s tidigare dataskyddsdirektiv, nämligen att likställa uppgifter om avlidna med uppgifter om nu levande personer. Detta på grund av att man ansett att regleringen reserveras för de fall där behovet av skydd är mest uttalat, nämligen när det gäller den som är levande och som själv kan ha ett eget anspråk på personlig integritet.
Samtidigt har lagstiftaren på vissa särskilda områden likställt behandling av uppgifter om avlidna med uppgifter om nu levande personer (se avsnitt 12.3.4). Vad gäller skyddet för avlidnas kroppsliga integritet och friden över deras minne finns inte minst i brottsbalken tydliga indikationer på att dessa intressen är skyddsvärda. Vad gäller uppgiftshantering i allmänhet är den omständigheten att skyddet för den enskilde i offentlighets- och sekretesslagen principiellt är tillämpligt även för avlidna personer av stor betydelse, inte minst för den registerbaserade forskningen. Det finns alltså redan exempel på att lagstiftaren ansett uppgifter om avlidna som något som är skyddsvärt
30 Utredningen om dataskydd vid Rättsmedicinalverkets slutbetänkande Stärkt integritet i
Rättsmedicinalverkets verksamhet (SOU 2017:80), s. 129 ff.
i sig själv, oberoende av om dessa samtidigt skulle utgöra indirekta uppgifter om nu levande personer.
Man kan sammanfatta den inställning som framträder i svensk lagstiftning med att uppgifter om avlidna är skyddsvärda, men inte på samma sätt som för nu levande personer. Det egentliga skyddsobjektet är inte sällan de efterlevandes känslor, vilket bl.a. kommer till uttryck i rekvisiten för brottet förtal av avliden, som även offentlighets- och sekretesslagens skydd för avlidna tolkas utifrån.
12.4.2. Skyddet som avlidna som en indirekt effekt av skyddet för efterlevande
Eftersom det inte kan uteslutas att uppgifter om avlidna i praktiken utgör indirekta uppgifter om nu levande personer innebär dataskyddslagstiftningen att avlidnas uppgifter har ett visst skydd som en följd av detta. Detta gäller inte minst känsliga uppgifter om hälsa och etnisk tillhörighet. I de fall sådana uppgifter även utgör känsliga uppgifter om nu levande personer utgör kravet på etikprövning när uppgifterna behandlas för forskningsändamål en stark skyddsåtgärd.
12.4.3. En tredelad modell för skydd för uppgifter om avlidna
Utifrån ovanstående resonemang om hur skyddet för uppgifter om avlidna ser ut i svensk rätt, tillsammans med hur skyddet för personuppgifter om efterlevande i vissa fall kan skydda även uppgifter om avlidna, kan man bedöma behovet av skydd huvudsakligen i tre olika fall.
Det fall där uppgifter om avlidna har starkast skydd är när det är fråga om känsliga uppgifter som samtidigt utgör känsliga indirekta personuppgifter om nu levande personer. Genom kravet på etikprövning när dessa uppgifter behandlas för forskningsändamål uppnås ett starkt skydd även för uppgifter om avlidna.
Ett fall med något svagare skydd är när uppgifter om avlidna samtidigt utgör indirekta, men inte känsliga, personuppgifter om nu levande personer. Vid forskning på sådana uppgifter finns inte ett krav på etikprövning, men som för all personuppgiftsbehandling krävs fortfarande att det finns en tillämplig rättslig grund och att de grundläggande principerna för personuppgiftsbehandling är uppfyllda.
Det sista fallet är när uppgifter om avlidna inte på något sätt utgör indirekta uppgifter om nu levande personer. I detta fall finns inte något skydd i dataskyddsförordningen eller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. I många registerförfattningar finns dock ett särskilt skydd för uppgifter om avlidna oberoende av om dessa samtidigt skulle utgöra sådana indirekta uppgifter. Särskilt offentlighets- och sekretesslagstiftningens tillämplighet på uppgifter om avlidna kan utgöra ett betydelsefullt skydd mot att uppgifter om avlidna används i forskningssammanhang på ett sätt som kränker den avlidne.
12.4.4. Behov av tydligare tillämpningsområde för kravet på etikprövning
Vår bedömning: Regleringen av i vilka fall ett forskningsprojekt
som behandlar uppgifter om avlidna behöver etikprövas är tillräckligt tydlig i gällande rätt.
I RMV:s rapport Ett nytt författningsstöd för Rättsmedicinalverkets
behandling av personuppgifter, m.m. anförs att ett skäl för en tydligare
reglering på området är att vissa regionala etikprövningsnämnder anser att etikprövningslagen är tillämplig på forskning som avser uppgifter om avlidna, medan andra inte gör det.
Vi gör i detta sammanhang den bedömningen att etikprövningslagstiftningen är tillräckligt tydlig i det att den uttryckligen anknyter till personuppgiftslagens definitioner av vilka personuppgifter som medför krav på etikprövning. Det ankommer på det enskilda forskningsprojektet att tydligt klargöra vilka uppgifter som ska behandlas i forskningen så att en bedömning kan göras om forskningen faller inom etikprövningens tillämpningsområde. I detta ingår att bedöma om de uppgifter som behandlas kan utgöra indirekta känsliga personuppgifter eller uppgifter om lagöverträdelser om nu levande personer.
I sammanhanget bör dock påpekas att etikprövningslagen även är tillämplig på vissa studier som inte innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser. Särskilt 4 § 4 och 5 p anger att lagen är tillämplig när forskningen innebär ett fysiskt ingrepp på en avliden människa, eller när den avser studier på
biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa.31
12.4.5. Det saknas behov av ett utökad skydd för uppgifter om avlidna i forskning
Vår bedömning: Det finns inte ett tillräckligt behov av en ändring
av etikprövningslagen för att utöka dess tillämpningsområde till att omfatta uppgifter om avlidna människor. Det saknas av samma anledning behov att utnyttja dataskyddsförordningens möjlighet att i nationell rätt föreskriva att den ska vara tillämplig på uppgifter om avlidna när dessa behandlas i forskningssyfte.
Som vi har beskrivit ovan finns flera olika skyddsmekanismer som samverkar för att skydda uppgifter om avlidna. Den avlidnes kroppsliga integritet är väl skyddad genom befintliga regler (avsnitt 12.3.2) och så är även dennes eftermäle (avsnitt 12.3.3) . Vad gäller uppgifter om identifierade men avlidna personer gör vi generellt samma bedömning som gjordes vid personuppgiftslagens införande att dessa inte tillhör de fall där behovet av skydd för den personliga integriteten är mest uttalat.32 Vad gäller behandlingen av sådana uppgifter i forskningssammanhang beaktar vi särskilt att patientdatalagen samt offentlighets- och sekretesslagen båda inkluderar avlidna i sina skyddsobjekt, varför risken för kränkning av den avlidnes personliga integritet i praktiken minskar jämfört med om så inte var fallet.
När man önskar ett skydd för avlidnas integritet är det i praktiken ofta de efterlevande som är skyddsvärda. I de fall när uppgifter samtidigt utgör indirekta uppgifter om efterlevande får dessa efterlevande enligt dataskyddsförordningen i praktiken ett integritetsskydd direkt genom dataskyddsförordningen. När det är fråga om forskning som behandlar uppgifter som utgör indirekta, men känsliga, personuppgifter om nu levande personer har utredningen tidigare föreslagit att dagens system med krav på etikprövning behålls.33
31 Ett exempel på det senare utgör etikprövningsnämnden i Uppsalas beslut den 19 oktober 2011 i ärende 2011/296. 32 Datalagskommitténs betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39), s. 340. 33SOU 2017:50 s. 200.
12.5. Sammanfattning
Utredningen föreslår inte att det införs något ytterligare skydd för uppgifter om avlidna. Vi gör bedömningen att befintlig lagstiftning tillsammans med utredningens förslag om generell forskningssekretess (se avsnitt 8.9.5) utgör ett tillräckligt skydd för det skyddsintresse som utgörs av uppgifter om avlidna. Vid denna bedömning har vi även beaktat att skyddet för efterlevande indirekt skyddar även den avlidne.
DEL IV
Avslutning
13. Konsekvensanalys
13.1. Inledning
I detta kapitel redovisar vi konsekvenserna av utredningens förslag i enlighet med 14–15 a §§kommittéförordningen (1998:1474) och 6– 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning. Enligt direktiven ska utredningen utöver detta även redovisa förslagens konsekvenser för den personliga integriteten.
Av betänkandets disposition framgår att vi strukturerat utredningens arbete utifrån vårt huvuduppdrag (avsnitt 13.2) och ett antal särskilda uppdrag (avsnitt 13.3–13.6).
13.2. Långsiktig reglering av forskningsdatabaser
Utredningen föreslår i denna del att behandlingen av personuppgifter i en forskningsdatabas ska regleras i en särskild lag, lagen om forskningsdatabaser (forskningsdatabaslagen). Lagen reglerar bland annat vilka forskningshuvudmän som ska få ansvara för forskningsdatabaser och vilka skyddsåtgärder som krävs för att en forskningsdatabas ska vara rättsenlig. Vårt förslag presenteras mer detaljerat i kapitel 8.
13.2.1. Problem och målbeskrivning
Det problem som utredningens förslag ska lösa har beskrivits översiktligt i såväl utredningsdirektiven1 som den tidigare Registerforskningsutredningens betänkande. Vi har redovisat problembeskrivningen mer utförligt i kapitel 4. Problemet som utredningen har att adressera kan kort beskrivas som att värdefulla möjligheter till
1 Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65), s. 13 ff.
forskning inte kan tas till vara såvida inte särskilda forskningsdatabaser byggs upp. Exempelvis kan värden som skapas i form av insamlade och bearbetade forskningsdata i ett projekt inte återanvändas på ett effektivt sätt av andra projekt. Till bilden hör att den personuppgiftsbehandling som ändå visat sig förekomma i forskningsdatabasliknande former utförs i en rättslig gråzon utan ordentlig kontroll på skyddsåtgärder.
Det övergripande målet med vårt förslag till reglering är att möjliggöra behandling av personuppgifter i en forskningsdatabas. Syftet är också att säkerställa att de registrerades personliga integritet skyddas vid sådan behandling. För behandling av personuppgifter i en forskningsdatabas ska krävas ett godkännande av Etikprövningsmyndigheten. På så sätt omgärdas forskningsdatabasen av samma skydd som forskningen i övrigt.
13.2.2. Alternativa lösningar
Det finns flera tänkbara alternativ till vårt förslag. Ett s.k. nollalternativ skulle vara att inte införa någon ny generell reglering, utan endast, inom ramen för vad dataskyddsförordningen tillåter, införa specifika registerförfattningar för enskilda forskningsdatabaser, samt i övrigt låta skapandet av uppgiftssamlingar för forskningsändamål göras inom ramen för avgränsade etikprövade forskningsprojekt. En sådan reglering skulle dock inte lösa det ovan beskrivna huvudproblemet på ett tillfredsställande sätt eftersom den inte skulle underlätta återanvändning av forskningsdata från tidigare eller pågående projekt. En sådan lösning skulle inte heller underlätta rättstillämpningen för den forskningsdatabasliknande personuppgiftsbehandling som i dag utförs i en rättslig gråzon.
Registerforskningsutredningen föreslog en reglering med en särskild ramlag med generella regler för forskningsdatabaser, som för varje databas skulle kompletteras med en registerförfattning på förordningsnivå. Registerförfattningen skulle reglera specifika frågor om den enskilda databasen, till exempel ändamål och innehåll (se vidare avsnitt 6.3). Avvägningen mellan forskningens behov och de registrerades fri- och rättigheter med avseende på deras personuppgifter skulle göras i dessa registerförfattningar, beslutade av regeringen
utifrån Vetenskapsrådets förslag på vilka forskningsdatabaser som skulle finnas.
Vi har utifrån det som framgår av remissinstansernas synpunkter på Registerforskningsutredningens förslag (se avsnitt 6.4) och vad som i övrigt framkommit om forskningens behov (kap. 4) kommit fram till en delvis annan konstruktion på regleringen. Initiativet till att skapa forskningsdatabaser bör enligt vår mening komma från forskningsinstitutionerna. Det är där som behovet kan identifieras och formuleras. Forskningshuvudmännen måste ta ansvaret för att behandlingen är laglig, bl.a. genom att de grundläggande dataskyddsprinciperna efterlevs. Därutöver måste regleringen omgärdas av flera skyddsåtgärder. En central skyddsåtgärd ska vara etikgodkännande av själva databasen innan personuppgiftsbehandling i den kan inledas.
13.2.3. Vem berörs av förslagen
Det finns sju huvudsakliga kategorier av fysiska och juridiska personer som berörs av förslagen.
1. De forskningshuvudmän som kan bli huvudmän för en forskningsdatabas. Det är såväl de statliga högskolorna och universiteten som omfattas av högskolelagen, som de privata lärosäten som omfattas av offentlighetsprincipen samt har examensrätt som ska få behandla personuppgifter i forskningsdatabaser. Även andra myndigheter än sådana som bedriver undervisning ska få ansvara för forskningsdatabaser, om forskning ingår i deras uppdrag.
2. Övriga forskningshuvudmän, framför allt de privata forskningsutförare som inte är lärosäten med examensrätt och som omfattas av offentlighetsprincipen. Dessa berörs så till vida att de enligt förslaget inte kan bli huvudmän för en forskningsdatabas.
3. Alla forskare som har behov av uppgifter från en eller flera forskningsdatabaser i sin forskning.
4. Forskningspersoner, dvs. de registrerade fysiska personer vars personuppgifter behandlas i en forskningsdatabas.
5. Etikprövningsmyndigheten, som får utökat uppdrag att även pröva ansökningar om etikgodkännande av forskningsdatabaser.
6. Vetenskapsrådet, som får nya uppdrag att regelbundet följa upp och utvärdera verksamheten vid forskningsdatabaser samt initiera och stödja forskningshuvudmännen i utarbetandet av gemensamma uppförandekoder.
7. Myndigheter som för register över sådana uppgifter som kan vara aktuella för forskning, som har att pröva utlämnande av uppgifter till forskningsdatabaser.
13.2.4. Förenlighet med EU-rätten
Den föreslagna regleringen bygger på EU:s dataskyddsförordning. Vi bedömer att behandling av personuppgifter i en forskningsdatabas genom den reglering vi föreslår är förenlig med dataskyddsförordningen givet att den enskilda databasen har ett avgränsat ändamål.
Behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser omfattas av ytterligare krav enligt dataskyddsförordningen. Vi bedömer att sådan behandling i en forskningsdatabas kan vara förenlig med dataskyddsförordningen med stöd av de skyddsåtgärder, inklusive etikprövning av själva forskningsdatabasen, som vi föreslår.
13.2.5. Tidpunkt för ikraftträdande
Vi föreslår att forskningsdatabaslagen samt övriga lagändringar ska träda i kraft 1 juli 2019. Många forskningshuvudmän som skulle kunna vara huvudmän för forskningsdatabaser kommer då få tid för att utreda och förbereda etikansökan inför detta datum. Eftersom ett etikgodkännande är en förutsättning för att behandla personuppgifter i en forskningsdatabas enligt vår föreslagna forskningsdatabaslag medför detta att det inte kommer vara möjligt att ha en rättslig grund för personuppgiftsbehandling i en forskningsdatabas omedelbart vid forskningsdatabaslagens ikraftträdande. Först efter att forskningshuvudmannen sökt och fått ett etikgodkännande för forskningsdatabasen kan en sådan databas drivas med stöd av forskningsdatabaslagen.
Vi föreslår att lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska upphävas genom att forskningsdatabaslagen träder i kraft. Forskningsdatabaser som i dag förs med stöd av den lagen kan i framtiden föras med stöd av forskningsdatabaslagen samt ett etikgodkännande. Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är tidsbegränsad till den 1 januari 2021. Dess giltighetstid förlängdes senast i november 2017, i avvaktan på att forskningsdatautredningen skulle redovisa sitt betänkande. Med hänvisning till att lagstiftningsarbete kan ta lång tid förlängdes lagen med viss marginal.2 Nu när utredningens förslag presenteras finns inte längre behov av en så omfattande marginal. För att den pågående verksamheten ska kunna fortgå under en övergångsperiod föreslår vi istället att lagen ska få fortsätta att tillämpas fram till den 31 december 2019. Detta medför att pågående forskningsdatabaser kommer ha rättsligt stöd reglerat i lagen under ett halvår från det att forskningsdatabaslagen och ändringarna i etikprövningslagen träder i kraft, vilket ger en möjlighet för denna verksamhet att ansöka om och få ett etikgodkännande under samma period.
13.2.6. Ekonomiska konsekvenser
I 14 § kommittéförordningen anges att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner och landsting ska kommittén föreslå en finansiering.
Om ett betänkande innehåller förslag till nya eller ändrade regler, ska förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet, enligt 15 a § kommittéförordningen.
2 Regeringens proposition Fortsatt giltighet av lagen om vissa register för forskning om vad arv
och miljö betyder för människors hälsa (prop. 2016/17:204), s. 13.
Kostnader för Etikprövningsmyndigheten
En grundläggande skyddsåtgärd som vi föreslår är att en forskningsdatabas måste godkännas enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Dessutom föreslår vi att all forskning som ska använda uppgifter i en forskningsdatabas ska vara etikgodkänd.
Detta kan förväntas öka antalet ärenden. I dag är det etikprövningsnämnderna som gör prövningen, men från och med 2019 ska ärendena handläggas av Etikprövningsmyndigheten. Exakt i vilken omfattning antalet ärenden kommer att öka är svårt att bedöma. Med ledning av redovisade behov av forskningsdatabaser (kapitel 4) och av att redan befintliga forskningsdatabaser omfattas av förslaget, gör vi ett antagande att tillströmningen av ärenden inledningsvis kommer att vara stort. Vi bedömer att antalet ansökningar därefter kommer att gå ner till ett mindre antal nya ärenden per år. Vi gör uppskattningen att den initiala mängden ärenden som kommer att inkomma under det första året kommer vara i storleksordningen hundra ärenden, och att normalnivån därefter kommer vara cirka tio ärenden per år.
Vi har i avsnitt 8.8.5 föreslagit en ny avgift för denna typ av etikprövningsärende med målsättning att avgiften ska kunna täcka Etikprövningsmyndighetens kostnader för prövningen. Förslaget skulle på så sätt bli kostnadsneutralt för Etikprövningsmyndigheten i denna del.
Vad gäller etikgodkännande för forskning som ska använda uppgifter från en forskningsdatabas kan vi inledningsvis konstatera att sådan forskning i många fall redan i dag kräver etikgodkännande. Endast i de fall där forskningen inte ska omfatta behandling av vare sig känsliga personuppgifter eller uppgifter om lagöverträdelser medför detta en ny tillströmning av etikprövningsärenden. Dessa fall torde vara relativt sällsynta. Vår bedömning är att denna del av förslaget endast kommer öka mängden ärenden marginellt.
Den beslutade lagändringen (SFS 2018:147) om ny organisation för etikprövningen3 som träder i kraft den 1 januari 2019 påverkar inte ovanstående bedömningar.
3 Regeringens proposition En ny organisation för etikprövning av forskning som avser människor (prop. 2017/18:45).
Ekonomiska konsekvenser för Vetenskapsrådet
Vetenskapsrådet ges i uppdrag att regelbundet följa upp och utvärdera verksamheten vid forskningsdatabaser samt initiera och stödja forskningshuvudmännen i utarbetandet av gemensamma uppförandekoder.
Vad gäller såväl antal utvärderingar som kommer att behöva göras, som vilken arbetsinsats som krävs för en enskild utvärdering är detta svårt att förutsäga innan verksamheten inleds. En försiktig bedömning är att detta arbete kan kräva mellan en och tre årsarbetskrafter, motsvarande mellan en och tre miljoner kronor årligen.
Vad gäller arbetet med att initiera och stödja utarbetandet av gemensamma uppförandekoder är detta arbete tidsbegränsat och av mindre omfattning, då en stor del av arbetet med att ta fram sådana uppförandekoder faller på forskningshuvudmännen. Vi uppskattar kostnaderna för Vetenskapsrådet i denna del till cirka en halv årsarbetskraft under två års tid, vilket motsvarar ungefär 1 miljon kronor totalt.
Ekonomiska konsekvenser för huvudmän för forskningsdatabaser
De tänkbara ekonomiska konsekvenserna av att inrätta forskningsdatabaser med stöd vårt förslag skulle kunna delas in i tre kategorier:
1. Ansökningsavgift samt övriga kostnader föranledda av etikprövningsförfarandet.
2. Kostnader för övriga tekniska och organisatoriska skyddsåtgärder som följer av vårt förslag.
3. Övriga kostnader för förvaltning av databasen.
Kostnader för skyddsåtgärder och förvaltning (kategori 2 och 3) av en forskningsdatabas har forskningshuvudmännen redan i dag för de befintliga forskningsdatabaserna.
Vad gäller kategori 1 föreslår vi en ansökningsavgift på 15 000 kronor. Utformningen av en ansökan om etikprövning kommer även att kräva arbete med att ta fram underlag. Denna arbetskostnad är dock relativt liten i jämförelse med den faktiska förvaltningen av
forskningsdatabasen, och kan även ses som en del av kostnaderna för förvaltningen.
Vad gäller kategori 2 föreslår vi som tekniska och organisatoriska skyddsåtgärder bl.a. krav på utsedd verksamhetschef, organisatorisk enhet för integritetsskyddet i forskningsdatabasen och ett systematiskt och riskbaserat informationssäkerhetsarbete (med tilldelning av tillräckliga resurser), inre sekretess, anpassad behörighet till vad som behövs för att kunna utföra arbetsuppgifter och loggning. Vår bedömning är att dessa skyddsåtgärder utgör en precisering av det krav på skyddsåtgärder som följer av artikel 9.2 j samt 89.1 i dataskyddsförordningen. Vårt förslag är därför i denna del inte kostnadsdrivande jämfört med vad dataskyddsförordningen i sig kräver för dessa aktiviteter. Våra förslag innebär därför i sig inga ytterligare kostnader för forskningshuvudmännen.
Vad gäller kategori 3 är det fråga om kostnader som inte beror på vårt förslag, utan snarare hör ihop med de behov som själva databasens omfattning och syfte medför. En stor databas med många variabler kommer att ha en högre förvaltningskostnad än en mindre, skarpare avgränsad databas. Våra förslag innebär därför i sig inga ytterligare kostnader för forskningshuvudmännen.
Konsekvenser för forskningsprojekt
Forskningens behov av forskningsdatabaser har beskrivits i kapitel 4. Hur stora de praktiska konsekvenserna för forskningsprojekt blir är avhängigt i vilken utsträckning den föreslagna regleringen faktiskt utnyttjas för att skapa forskningsdatabaser som är tillgängliga för utomstående forskare. Vår bedömning, baserad främst på samtal med forskare och forskningsinstitutioner som bedriver registerbaserad forskning, är att det finns ett stort intresse av att skapa och förvalta forskningsdatabaser.
Jämfört med dagens situation är det vår bedömning att konsekvenserna för forskningsprojekt blir att de kan få tillgång till relevanta uppgifter snabbare, till lägre kostnad och potentiellt högre kvalitet jämfört med i dag. Kravet på etikprövning för forskning som använder uppgifter från forskningsdatabaser, men inte ska omfatta behandling av vare sig känsliga personuppgifter eller uppgifter om lagöverträdelser medför en ny typ av situation där kostnader för
etikprövning aktualiseras. Vi har ovan gjort bedömningen att sådana fall torde vara relativt sällsynta.
13.2.7. Andra konsekvenser enligt kommittéförordningen
Av 15 § kommittéförordningen framgår att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen ska konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.
Vi möjliggör för kommunerna att driva forskningsdatabaser under de villkor som lagen ställer. Det innebär inte någon inskränkning av det kommunala självstyret jämfört med gällande rätt.
Vårt förslag syftar till att förbättra förutsättningarna för samhällsnyttig forskning. Förslaget kan på så sätt i nästa steg generera förbättringar inom områden som t.ex. det brottsförebyggande arbetet, arbetet för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.
13.2.8. Konsekvenser för den personliga integriteten
Av våra direktiv framgår att utredningen, utöver vad som följer av 14–15 a §§kommittéförordningen, ska redovisa förslagens konsekvenser för den personliga integriteten. För en generell bakgrund till de rättsliga förutsättningarna hänvisar vi till utredningens delbetänkande.4
4 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50), s. 296 ff.
Integritetsanalys
Ändamål och rättslig grund
Den föreslagna lagstiftningen syftar till att möjliggöra personuppgiftsbehandling för forskningsändamål i forskningsdatabaser. Den huvudsakliga rättsliga grunden för behandlingen är att den är nödvändig för att utföra en uppgift av allmänt intresse (se vidare avsnitt 8.2.3) i enlighet med artikel 6.1 e i dataskyddsförordningen. Forskningshuvudmannen är personuppgiftsansvarig enligt dataskyddsförordningen.
Omfattningen av uppgiftsinsamlingen
Vilka personuppgifter och om hur många som kommer att samlas in och behandlas beror på forskningsdatabasens inriktning och specifika ändamål. Enligt den föreslagna definitionen av forskningsdatabas kan uppgifterna samlas in såväl från den enskilda som från andra källor.
Skydd för personuppgifterna
Uppgifterna kommer vara tillgängliga för anställda hos forskningshuvudmannen i den utsträckning det är nödvändigt för dessa att utföra sina arbetsuppgifter, och kommer efter etik- och sekretessprövning att få lämnas ut i pseudonymiserad form till forskningsprojekt. Uppgifterna kommer att skyddas av den föreslagna forskningssekretessen i forskningsdatabasen. När uppgifterna lämnas ut till ett forskningsprojekt som omfattas av svensk sekretesslagstiftning kommer uppgifterna att skyddas av samma sekretess där. Med tanke på forskningsdatabasernas syfte är det inte lämpligt att i generell lagstiftning ställa upp regler om sök- och sammanställningsbegränsningar.5 Det övergripande syftet med forskningsdatabaserna kräver att personuppgifterna bevaras under forskningsdatabasens hela livslängd (se vidare om avveckling avsnitt 8.12).
Den enskildes personliga integritet i samband med behandlingen skyddas såväl av de föreslagna etikprövningsförfarandena, som av
5 Jfr generellt om sökbegränsningar och forskning SOU 2017:50 s. 267 ff.
regler om pseudonymisering vid utlämnande samt av tekniska och organisatoriska skyddsåtgärder (se avsnitt 8.9, 8.10 samt 8.11.3). Vår reglering kompletterar och specificerar det skydd som stadgas enligt dataskyddsförordningen och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
Den registrerades rättigheter
Den registrerades rätt att motsätta sig behandling framgår av dataskyddsförordningen. Vi föreslår inget undantag från denna rätt i den generella lagstiftningen (jfr avsnitt 8.8.4). Även den registrerades rätt till information om behandlingen, oavsett om de behandlade uppgifterna har samlats in direkt från denne eller från någon annan källa, framgår direkt av dataskyddsförordningen.
Den föreslagna lagstiftningen möjliggör en långtgående och omfattande personuppgiftsbehandling om ett stort antal människor, som huvudregel baserad på annan rättslig grund än den registrerades samtycke. De föreslagna skyddsåtgärderna, inte minst möjligheten för den enskilde att motsätta sig behandlingen, minskar dock enligt vår mening avsevärt den integritetsförlust som den enskilde lider på grund av förslaget. Även det föreslagna etikprövningsförfarandet garanterar en oberoende bedömning av behandlingens proportionalitet, avvägt mot dess vetenskapliga värde.
Proportionalitetsbedömning
Såväl regeringsformen som dataskyddsförordningen kräver att en proportionalitetsbedömning görs i samband med förslag till bestämmelser som inskränker den enskildes fri- och rättigheter vad gäller personlig integritet. Vid denna bedömning ska det ändamål för vilket personuppgiftsbehandlingen ska få utföras ställas mot det integritetsintrång som behandlingen medför, och som vi beskrivit i föregående avsnitt.6
Ändamålet med vårt förslag är att möjliggöra en effektivare forskning av högre kvalité med hjälp av forskningsdatabaser. Såväl forskning i allmänhet som databasers betydelse för denna, är ett legitimt
6 Se vidare generellt om dessa proportionalitetskrav i olika rättsliga instrument SOU 2017:50 s. 308 ff.
intresse enligt dataskyddsförordningen (se särskilt skäl 157). Det tillhör dessutom unionens mål att åstadkomma ett europeiskt forskningsområde (artikel 179.1 i EUF-fördraget). Även den svenska grundlagen framhåller skyddet för forskningens frihet (2 kap. 18 § andra stycket RF). Det är alltså fråga om två prioriterade och legitima intressen som ställs mot varandra.
Vår bedömning är att den förbättrade möjligheten till forskning är ett sådant viktigt allmänt intresse som uppväger de risker för den personliga integriteten som personuppgiftsbehandling i forskningsdatabaser kan medföra.
Vår bedömning är vidare att förslagen i och för sig kan medföra betydande intrång i de registrerades personliga integritet som kan innebära kartläggning av dennes personliga förhållanden (jfr 2 kap. 6 § andra stycket RF). Inskränkningarna i de registrerades fri- och rättigheter görs dock för att tillgodose forskningsändamål. Detta är ett ändamål som inte bara är godtagbart i ett demokratiskt samhälle, utan som ovan nämnt dessutom är grundlagsskyddat. Den begränsning av den enskildes fri- och rättigheter som det är fråga om sträcker sig enligt utredningens bedömning inte så långt att den utgör ett hot mot den fria åsiktsbildningen, och den görs inte heller enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Möjligheterna att behandla personuppgifter i forskningsdatabaser ska därtill omgärdas av ett flertal obligatoriska skyddsåtgärder, som t.ex. krav på etikprövning och nya bestämmelser om sekretess. Kraven i 2 kap. 21 § RF är därför uppfyllda.
13.3. Rättspsykiatriska forskningsregistret
Utredningen föreslår att registret läggs ned och den särskilda registerförfattningen avskaffas. De kostnadsmässiga konsekvenserna av detta har redan bedömts av RMV i en tidigare rapport. RMV kommer fram till att detta medför en kostnadsbesparing, men att denna besparing inte låter sig beräknas i nuläget. Vi hänvisar därför till konsekvensutredningen i den rapporten.7
Vad gäller konsekvenserna för den personliga integriteten medför utredningens förslag att personuppgiftsbehandling inte längre kan
7Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju2013/08833/Å), s. 95 f.
göras med stöd av den särskilda registerförfattningen. Vid behov kan dock en motsvarande forskningsdatabas inrättas under förutsättning att kraven i den föreslagna forskningsdatabaslagen är uppfyllda. Konsekvenserna för den personliga integriteten torde därmed i vart fall inte försämras.
13.4. Ett nationellt biobanksregister
Vi ansluter oss i huvudsak till Utredningen om reglering av biobankers förslag. Vi hänvisar därför till konsekvensutredningen i den utredningen.8
13.5. Utlämnande av uppgifter till europeiska forskningsdatabaser
Utredningen föreslår en förändring av offentlighets- och sekretesslagen (2009:400), förkortad OSL. Förändringen möjliggör utlämnande av uppgifter som omfattas av statistiksekretess enligt 24 kap 8 § OSL till europeiska forskningsdatabaser. Förslaget skulle möjliggöra för SCB att återuppta sitt utlämnande av uppgifter till forskningsdatabasen Luxembourg Income Study (LIS). De löpande kostnadsmässiga konsekvenserna för det ökade arbetet för SCB torde inte bli alltför stora. I sammanhanget bör uppmärksammas att SCB tidigare regelmässigt har levererat uppgifter till LIS från det att den skapades 1983 fram till 2007.
13.6. Skydd för uppgifter om avlidna
Utredningen föreslår inte något nytt skydd för uppgifter om avlidna inom forskning. Det blir därmed inte någon förändring av rättsläget, och därför inte heller några konsekvenser att bedöma .
8 Utredningens om reglering av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4), s. 455 ff.
14. Författningskommentar
14.1. Förslaget till lag om forskningsdatabaser
1 kap. Lagens tillämpningsområde m.m.
Innehåll och syfte
1 § Denna lag innehåller bestämmelser om behandling av personupp-
gifter i en forskningsdatabas.
I 4 kap. 5 § finns en bestämmelse om tystnadsplikt hos enskilda (privata) forskningshuvudmän.
Paragrafen innehåller en beskrivning av vilken typ av bestämmelser som finns i lagen om forskningsdatabaser (forskningsdatabaslagen).
I första stycket anges att lagen innehåller bestämmelser om behandling av personuppgifter i en forskningsdatabas.
Andra stycket innehåller en upplysning om att det i 5 kap. 5 § finns
en generell bestämmelse om tystnadsplikt hos enskilda (privata) forskningshuvudmän.
Bestämmelsen behandlas i avsnitt 8.4.
2 § Syftet med denna lag är att möjliggöra behandling av personuppgifter i en forskningsdatabas. Syftet är också att säkerställa att de registrerades personliga integritet skyddas vid denna behandling.
Paragrafen anger syftet med lagen. Enligt paragrafen är syftet att möjliggöra behandling av personuppgifter i en forskningsdatabas samtidigt som det ska säkerställas att de registrerades personliga integritet skyddas vid denna behandling.
Bestämmelsen behandlas i avsnitt 8.4.
Förhållandet till annan lagstiftning
3 § Denna lag kompletterar Europaparlamentet och rådets förordning
(EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Bestämmelsen reglerar lagens förhållande till Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. I paragrafen anges att lagen kompletterar dataskyddsförordningen. Bestämmelsen tydliggör att lagen inte kan tilllämpas fristående, utan endast tillsammans med dataskyddsförordningen.
Bestämmelsen behandlas i avsnitt 8.5.
4 § Vid behandling av personuppgifter enligt denna lag gäller lagen
( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter i en forskningsdatabas som avviker från denna lag ska de bestämmelserna gälla.
Paragrafen reglerar lagens förhållande till annan nationell lagstiftning.
I första stycket anges forskningsdatabaslagens relation till dataskyddslagen (2018:218) och föreskrifter som har meddelats i anslutning till lagen. Forskningsdatabaslagen har företräde framför dataskyddslagen. Om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till lagen gäller alltså dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen.
I andra stycket finns en subsidiaritetsbestämmelse med innebörden att lagen är subsidiär gentemot andra lagar eller förordningar som reglerar personuppgiftsbehandling i en forskningsdatabas.
Bestämmelser i andra lagar som reglerar enskilda forskningsdatabaser gäller alltså före forskningsdatabaslagen.
Bestämmelsen behandlas i avsnitt 8.5.
Definitioner
5 § Med forskningshuvudman avses i denna lag detsamma som i 2 §
lagen ( 2003:460 ) om etikprövning av forskning som avser människor.
Paragrafen innehåller en definition av begreppet forskningshuvudman. Det anges att forskningshuvudman definieras på samma sätt som i 2 § lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Med forskningshuvudman avses alltså en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs.
Bestämmelsen behandlas i avsnitten 3.3.6. och 8.7.2.
6 § Med forskningsdatabas avses i denna lag en databas (uppgifts-
samling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt.
Paragrafen innehåller en definition av begreppet forskningsdatabas. Med forskningsdatabas avses i lagen en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt. Utanför lagens definition faller således forskningsregister som skapas för ett visst projekt, en del av ett projekt eller på ett på liknande sätt bestämd forskning.
Bestämmelsen behandlas i avsnitten 3.3.3 och 8.7.1.
Lagens tillämpningsområde
7 § Denna lag tillämpas vid behandling av personuppgifter som utförs
inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige.
Paragrafen anger lagens territoriella tillämpningsområde. Av bestämmelsen framgår att lagen ska tillämpas vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Det saknar betydelse var den faktiska personuppgiftsbehandlingen utförs.
Bestämmelsen behandlas i avsnitt 8.6.2.
2 kap. Grundläggande villkor för skapandet av en forskningsdatabas
1 § En forskningshuvudman får vara personuppgiftsansvarig för
behandling av personuppgifter i en forskningsdatabas under förutsättning att forskningshuvudmannen är en
1. statlig myndighet,
2. kommunal myndighet, eller
3. juridisk person eller enskild näringsidkare som bedriver högre utbildning och har examensrätt enligt lagen ( 1993:792 ) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) jämställs med myndighet.
Av denna paragraf framgår personuppgiftsansvaret vid behandling av personuppgifter i en forskningsdatabas. I paragrafen anges vilka forskningshuvudmän som får vara personuppgiftsansvariga.
De forskningshuvudmän som räknas upp är dels statliga och kommunala myndigheter, dels juridiska personer och enskilda näringsidkare. När det gäller juridiska personer och enskilda näringsidkare anges som förutsättningar att dessa ska bedriva högre utbildning och ha examensrätt enligt lagen (1993:792) om tillstånd att utfärda vissa examina samt att de enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, jämställs med myndigheter. För dessa organ gäller alltså att de ska ha examensrätt och vara upptagna i bilagan till OSL.
Bestämmelsen behandlas i avsnitt 8.8.2.
2 § Personuppgifter får behandlas i en forskningsdatabas för att
1. skapa underlag för olika forskningsprojekt, och
2. lämna ut uppgifter till flera olika forskningsprojekt inom ett angivet forskningsområde.
I paragrafen anges de övergripande ändamålen för vilka behandling av personuppgifter i en databas ska vara tillåten.
Det första ändamålet som anges är att skapa underlag för olika forskningsprojekt. Syftet med behandlingen är således inte att skapa underlag för ett visst, redan definierat projekt utan att samla in uppgifter som kan utgöra underlag för olika forskningsprojekt. Det andra ändamålet som anges är att lämna ut uppgifter till forskningsprojekt inom ett angivet forskningsområde.
Av 5 kap. 1 § framgår att utlämnande till forskning bara får göras under förutsättning att projektet godkänts enligt etikprövningslagen.
Utöver de övergripande ändamål som anges i denna paragraf ska enligt 2 kap. 4 § för varje enskild forskningsdatabas de särskilda ändamålen fastställas.
Bestämmelsen behandlas i avsnitt 8.8.3.
3 § Personuppgifter får behandlas i en forskningsdatabas under förut-
sättning att
1. den har godkänts enligt lagen ( 2003:460 ) om etikprövning av forskning som avser människor, och
2. forskningshuvudmannen har säkerställt finansieringen av forskningsdatabasen.
Paragrafen anger villkoren för att personuppgifter ska få behandlas i en forskningsdatabas. Detta får enligt bestämmelsen bara förekomma under förutsättning att forskningsdatabasen har godkänts enligt etikprövningslagen och att forskningshuvudmannen har säkerställt finansiering av forskningsdatabasen.
Etikgodkännande av forskningsdatabasen krävs enligt bestämmelsen oavsett vilken typ av personuppgifter som ska behandlas i forskningsdatabasen, alltså även om behandlingen inte ska omfatta känsliga personuppgifter eller personuppgifter om lagöverträdelser.
Enligt 7 kap. 1 § första punkten ska regeringen eller den myndighet som regeringen bestämmer få meddela föreskrifter om finansieringen av en forskningsdatabas. Det kan t.ex. handla om att bestämma för hur lång tid finansieringen av en forskningsdatabas måste vara säkerställd.
Bestämmelsen behandlas i avsnitten 8.8.4 och 8.8.5.
4 § En forskningshuvudman ska i ett beslut om att skapa en forsk-
ningsdatabas fastställa
1. vilka uppgifter som ska behandlas i forskningsdatabasen, och
2. för vilka särskilda ändamål dessa uppgifter är nödvändiga att behandla.
Paragrafen innehåller ett krav på att en forskningshuvudman ska fatta ett beslut om en forskningsdatabas uppgifter och ändamål. Paragrafen anger att forskningshuvudmannen i ett beslut om att skapa en forskningsdatabas ska fastställa vilka uppgifter som ska behandlas i databasen och för vilka ändamål dessa uppgifter är nödvändiga att behandla.
Forskningshuvudmannen ska således enligt bestämmelsen fatta ett uttryckligt beslut om att en viss forskningsdatabas ska inrättas samt om vilka uppgifter som får behandlas och för vilka ändamål. Det kan t.ex. handla om att precisera vilka typer av forskningsprojekt som forskningsdatabasen ska kunna utgöra underlag till, vilka forskningsfrågor som ska besvaras, inom vilka forskningsområden projekten ska genomföras och vilken typ av uppgifter som ska samlas in till en viss närmare angiven typ av forskning.
Bestämmelsen är ett uttryck för den i dataskyddsförordningen fastslagna principen om ansvarsskyldighet.
Av 7 kap. 1 § andra, tredje och fjärde punkterna framgår att föreskrifter får meddelas om begränsningar av de ändamål för vilka uppgifter får behandlas i en databas, av de uppgifter som en forskningsdatabas får innehålla och av behandling av uppgifter i en forskningsdatabas.
Bestämmelsen behandlas i avsnitt 8.8.4.
3 kap. Organisatoriska åtgärder
1 § Forskningshuvudmannen ska utse en verksamhetschef för forsk-
ningsdatabasen.
Verksamhetschefen ska minst en gång per år sammanställa och lämna skriftlig information om behandlingen av personuppgifter i forskningsdatabasen till forskningshuvudmannen.
Paragrafen reglerar ett krav på att en verksamhetschef utses samt vissa uppgifter för verksamhetschefen. I första stycket anges att forskningshuvudmannen ska utse en verksamhetschef för forskningsdatabasen. Verksamhetschefen ska inför forskningshuvudmannen ansvara för att forskningsdatabasen fungerar på ett rättsenligt och säkert sätt.
I andra stycket anges att verksamhetschefen minst en gång per år ska sammanställa och lämna information om behandlingen av personuppgifter i forskningsdatabasen till forskningshuvudmannen.
Bestämmelsen behandlas i avsnitt 8.10.2.
2 § Det ska hos forskningshuvudmannen finnas en organisatorisk
enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen. Den ska ha till uppgift att genom tekniska och organisatoriska åtgärder skydda enskildas personliga integritet och upprätthålla en tillräcklig säkerhetsnivå för de personuppgifter som behandlas i forskningsdatabasen.
Paragrafen reglerar en organisatorisk enhet för informationssäkerhet och skydd för personlig integritet i en forskningsdatabas. Det stadgas att det hos forskningshuvudmannen ska finnas en organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen. Vidare stadgas att enheten ska ha till uppgift att genom tekniska och organisatoriska åtgärder skydda enskildas personliga integritet och upprätthålla en tillräcklig säkerhetsnivå för de personuppgifter som behandlas i forskningsdatabasen.
Bestämmelsen behandlas i 8.10.3.
3 § En forskningshuvudman som behandlar personuppgifter i en
forskningsdatabas ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet.
Forskningshuvudmannen ska tilldela tillräckliga resurser för informationssäkerhetsarbetet. Den som utför detta arbete ska hålla forskningshuvudmannen informerad.
Paragrafen reglerar informationssäkerhetsarbete. I första stycket anges att en forskningshuvudman som behandlar personuppgifter i en forskningsdatabas ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. Paragrafen tar sikte på forskningshuvudmannens ansvar för att säkerställa de grundläggande informationssäkerhetsaspekterna vid behandlingen av personuppgifter i forskningsdatabasen.
Bestämmelsen innebär ett generellt krav på ett sådant informationssäkerhetsarbete som motsvarar det som gäller för statliga myndigheter enligt 5 § Myndighetens för samhällsskydd och beredskap föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1). Kravet gäller oavsett vilken typ av forskningshuvudman det är som ansvarar för en forskningsdatabas, alltså utöver statliga myndigheter även kommunala myndigheter som är forskningshuvudmän och privata lärosäten.
I andra stycket anges att forskningshuvudmannen ska tilldela tillräckliga resurser för informationssäkerhetsarbetet. Vidare anges att den som utför detta arbete ska hålla forskningshuvudmannen informerad. Det kan t.ex. handla om information om de riskanalyser som har gjorts av informationssäkerheten, incidenter som har påverkat informationssäkerheten och som medfört eller hade kunnat medföra integritetsskador, uppföljningar som har gjorts samt förbättringsåtgärder som har vidtagits.
I 7 kap. 1 § femte punkten anges att föreskrifter får meddelas om informationssäkerhetsarbetet.
Bestämmelsen behandlas i avsnitt 8.10.4.
4 kap. En säker och ändamålsenlig behandling av personuppgifter
Uppgifterna i forskningsdatabasen
1 § Personuppgifter i en forskningsdatabas får vara direkt identifier-
bara, om det är nödvändigt för att uppfylla ändamålet med forskningsdatabasen.
Forskningshuvudmannen ska besluta om en forskningsdatabas ska bestå av direkt identifierbara uppgifter eller om det är tillräckligt för ändamålet att uppgifterna är pseudonymiserade eller skyddade på annat sätt.
Paragrafen rör personuppgifterna i en forskningsdatabas. Enligt
första stycket får personuppgifter i en forskningsdatabas vara direkt
identifierbara, om det är nödvändigt för att uppfylla ändamålet med forskningsdatabasen.
Enligt andra stycket ska forskningshuvudmannen besluta om en forskningsdatabas ska bestå av direkt identifierbara uppgifter eller om det är tillräckligt för ändamålet att uppgifterna är pseudonymiserade eller skyddade på annat sätt.
I 5 kap. 2 § stadgas att personuppgifter som lämnas ut från en forskningsdatabas enligt huvudregeln ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Personuppgifter får dock vara direkt identifierbara vid utlämnandet, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna lämnas ut till.
Bestämmelsen behandlas i avsnitt 8.9.2.
Intern elektronisk åtkomst
2 § Den som arbetar hos en forskningshuvudman får ta del av personuppgifter i en forskningsdatabas endast om han eller hon behöver uppgifterna för sitt arbete hos huvudmannen.
Paragrafen reglerar hur den interna elektroniska åtkomsten av personuppgifter får användas av de som arbetar hos forskningshuvudmannen, så kallad inre sekretess. Det anges att den som arbetar hos en forskningshuvudman får ta del av personuppgifter i en forskningsdatabas endast om han eller hon behöver uppgifterna för sitt arbete hos huvudmannen.
Bestämmelsen behandlas i avsnitt 8.10.5.
3 § Forskningshuvudmannen ska bestämma villkoren för tilldelning
av behörighet för elektronisk åtkomst till personuppgifter i en forskningsdatabas. Behörigheten ska anpassas och begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter.
Paragrafen innehåller en bestämmelse om behörighetsstyrning avseende intern elektronisk åtkomst. Behörighetsstyrning är en teknisk och organisatorisk åtgärd för att skydda personuppgifter i en
forskningsdatabas. I paragrafen anges att forskningshuvudmannen ska bestämma villkoren för tilldelning av behörighet för elektronisk åtkomst till personuppgifter i en forskningsdatabas. Med detta avses användares faktiska möjligheter att ta del av uppgifter i forskningsdatabasen.
Vidare anges att behörigheten ska anpassas och begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter.
En användares rätt att ta del av uppgifter begränsas dessutom av bestämmelsen i 4 kap. 2 §.
Bestämmelsen behandlas i avsnitt 8.10.5.
4 § Forskningshuvudmannen ska se till att elektronisk åtkomst till
personuppgifter i en forskningsdatabas dokumenteras och kan kontrolleras.
Forskningshuvudmannen ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt personuppgifter i en forskningsdatabas.
Paragrafen reglerar dokumentation och kontroll av elektronisk åtkomst såsom en teknisk och organisatorisk åtgärd för att skydda personuppgifter i en forskningsdatabas.
I första stycket anges att forskningshuvudmannen ska se till att elektronisk åtkomst till personuppgifter i en forskningsdatabas dokumenteras (loggas) och kan kontrolleras. Med detta åsyftas att det ska finnas behandlingshistorik avseende åtkomst till personuppgifter.
I andra stycket anges att forskningshuvudmannen ska göra systematiska och återkommande kontroller av om någon obehörigen tar del av personuppgifter i en forskningsdatabas. Endast kontroller vid särskilda fall när obehörig åtkomst misstänks är således inte tillräckligt för att uppfylla kravet i bestämmelsen.
Bestämmelsen behandlas i avsnitt 8.10.5.
Tystnadsplikt hos enskild forskningshuvudman
5 § Den som arbetar hos en enskild (privat) forskningshuvudman får
inte obehörigen röja vad han eller hon i sitt arbete har fått veta om en enskilds personliga eller ekonomiska förhållanden. När någon fullgör
sådan uppgiftsskyldighet som följer av lag eller förordning ska detta inte anses utgöra obehörigt röjande.
I det allmännas verksamhet ska bestämmelserna i offentlighets- och sekretesslagen (2009:400) tillämpas.
Paragrafen innehåller en generell regel om tystnadsplikt hos enskilda (privata) forskningshuvudmän.
I första stycket anges att den som arbetar hos en privat forskningshuvudman inte obehörigen får röja vad han eller hon i sitt arbete har fått veta om en enskilds personliga eller ekonomiska förhållanden. Vidare anges att det inte ska anses utgöra obehörigt röjande när någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.
I andra stycket anges att i det allmännas verksamhet ska i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400) tilllämpas.
Bestämmelsen innebär att det tillsammans med bestämmelsen om forskningssekretess i den föreslagna 24 kap. 1 § finns ett enhetligt skydd gäller för uppgifter som lämnas ut från en forskningsdatabas, oavsett om utlämnandet görs till en offentlig eller privat forskningshuvudman.
Bestämmelsen behandlas i avsnitt 8.9.6.
5 kap. Utlämnande av personuppgifter från en forskningsdatabas
Villkor för utlämnande
1 § Personuppgifter i en forskningsdatabas får lämnas ut till ett
forskningsprojekt under förutsättning att
1. tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400) eller denna lag inte hindrar det, och
2. forskningsprojekten har godkänts enligt lagen ( 2003:460 ) om etikprövning av forskning som avser människor.
Paragrafen anger villkor för utlämnade av personuppgifter från en forskningsdatabas. I paragrafen anges att personuppgifter i en forskningsdatabas får lämnas ut till ett forskningsprojekt under förutsättning att tystnadsplikt enligt OSL eller forskningsdatabaslagen inte hindrar det och att forskningsprojektet har godkänts enligt
etikprövningslagen. Etikgodkännande krävs enligt bestämmelsen oavsett vilken typ av personuppgifter som ska behandlas, alltså även om behandlingen inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser.
Bestämmelsen behandlas i avsnitt 8.11.2.
2 § Personuppgifter som lämnas ut från en forskningsdatabas ska vara
pseudonymiserade eller skyddade på likvärdigt sätt.
Personuppgifter får dock vara direkt identifierbara vid utlämnandet, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna lämnas ut till.
Paragrafen reglerar skyddsåtgärder vid utlämnande av personuppgifter från en forskningsdatabas. Det anges att personuppgifter som lämnas ut från en forskningsdatabas ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Personuppgifter får dock vara direkt identifierbara vid utlämnandet, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna ska lämnas ut till.
Bestämmelsen behandlas i avsnitt 8.11.3.
3 § Personuppgifter som behandlas för de ändamål som anges i 2 kap. 2 §
får också lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.
Paragrafen reglerar utlämnande av personuppgifter till utredningar om oredlighet i forskning eller yttrande i samband med en sådan utredning. Det anges att personuppgifter som behandlas för de ändamål som anges i 2 kap. 2 § också får lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning. För att möjliggöra granskning av sådana projekt som använder personuppgifter från en forskningsdatabas krävs att utlämnade får göras också till en utredning om oredlighet i forskning. Bestämmelsen möjliggör också utlämnande av uppgifter för att yttrande ska kunna lämnas enligt 1 kap. 16 § högskoleförordningen (1993:100) i samband med en sådan utredning.
Bestämmelsen behandlas i avsnitt 8.11.2.
Direktåtkomst
4 § Personuppgifter i en forskningsdatabas får inte lämnas ut genom
direktåtkomst annat än till den registrerade själv enligt 5 §.
Paragrafen innehåller ett förbud mot direktåtkomst. Det anges att personuppgifter i en forskningsdatabas inte får lämnas ut genom direktåtkomst annat än till den registrerade själv enligt 5 §.
Bestämmelsen behandlas i avsnitt 8.11.5.
5 § En forskningshuvudman får medge den registrerade direktåt-
komst till direkt identifierbara uppgifter om den enskilde själv. Innan uppgifterna lämnas ut på detta sätt ska forskningshuvudmannen pröva om uppgifterna får lämnas ut. Den registrerade får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 4 §.
Paragrafen reglerar möjlighet till direktåtkomst för den registrerade själv. Det anges att en forskningshuvudman får medge den registrerade direktåtkomst till direkt identifierbara uppgifter om den enskilde själv. Bestämmelsen innebär inte en rättighet för enskilda till direktåtkomst till sina uppgifter i forskningsdatabaser utan en möjlighet för en forskningshuvudman att erbjuda registrerade direktåtkomst till sina egna uppgifter.
Vidare anges i paragrafen att innan uppgifterna lämnas ut på detta sätt ska forskningshuvudmannen pröva om uppgifterna får lämnas ut. Detta innebär att forskningshuvudmannen måste bedöma om uppgifterna skulle kunna omfattas av sekretess innan direktåtkomst erbjuds.
Slutligen anges att den registrerade under samma förutsättningar får medges direktåtkomst till sådan dokumentation som avses i 4 kap. 4 §. Direktåtkomst till den logginformation som finns om åtkomst till uppgifterna får alltså också medges.
I 7 kap. 1 § sjätte punkten anges att föreskrifter får meddelas om de krav på säkerhetsåtgärder som ska gälla vid direktåtkomst för den registrerade.
Bestämmelsen behandlas i avsnitt 8.11.6.
6 kap. Uppföljning och utvärdering
1 § Forskningshuvudmannen ska regelbundet ta ställning till om behandlingen av personuppgifter i en forskningsdatabas ska fortsätta.
Paragrafen reglerar intern uppföljning av en forskningsdatabas. Av paragrafen framgår att intern uppföljning krävs. Det anges att forskningshuvudmannen regelbundet ska ta ställning till om behandlingen av personuppgifter i en forskningsdatabas ska fortsätta.
Bestämmelsen innebär att forskningshuvudmannen i egenskap av personuppgiftsansvarig för behandlingen av personuppgifterna i forskningsdatabasen ska se till att behandlingen i varje stund är laglig. För bedömningen kan det vara av betydelse t.ex. om forskningsdatabasen används på det sätt som planerats, om forskningsdatabasen är ändamålsenlig och om den kommer att kunna användas fortsättningsvis.
Bestämmelsen behandlas i avsnitt 8.10.6.
2 § Vetenskapsrådet ska regelbundet följa upp och utvärdera verksam-
heten vid forskningsdatabaser. Vetenskapsrådet ska i sin utvärdering granska forskningsdatabaserna avseende säkerhet och ändamålsenlighet.
Vetenskapsrådet ska redovisa resultatet av sin utvärdering till regeringen.
Paragrafen gäller extern uppföljning och utvärdering utöver den tillsyn som Datainspektionen kommer att ha över personuppgiftsbehandling i forskningsdatabaser.
I första stycket anges att Vetenskapsrådet regelbundet ska följa upp och utvärdera verksamheten vid forskningsdatabaser. Vidare anges att Vetenskapsrådet i sin utvärdering ska granska forskningsdatabaserna avseende säkerhet och ändamålsenlighet. I 7 kap. 1 § sjunde punkten anges att föreskrifter får meddelas om på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvärdering ska utföras.
I andra stycket anges att Vetenskapsrådet ska redovisa resultatet av sin utvärdering till regeringen.
Bestämmelsen behandlas i avsnitt 8.10.7. Se även kommentaren till förordning om ändring av förordning (2009:975) med instruktion för Vetenskapsrådet.
7 kap. Ytterligare föreskrifter
1 § Regeringen eller den myndighet som regeringen bestämmer får
meddela ytterligare föreskrifter om
1. finansieringen av en forskningsdatabas,
2. begränsning av de ändamål för vilka uppgifter får behandlas i en forskningsdatabas,
3. begränsningar av de uppgifter som en forskningsdatabas får innehålla,
4. begränsningar av behandling av uppgifter i en forskningsdatabas,
5. det systematiska och riskbaserade informationssäkerhetsarbetet som forskningshuvudmannen ska bedriva enligt 3 kap. 3 §,
6. de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst för den registrerade som avses i 5 kap. 5 §, och
7. på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvärdering enligt 6 kap. 2 § ska utföras
Bestämmelsen innehåller upplysningar om vilka föreskrifter regeringen eller den myndighet regeringen bestämmer kan meddela när det gäller forskningsdatabaser. Det bör i första hand vara Vetenskapsrådet eller Datainspektionen som kommer att bli bemyndigade att meddela sådana föreskrifter.
I första punkten anges att föreskrifter får meddelas om finansieringen av en forskningsdatabas. Det kan t.ex. handla om föreskrifter om under hur lång tid finansieringen ska vara tryggad.
Enligt andra och tredje punkterna får föreskrifter meddelas om begränsningar av de ändamål för vilka uppgifter får behandlas i en databas och av de uppgifter som en forskningsdatabas får innehålla.
Enligt fjärde punkten får föreskrifter meddelas om begränsningar av behandling av uppgifter i en forskningsdatabas.
Föreskrifter får enligt femte punkten meddelas om det systematiska och riskbaserade informationssäkerhetsarbetet som forskningshuvudmannen ska bedriva enligt 3 kap. 3 §.
I sjätte punkten anges att föreskrifter får meddelas om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst för den registrerade som avses i 5 kap. 5 §.
Slutligen anges i sjunde punkten att föreskrifter får meddelas om på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvärdering enligt 6 kap. 2 § ska utföras.
Bestämmelsen behandlas i avsnitt 8.13.
14.2. Förslaget till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor
I denna lag avses med
2 §
forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,
forskningsdatabas: detsamma som avses i 1 kap. 6 § lagen ( 2019:000 ) om forskningsdatabaser,
forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,
forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Paragrafen innehåller definitioner. Bestämmelsen har ändrats på så sätt att en definition av forskningsdatabas har införts. Det anges att i lagen avses med forskningsdatabas detsamma som i 1 kap. 6 § lagen om forskningsdatabaser.
Vidare har definitionen av behandling av personuppgifter anpassats till dataskyddsförordningen. Med behandling av personuppgifter ska enligt bestämmelsen, i stället för sådan behandling som avses i 3 § personuppgiftslagen (1998:204), sådan behandling som anges i artikel 4.2 dataskyddsförordningen avses.
Bestämmelsen behandlas i avsnitt 8.7.
3 § Denna lag ska tillämpas på forskning som innefattar behandling av
1. sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter),
2. sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,
3. personuppgifter i en forskningsdatabas enligt lagen ( 2019:000 ) om forskningsdatabaser, eller
4. personuppgifter som samlas in från en forskningsdatabas enligt lagen ( 2019:000 ) om forskningsdatabaser.
Bestämmelsen gäller etikprövningslagens tillämpningsområde. Första
och andra punkterna innebär en anpassning till dataskyddsförord-
ningen. Dessa anpassningar föreslogs i Personuppgiftsbehandling för
forskningsändamål (SOU 2017:50), se avsnitt 14.4.5 i det betänkandet.
Det anges att lagen ska tillämpas på forskning som innefattar behandling av särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) eller sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Tredje och fjärde punkterna är nya och innebär en utvidgning av etikprövningslagens tillämpningsområde. I tredje punkten anges att lagen ska tillämpas på forskning som innefattar behandling av personuppgifter i en forskningsdatabas enligt lagen om forskningsdatabaser. Enligt fjärde punkten ska lagen tillämpas på forskning som innefattar behandling av personuppgifter som samlas in från en forskningsdatabas enligt lagen om forskningsdatabaser.
Ändringarna behandlas i avsnitt 8.8.5 och 8.11.2.
5 § Denna lag ska tillämpas på forskning som avses i 3 §, och som ska utföras inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige.
Denna lag ska även tillämpas på forskning som enbart omfattas av 4 § och som ska utföras i Sverige.
Paragrafen gäller etikprövningslagens territoriella tillämpningsområde. Efter ändringen omfattar bestämmelsen två stycken.
I första stycket anges att lagen när det gäller forskning som avses i 3 § ska tillämpas på forskning som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Ändringen innebär att
lagens tillämpningsområde överensstämmer med det som ska gälla enligt forskningsdatabaslagen.
Enligt andra stycket ska etikprövningslagen alltjämt tillämpas på forskning som ska utföras i Sverige när det gäller forskning som omfattas av 4 §, dvs. forskning som enbart avser olika fysiska ingrepp m.m. För sådan forskning föreslås alltså ingen förändring av etikprövningslagens territoriella tillämpningsområde.
Ändringen behandlas i avsnitt 8.6.
6 § Forskning som avses i 3–5 §§ får utföras bara om den har godkänts
vid en etikprövning. Ett godkännande får förenas med villkor.
Ett godkännande ska avse ett visst projekt, en del av ett projekt eller en på något liknande sätt bestämd forskning eller en forskningsdatabas.
Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.
Ett godkännande upphör att gälla, om inte forskningen har börjat utföras senast två år efter det att beslutet om godkännande vann laga kraft.
Ett godkännande enligt denna lag medför inte att forskningen får utföras, om den strider mot någon annan författning.
Paragrafen gäller etikgodkännande. Bestämmelsen anger bl.a. att forskning som avses i 3–5 §§ bara får utföras om den godkänts vid en etikprövning.
Bestämmelsen har ändrats på så sätt att ett etikgodkännande utöver ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning också kan avse en forskningsdatabas. Bestämmelsen har även justerats språkligt.
Ändringen behandlas i avsnitt 8.8.6.
8 § Mänskliga rättigheter och grundläggande friheter ska alltid
beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov.
Bestämmelsen har justerats språkligt.
10 § Forskning får inte godkännas, om det förväntade resultatet kan
uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet.
Behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras.
Bestämmelsen har justerats språkligt.
11 § Forskning får godkännas bara om den ska utföras av eller under
överinseende av en forskare som har den vetenskapliga kompetens som behövs.
En forskningsdatabas får bara godkännas om de grundläggande villkoren för skapandet av en forskningsdatabas och de krav på organisatoriska åtgärder som ställs i 2 och 3 kap. lagen ( 2019:000 ) om forskningsdatabaser är uppfyllda.
Paragrafen innehåller villkor för etikgodkännande.
Bestämmelsen har ändrats på så sätt att ett andra stycke har införts. Här anges att en forskningsdatabas bara får godkännas om de grundläggande villkoren för skapandet av en forskningsdatabas och de krav på organisatoriska åtgärder som ställs i 2 och 3 kap. forskningsdatabaslagen är uppfyllda. Hänvisningen till forskning innebär att första stycket också ska tillämpas på forskningsdatabaser. Bestämmelsen har även justerats språkligt.
Bestämmelsen behandlas i avsnitt 8.8.6.
14.3. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
8 kap.
Sekretess mot forskningshuvudman utanför Sverige som omfattas av EU:s dataskyddsförordning
4 § En uppgift för vilken sekretess gäller enligt denna lag får inte röjas
för en forskningshuvudman med verksamhetsställe utanför Sverige som ansvarar för en forskningsdatabas och som omfattas av förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av
sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, om inte
1. uppgiften i motsvarande fall skulle få lämnas ut till en forskningshuvudman med verksamhetsställe i Sverige, och
2. forskningshuvudmannen omfattas av motsvarande skyddsregler som gäller enligt denna lag och enligt lagen ( 2019:000 ) om forskningsdatabaser.
Paragrafen är ny och gäller sekretess mot forskningshuvudman utanför Sverige som omfattas av dataskyddsförordningen. Det stadgas att en uppgift för vilken sekretess gäller enligt offentlighets- och sekretesslagen inte får röjas för en forskningshuvudman med verksamhetsställe utanför Sverige som ansvarar för en forskningsdatabas som omfattas av dataskyddsförordningen. Detta gäller dock inte om uppgiften i motsvarande fall skulle få lämnas ut till en forskningshuvudman med verksamhetsställe i Sverige. Vidare krävs i sådant fall att forskningshuvudmannen omfattas av motsvarande skyddsregler som gäller enligt offentlighets- och sekretesslagen samt enligt lagen om forskningsdatabaser.
Bestämmelsen gäller såväl privata forskningshuvudmän som forskningshuvudmän som är utländska myndigheter. Bestämmelsen möjliggör utlämnade till bland annat forskningsdatabasen Luxembourg Income Study.
Bestämmelsen behandlas i avsnitt 11.3.1.
10 kap.
23 § Om inte annat följer av 19–22 §§ får en uppgift som angår miss-
tanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 8 §, 25 kap. 1 §, 2 § andra stycket eller 3–8 §§, 26 kap. 1–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,
2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller
3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168) .
Paragrafen reglerar utlämnande av sekretessbelagda uppgifter som angår misstankar om brott. Bestämmelsen har ändrats på så sätt att hänvisningen till 24 kap. 2 a §, som rör förande av och uttag ur register för forskning om vad arv och miljö betyder för människors hälsa, har tagits bort.
Bestämmelsen behandlas i avsnitt 8.9.5.
27 § Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretess-
belagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 1 och 8 §§, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning.
Paragrafen innehåller en så kallad generalklausul. Enligt generalklausulen i paragrafens första stycke hindrar sekretess inte att en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Andra stycket har ändrats så att bestämmelsen om forskningssekretess i 24 kap. 1 § undantas från generalklausulens tillämpningsområde.
Bestämmelsen behandlas i avsnitt 8.9.5.
24 kap.
Forskningssekretess
1 § Sekretess gäller hos en forskningshuvudman för uppgift om enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.
I paragrafen införs en bestämmelse om generell forskningssekretess med ett omvänt skaderekvisit. Denna ersätter bestämmelsen om sekretess för psykologiska undersökningar, som i stället omfattas av den nya bestämmelsen.
Första stycket har ändrats så att sekretess ska gälla hos en forsk-
ningshuvudman för uppgift om enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.
Andra stycket kvarstår. I detta stycke anges att sekretessen gäller
i högst sjuttio år för uppgift i allmän handling.
Bestämmelsen behandlas i avsnitt 8.9.5.
Nationellt biobanksregister
2 § Sekretess gäller i verksamhet som avser uppgifter i ett nationellt
biobanksregister enligt biobankslagen (2018:000) för uppgift om en enskild som har tillförts registret om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Paragrafen gällde tidigare rättspsykiatriskt forskningsregister och enligt förslaget i stället nationellt biobanksregister. Paragrafen har ändrats på så sätt att det anges att sekretess gäller i verksamhet som avser uppgifter i ett nationellt biobanksregister enligt den föreslagna biobankslagen för uppgift om en enskild som har tillförts registret om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
Bestämmelsen ersätter den nuvarande bestämmelsen i paragrafen om sekretess i verksamhet som avser förande av eller uttag ur
register som förs enligt lagen om rättspsykiatriskt forskningsregister.
Bestämmelsen behandlas i avsnitt 10.4.2.
9 § Den tystnadsplikt som följer av 1 och 8 §§ och den tystnadsplikt
som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 1 och 2 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
Paragrafen gäller tystnadsplikt. Det anges i vilka fall den tystnadsplikt som följer av sekretessbestämmelser i kapitlet inskränker rätten att meddela och offentliggöra uppgifter som följer av bestämmelser i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Paragrafen har ändrats på så sätt att även den tystnadsplikt som följer av forskningssekretessen enligt 1 § inskränker rätten att meddela och offentliggöra uppgifter.
Paragrafen hänvisar i andra stycket till 24 kap. 2 §. Genom våra förslag till ändringar av den bestämmelsen kommer inskränkningen av meddelarfriheten också att omfatta sekretess i verksamhet som avser uppgifter ett nationellt biobanksregister enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m.
Ändringen behandlas i avsnitt 8.9.5 och i 10.4.2 behandlas konsekvensen av att paragrafen kommer att omfatta sekretess i nationella biobanksregistret.
14.4. Förslaget till förordning om ändring av förordning (2009:975) med instruktion för Vetenskapsrådet
Vetenskapsrådet ska också
1. genomföra forskningspolitiska analyser och ge regeringen råd i forskningspolitiska frågor,
2. initiera och stödja strategiska satsningar inom forskning och forskningsinfrastruktur,
2 §
3. planera tillgången till forskningsinfrastruktur långsiktigt i samverkan med andra forskningsfinansiärer och forskningsutförare,
4. fördela medel till nationell forskningsinfrastruktur och internationella åtaganden,
5. följa upp Sveriges medlemskap i svenska, europeiska och internationella organisationer och infrastrukturer när det gäller kostnader i förhållande till deltagande,
6. i samverkan med universitet och högskolor medverka till att skapa goda forskningsmiljöer, främja utbildning på forskarnivå av hög kvalitet, stödja forskare i början av sin karriär och främja forskares rörlighet,
7. medverka i och främja det svenska deltagandet i Europeiska unionens verksamhet inom forskning och teknisk utveckling,
8. företräda Sverige i de EU-organisationer och internationella organisationer som Regeringskansliet (Utbildningsdepartementet) informerar rådet om,
9. ansvara övergripande för samordning av kommunikation om forskning och forskningsresultat,
10. ansvara för kommunikation om forskning och forskningsresultat inom sina områden,
11. utveckla samarbeten med de länder som Sverige har ingått avtal med inom forskningsområdet i de fall som Regeringskansliet (Utbildningsdepartementet) informerar rådet om,
12. integrera ett jämställdhetsperspektiv i myndighetens verksamhet och främja jämställdhet vid fördelning av forskningsmedel,
13. verka för att ett köns- och genusperspektiv inkluderas i den forskning som myndigheten finansierar, när det är tillämpligt,
14. ta initiativ till att etiska frågor uppmärksammas vid forskning och förmedla information om forskningsetiska frågor,
15. stödja och ge råd till Svenska Unescorådet inom ramen för Unescos vetenskapliga arbete,
16. initiera och stödja satsningar på konstnärlig forskning, 17. stödja och utveckla förutsättningarna för kliniska studier i Sverige,
18. förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och bistå forskare med information om relevanta bestämmelser om register,
18 a. utvärdera och följa upp forskningsdatabaser enligt lagen ( 2019:000 ) om forskningsdatabaser avseende kvalitet, säkerhet och ändamålsenlighet.
19. ansvara för kommunikationssystemet Swedish University Computer Network (SUNET),
20. bistå styrgruppen för avtalet mellan svenska staten och vissa landsting om samarbete om utbildning av läkare, klinisk forskning och utveckling av hälso- och sjukvården (ALF-avtalet) med administrativt stöd, och
21. svara för utbildning av ledamöter och ersättare i Centrala etikprövningsnämnden och de regionala etikprövningsnämnderna.
22. initiera och stödja forskningshuvudmännen i utarbetandet av gemensamma uppförandekoder enligt art. 40 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning).
Paragrafen gäller Vetenskapsrådets uppgifter. Punkterna 18 a och 22 är nya och innebär en utökning av Vetenskapsrådets uppgifter. I punkten 18 a anges att Vetenskapsrådet ska utvärdera och följa upp forskningsdatabaser enligt lagen (2019:000) om forskningsdatabaser avseende kvalitet, säkerhet och ändamålsenlighet.
I punkten 22 anges att Vetenskapsrådet ska initiera och stödja forskningshuvudmännen i utarbetandet av gemensamma uppförandekoder enligt art. 40 i dataskyddsförordningen.
Bestämmelserna behandlas i avsnitten 8.10.7 och 8.11.7. Se även kommentaren till 6 kap. 2 lagen om forskningsdatabaser.
14.5. Förslaget till förordning om ändring i förordningen (2003:615) om etikprövning av forskning som avser människor
8 § Etikprövningsmyndigheten bör vid etikprövning av annan forskning än klinisk läkemedelsprövning besluta inom 60 dagar. Vid etikprövning av en forskningsdatabas bör myndigheten besluta inom 120 dagar. Vid ändring enligt 4 § bör myndigheten besluta inom 35 dagar.
Paragrafen reglerar tidsfrister för beslut vid etikprövning. Bestämmelsen har ändrats på så sätt att för etikprövning av en forskningsdatabas bör beslut fattas inom 120 dagar, i stället för inom 60 dagar. Vidare har orden en etikprövningsnämnd respektive
nämnden bytts ut mot Etikprövningsmyndigheten respektive myndigheten. Detta är en anpassning till den nya organisation med en
etikprövningsmyndighet som har beslutats träda i kraft den 1 januari 2019. Bestämmelsen behandlas i avsnitt 8.8.5.
Bilaga 2
Bilagan gäller avgifter. I bilagan har en ny avgift förts in. Det anges att avgiften för ansökan som avser en forskningsdatabas är 15 000 kronor.
Bestämmelsen behandlas i avsnitt 8.8.5
Kommittédirektiv 2016:65
Personuppgiftsbehandling för forskningsändamål
Beslut vid regeringssammanträde den 7 juli 2016
Sammanfattning
Under våren 2016 beslutades inom EU en förordning som är en ny generell reglering för personuppgiftsbehandling inom unionen. Dataskyddsutredningen (Ju 2016:04) har i uppdrag att föreslå anpassningar och kompletterande författningsbestämmelser på generell svensk nivå. En särskild utredare får nu i uppdrag att föreslå en kompletterande reglering av behandling av personuppgifter för forskningsändamål. Syftet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter.
Utredaren ska bl.a.
- analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå,
- analysera vilka anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor som behöver göras,
- i ett första skede analysera vilka anpassningar som behöver göras av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen (1999:353) om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas och i ett andra skede föreslå långsiktiga regleringar av forskningsdatabaser, och
- lämna de författningsförslag som behövs.
Uppdragen i de två första punkterna och uppdraget att analysera vilka anpassningar som behöver göras av de i tredje punkten nämnda lagarna inför att dataskyddsförordningen ska börja tillämpas och förslag till behövliga författningsförslag i dessa delar ska delredovisas senast den 1 juni 2017. Uppdraget i övrigt ska slutredovisas senast den 8 december 2017.
Nuvarande regleringar av betydelse för behandling av personuppgifter för forskningsändamål
EU:s dataskyddsdirektiv och personuppgiftslagen
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Bestämmelserna i PUL har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
PUL följer i princip dataskyddsdirektivets struktur och innehåller i likhet med direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff. Ett av de grundläggande kraven för behandling av personuppgifter är enligt 10 § d PUL att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. En viktig princip som framgår av andra stycket i denna paragraf är emellertid att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses oförenlig med de ändamål för vilka uppgifterna samlades in.
PUL är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket innebär att dess bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning.
Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling
Enligt regeringsformen (RF) är var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 §). Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § första stycket under vissa förutsättningar göras genom lag.
Etikprövningslagen och dess förhållande till personuppgiftslagen
För forskning som utförs i Sverige och som avser människor krävs normalt etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Lagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor och om samtycke till sådan forskning. Syftet med lagen är att skydda den enskilda människan och respekten för människovärdet vid forskning (1 §). Etikprövningslagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL (3 §). Lagen ska därutöver tillämpas bl.a. på forskning som avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa och forskning som innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa (4 §). Den forskning som lagen omfattar får utföras bara om den har godkänts vid en etikprövning. Forskning får godkännas bara om de risker som den kan medföra för försökspersonernas
hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde (9 §). Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.
I samband med att etikprövningslagen trädde i kraft 1 januari 2004 anpassades regleringen av behandling av känsliga personuppgifter för forskningsändamål i PUL till regleringen i etikprövningslagen. Enligt 19 § PUL får känsliga personuppgifter, t.ex. uppgifter som rör hälsa, behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen. Detsamma gäller enligt 21 § uppgifter om lagöverträdelser och liknande uppgifter. En behandling av personuppgifter som inte omfattas av nämnda bestämmelser kräver således inte något godkännande enligt etikprövningslagen, men bestämmelserna i PUL gäller för behandlingen.
EU:s dataskyddsförordning
Europaparlamentet och rådet har under våren 2016 antagit en ny förordning, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen, nedan kallad dataskyddsförordningen, ska tillämpas från och med den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna. Den både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag. Det finns ett förhållandevis stort utrymme att behålla eller införa särregleringar för sådan personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet, utföra en arbetsuppgift av allmänt intresse eller behandla uppgifter i samband med myndighetsutövning.
Dataskyddsförordningen kommer att utgöra grunden för generell personuppgiftsbehandling inom EU. Genom förordningen
upphävs det nu gällande dataskyddsdirektivet med verkan från den 25 maj 2018, vilket innebär bl.a. att PUL måste upphävas.
En särskild utredare fick den 25 februari 2016 regeringens (Justitiedepartementets) uppdrag att bl.a. föreslå de anpassningar och kompletterande författningsbestämmelser på generell svensk nivå som dataskyddsförordningen ger anledning till. I uppdraget ingår att lämna förslag till upphävande av den nuvarande generella personuppgiftsregleringen (dir. 2016:15). Utredningen har tagit sig namnet Dataskyddsutredningen (Ju 2016:04). I utredningens uppdrag ingår bl.a. att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter och överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. Det ingår också i utredningens uppdrag att analysera vilka kompletterande bestämmelser om myndigheters bevarande av allmänna handlingar, användning av uppgifter i dessa och överlämnande av arkivmaterial till en arkivmyndighet som behövs i den generella regleringen samt analysera vilka övriga kompletterande bestämmelser om behandling av personuppgifter för arkivering i allmänhetens intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen. I uppdraget ingår inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bl.a. finns i de särskilda registerförfattningarna.
Uppdraget att undersöka vilken nationell kompletterande reglering av behandling av personuppgifter för forskningsändamål som kan behövas
Vissa bestämmelser i dataskyddsförordningen berör särskilt förutsättningarna för att behandla personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål. Artikel 5 med principer för behandling av personuppgifter, artikel 6 om när behandling av personuppgifter är laglig, artikel 9 med reglering av behandling av särskilda kategorier av personuppgifter, artikel 12–20 om den registrerades rättigheter och artikel 89 med särskilda bestämmelser för behandling av personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål är särskilt viktiga.
Med behandling av personuppgifter för forskningsändamål avses nedan behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål, vilka är de begrepp som används i dataskyddsförordningen.
Vilken särskild rättslig reglering behövs för personuppgiftsbehandling för forskningsändamål?
När dataskyddsförordningen träder i kraft kommer möjliga grunder för behandling av personuppgifter för forskningsändamål huvudsakligen att vara antingen att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål enligt artikel 6.1(a) eller att behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1(e).
När det gäller samtycke kan det behöva analyseras vilka slutsatser som bör dras av det som anges i beaktandesats 43 i dataskyddsförordningen. Där anges att för att säkerställa att ett samtycke lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Artikel 6.2 ger medlemsländerna rätt att i nationell rätt behålla eller införa specifika bestämmelser för att anpassa tillämpningen av bestämmelserna för att efterleva bl.a. artikel 6.1(e), dvs. den bestämmelse som anger att personuppgifter får behandlas om behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Medlemsländerna får närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, bl.a. för behandling av personuppgifter för forskningsändamål.
Enligt artikel 6.3 ska grunden för den behandling av personuppgifter som avses i bl.a. artikel 6.1 (e) fastställas i unionsrätten eller en medlemsstats nationella rätt. Denna rättsliga grund kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bland annat de allmänna villkor
som ska gälla för den personuppgiftsansvariges behandling av uppgifter, vilken typ av uppgifter som ska behandlas, berörda registrerade, till vilka uppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer vid behandling enligt kapitel IX (bl.a. forskningsändamål). Den nationella lagstiftningen måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
I dag sker behandling av personuppgifter för forskningsändamål med stöd av bestämmelser i PUL. När personuppgifter behandlas för forskningsändamål sker det normalt med stöd av samtycke av den registrerade eller, när det sker utan samtycke, med stöd av att forskningen anses vara en arbetsuppgift av allmänt intresse och att behandlingen är nödvändig för att denna arbetsuppgift ska kunna utföras enligt 10 § d i PUL. Denna paragraf i PUL motsvaras av artikel 6.1(e) i dataskyddsförordningen. Artikel 6.3 anger att grunden för behandling av personuppgifter enligt bl.a. 6.1(e) ska fastställs i unionsrätten eller en medlemsstats nationella rätt. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter och lämna behövliga och lämpliga författningsförslag. När det gäller behandling av personuppgifter för forskningsändamål behövs det en analys av vilken reglering på nationell nivå som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå för att säkerställa att behandling av personuppgifter för forskningsändamål ska kunna ske på ett ändamålsenligt sätt samtidigt som den registrerades fri- och rättigheter skyddas.
Utredaren ska därför
- undersöka vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, och
- lämna de författningsförslag som behövs.
Vilket behov av skyddsåtgärder finns vid personbehandling för forskningsändamål?
I och med att dataskyddsförordningen träder i kraft kommer ett krav på att behandling av personuppgifter för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades fri- och rättigheter att gälla enligt artikel 89.1. Skyddsåtgärderna ska garantera att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, dvs. behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att ändamålen med behandlingen kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Det krävs därför en analys av vilka skyddsåtgärder som bör gälla vid behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade för att ge ändamålsenliga möjligheter att använda personuppgifter för forskning. Tänkbara skyddsåtgärder kan exempelvis vara etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kodnycklar.
Det finns anledning att i detta sammanhang överväga om etikprövning av forskning liksom i dag enbart ska tillämpas på forskning som innefattar behandling av sådana personuppgifter som omfattas av ett särskilt skydd i 19 och 21 §§ PUL eller om ordningen med etikprövning bör utvidgas till att gälla all behandling av personuppgifter för forskningsändamål. Om etikprövning även fortsättningsvis ska göras enbart när forskningen innefattar sådana personuppgifter som omfattas av ett särskilda skyddsregler i förhållande till andra personuppgifter i dataskyddsregleringen, behöver det övervägas om andra lämpliga skyddsåtgärder ska tillämpas när det är fråga om behandling av andra personuppgifter för forskningsändamål. Utredarens ställningstagande i dessa frågor kan medföra behov av ändringar i etikprövningslagen. Ett alternativ är att reglera frågorna i en annan författning som kompletterar bestämmelserna i dataskyddsförordningen och den nationella reglering på nationell nivå som Dataskyddsutredningen ska föreslå.
Det behöver också analyseras vilka andra ändringar som behöver göras i etikprövningslagen med anledning av dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå.
Utredaren ska därför
- lämna förslag på sådana lämpliga skyddsåtgärder för den registrerades fri- och rättigheter som behandling av personuppgifter för forskningsändamål ska omfattas av,
- överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål och vilka skyddsåtgärder som annars bör gälla vid behandling för forskningsändamål av sådana personuppgifter som inte omfattas av etikprövningslagen,
- se över vilka anpassningar av etikprövningslagen i övrigt som behövs med anledning av dataskyddsförordningen och den generella reglering Dataskyddsutredningen ska föreslå, och
- lämna behövliga författningsförslag.
Närmare om känsliga personuppgifter och uppgifter om lagöverträdelser
Liksom i det nu gällande dataskyddsdirektivet och 13 § PUL finns det i artikel 9.1 i dataskyddsförordningen ett principiellt förbud mot att behandla särskilda kategorier av personuppgifter. I PUL används begreppet känsliga personuppgifter för sådana uppgifter. Med särskilda kategorier av personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening liksom behandling av genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en person eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Förbudet är förenat med en rad viktiga undantag som fastställs i artikel 9.2–9.5. Enligt artikel 9.2 (j) i dataskyddsförordningen gäller inte förbudet mot behandling av dessa särskilda kategorier av personuppgifter om behandlingen är nödvändig för arkivändamål av allmänt intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 på grundval av unionslagstiftning eller en medlemsstats
lagstiftning. Denna lagstiftning ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Som nämnts tidigare finns det i PUL vissa undantagsbestämmelser från förbudet mot att behandla känsliga personuppgifter. Enligt 13 § PUL får känsliga personuppgifter behandlas om den registrerade har lämnat sitt samtycke och enligt 19 § andra stycket PUL får känsliga personuppgifter behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen. I direktiven för Dataskyddsutredningen konstateras att den möjlighet som finns enligt dataskyddsförordningen att göra undantag för förbudet i stor utsträckning kommer att utnyttjas genom sektorsspecifik lagstiftning men att utgångspunkten bör vara att det även i fortsättningen kommer att behövas vissa bestämmelser i den generella regleringen om undantag från förbudet att behandla känsliga personuppgifter av det slag som i dag finns i PUL. Dataskyddsutredningen ska därför överväga vilka undantag från förbudet som bör finnas i den generella regleringen.
Även behandling av personuppgifter om lagöverträdelser och liknande uppgifter, som idag regleras i 21 § PUL, kommer enligt art. 10 i dataskyddsförordningen att vara föremål för särskilda begränsningar. Enligt den artikeln får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. Dataskyddsutredningen har i uppdrag att anlysera i vilken utsträckning det bör införas regler i den kompletterande generella regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en officiell myndighet.
Det behöver analyseras om det utöver dataskyddsförordningen och de bestämmelser Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser och liknande uppgifter för forskningsändamål och vilka bestämmelser om
lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla. Tänkbara sådana skyddsåtgärder kan exempelvis vara etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kodnycklar.
Utredaren ska därför
- analysera om det, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå och de förslag som utredaren i övrigt kan komma att lämna, finns ett behov av bestämmelser som reglerar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser och liknande uppgifter för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla, och
- lämna de författningsförslag som behövs.
Bör det göras undantag från huvudreglerna om den registrerades rättigheter för personuppgiftsbehandling för forskningsändamål?
Om personuppgifter behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål får det enligt artikel 89.2 i dataskyddsförordningen i unionslagstiftningen eller medlemsstaternas lagstiftning föreskrivas om undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för att sådana lämpliga skyddsåtgärder tillämpas som behandling av personuppgifter för dessa ändamål ska omfattas av enligt första punkten i artikeln. De nämnda artiklarna handlar om den registrerades rätt till tillgång till uppgift om personuppgifter som rör honom eller henne och som behandlas, rätt till rättelse av personuppgifter, rätt till begränsning av behandling av personuppgifter och rätt att göra invändning mot behandling av personuppgifter. Undantag får bara göras i den utsträckning det är sannolikt att de aktuella rättigheterna skulle göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.
I direktiven till Dataskyddsutredningen konstateras att behovet av undantag med stöd av artikel 89.2 (vilken i ett utkast till dataskyddsförordningen och i direktiven till Dataskyddsutredningen
numrerades 83.2) i stor utsträckning aktualiseras i sektorsspecifik lagstiftning. Samtidigt framhålls att en ändamålsenlig behandling av personuppgifter för bl.a. vetenskapliga och historiska forskningsändamål behöver garanteras, samtidigt som skyddet för den registrerades fri- och rättigheter beaktas. Utgångspunkten bör enligt direktiven vara att vissa grundläggande bestämmelser, liknande de som finns i personuppgiftslagen, behöver tas in i den generella regleringen som ska komplettera dataskyddsförordningen. Dataskyddsutredningen ska därför analysera vilka övriga kompletterande bestämmelser om behandling av personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål som bör finnas i den generella regleringen och lämna lämpliga författningsförslag.
Det är av stor vikt att bestämmelserna som reglerar behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål ger goda förutsättningar för behandling av personuppgifter för dessa ändamål, samtidigt som behovet av skydd för den registrerades fri- och rättigheter beaktas för att upprätthålla förtroendet för integritetsskyddet i samband med forskning bland dem som ställer upp och deltar i forskningsprojekt. Det behöver mot denna bakgrund analyseras om det utöver den generella reglering på nationell nivå som Dataskyddsutredningen ska föreslå finns ett behov av undantag från de bestämmelser i dataskyddsförordningen som reglerar den registrerades rättigheter vid behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål och hur sådana undantag i så fall bör utformas.
Utredaren ska därför
- analysera om det utöver den generella reglering som Dataskyddsutredningen ska föreslå finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 vid behandling av personuppgifter för vetenskapliga och historiska forskningsändamål och lämna förslag till hur sådana undantag i så fall bör utformas, och
- lämna de författningsförslag som behövs.
Uppdraget att föreslå regleringar för forskningsdatabaser
Det behövs bättre förutsättningar för registerbaserad forskning
En särskild utredare fick i januari 2013 i uppdrag att undersöka förutsättningarna för att bedriva registerbaserad forskning och lämna förslag bl.a. i syfte att göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål. Vid utformningen av förslagen skulle utredaren göra en avvägning mellan forskningens behov av tillgång till uppgifter och den enskildes rätt till personlig integritet. Utredningen tog sig namnet Registerforskningsutredningen (U 2013:01).
I betänkandet Unik kunskap genom registerforskning (SOU 2014:45) konstaterar utredaren att regering och riksdag i några fall har stiftat särskilda lagar för att möjliggöra forskningsdatabaser. Bland dessa kan nämnas lagen (1999:353) om rättspsykiatriskt forskningsregister och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Dessutom finns det inom vissa myndigheter, t.ex. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och Statistiska Centralbyrån, några databaser som helt eller delvis används för forskning. Enligt en inventering som gjorts på uppdrag av Vetenskapsrådet finns ytterligare ett femtiotal forskningsdatabaser i Sverige.
I betänkandet lämnade utredaren ett förslag till lag om forskningsdatabaser. Lagen ska ge stöd för statliga universitet eller högskolor som omfattas av högskolelagen (1992:1434) och andra statliga myndigheter som har i uppdrag att bedriva forskning att utföra behandling av personuppgifter i forskningsdatabaser. Med forskningsdatabas avses en infrastruktur som ska kunna användas av flera olika forskare, från olika universitet och högskolor och inom olika discipliner, i framtida forskningsprojekt. I den föreslagna lagen finns det vissa generella regler för forskningsdatabaser och för varje databas ska det finnas en särskild förordning som reglerar t.ex. ändamål och innehåll. Utredningens betänkande har remitterats.
Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa tillkom för att ge ett tydligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder
för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Lagens giltighet tidsbegränsades i avvaktan på beredningen av den översyn av förutsättningarna för registerbaserad forskning som gjordes av Registerforskningsutredningen. Efter förlängning gäller lagen till och med den 31 december 2017. I och med att ny lagreglering med anledning av förevarande utredningsarbete inte kommer att kunna vara på plats till nämnda datum har regeringen för avsikt att lämna förslag om ytterligare förlängning av lagens giltighetstid.
En vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas synpunkter. Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna krävs också en analys av om förslaget till lag om forskningsdatabaser är förenligt med dataskyddsförordningen och vilka anpassningar av förslaget som kan krävas till förordningen och den generella reglering som Dataskyddsutredningen ska föreslå.
När det gäller registerforskning är beaktandesats 33 i dataskyddsförordningen av intresse. I denna beaktandesats, som infördes med svenskt stöd, konstateras att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Den registrerade bör därför kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.
Då det är kort tid till dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser inte kommer att kunna vara på plats då dataskyddsförordningen börjar tillämpas, behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen och den generella reglering Dataskyddsutredningen kommer att föreslå, som behöver göras i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa till dess att dataskyddsförordningen ska börja tillämpas.
Utredaren ska därför
- föreslå behövliga anpassningar i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inför att dataskyddsförordningen ska börja tillämpas, och
- föreslå långsiktiga regleringar av forskningsdatabaser.
Lagen om rättspsykiatriskt forskningsregister
Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utvecklingsarbete). Registret regleras i en särskild lag, lagen (1999:353) om rättspsykiatriskt forskningsregister. Enligt lagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål har utfärdats. Lagen innehåller en uppräkning av vilka uppgifter om personerna som får registreras.
Endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Socialstyrelsen, Kriminalvården respektive Statens institutionsstyrelse ska lämna uppgifter till registret. I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess i verksamhet som avser förande av eller uttag ur det rättspsykiatriska forskningsregistret (24 kap. 2 §). I rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju2013/08833/Å) redovisar RMV en översyn av myndighetens behandling av personuppgifter. I rapporten framhålls att lagen om rättspsykiatriskt forskningsregister inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt RMV bl.a. att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade data som får registreras i registret. Det har därför ifrågasatts om lagen bör vara kvar i sin nuvarande utformning.
I den proposition som ligger till grund för lagen om rättspsykiatriskt forskningsregister uttalade regeringen att behovet av forsk-
nings- och utvecklingsarbete inom rättspsykiatrin är stort. Regeringen konstaterade att det behövs ökade kunskaper om bl.a. effekterna av vård och behandling av psykiskt störda lagöverträdare. Många problemställningar är outforskade och kräver grundläggande forskning (prop. 1998/99:72 s. 26 f.).
För att genomföra sådan angelägen forskning på området krävs tillgång till databaser med systematiserade personuppgifter om många individer. Samtidigt innehåller rättspsykiatriskt forskningsregister uppgifter av mycket integritetskänslig natur och forskningsbehoven måste hela tiden vägas mot respekten för den enskildes personliga integritet. En utgångspunkt måste vara att endast de uppgifter som är nödvändiga bör få förekomma i ett sådant register och att de endast bör få användas i ett sammanhang som har ett verkligt samhällsintresse.
Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna måste en sådan reglering som det bedöms finnas behov av också vara anpassad till dataskyddsförordningen och till den generella reglering som Dataskyddsutredningen kommer att föreslå. Då det är kort tid till dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser inte kommer att kunna vara på plats då dataskyddsförordningen börjar tillämpas behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen och den generella reglering Dataskyddsutredningen kommer att föreslå, som behöver göras av lagen om rättspsykiatriskt forskningsregister till dess att dataskyddsförordningen ska börja tillämpas.
Utredaren ska därför
- undersöka hur lagen om rättspsykiatriskt forskningsregister används i dag,
- föreslå behövliga anpassningar av lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas,
- analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och
- lämna behövliga författningsförslag.
En lag om Nationella biobanksregistret
Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) trädde i kraft 2003. Lagen tillkom för att, med respekt för den enskilda människans integritet, reglera hanteringen av humanbiologiskt material som tagits från framförallt patienter inom hälso- och sjukvården. Socialstyrelsen har påpekat att biobankslagen är svår att tillämpa och att lagen har lett till ökad administration i den kliniska hälso- och sjukvården. Regeringen har beslutat att biobankslagen ska bli föremål för en genomgripande översyn. Utredningen En ändamålsenlig reglering för biobanker (S 2016:04) har bl.a. i uppdrag att se över biobankslagen och andra angränsande författningar som har betydelse på området. Syftet med utredningen är att anpassa lagstiftningen så att den underlättar utvecklingen och förbättrar förutsättningarna för användning av prover och uppgifter i svenska biobanker för patientens, hälso- och sjukvårdens och forskningens behov.
Enligt biobankslagen är en biobank biologiskt material (s.k. vävnadsprover) från en eller flera människor som samlas och bevaras tills vidare eller för en bestämd tid och vars ursprung kan härledas till den eller de människor från vilka materialet härrör. De personuppgifter som är kopplade till vävnadsproverna i en biobank ingår inte i begreppet biobank och omfattas som huvudregel inte av lagen. Regleringen i denna del finns främst i PUL och i patientdatalagen (2008:355).
Svenska biobanksregistret är landstingens gemensamma register över sparade vävnadsprover tagna inom vården. Registret som sedan 2009 förvaltas av ett landstingsägt bolag är fortfarande i en uppbyggnadsfas. Syftet med registret är att underlätta administration såsom hantering av provgivares samtycken och spårbarhet av prover. För att skapa ett nationellt register som kan nyttjas för de tänkta syftena krävs särskild rättslig reglering.
I Registerforskningsutredningens betänkande föreslogs att Socialstyrelsen ska vara personuppgiftsansvarig för Svenska biobanksregistret och att det ska regleras i en särskild lag, lagen om Nationella biobanksregistret. Lagförslaget innehåller bl.a. bestämmelser om förhållandet till PUL, den registrerades inställning till personuppgiftsbehandling, ändamålet med behandlingen, vilka uppgifter registret får innehålla och vilken information som ska lämnas till den
registrerade. Enligt förslaget ska det vara frivilligt för vårdgivare att lämna uppgifter till registret, men ett krav på registrering bör införas på sikt. Vidare föreslog utredaren att det bör finnas en möjlighet för andra huvudmän än vårdgivare att registrera sina uppgifter i det nationella registret.
Utredningen bedömde dock att frågan om hur ett krav på uppgiftslämnande för vårdgivare och frågan om de närmare förutsättningarna för att andra biobanker ska kunna registrera uppgifter i registret behöver utredas närmare. Dessa frågor ingår i uppdraget för utredningen En ändamålsenlig reglering för biobanker (S 2016:04).
En vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas synpunkter. Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna krävs också en analys av vilka anpassningar av förslaget som kan krävas till dataskyddsförordningen och den kompletterande generella reglering som Dataskyddsutredningen ska föreslå.
Utredaren ska därför
- lämna förslag till en reglering av Nationella biobanksregistret.
Uppdraget att analysera om det behövs ett förstärkt skydd för uppgifter om avlidna i forensisk forskning
Etikprövningslagen blir i vissa fall tillämplig när forskningen rör avlidna personer. Lagen är bl.a. tillämplig på forskning som innebär ett fysiskt ingrepp på en avliden människa, eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa. Då uppgifter om avlidna personer behandlas för forskningsändamål kan forskningen i vissa fall behöva prövas enligt etikprövningslagen. Enligt 3 § PUL avses med personuppgifter all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om en avliden är alltså inte personuppgifter enligt PUL. Om sådana uppgifter direkt eller indirekt kan hänföras till levande personer är dock PUL tillämplig. Dataskyddsförordningen gäller inte behandling av uppgifter om avlidna personer. Medlemsstaterna får enligt förordningen fastställa bestämmelser för behandlingen av uppgifter om avlidna personer.
I vissa registerförfattningar finns det ett uttryckligt skydd för uppgifter om avlidna, exempelvis patientdatalagen (2008:355) och lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. I den tidigare nämnda rapporten från RMV anser myndigheten att integritetsskyddet för uppgifter om avlidna personer i forskning bör ses över. Det kan därför vara lämpligt att närmare undersöka om vissa uppgifter om avlidna behöver ett särskilt skydd när uppgifterna behandlas inom ramen för forensisk forskning.
Utredaren ska
- kartlägga vilket skydd som finns för sådana uppgifter om avlidna som hanteras inom forensisk forskning,
- analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning, och
- vid behov föreslå de författningsändringar som behövs.
Uppdraget att se över förfarandereglerna i etikprövningslagen
I Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45) föreslogs en möjlighet till enklare förfarande vid etikprövning när det gäller forskning som endast innefattar behandling av personuppgifter som hämtats från myndighetsregister och som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till den enskilde. Dessa skulle enligt förslaget kunna behandlas betydligt enklare eftersom risken för intrång i den enskildes integritet vid denna typ av personuppgiftsbehandling är liten. Det föreslogs att sådana ärendena skulle kunna avgöras av ordföranden ensam utan att behandlas av hela avdelningen. En variant av förslaget skulle kunna vara att ordföranden skulle kunna avgöra sådana ärendena med s.k. pseudonymiserade personuppgifter i samråd med vetenskaplig ledamot.
Som tidigare nämnts ska utredaren överväga om etikprövning av forskning bör utvidgas till att gälla all forskning som innefattar behandling av personuppgifter. Om utredaren föreslår en utvidgning av etikprövningslagen ska det också beaktas att en sådan utvidgning ökar antalet ärenden hos etikprövningsnämnderna. Det behöver då övervägas hur ärendehanteringen kan ske på ett effektivt sätt och om
samma krav på prövningen behöver gälla i alla ärenden. I samband med ställningstagande till frågan om utökning av kravet på etikprövning behöver det därför också analyseras om ändringar behöver göras i bestämmelserna i etikprövningslagen som reglerar handläggningen av ärendena.
Utredaren ska därför
- analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikprövningslagen som reglerar handläggningen av ärendena,
- överväga om det bör införas ett enklare förfarande vid etikprövning när det är fråga om en behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet, och
- lämna de författningsförslag som behövs.
Konsekvensbeskrivningar
Utredaren ska redogöra för ekonomiska och andra konsekvenser av sina förslag. Utöver vad som följer av 14–15 a §§kommittéförordningen (1998:1474) ska utredaren redovisa förslagens konsekvenser för den personliga integriteten.
Genomförandet av uppdraget
Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning eftersträvas. Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning när det t.ex. gäller begrepp, uttryck och struktur samt hänvisningar till dataskyddsförordningen. Utredaren ska därför hålla sig informerad om och beakta arbetet i övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk, främst Dataskyddsutredningen (Ju 2016:04) och Utredningen om personuppgiftsbehandling inom utbildningsområdet (U 2016:03).
Utredaren ska vidare hålla sig informerad om utredningen En ändamålsenlig reglering för biobanker (S 2016:04), Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) och Utredningen om en översyn av regelverken för forskningsetik och gränsområdet mellan klinisk forskning och hälso- och sjukvård (U 2016:45).
Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, inhämta upplysningar från Vetenskapsrådet, ett urval av universitet och högskolor, representanter för etikprövningsorganisationerna, RMV, Datainspektionen, SCB och andra relevanta myndigheter och organisationer som kan vara berörda av aktuella frågor.
Redovisning av uppdraget
Uppdraget att analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, att analysera vilka anpassningar av etikprövningslagen som behöver göras och att lämna behövliga författningsförslag i dessa delar ska delredovisas senast den 1 juni 2017. Detsamma gäller för uppdraget att föreslå behövliga anpassningar av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas. Uppdraget i övrigt ska slutredovisas senast den 8 december 2017.
(Utbildningsdepartementet)
Kommittédirektiv 2017:29
Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04)
Beslut vid regeringssammanträde den 16 mars 2017
Utvidgning av och förlängd tid för uppdraget
Regeringen beslutade den 7 juli 2016 kommittédirektiv om uppdrag att bl.a. analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå med anledning av EU:s nya dataskyddsförordning (dir. 2016:65).
Utredaren får nu dessutom i uppdrag att
- analysera vilka rättsliga förutsättningar som finns i dataskyddsförordningen för behandling av personuppgifter i Kungl. bibliotekets verksamhet, och
- analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av de förslag som kommer att lämnas av Dataskyddsutredningen, för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i myndighetens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas, och
- lämna de författningsförslag som behövs.
Uppdraget ska i den del som avser behandling av personuppgifter i Kungl. bibliotekets verksamhet redovisas i en promemoria senast den 13 oktober 2017. Uppdraget i den del som ska redovisas senast
den 8 december 2017 förlängs och ska i stället redovisas senast den 27 april 2018.
Rättsliga förutsättningar för Kungl. bibliotekets behandling av personuppgifter
Kungl. biblioteket är nationalbibliotek och arkiv för ljud och bilddokument och rörliga bilder. Myndigheten ska enligt förordningen (2008:1421) med instruktion för Kungl. biblioteket bl.a. förvara, beskriva och tillhandahålla den svenska tryckproduktionen i dess helhet och dokument för elektronisk återgivning enligt 10 § första stycket i lagen (1993:1392) om pliktexemplar av dokument. I den lagen finns bestämmelser om skyldighet att lämna exemplar av dokument (pliktexemplar) till Kungl. biblioteket och vissa universitetsbibliotek. Med dokument för elektronisk återgivning avses enligt lagen dokument som i fixerad form lagrar text, ljud eller bild och vars innehåll kan återges enbart med hjälp av elektroniskt hjälpmedel. I förordningen (2008:1420) om pliktexemplar av dokument finns närmare bestämmelser om bevarande och tillhandahållande av dokumenten och där framgår att dokumenten ska bevaras för framtiden.
Kungl. biblioteket ska även fullgöra de uppgifter som följer av lagen (2012:492) om pliktexemplar av elektroniskt material och förordningen (2012:866) om pliktexemplar av elektroniskt material. I lagen ges föreskrifter om skyldighet att lämna exemplar av elektroniskt material som har gjorts tillgängligt för allmänheten här i landet genom överföring via nätverk (pliktexemplar) till Kungl. biblioteket. Med elektroniskt material förstås enligt lagen en avgränsad enhet av en elektronisk upptagning med text, ljud eller bild som har ett på förhand bestämt innehåll som är avsett att presenteras vid varje användning. Av förordningen med kompletterande bestämmelser till lagen framgår att det elektroniska materialet ska bevaras för framtiden. Biblioteket ska inom sitt verksamhetsområde vara en resurs för forskning i rollen som främst humanistiskt och samhällsvetenskapligt forskningsbibliotek och främja den svenska forskningens kvalitet genom att tillhandahålla en effektiv forskningsinfrastruktur.
Det material som Kungl. bibilioteket har i uppgift att hantera innehåller en stor mängd personuppgifter. Myndigheten stöder i dag
till stor del sin behandling av personuppgifter på undantaget för behandling av personuppgifter i ostrukturerat material enligt den s.k. missbruksregeln i 5 a § personuppgiftslagen (1998:204), förkortad PUL. Genom PUL har Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet) genomförts i svensk rätt. Under våren 2016 beslutades inom EU en ny förordning, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Den nya dataskyddsförordningen börjar gälla den 25 maj 2018 och kommer då att vara direkt tillämplig i medlemsstaterna. Genom förordningen upphävs dataskyddsdirektivet, vilket bl.a. innebär att PUL kommer att upphävas. Någon bestämmelse motsvarande missbruksregeln finns inte i dataskyddsförordningen. I många fall är dessutom de personuppgifter som finns i bibliotekets samlingar av sådan art att de omfattas av artikel 9 i dataskyddsförordningen, dvs. det är fråga om känsliga personuppgifter där särskilda förutsättningar gäller enligt dataskyddsförordningen för att det ska vara lagligt att behandla uppgifterna. Kungl. bibliotekets verksamhet är av stort allmänt intresse och det är av vikt att en ändamålsenlig personuppgiftsbehandling kan ske i verksamheten även fortsättningsvis när dataskyddsförordningen börjar gälla samtidigt som den enskildes fri- och rättigheter skyddas.
Kungl. biblioteket har även en uppgift att med hjälp av automatiserad robotteknik samla in, bevara och tillhandahålla det nationella digitala kulturarvet i form av det svenska material som publiceras på internet. Detta regleras i förordningen (2002:287) om behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsprojekt. Enligt 3 § i förordningen gäller PUL vid behandling av personuppgifter i projektet om inte något annat följer av förordningen eller annars av 2 § PUL. Bestämmelserna om rättelse och skadestånd i PUL gäller vid behandling av personuppgifter enligt förordningen. Enligt förordningen får personuppgifter behandlas i projektet för att tillgodose behovet av forskning och information (5 §). Sådana känsliga personuppgifter som anges i 13 § PUL får behandlas i projektet bara om det är nödvändigt för att tillgodose ändamålen som anges i
5 § (6 §). När dataskyddsförordningen träder i kraft kommer som nämnts PUL att upphävas.
Utredaren ska därför
- analysera vilka rättsliga förutsättningar som finns i dataskyddsförordningen för behandling av personuppgifter i Kungl. bibliotekets verksamhet, och
- analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av de förslag som kommer att lämnas av Dataskyddsutredningen, för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i myndighetens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas, och
- lämna de författningsförslag som behövs.
Uppdraget ska i denna del redovisas i en promemoria senast den 13 oktober 2017.
Redovisning uppdraget
Utredningstiden förlängs när det gäller den del av uppdraget som ska redovisas senast den 8 december 2017. Uppdraget i denna del ska i stället redovisas senast den 27 april 2018.
(Utbildningsdepartementet)
Kommittédirektiv 2017:61
Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04)
Beslut vid regeringssammanträde den 1 juni 2017
Utvidgning av uppdraget
Regeringen beslutade den 7 juli 2016 att ge en särskild utredare i uppdrag att bl.a. föreslå den kompletterande reglering av behandling av personuppgifter för forskningsändamål som behövs utöver den generella reglering som Dataskyddsutredningen har föreslagit med anledning av EU:s nya dataskyddsförordning (dir. 2016:65). I tilläggsdirektiv den 16 mars 2017 fick utredaren därutöver i uppdrag att analysera vilka rättsliga förutsättningar som finns i dataskyddsförordningen för behandling av personuppgifter i Kungl. bibliotekets verksamhet och föreslå den reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av Dataskyddsutredningens förslag. Tiden för redovisning av uppdraget förlängdes också (dir. 2017:29).
Utredaren får nu dessutom i uppdrag att bl.a.
- analysera vilken rättslig reglering som behövs och är lämplig för att Statistiska centralbyrån (SCB) ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden ur sina register till den organisation som administrerar Luxembourg Income Study för att uppgifterna ska ingå i databasen, och
- lämna nödvändiga författningsförslag.
Uppdraget ska redovisas senast den 27 april 2018.
Rättsliga förutsättningar för att lämna ut uppgifter till Luxembourg Income Study
Internationella organisationer som FN och EU har satt upp mål för att minska inkomstskillnaderna. FN:s Agenda 2030 för hållbar utveckling har bl.a. som mål att utrota fattigdomen och minska inkomstspridningen inom och mellan länder. EU har ett mål om att antalet människor inom EU som lever eller riskerar att leva i fattigdom och social utestängning ska ha minskat med minst 20 miljoner till 2020.
Svenska forskare har sedan länge bidragit till den internationella forskningen om befolkningens inkomstskillnader, fattigdom och hur skatte- och socialförsäkringssystemen påverkar befolkningens disponibla inkomster. Bidragande till detta har varit den goda tillgången på registerdata av hög kvalitet som finns att tillgå hos SCB. Forskningen har även underlättats av ett internationellt samarbete kring en databas benämnd Luxembourg Income Study (LIS) som administreras av en forskningsorganisation i Luxemburg, LIS Cross-National Data Center asbl. LIS är en databas med uppgifter om individers inkomster, skatter, socialförsäkringar och bidrag i 47 länder. Statistiska centralbyrån (SCB) levererade uppgifter till databasen från det att den skapades 1983 fram till 2007. SCB har därefter bedömt att det saknas rättsliga förutsättningar för myndigheten att leverera uppgifter.
Riksrevisionen har som en del av sin effektivitetsgranskning granskat förutsättningarna för att lämna ut data till LIS och lämnade i oktober 2016 granskningsrapporten Internationella jämförelser av inkomstskillnader – Sveriges möjligheter att bidra med statistik (RIR 2016:24). Riksrevisionen konstaterade i sin rapport att de uppgifter som LIS har behov av torde omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), och att för att möjliggöra ett utlämnande av uppgifterna krävs det en författningsreglerad skyldighet för SCB att lämna ut dem till LIS. Riksrevisionen rekommenderade att regeringen, utifrån en avvägning mellan databasens nytta för forskningen och den enskildes behov av integritet, tar ställning till om uppgifterna ska lämnas ut till LIS.
LIS har stor betydelse för forskning på området och det är av vikt att uppgifter från svenska myndigheter kan ingå i databasen. Det krävs en sekretessbrytande bestämmelse för att SCB ska kunna
lämna ut uppgifterna. Som konstaterats i regeringens skrivelse med anledning av Riksrevisionens rapport (skr. 2016/17:65) behöver dock vissa frågor utredas närmare innan ett sådant förslag lämnas. Det behöver bl.a. närmare utredas vilka uppgifter som bör lämnas ut, i vilket format utlämnandet ska ske och SCB:s möjligheter att lämna ut uppgifterna utifrån dataskyddsförordningen och de kompletterande författningsbestämmelser som Dataskyddsutredningen har föreslagit.
Utredaren ska därför
- analysera vilken rättslig reglering som behövs och är lämplig för att Statistiska centralbyrån (SCB) ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden ur sina register till den organisation som administrerar Luxembourg Income Study för att uppgifterna ska ingå i databasen, och
- lämna nödvändiga författningsförslag.
Uppdraget ska redovisas senast den 27 april 2018.
(Utbildningsdepartementet)
Kommittédirektiv 2017:87
Tilläggsdirektiv till Forskningsdatautredningen ( 2016:04 )
Beslut vid regeringssammanträde den 20 juli 2017
Utvidgning av och förlängd tid för uppdraget
Regeringen beslutade den 7 juli 2016 kommittédirektiv om uppdrag att bl.a. föreslå en kompletterande reglering av behandling av personuppgifter för forskningsändamål i syfte att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter (dir. 2016:65). I tilläggsdirektiv den 16 mars 2017 lämnades även uppdrag att analysera vilka rättsliga förutsättningar som finns i dataskyddsförordningen för behandling av personuppgifter i Kungl. bibliotekets verksamhet och föreslå viss reglering. Tiden för redovisning av uppdraget förlängdes också (dir. 2017:29). I tilläggsdirektiv den 1 juni 2017 fick utredaren ytterligare ett uppdrag (dir. 2017:61).
Utredaren får nu dessutom i uppdrag att bl.a. analysera och föreslå vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av de förslag som lämnats i betänkandet SOU 2017:39, för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i forskningsbibliotekens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas. Uppdraget ska redovisas tillsammans med uppdraget om personuppgifter i Kungl. Bibliotekets verksamhet. Utredningstiden i den delen förlängs och båda deluppdragen ska redovisas senast den 6 november 2017. Utredningstiden för uppdraget i övrigt förlängs också och ska i stället redovisas senast den 25 maj 2018.
Rättsliga förutsättningar för personuppgiftsbehandling hos forskningsbiblioteken
Enligt 12 § bibliotekslagen (2013:801) ska det finnas tillgång till högskolebibliotek vid alla universitet och högskolor som omfattas av högskolelagen (1992:1434). Dessa bibliotek ska svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid universitet och högskolor. Högskolebibliotek finns också hos enskilda utbildningsanordnare. I verksamheten hos dessa bibliotek behandlas en stor mängd personuppgifter. Exempelvis behandlas personuppgifter om låntagare i låneverksamheten. Det pågår ett omfattande arbete med digitalisering av analoga samlingar och publicering av dessa på internet. Digitalisering sker även vid t.ex. privatkopiering och fjärrlån. Biblioteken tillhandahåller möjligheter att söka efter information i databaser och har också börjat fungera som vetenskapliga förlag med förmedling av sakkunniggranskning och utgivning av publikationer. Högskolebibliotek i form av forskningsbibliotek vid universitet och högskolor och Kungl. biblioteket är nyckelaktörer i den pågående övergången till ett öppet vetenskapssystem, i vilket allt fler delar av forskningsprocessen, som forskningsdata, publikationer, läromedel och konferensrapporter, tillhandahålls fritt på internet för vidareanvändning. En allt viktigare uppgift för forskningsbiblioteken har också kommit att bli att sköta lärosätenas lokala publikationsdatabaser och att se till att forskare får rätt erkännande för sina resultat genom att hantera identifikatorer, exempelvis Open Researcher and Contributor ID (ORCID) och Digital Object Identifier (DOI). Detta är internationella standarder för att identifiera personer och forskning och kan därför innehålla personuppgifter. En annan trend är att öppna utbildningsresurser växer i betydelse. Genom att ny teknik finns tillgänglig ökar forskningens behov av snabb och enkel tillgång till digitala och fysiska vetenskapliga resurser. Den tekniska utvecklingen har gjort s.k. text- och datautvinning (TDM) möjlig. Detta innebär att man på automatisk väg kan behandla stora digitala informationsmängder, t.ex. text, ljud, bild eller data, för att utvinna ny kunskap och upptäcka nya tendenser. Text- och datautvinning kan i framtiden komma att användas av biblioteken själva för att nyttja och presentera materialet i deras samlingar och digitala databaser samt underlätta sökning och forskning i dessa. Detta kan i sig innebära att
biblioteken samtidigt kommer att ägna sig åt personuppgiftsbehandling.
Det behöver därför analyseras i vilken utsträckning EU:s dataskyddsförordning kommer att vara tillämplig då personuppgifter behandlas i verksamheten hos forskningsbiblioteken och för vilken behandling av personuppgifter som forskningsbiblioteken har ett personuppgiftsansvar.
I forskningsbibliotekens samlingar finns dessutom sådana särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen, s.k. känsliga personuppgifter. Enligt förordningen gäller ett förbud mot att behandla sådana uppgifter, om inte någon av undantagsreglerna i artikel 9.2 är tillämpliga.
När det gäller de rättsliga förutsättningarna för bibliotekens verksamhet kommer bl.a. artikel 85 om förhållandet till yttrande- och informationsfriheten och den nationella reglering som föreslås i betänkandet Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39) att vara av betydelse.
Utredaren ska därför
- analysera i vilken utsträckning dataskyddsförordningen kommer att vara tillämplig då personuppgifter behandlas i forskningsbibliotekens verksamhet och för vilken behandling av personuppgifter som forskningsbiblioteken har ett personuppgiftsansvar,
- analysera vilka rättsliga förutsättningar som i sådana fall finns i dataskyddsförordningen för behandling av personuppgifter i den verksamhet som bedrivs av forskningsbiblioteken,
- analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av det förslag till lag med kompletterande bestämmelser till dataskyddsförordningen som lämnats i betänkandet Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39), för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i forskningsbibliotekens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas, och
- lämna de författningsförslag som behövs.
Konsekvensbeskrivning
Utredaren ska utöver sådana konsekvensbeskrivningar som anges i tidigare direktiv även analysera och redovisa vilka konsekvenser förslagen får för aktörer inom forskningssystemet.
Genomförande och redovisning uppdraget
Vid genomförandet av uppdraget ska utredaren inhämta synpunkter från ett urval av forskningsbibliotek och forskningsaktörer.
Uppdraget ska redovisas i den promemoria där uppdraget som gäller rättsliga förutsättningar för behandling av personuppgifter i Kungl. bibliotekets verksamhet ska redovisas. Utredningstiden för denna del av uppdraget förlängs och båda deluppdragen ska i stället redovisas senast den 6 november 2017.
Utredningstiden förlängs när det gäller den del av uppdraget som ska redovisas senast den 27 april 2018. Uppdraget i denna del ska i stället redovisas senast den 25 maj 2018.
(Utbildningsdepartementet)
Personuppgiftsbehandling i forskningsbibliotekens verksamhet
Utredningens uppdrag
Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utredare med uppdrag att med anledning av EU:s dataskyddsförordning1föreslå en kompletterande reglering med syftet att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.2
Den 16 mars 2017 beslutade regeringen tilläggsdirektiv3 till utredningen med uppdrag att analysera vilka rättsliga förutsättningar som finns i dataskyddsförordningen för behandling av personuppgifter i Kungliga bibliotekets verksamhet, samt beslutade att uppdraget ska slutredovisas senast den 27 april 2018.
Utredningen har därefter fått i ytterligare tilläggsuppdrag4 att analysera i vilken utsträckning dataskyddsförordningen kommer att vara tillämplig när personuppgifter behandlas i verksamheten hos forskningsbiblioteken och för vilken behandling av personuppgifter som forskningsbiblioteken har ett personuppgiftsansvar, samt vilka rättsliga förutsättningar som i sådana fall finns i dataskyddsförordningen för behandling av personuppgifter i den verksamhet som bedrivs av forskningsbiblioteken. Vi ska även analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av det förslag till kompletterande dataskyddslag som
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. 2 Kommittédirektiv, dir. 2016:65. 3 Kommittédirektiv Tilläggsdirektiv till Forskningsdatautredningen (2016:04), dir. 2017:29. 4 Kommittédirektiv Tilläggsdirektiv till Forskningsdatautredningen (2016:04), dir. 2017:87.
lagts fram av Dataskyddsutredningen5 samt lämna de författningsförslag som behövs.
Uppdragen som utredningen har fått genom dessa tilläggsdirektiv redovisas härmed i en gemensam promemoria.
Sammanfattning av våra förslag
I denna promemoria föreslår vi en rad ändringar i befintliga författningar som rör forskningsbibliotekens, det vill säga Kungliga bibliotekets, högskolebibliotekens och de privatfinansierade forskningsbibliotekens arbetsuppgifter och personuppgiftsbehandling. Vi föreslår även en ny förordning om behandling personuppgifter i forskningsbibliotekens verksamhet. Syftet med författningsförslagen är att säkerställa att personuppgifter kan behandlas på ett ändamålsenligt och säkert sätt i bibliotekens verksamhet även efter att dataskyddsförordningen börjar tillämpas. Vi föreslår att den nya förordningen och författningsändringarna träder i kraft den 25 maj 2018.
Härmed överlämnar utredningen delredovisningen.
Stockholm i november 2017
Cecilia Magnusson Sjöberg
Cecilia Arrgård Maria Jacobsson Staffan Malmgren Margareta Sandén Magnus Stenbeck
5 Dataskyddsutredningens betänkande Ny dataskyddslag. Kompletterande bestämmelser till
EU:s dataskyddsförordning (SOU 2017:39).
1 Författningsförslag
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § Syftet med denna förordning är att möjliggöra personuppgiftsbehandling i forskningsbibliotekens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas.
2 § Denna förordning kompletterar Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
3 § Om inte annat följer av denna förordning gäller lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
Förordningens tillämpningsområde
4 § Denna förordning gäller vid behandling av personuppgifter i forskningsbibliotekens verksamhet.
5 § Med forskningsbibliotek avses i denna förordning Kungl. biblioteket, högskolebiblioteken som avses i 12 § bibliotekslagen (2013:801) och de privatfinansierade högskolebiblioteken.
Uppgifter av allmänt intresse
6 § Ett forskningsbibliotek utför uppgifter av allmänt intresse genom att
1. utföra uppgifter som finns reglerade i förordningen (2008:1421) med instruktion för Kungl. biblioteket,
2. utföra uppgifter som finns reglerade i bibliotekslagen (2013:801) och i högskoleförordningen (2003:100), och
3. tillgängliggöra kunskap i syfte att stödja forskning och utbildning inom en högskolas verksamhetsområde.
Behandling av känsliga personuppgifter
7 § Ett forskningsbibliotek får behandla känsliga personuppgifter för arkivändamål av allmänt intresse i enlighet med de förutsättningar som anges i artikel 9.2 j i dataskyddsförordningen.
8 § Ett forskningsbibliotek får behandla känsliga personuppgifter genom text- och datutvinning i enlighet med de förutsättningar som anges i artikel 9.2 g i dataskyddsförordningen.
Personuppgifter om lagöverträdelser
9 § Ett forskningsbibliotek får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel.
Skyddsåtgärder
10 § Ett forskningsbibliotek får endast behandla känsliga personuppgifter och personuppgifter om lagöverträdelser som finns i sådant material, som
1. har utlämnats till försäljning eller för spridning på annat sätt (utgivits), och
2. biblioteket har i uppgift att tillhandahålla i sin verksamhet.
11 § Text- och datautvinning enligt 8 § får inte utföras
1. i syfte att utvinna känsliga personuppgifter eller uppgifter om lagöverträdelser, eller
2. om sådana uppgifter processas under något skede av behandlingen.
Begränsningen i första stycket gäller inte om det är nödvändigt att forskningsbiblioteket utför sådan text- och datautvinning för att tillhandahålla kunskap till forskning, som har godkänts vid etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor.
Undantag från den registrerades rättigheter
12 § Den registrerades rättigheter enligt artikel 15, 16, och 21 dataskyddsförordningen ska inte gälla när ett forskningsbibliotek behandlar personuppgifter för arkivändamål av allmänt intresse.
Undantaget gäller enbart för personuppgifter som förekommer i sådant material hos forskningsbiblioteket, som har utlämnats till försäljning eller för spridning på annat sätt (utgivits).
Denna förordning träder i kraft den 25 maj 2018.
Härigenom föreskrivs att det i lagen (1993:1392) om pliktexemplar av dokument ska införas en ny paragraf, 36 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
36 a §
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om på vilket sätt skyldigheten att lämna pliktexemplar ska fullgöras.
Denna lag träder i kraft den 25 maj 2018.
Härigenom föreskrivs att 2 kap. 16 § högskoleförordningen (1993:100) ska ha följande lydelse.
2 kap.
16 §
Ett högskolebibliotek ska tillgängliggöra kunskap i syfte att stödja forskning och utbildning inom högskolans verksamhetsområde.
Ett högskolebibliotek ska avgiftsfritt ställa litteratur ur de egna samlingarna till andra högskolebiblioteks förfogande.
Denna förordning träder i kraft den 25 maj 2018.
Härigenom föreskrivs i fråga om förordning (2002:287) om behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsprojekt
dels att 12 och 13 §§ ska upphävas,
dels att rubriken till förordningen, rubriken närmast före 3 och
7 §§ samt 1–11 §§ ska ha följande lydelse.
Förordning om behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsverksamhet
Nuvarande lydelse Föreslagen lydelse
Förhållandet till
Förhållandet till annan
dataskyddsreglering
1 §
Denna förordning skall tillämpas vid helt eller delvis automatiserad behandling av personuppgifter i Kungl. bibliotekets verksamhet med det digitala kultur-
arvsprojektet.
Denna förordning ska tillämpas vid helt eller delvis automatiserad behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsverksamhet, som
görs i syfte att tillgodose behovet av forskning och information om det nationella digitala kulturarvet.
2 §
Med det digitala kulturarvs-
projektet avses i denna förordning
Kungl. bibliotekets projekt att med hjälp av automatiserad robotteknik samla in, bevara och tillhandahålla det nationella digitala kulturarvet i form av det svenska
Med den digitala kulturarvs-
verksamheten avses i denna för-
ordning Kungl. bibliotekets verk-
samhet att med hjälp av automa-
tiserad robotteknik samla in, bevara och tillhandahålla det nationella digitala kulturarvet i
material som publiceras på Inter-
net.
Med det svenska material som publiceras på Internet avses i denna förordning material som går att hänföra till Sverige genom sådan anknytning som adress, adressat, språk, upphovsman eller avsändare.
form av det svenska material som publiceras på internet.
Med det svenska material som publiceras på internet avses i denna förordning material som går att hänföra till Sverige genom sådan anknytning som adress, adressat, språk, upphovsman eller avsändare.
3 §
Personuppgiftslagen (1998:204)
gäller vid behandling av personuppgifter i projektet, om inte något annat följer av denna förordning eller annars av 2 § personuppgifts-
lagen.
Denna förordning kompletterar Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen
Om inte annat följer av denna förordning gäller lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning ( dataskyddslagen ).
En registrerad person har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna förordning.
Den registrerade får dock invända mot att vissa uppgifter tillgängliggörs genom direktåtkomst enligt 10 §. Dessa uppgifter ska i så fall genast spärras från direktåtkomst, om inte Kungl. biblioteket kan påvisa berättigade skäl för behandlingen som väger tyngre än den registrerades intresse av att uppgifterna spärras.
4 §
Kungl. biblioteket är personuppgiftsansvarigt för sin behandling av personuppgifter i projektet.
Kungl. biblioteket är personuppgiftsansvarigt för sin behandling av personuppgifter i kultur-
arvsverksamheten.
5 §
Personuppgifter får behandlas i
projektet för att tillgodose behovet
av forskning och information.
Personuppgifter får behandlas i
kulturarvsverksamheten för att till-
godose behovet av forskning och information.
6 §
Sådana känsliga personuppgifter som anges i 13 § person-
får
behandlas i projektet bara om det är nödvändigt för att tillgodose de ändamål som anges i 5 § denna förordning.
Sådana känsliga personuppgifter som anges i artikel 9.1 i data-
skyddsförordningen får behandlas i
verksamheten bara om det är nödvändigt för att tillgodose de ändamål som anges i 5 § denna förordning.
Databas för projektet Databas för
kulturarvsverksamheten
7 §
Inom projektet får Kungl. biblioteket ha en samling av personuppgifter som med hjälp av automatiserad behandling används för de ändamål som anges i 5 § (databas för projektet).
Inom kulturarvsverksamheten får Kungl. biblioteket ha en samling av personuppgifter som med hjälp av automatiserad behandling används för de ändamål som anges i 5 § (databas för kulturarvsverksam-
heten).
8 §
I projektets databas får behandlas bara sådana personuppgifter som har offentliggjorts genom publicering i det svenska materialet på
Internet.
I kulturarvsverksamhetens databas får behandlas bara sådana personuppgifter som har offentliggjorts genom publicering i det svenska materialet på internet.
9 §
Uppgifter i projektets databas får lämnas ut på medium för automatiserad behandling bara för att användas i forskning. Kungl. biblioteket får ta ut avgifter för sådant medium med belopp som motsvarar självkostnaden.
Uppgifter i kulturarvsverksam-
hetens databas får lämnas ut på
medium för automatiserad behandling bara för att användas i forskning. Kungl. biblioteket får ta ut avgifter för sådant medium med belopp som motsvarar självkostnaden.
10 §
Direktåtkomst får medges till uppgifter i projektets databas bara via terminaler inom Kungl. bibliotekets lokaler.
Direktåtkomst får medges till uppgifter i kulturarvsverksam-
hetens databas bara via terminaler
inom Kungl. bibliotekets lokaler.
11 §
Sådana känsliga personuppgifter som anges i 13 § personuppgifts-
lagen (1998:204) och sådana personuppgifter som anges i 21 § samma lag får inte användas som sök-
begrepp.
Sådana personuppgifter som anges i artikel 9.1 och artikel 10 i
dataskyddsförordningen får inte
användas som sökbegrepp.
Denna förordning träder i kraft den 25 maj 2018.
Härmed föreskrivs att det i förordningen (2006:1226) om Post- och Inrikes Tidningar ska införas en ny paragraf, 8 a §, av följande lydelse.
8 a §
Kungl. biblioteket får samla in och bevara känsliga personuppgifter som förekommer i Post- och inrikes tidningar med stöd av artikel 9.2 j i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Den registrerades rättigheter enligt artikel 15, 16, och 21 i dataskyddsförordningen ska inte gälla när Kungl. biblioteket behandlar personuppgifter med stöd av denna förordning.
Denna förordning träder i kraft den 25 maj 2018.
Härigenom föreskrivs att det i förordningen (2008:1420) om pliktexemplar av dokument ska införas en ny paragraf, 12 §, av följande lydelse.
12 §
Kungl. biblioteket får meddela föreskrifter om och i enskilda fall besluta om på vilket sätt skyldigheten att lämna pliktexemplar ska fullgöras.
Denna förordning träder i kraft den 25 maj 2018.
1.7. Förslag till förordning om ändring i förordningen (2008:1421) med instruktion för Kungl. biblioteket
Härigenom föreskrivs att 2 § förordningen (2008:1421) med instruktion för Kungl. biblioteket ska ha följande lydelse
Nuvarande lydelse Föreslagen lydelse
2§6
Myndigheten ska även
1. fullgöra de uppgifter som följer av – lagen (1993:1392) om pliktexemplar av dokument, – lagen (2012:492) om pliktexemplar av elektroniskt material, – förordningen (2008:1420) om pliktexemplar av dokument och
– förordningen (2012:866) om pliktexemplar av elektroniskt material,
– förordningen (2008:1420) om pliktexemplar av dokument,
– förordningen (2012:866) om pliktexemplar av elektroniskt material och
– förordningen ( 2002:287 ) om behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsverksamhet,
2. samla, förvara, beskriva och tillhandahålla utomlands utgivna publikationer med svensk anknytning,
3. samla, förvara, beskriva och tillhandahålla en representativ samling utländsk litteratur, särskilt inom samhällsvetenskap och humaniora,
4. vårda och förkovra bibliotekets äldre samlingar av böcker och annat tryck, handskrifter, kartor och bilder,
5. framställa nationalbibliografin,
6. svara för frågor om samverkan mellan forskningsbibliotek när det gäller digitalisering och digitalt tillgängliggörande, och
7. analysera utvecklingen inom forskningsbiblioteken i landet.
Denna förordning träder i kraft den 25 maj 2018.
6 Senaste lydelse 2012:867.
1.8. Förslag till förordning om ändring i förordningen (2012:866) om pliktexemplar av elektroniskt material
Härigenom föreskrivs att det i förordningen (2012:866) om pliktexemplar av elektroniskt material ska införas två nya paragrafer 9 och 10 §§ och närmast före 9 § en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Behandling av personuppgifter
9 §
Kungl. biblioteket får behandla känsliga personuppgifter med stöd av artikel 9.2 j i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen, om det är nödvändigt för att fullgöra bibliotekets uppgifter enligt denna förordning.
10 §
Den registrerades rättigheter enligt artikel 15, 16, och 21 i dataskyddsförordningen ska inte gälla när Kungl. biblioteket behandlar personuppgifter med stöd av denna förordning.
Denna förordning träder i kraft den 25 maj 2018.
2 Vårt uppdrag och arbete
Kungliga biblioteket (KB) är en statlig myndighet. Av förordningen (2008:1421) med instruktion för Kungl. biblioteket (instruktionen) framgår att KB är Sveriges nationalbibliotek och arkiv för ljud- och bilddokument och rörliga bilder. KB ska ta emot, förvara, beskriva och tillhandahålla den svenska tryckproduktionen i dess helhet och dokument för elektronisk återgivning enligt 10 § första stycket lagen (1993:1392) om pliktexemplar av dokument. I förordningen (2008:1420) om pliktexemplar av dokument finns närmare bestämmelser om hur dokumenten ska bevaras för framtiden samt hållas tillgängliga.
KB ska även fullgöra de uppgifter som följer av lagen (2012:492) om pliktexemplar av elektroniskt material och förordningen (2012:866) om pliktexemplar av elektroniskt material. I lagen ges föreskrifter om skyldighet att lämna exemplar av elektroniskt material som har gjorts tillgängligt för allmänheten här i landet genom överföring via nätverk. Med elektroniskt material förstås enligt lagen en avgränsad enhet av en elektronisk upptagning med text, ljud eller bild som har ett på förhand bestämt innehåll som är avsett att presenteras vid varje användning. Av förordningen med kompletterande bestämmelser till lagen framgår att även det elektroniska materialet ska bevaras för framtiden.
KB ska inom sitt verksamhetsområde också vara en resurs för forskning i rollen som främst humanistiskt och samhällsvetenskapligt forskningsbibliotek och främja den svenska forskningens kvalitet genom att tillhandahålla en effektiv forskningsinfrastruktur. Vidare
ska KB även ha en nationell överblick över det allmänna biblioteksväsendet och främja samverkan och utveckling inom området. KB ska särskilt ansvara för bl.a. de nationella bibliotekssystemen LIBRIS.
KB har dessutom en uppgift, som dock inte framgår av instruktionen, att med hjälp av automatiserad robotteknik samla in, bevara och tillhandahålla det nationella digitala kulturarvet i form av det svenska material som publiceras på internet. Detta regleras i förordningen (2002:287) om behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsprojekt (Kulturarw³-förordningen).
Det material som KB har i uppgift att hantera innehåller en stor mängd personuppgifter. Myndigheten stöder i dagsläget till stor del sin behandling av personuppgifter på undantaget för behandling av personuppgifter i ostrukturerat material enligt den s.k. missbruksregeln i 5 a § personuppgiftslagen (1998:204), som har sin grund i dataskyddsdirektivet.7
Från och med den 25 maj 2018 ska dataskyddsförordningen8 börja tillämpas vilket innebär att dataskyddsdirektivet och personuppgiftslagen upphör att gälla. Till skillnad från dataskyddsdirektivet ska dataskyddsförordningen inte implementeras i svensk rätt. I stället ska förordningens bestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser. Dataskyddsförordningen är med andra ord direkt tillämplig, men kommer att behöva kompletteras med nationell lagstiftning.
Någon bestämmelse motsvarande missbruksregeln finns inte i dataskyddsförordningen. I många fall är dessutom de personuppgifter som finns i KB:s samlingar av sådan art att de omfattas av artikel 9 eller 10 i dataskyddsförordningen. Det är alltså fråga om sådana känsliga personuppgifter eller uppgifter om lagöverträdelser där enligt dataskyddsförordningen särskilda förutsättningar gäller för att det ska vara lagligt att behandla uppgifterna. Det kan exempelvis vara fråga om uppgifter i böcker eller tidningsartiklar om någons hälsa, politiska åsikter eller lagöverträdelser. Även metadata såsom
7 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 8 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.
bibliografisk information om samlingarna kan i undantagsfall innehålla denna typ av personuppgifter.
KB:s verksamhet är av allmänt intresse9 och det är av vikt att en ändamålsenlig personuppgiftsbehandling kan utföras i verksamheten även fortsättningsvis när dataskyddsförordningen börjar tillämpas samtidigt som den enskildes fri- och rättigheter skyddas. Utredningen har fått i tilläggsuppdrag10 att analysera vilka rättsliga förutsättningar som finns i dataskyddsförordningen för behandling av personuppgifter i KB:s verksamhet. Vi ska också analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av de förslag som lämnats av Dataskyddsutredningen, för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i myndighetens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas. Vi ska även lämna de författningsförslag som behövs.
Enligt 12 § bibliotekslagen (2013:801) ska det finnas tillgång till högskolebibliotek vid alla universitet och högskolor som omfattas av högskolelagen (1992:1434). Dessa bibliotek ska svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid universitet och högskolor. Högskolebibliotek finns också hos privatfinansierade högskolor.
I forskningsbibliotekens verksamheten behandlas en stor mängd personuppgifter. Utredningen har fått i ytterligare tilläggsuppdrag11att analysera i vilken utsträckning dataskyddsförordningen kommer att vara tillämplig när personuppgifter behandlas i verksamheten hos forskningsbiblioteken och för vilken behandling av personuppgifter som forskningsbiblioteken har ett personuppgiftsansvar, samt vilka rättsliga förutsättningar som i sådana fall finns i dataskyddsförordningen för behandling av personuppgifter i den verksamhet som bedrivs av forskningsbiblioteken. Vi ska även analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av det förslag till kompletterande dataskyddslag som
9 Avsnitt 3.2.3. 10 Kommittédirektiv Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04), (dir. 2017:29). 11 Kommittédirektiv Tilläggsdirektiv till Forskningsdatautredningen (2016:04), (dir.2017:87).
lagts fram av Dataskyddsutredningen12 samt lämna de författningsförslag som behövs.
Eftersom begreppet forskningsbibliotek inte har en legaldefinition analyserar vi detta begrepp i avsnitt 4.2 med syfte att definiera utredningsuppdraget. I utredningens förslag avser vi med begreppet forskningsbibliotek KB och såväl offentligt som privat finansierade högskolebibliotek.
Utredningen har bedrivit arbetet i nära samråd med KB. Utöver ett flertal möten med jurister och verksamhetsansvariga har utredningen tagit del av ett antal promemorior om pågående och planerade verksamheter samt en inventering av it-system och verksamhetsprocesser som finns hos KB. Utredningen har även beaktat KB:s studie ”Plikten under lupp”, som utförts parallellt med utredningsuppdraget.13
Av det tilläggsdirektiv som rör forskningsbibliotekens verksamhet framgår att vi vid genomförandet av uppdraget ska inhämta synpunkter från ett urval av forskningsbibliotek och forskningsaktörer. Utredningen har därför tillkallat en särskild referensgrupp bestående av representanter från biblioteken vid Göteborgs universitet, Karolinska institutet, Kungliga Tekniska Högskolan, Lunds universitet, Stockholms universitet, Sveriges Lantbruksuniversitet, Umeå universitet och Uppsala universitet, samt av forskare vid Karolinska institutet och Stockholms universitet. Utredningen har träffat referensgruppen för att diskutera forskningsbibliotekens verksamhet. Representanterna i gruppen har även lämnat synpunkter på utkast till denna promemoria.
2.4. Promemorians disposition
Vi behandlar grundläggande rättsliga frågor av betydelse för bibliotekens verksamhet i kapitel 3. I avsnitt 3.8 beskriver vi vilken metod vi kommer att använda när vi i kapitel 4 och 5 redovisar vår bedömning av om forskningsbibliotekens behandlingar av personuppgifter är
12SOU 2017:39. 13 http://www.kb.se/aktuellt/nyheter/2017/Pliktlagstiftningen-har-stora-brister-ochbehover-revideras/
förenliga med dataskyddsförordningen. I kapitel 4 beskriver vi även vår avgränsning av uppdraget om forskningsbibliotekens verksamhet. I samma kapitel beskriver vi också de delar av dessa biblioteks verksamhet som medför personuppgiftsbehandling. Även KB:s verksamhet som forskningsbibliotek behandlas i samma kapitel. För varje enskild identifierad verksamhet gör vi sedan en bedömning av vilka rättsliga förutsättningar för verksamheten som finns i dataskyddsförordningen samt lämnar förslag på nödvändig reglering. Kapitel 5 ägnas åt sådan verksamhet som KB, i kraft av sitt uppdrag som nationalbibliotek, är ensam om att utföra, de rättsliga förutsättningarna i dataskyddsförordningen, samt förslag på nödvändig reglering. Kapitel 6 innehåller en integritetsanalys av de lämnade förslagen, tillsammans med en konsekvensanalys innefattande en analys av vilka konsekvenser förslagen får för aktörer i forskningssystemet.
3 Bakgrund och grundläggande frågor
3.1.1. Inledning
Vi presenterar i denna inledning en kortfattad rättslig översikt över de regler som gäller för behandling av personuppgifter i dag och vilka som kommer att tillämpas från och med den 25 maj 2018. Översikten är allmänt hållen med intentionen att kort illustrera de områden som vi har identifierat som viktiga för bibliotekens verksamhet.
EU:s reglering av personuppgiftsbehandling finns i dagsläget i dataskyddsdirektivet.14 I Sverige är dataskyddsdirektivet implementerat genom personuppgiftslagen (1998:204). Som nämnts tidigare i avsnitt 2.1 ska dataskyddsförordningen börja tillämpas från och med den 25 maj 2018. Dataskyddsdirektivet och personuppgiftslagen upphör då att gälla. Dataskyddsförordningen är direkt tillämplig, men kommer att behöva kompletteras med nationell lagstiftning.
Flera bestämmelser i dataskyddsförordningen har samma innebörd som de som redan gäller enligt personuppgiftslagen. Förordningen anger i skäl 9 att målen och principerna för dataskyddsdirektivet fortfarande är giltiga. På samma sätt som i dag kommer det även i fortsättningen vara tillåtet att behandla personuppgifter med stöd av samtycke från de registrerade, för att uppfylla ett avtal eller efter för att utföra en uppgift av allmänt intresse. De registrerade kommer även fortsättningsvis ha rätt att få information om den personuppgiftsbehandling som görs, och den som behandlar personuppgifter måste
14 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
skydda uppgifterna med tillräckliga säkerhetsåtgärder. Om det är fråga om behandling av uppgifter om t.ex. hälsa, etniskt ursprung, politisk uppfattning eller religiös tro ställs särskilda krav.
Dataskyddsförordningens materiella tillämpningsområde framgår av artikel 2. Där anges att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Tillämpningsområdet är därmed detsamma som för det nu gällande dataskyddsdirektivet.
3.1.2. Känsliga personuppgifter
I artikel 9 dataskyddsförordningen regleras behandling av ”särskilda kategorier av personuppgifter”. I sitt betänkande har Dataskyddsutredningen dock valt att använda sig av termen ”känsliga personuppgifter” för samma begrepp. 15 I vårt delbetänkande har vi använt samma term, 16 vilken även kommer att användas fortsättningsvis.
Enligt artikel 9.1 ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden.
Från huvudregeln att det är förbjudet att behandla känsliga personuppgifter finns ett antal undantag i artikel 9.2. De två undantag som i det följande bedöms vara tillämpliga i forskningsbibliotekens verksamhet är undantaget i artikel 9.2 g (viktigt allmänt intresse) och artikel 9.2 j (arkivändamål av allmänt intresse).
3.1.3. Personuppgifter om lagöverträdelser m.m.
I dataskyddsförordningen finns särskilda bestämmelser om behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser eller därmed sammanhängande säkerhetsåtgärder (personuppgifter om lagöverträdelser m.m.). Enligt artikel 10 får
15SOU 2017:39 s. 162. 16 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50) s. 185 f.
sådan behandling endast utföras under kontroll av myndighet eller när behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
3.2.1. Missbruksregeln upphävs
I dagsläget kan behandling av personuppgifter i ostrukturerat material falla under den s.k. missbruksregeln i 5 a § personuppgiftslagen. Den innebär i korthet att det är tillåtet att behandla uppgifter i ostrukturerat material så länge det inte är kränkande för någons personliga integritet. När dataskyddsförordningen träder i kraft upphävs dataskyddsdirektivet och personuppgiftslagen. Någon bestämmelse motsvarande missbruksregeln finns inte i dataskyddsförordningen. Missbruksregeln kan därför inte längre tillämpas. Myndigheter måste således stödja sig på en annan rättslig grund för sina personuppgiftsbehandlingar.
3.2.2. Begreppet rättslig grund
De rättsliga grunderna för laglig behandling av personuppgifter är i stort sett detsamma som i dataskyddsdirektivet och personuppgiftslagen. De grunder som kan bli aktuella för biblioteken att tillämpa är samtycke, avtal och uppgift av allmänt intresse.
En viktig förändring i dataskyddsförordningen är att som laglig behandling räknas inte längre den intresseavvägning enligt 10 § f personuppgiftslagen som myndigheter tidigare kunde åberopa som grund för sin behandling när de fullgör sina uppgifter. Enligt förordningen måste myndigheter i stället kunna ange en annan rättslig grund för sin behandling.
Av skäl 43 framgår vidare att samtycke inte ska kunna utgöra giltig rättslig grund för behandling i de fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige,
och då särskilt om den personuppgiftsansvarige är en offentlig myndighet. Även om detta inte innebär någon betydande förändring jämfört med dagens rättsläge17 är det ett förtydligande av vad som gäller för att ett samtycke ska kunna betraktas som frivilligt.
En annan viktig förändring är att den rättsliga grunden i artikel 6.1 e måste vara fastställd i unionsrätten eller nationell rätt (artikel 6.3). Det kravet finns inte uttryckt i dataskyddsdirektivet i dag.
Vad som krävs för att en behandling ska vara laglig framgår av artikel 6. Behandling av personuppgifter är enligt denna bestämmelse endast laglig om ett eller flera av de villkor som anges i bestämmelsen är uppfyllda. Villkoret uppgift av allmänt intresse återfinns i artikel 6.1 e. Dataskyddsutredningen föreslår en bestämmelse som tydliggör att personuppgifter får behandlas om det är nödvändigt för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.18 I vårt delbetänkande föreslår vi att personuppgifter, med stöd av artikel 6.1 e i dataskyddsförordningen, ska få behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse.19
Av artikel 6.3 dataskyddsförordningen framgår att det inte är behandlingen som ska fastställas, utan i stället grunden för behandlingen. Det framgår av artikel 6.3 att en behandling ska kunna härleda sin lagliga grund i unionsrätten eller medlemsstatens nationella rätt. Det framgår även av skäl 45 att dataskyddsförordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åligger den personuppgiftsansvarige att utföra eller om behandlingen krävs för att utföra en uppgift av allmänt intresse.
En behandling som är laglig enligt artikel 6.1 innebär inte att den får utföras på vilka uppgifter som helst eller på valfritt sätt. I artikel 5.1 a i dataskyddsförordningen anges ett antal principer för behandling av personuppgifter, bl.a. att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Den personuppgiftsansvarige måste därför utöver att ha stöd i en
17SOU 2017:50 s. 176. 18SOU 2017:39, avsnitt 8.3.4. 19SOU 2017:50, avsnitt 5.5.2.
rättslig grund även uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna dataskyddsprinciperna i artikel 5 och reglerna om skyddsåtgärder i artikel 89.1.
3.2.3. Uppgift av allmänt intresse och viktigt allmänt intresse
Begreppet uppgift av allmänt intresse
Enligt artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Begreppet allmänt intresse kommer från unionsrätten, men någon legaldefinition av begreppet finns varken i dataskyddsdirektivet eller i dataskyddsförordningen. Däremot finns det vägledande domar från EU-domstolen inom området.20 I tidigare betänkanden anges forskning, arkivering och framställning av statistik som exempel på vad som kan vara en arbetsuppgift av allmänt intresse.21 Enligt Dataskyddsutredningen borde det vara rimligt att utgå från den svenska förvaltningstraditionen och anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse.22Vi går närmare in på fastställandet av bibliotekens verksamhet som allmänt intresse i avsnitt 4.5.2.
Begreppet viktigt allmänt intresse
Huvudregeln att känsliga personuppgifter inte får behandlas återfinns i dataskyddsförordningen artikel 9.1. Undantag från förbudet avseende viktigt allmänt intresse finns i artikel 9.2 g. Av det undantaget framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätt eller nationell rätt. Sådan rätt måste även innehålla lämpliga och särskilda skyddsåtgärder. Både begreppet allmänt intresse och viktigt allmänt intresse är unionsrättsligt och finns även i artiklarna 7 e och 8.4 i dataskyddsdirektivet. Det saknas en legaldefinition av begreppet viktigt allmänt intresse i dataskyddsdirektivet
20 EU-domstolens domar C-524/06, C-92/09 och C-73/16. 21 Datalagskommitténs betänkande Integritet • Offentlighet • Informationsteknik (SOU 1997:39), s. 364. 22SOU 2017:39 s. 124.
och dataskyddsförordningen. Några vägledande beslut från EUdomstolen gällande begreppet finns såvitt utredningen känner till inte.
Ett ytterligare undantag från förbudet finns i artikel 9.2 j, om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, med motsvarande krav på lämpliga och särskilda skyddsåtgärder.
Vi måste ta ställning till om biblioteksverksamheten vid forskningsbiblioteken kan anses utgöra arbetsuppgift av allmänt intresse och då även om verksamheten i förlängningen kan utgöra ett viktigt allmänt intresse, alternativt ett arkivändamål av allmänt intresse.
Grundlagsskyddet för tryck- och yttrandefriheten är ett särskilt skydd i Sverige för vissa publiceringar och vissa medier, bl.a. för tidningar, böcker, radio- och tv-sändningar, vissa webbsidor med mera. För biblioteken är frågan om grundlagsskyddet för de tryckta skrifter och de databaser som återfinns inom verksamheten av central betydelse, eftersom personuppgiftsregleringen inte gäller i de fall där grundlagen styr hanteringen av uppgifterna. I dagsläget framgår detta av 7 § första stycket personuppgiftslagen. Dataskyddsutredningen har i sitt förslag till dataskyddslag behållit denna reglering.23 Grundlagsskyddet regleras i de två s.k. mediegrundlagarna tryckfrihetsförordningen (TF), och yttrandefrihetsgrundlagen (YGL).
Grundlagsskyddet enligt TF gäller för tryckt skrift. Tryckt skrift ska vara framställd i tryckpress för att anses som sådan, vilket bl.a. omfattar tidningar och böcker. Även andra skrifter som framställts med hjälp av en skrivare eller kopiator eller för hand kan omfattas, förutsatt att mångfaldigandeuppgifter har satts ut. Det kan exempelvis gälla flygblad. Periodiska skrifter, vilket inkluderar tidskrifter, som innehar ett utgivningsbevis faller alltid inom tryckfrihetsförordningens tillämpningsområde. Ytterligare ett krav är att skriften är utgiven.
Grundlagsskyddet enligt YGL är till stora delar identiskt med det i TF men omfattar i stället radio- och tv-sändningar, tekniska upptagningar, vissa databaser (webbplatser) m.m. En teknisk upptagning i YGL:s mening är bland annat CD-skivor, USB-minnen och liknande, förutsatt att de är utgivna och finns tillgängliga för allmänheten i ett tillräckligt antal exemplar. Sådana tekniska upptagningar måste förses med ursprungsuppgifter, vilket är en straffsanktionerad skyldighet. Termen databas i YGL omfattar bland annat webbsidor, digital bio och vissa print-on-demand-tjänster. Alla webbplatser, även privatpersoners webbsidor, kan sedan 2003 omfattas av grundlagsskydd, förutsatt en ansökan om utgivningsbevis. Detta kallas frivilligt grundlagsskydd och följer av den s.k. databasregeln i 1 kap 9 § 2 stycket YGL. Ett automatiskt grundlagsskydd gäller däremot för massmedieföretags webbsidor, utan att någon ansökan om utgivningsbevis behöver göras. Ibland krävs för grundlagsskydd att en ansvarig utgivare utses och att utgivningsbevis beviljas.
Regleringen som avgör om en databas faller in under grundlagens tillämpningsområde återfinns i 1 kap. 9 § YGL och avser överföringar till allmänheten som görs antingen a) direkt till användare efter begäran, b) indirekt genom att användare begär att avsändaren ska framställa och överföra ett yttrande eller c) genom att avsändaren på begäran överför viss bestämd information vid en viss bestämd tidpunkt.
I 6 kap. 1 § TF återfinns regleringen om spridningsfriheten av tryckt skrift. Bestämmelsen utgör en del i etableringsfriheten på tryckfrihetens område och garanterar friheten att sprida skrifter. Den beskrivna rätten att ge ut skrifter syftar bl.a. på förbudet mot censur, som behandlas i 1 kap. 2 § TF. Det innebär att etableringsfrihet råder. Denna etableringsfrihet omfattar alla led i en skrifts utgivande: spridning, tryckning, författande och redigerande samt uppgiftsinsamlande. Skilda led i det som etableringsfriheten omfattar kan emellertid vara underkastade formkrav enligt TF, som t.ex. att skrifter ska åsättas ursprungsuppgifter (4 kap. 2 §) , att pliktexemplar ska lämnas (4 kap. 4 §) och att utgivare ska utses (5 kap.) . Utanför TF får inga sådana krav uppställas. Etableringsfriheten är inte minst en näringsfrihet.
Den innebär att det inte får finnas regler som hindrar någon från att ägna sig åt något eller några led i utgivandet av tryckta skrifter. Detta innebär dock inte att det kan göras utan risk för straff och skadestånd. Den som åsidosätter formkrav av just omtalat slag kan ställas till ansvar för detta. Framför allt kan ansvar för innehållet i utgivna skrifter utkrävas (tryckfrihetsansvar), när förutsättningar för detta föreligger enligt TF 7 kap. 4 och 5 §§.
Utredningens bedömning: Det särskilda grundlagsskyddet i TF
och YGL påverkar inte forskningsbibliotekens skyldighet att följa dataskydds-regleringen.
När biblioteken tillgängliggör tryckt material som har TF-skydd omfattas biblioteken av spridningsfriheten.24 Detta har ingen praktisk betydelse i relation till dataskyddet, eftersom varken den befintliga lagstiftningen eller dataskyddsförordningen är direkt tillämplig på sådant analogt material.
När biblioteken digitaliserar material som har TF-skydd väcks dock frågan om detta skydd på något vis följer med materialet i sin nya, digitala form. Vår bedömning är att ett sådant formatbyte gör att TF-skyddet – som gäller tryckt skrift – inte är tillämpligt på materialet i sin nya form. Det omvandlas inte heller till motsvarande YGL-skydd med mindre än att det digitala materialet införs i en databas som uppfyller kraven i 1 kap. 9 § YGL och för vilken det finns ett utgivningsbevis. Även om det är möjligt för statliga och kommunala myndigheter att ansöka om och få beviljat sådant utgivningsbevis kan dock myndigheten inte åberopa detta för att undgå de förpliktelser som dataskyddsregleringen medför.25
Även för material som i ett visst skede faller in under YGL – som när det ligger i en databas som omfattas av grundlagsskydd, exempelvis hos en utgivare – är vår bedömning att ett sådant skydd inte följer med materialet när det överförs från denna databas till ett bibliotek.26
24 Se Lambertz, Yttrandefrihet och Bibliotek, i festskrift till Ulf Göransson (2012). 25 Datainspektionens beslut den 29 januari 2010, dnr 987-2009. 26 Mediegrundlagskommitténs betänkande Ändrade mediegrundlagar (SOU 2016:58), s. 299 f.
Detta torde gälla oavsett vilket rättsligt stöd biblioteket har för denna överföring i övrigt.
Utredningens bedömning: Undantaget i dataskyddsförord-
ningen och i den föreslagna dataskyddslagen för journalistiska ändamål är inte tillämpliga på forskningsbibliotekens verksamhet när de behandlar och tillgängliggör biblioteksmaterial. Detta gäller också när materialet i sig kan sägas vara ett uttryck för journalistiska ändamål. På samma sätt är undantaget för akademiskt skapande inte tillämpligt på bibliotekens verksamhet när materialet i sig kan sägas vara ett uttryck för akademiskt skapande.
Enligt artikel 85 i dataskyddsförordningen ska medlemsstaterna i lag förena rätten till integritet i enlighet med förordningen med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Dataskyddsutredningen har i sitt förslag till dataskyddslag infört ett undantag från bestämmelserna i dataskyddsförordningens kapitel II och III (artiklarna 5–23), artiklarna 24–30 och 35–43 och kapitel V (artiklarna 44–50) vid behandling av personuppgifter för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Journalistiska ändamål
Eftersom biblioteksmaterialet i tryckt form faller under grundlagsskyddet, och artikel 85 syftar till skydd av samma intressen, aktualiseras frågan om bibliotekens hantering av personuppgifter i någon mån är behandling för ett journalistiskt ändamål. Dataskyddsförordningens reglering i denna del har föregåtts av en motsvarande artikel 9 i dataskyddsdirektivet. Denna artikel har genomförts i form av 7 § 2 stycket personuppgiftslagen som anger att många av lagens centrala bestämmelser inte ska tillämpas på sådan behandling av personuppgifter som görs uteslutande för bl.a. journalistiska ändamål. Rättsfallet NJA 2001 s. 409 rörde frågan om publicering av en webbsida med
kränkande eller nedvärderande personuppgifter eller omdömen kunde föranleda ansvar enligt personuppgiftslagen, eller om undantaget för journalistiska ändamål var tillämpligt. Högsta domstolen fann att detta undantag skulle tolkas i ljuset av Europakonventionens artiklar om skydd för privatlivet (artikel 8) samt rätten till åsiktsfrihet (artikel 10) och att undantaget för journalistiska ändamål får antas vara avsett att betona vikten av en fri informationsspridning i frågor av betydelse för allmänheten eller för grupper av människor och en fri debatt i samhällsfrågor. Domstolen ansåg att det inte var visat annat än att behandlingen av personuppgifter på den aktuella webbsidan utförts uteslutande för journalistiska ändamål.
I NJA 2001 s. 409 var det fråga om ansvaret för den som uttryckte uppgifterna eller omdömena. I Google Spain målet27 lyftes en annan central fråga, nämligen om en mellanhand i form av en sökmotorleverantör kan falla in under undantaget för journalistiska ändamål i samband med indexering och publicering personuppgifter för att kunna presentera sökresultat. Domstolen fann (punkt 85) att även om utgivaren av en webbsida utför en behandling uteslutande för journalistiska ändamål, är så inte fallet när det gäller den behandling som utförs av sökmotorleverantören.
Vi gör bedömningen att biblioteken i sin verksamhet intar en liknande roll som mellanhand, och därför inte för sin egen behandling av personuppgifter kan åberopa undantaget för journalistiska ändamål.
Akademiskt skapande
Forskningsbibliotekens digitalisering rör ofta vetenskapliga publikationer såsom avhandlingar. Därför väcks frågan om undantaget för akademiskt skapande kan vara tillämpligt på den personuppgiftsbehandling som aktualiseras vid digitaliseringen.
Vår bedömning är att syftet med det utrymme som lämnas i artikel 85 och de undantag som anges i förslaget till dataskyddslag endast är att möjliggöra sådana undantag som är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.28 Bibliotekens digitalisering och publicering av analogt material bidrar till kunskapsförmedling och fri åsiktsbildning, men
27 EU-domstolens dom C-131/12. 28SOU 2017:39 s. 101.
digitaliseringen är enligt vår bedömning inte nödvändig för yttrande- och informationsfriheten. Biblioteken måste därför tillämpa dataskyddsförordningen i sin helhet.
3.4. Tidigare utredningar om Kungliga bibliotekets verksamhet
KB:s verksamhet har under de senaste decennierna varit föremål för flera olika statliga utredningar. Dessa har framför allt fokuserat på KB:s roll som mottagare av pliktleveranser i ett kulturlandskap i förändring.29
I oktober 1996 gavs en utredare i uppdrag att göra en översyn av lagen (1993:1392) om pliktexemplar av dokument (pliktexemplarslagen), och framför allt överväga om sådan elektronisk information som inte omfattas av de nuvarande bestämmelserna i pliktexemplarslagen skulle komma att vara föremål för leveransplikt i framtiden. 30 Tekniska frågor om hur leveranserna ska gå till skulle även utredas.
Utredarens slutsatser presenterades i betänkandet E-plikt – att
säkra det elektroniska kulturarvet.31 Utredaren föreslog författnings-
ändringar för att möjliggöra att bl.a. KB skulle kunna samla in och bevara allmänt tillgängligt online-material. Med allmänt tillgängligt avsågs sådant material som i princip vem som helst har möjlighet att få tillgång till, även om sådan tillgång kräver lösenord eller avgift. En majoritet av remissinstanserna var positivt inställda till ett så omfattande bevarande som möjligt av vårt digitala kulturarv.32 Regeringen ansåg att det är viktigt att för eftervärlden och för forskningsändamål bevara och tillhandahålla yttringar av svenskt liv, svenskt samhälle och svensk kultur. E-pliktsutredningens förslag i fråga om elektroniskt material ledde emellertid inte till några författningsändringar, eftersom det ansågs nödvändigt att först ändra EGdirektivet om rättsligt skydd för datorprogram (91/250/EG) eftersom det material som skulle omfattas enligt förslaget skulle innehålla ett stort antal datorprogram.
29 Jfr kommittédirektiv Översyn av pliktexemplarslagen (dir. 1996:92) som utgår från en ”bakgrund av de snabba informationstekniska förändringarna avseende offentliggörande av dokument”. 30 Dir 1996:92. 31SOU 1998:111. 32 Regeringens proposition Forskning och förnyelse (prop. 2000/01:3),,s. 201 f.
I december 2002 beslutade regeringen att tillkalla en särskild utredare med uppgift att göra en översyn av KB, dess verksamhet och arbetsformer. 33 Utredningen presenterade sina slutsatser i betänkandet KB – ett nav i kunskapssamhället34 där utredaren föreslog insatser inriktade på bl.a. informationsförsörjningen till forskning och utbildning. Insatserna som föreslogs var bl.a. att KB skulle fortsätta att vara ”framtidens minne” genom att samla in allt som trycks – och även det som publiceras digitalt.
Betänkandet behandlades i 2005 års forskningspolitiska proposition Forskning för ett bättre liv,35 där regeringen instämde i att lagen (1993:1392) om pliktleverans av dokument bör ses över så att lagen omfattar även s.k. distansöverfört digitalt material. Definitionen av vilket material som ska omfattas, liksom upphovsrättsliga aspekter av materialets tillgängliggörande och eventuell inverkan på integritetskänsliga uppgifter, behövde dock enligt regeringen fortsatt beredning.
Parallellt gjordes även en översyn över Statens ljud- och bildarkivs (SLBA) verksamheter och arbetsformer. SLBA-utredningen presenterade i maj 2004 betänkandet Bevara ljud och rörlig bild. Insamling,
migrering – prioritering.36 SLBA:s verksamhet har som nämnts inord-
nats i KB sedan den 1 januari 2009.
I 2005 års forskningsproposition uttalade regeringen sin avsikt att återkomma om ändringar i pliktlagen. År 2009 gjordes en departementsutredning37 om en författningsreglerad skyldighet att leverera publicerat elektroniskt material som överförs via nätverk (e-plikt). Utredningen hade endast i uppdrag att bedöma definitioner rörande vad som bör ingå i en lagstadgad leveransskyldighet, inte att utreda förutsättningarna för ett eventuellt tillgängliggörande av det levererade materialet. Utredningen föreslog att visst material, framför allt ”färdiga” elektroniska dokument som tillgängliggjorts med skydd av yttrandefrihetsgrundlagen eller som publicerats yrkesmässigt, skulle omfattas av en leveransplikt. KB föreslogs vara mottagare av pliktleveranser, och även få föreskriftsrätt om hur leveranser skulle gå till m.m. Förslagen mynnade ut i lagen (2012:492) om pliktexemplar av elektroniskt material med tillhörande förordning (2012:866).38
33 Kommittédirektiv Översyn av Kungl. biblioteket, dess verksamhet och arbetsformer (Dir. 2002:156). 34SOU 2003:129. 35 Proposition 2004/05:80 s. 108 f. 36SOU 2004:53. 37Leveransplikt för elektroniska dokument (Ds 2009:61). 38 Regeringens proposition Leveransplikt för elektroniskt material (prop. 2011/12:21).
Biblioteksväsendet i allmänhet utreddes år 2012 med syfte att anpassa bibliotekslagen till de omvärldsförändringar som har skett sedan den dåvarande bibliotekslagen (1996:1596). Utredningen resulterade i att dagens bibliotekslag beslutades och trädde i kraft den 1 januari 2014. Utöver ett förtydligande att KB ingår i det allmänna biblioteksväsendet behandlade dock utredningen inte särskilt KB:s verksamhet.39
Sammanfattningsvis har endast delar av KB:s verksamhet, framför allt frågan om e-plikt, varit föremål för utredning under de senaste decennierna. Den s.k. KB-utredningen tog ett större grepp på myndighetens verksamhet, men dess förslag har inte resulterat i lagstiftning. Framför allt har frågorna om personuppgiftsbehandling i bibliotekets verksamhet inte genomlysts.
3.5. Kungliga bibliotekets internutredning om pliktverksamheten
I sitt regleringsbrev för 2017 fick KB uppdraget att genomföra en studie som övergripande skulle belysa dagens publicerings- och medielandskap med fokus på pliktbibliotekens möjligheter att samla in och tillgängliggöra relevanta publikationer. Studien ”Plikten under lupp!” lämnades över till regeringen den 26 september 2017.40 I studien förordas att regeringen återkommer i frågan om tillgängliggörande av det e-pliktinsamlade materialet, att pliktlagstiftningen förses med kompletterande insamlingsmetoder, samt att interimistiska åtgärder vidtas för att säkra den insamling som KB redan i dag förväntas göra.
39 Regeringens proposition Ny bibliotekslag (prop. 2012/13:147) s. 10. 40 http://www.kb.se/aktuellt/nyheter/2017/Pliktlagstiftningen-har-stora-brister-ochbehover-revideras/
3.6. Biblioteksverksamhet och arkivändamål av allmänt intresse
Utredningens bedömning: Dataskyddsförordningens särreglering
för arkivändamål av allmänt intresse är tillämplig på de delar av forskningsbibliotekens verksamhet som har sådana ändamål.
Bibliotekens syfte med verksamheten är enligt 2 § bibliotekslagen (2013:801) att verka för det demokratiska samhällets utveckling genom att bidra till kunskapsförmedling och fri åsiktsbildning. Vidare ska biblioteken enligt samma bestämmelse främja litteraturens ställning och intresset för bildning, upplysning, utbildning och forskning samt kulturell verksamhet i övrigt. Vad gäller KB särskilt anges i dess instruktion att myndigheten är nationalbibliotek och arkiv för ljud- och bilddokument och rörliga bilder.
Myndighetsarkivens syfte är enligt 3 § arkivlagen (1990:782) att tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, samt forskningens behov. Myndigheternas arkiv är en del av det nationella kulturarvet. Ändamålen med biblioteksväsendet är åtminstone delvis överlappande med arkivväsendets ändamål. Dataskyddsförordningen innehåller flera undantag för personuppgiftsbehandling för arkivändamål av allmänt intresse, ett begrepp som bör betraktas som ett unionsrättsligt begrepp.41
Vi kan inledningsvis konstatera att sådana handlingar som utgör en del av en myndighets bibliotek inte utgör allmänna handlingar (2 kap. 11 § 2 punkten tryckfrihetsförordningen). Vidare omfattar arkivlagens tillämpningsområde endast allmänna handlingar samt sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen (minnesanteckningar, utkast och liknande som tagits om hand för arkivering). Om en viss handling är en del av biblioteket kan den alltså inte samtidigt vara en del av arkivet, eftersom den inte då kan falla under arkivlagens tillämpningsområde. Det kan dock förekomma handlingar som faller inom arkivlagens tillämpningsområde inom en biblioteksmyndighets verksamhet, exempelvis inkomna eller expedierade brev som inte är en del av själva biblioteksbeståndet.
41 Jfr SOU 2017:39 s. 214.
Begreppet ”arkivändamål av allmänt intresse”, som är ett unionsrättsligt begrepp, är emellertid bredare än arkivlagens tillämpningsområde. Särskilt bör noteras att KB enligt sin instruktion är arkiv för ljud- och bilddokument och rörliga bilder – en uppgift som övergick från Statens ljud- och bildarkiv (SLBA) till KB i samband med att den myndigheten uppgick i KB:s verksamhet år 2009. Dessa ljud- och bilddokument och rörliga bilder betraktas av KB som en del av bibliotekets samlingar, och inte som allmänna handlingar i verksamheten. Den personuppgiftsbehandling som därmed förekommer kan enligt utredningens bedömning anses utföras för arkivändamål av allmänt intresse. Samma resonemang bör enligt vår bedömning kunna tillämpas för de delar av KB:s verksamhet som syftar till att bevara kulturarvet.
Relationen mellan de tre begreppen (biblioteksverksamhet, arkiv enligt arkivlagen, och arkivändamål av allmänt intresse) kan åskådliggöras enligt följande.
Figur 1: Gränsdragning mellan bibliotek och arkiv
Vår bedömning är alltså att dataskyddsförordningens särreglering för arkivändamål av allmänt intresse kan vara tillämplig på de delar av forskningsbibliotekens verksamhet som kan sägas ha just arkivändamål. Vid denna bedömning bör särskilt skäl 158 i förordningen beaktas. Enligt skäl 158 bör offentliga myndigheter som innehar uppgifter av allmänt intresse vara tillhandahållare som i enlighet med unionsrätten eller medlemsstaternas nationella rätt har en rättslig skyldighet att förvärva, bevara, bedöma, organisera, beskriva, kommunicera, främja, sprida och ge tillgång till uppgifter av bestående
värde för allmänintresset. En sådan rättslig skyldighet finns för framför allt KB med stöd av pliktlagstiftningen, vars verksamhet i denna del därför bör kunna betraktas som arkivändamål av allmänt intresse. Även högskolebiblioteken har en uppgift att tillhandahålla uppgifter av bestående värde för allmänintresset (jfr 2 § bibliotekslagen samt den i avsnitt 4.4 föreslagna fastställda uppgiften). Vad gäller privata forskningsbibliotek har Dataskyddsutredningen föreslagit att Riksarkivet ska få meddela föreskrifter samt i enskilda fall besluta angående huruvida enskilda organ ska få behandla personuppgifter för arkivändamål av allmänt intresse.42
3.7. Metodbeskrivning
I de följande kapitlen ska vi gå igenom de delar av forskningsbibliotekens verksamhet som innefattar personuppgiftsbehandling och redovisa vår bedömning av om dessa behandlingar är förenliga med dataskyddsförordningen. Vi har också i uppdrag att bedöma om det behövs några förändringar av nationell rätt för att göra behandlingarna lagliga, inom ramen för de möjligheter till kompletterande nationell rätt som förordningen ger. I det närmast följande beskriver vi den metod som vi använder i vår bedömning.
3.7.1. Beskrivning av verksamheten och den aktuella personuppgiftsbehandlingen
För varje personuppgiftsbehandling hos forskningsbiblioteken (kap. 4 och 5) vi har att bedöma kommer vi att inleda med att beskriva verksamheten. Därefter gör vi en bedömning av behov och laglighet av den personuppgiftsbehandling som förekommer inom verksamheten.
42SOU 2017:39 s. 217 f.
3.7.2. Att bedöma den rättsliga grunden
I nästa steg måste vi bedöma vilken rättslig grund enligt artikel 6 i dataskyddsförordningen som kan vara tillämplig på den aktuella behandlingen. Den personuppgiftsbehandling som är aktuell i bibliotekens verksamhet handlar i de allra flesta fall om personuppgifter som förekommer i biblioteksmaterial (böcker, tidningar, artiklar m.m.).
Enligt artikel 6.3 ska den rättsliga grunden för behandlingen enligt artikel 6.1 e fastställas i enlighet med unionsrätt eller nationell rätt. Ramarna för en sådan nationell kompletterande rätt ges i artikel 6.2. Personuppgiftsbehandlingen måste dessutom vara nödvändig för att kunna utföra den fastställda arbetsuppgiften. Den nationella regleringen ska uppfylla ett mål av allmänt intresse, och vara proportionerlig mot det legitima mål som eftersträvas. Utöver detta följer av skäl 41 att en sådan rättslig grund eller lagstiftningsåtgärd bör vara tydlig och precis och dess tillämpning förutsägbar för personer som omfattas av den.
När vi på detta vis har identifierat vilken personuppgiftsbehandling, rättslig grund och fastställd arbetsuppgift som det kan vara aktuellt att ta ställning till, måste vi bedöma om kraven i artikel 6 är uppfyllda. Vi måste bedöma om uppgiften av allmänt intresse är tillräckligt tydligt fastställd och om regleringen är förutsägbar för den registrerade (den vars uppgifter förekommer i biblioteksmaterialet).
3.7.3. Känsliga personuppgifter
När vi på detta sätt kommit fram till vilken rättslig grund som är möjlig för behandlingen, samt eventuella behov av kompletterande nationell rätt, finns ytterligare frågor att ta ställning till. Vi behöver t.ex. bedöma om den aktuella behandlingen omfattar känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. Om så är fallet, måste vi ta ställning till om något av undantagen mot förbudet att behandla känsliga personuppgifter kan vara tillämpligt enligt artikel 9.2.
I de allra flesta typer av biblioteksmaterial kan det förekomma känsliga personuppgifter. I regel kommer det därför bli nödvändigt att kunna hänvisa till ett tillämpligt undantag för att behandlingen ska vara tillåten. De undantag som enligt vår bedömning kan komma i fråga, är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g), eller av hänsyn till ett arkivändamål av
allmänt intresse (artikel 9.2 j). Det är därför nödvändigt att bedöma om kraven i artikel 9.2 g eller 9.2 j är uppfyllda. Kraven innefattar förutom de beskrivna ändamålen att det finns stöd för undantagen i unionsrätten eller nationell rätt. Denna reglering ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda skyddsåtgärder. Slutsatsen av denna bedömning kan vara att den nationella regleringen saknas eller inte uppfyller samtliga krav, främst kravet på lämpliga och särskilda skyddsåtgärder, och därför föranleder behov av kompletterande nationella regler.
I de fall vi bedömer att behandlingen är nödvändig av hänsyn till ett arkivändamål av allmänt intresse aktualiseras för den personuppgiftsansvarige även artikel 89.1, som ålägger den personuppgiftsansvarige att se till att behandlingen omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Den personuppgiftsansvarige ges alltså i dessa fall ansvaret för att i det enskilda fallet se till att lämpliga skyddsåtgärder tillämpas.
3.7.4. Grundläggande principer för behandling
När artikel 6 och 9 är hanterade har vi i vår framställning kommit fram till att det kan vara tillåtet att behandla personuppgifterna. All personuppgiftsbehandling måste dock uppfylla de grundläggande principerna som framgår av artikel 5. I den mån behandlingen i en viss del av verksamheten riskerar att strida mot dessa dataskyddsprinciper behöver därför de enskilda principerna tillämpas på behandlingen för att på så sätt ställa relevanta krav på hur denna ska gå till. Som utgångspunkt anser vi att bibliotekens personuppgiftsbehandling, sett till ändamålet att utföra uppgifter av allmänt intresse, inte riskerar att strida mot dessa principer. I de fall där det ändå finns anledning att analysera en eller flera av de grundläggande principerna går vi in på det efter bedömningen om känsliga personuppgifter och uppgifter om lagöverträdelser m.m. behöver särregleras eller inte.
3.7.5. Den registrerades rättigheter
Utöver de krav på behandlingen som framgår av artiklarna 6 och 9 i dataskyddsförordningen, som vi har behandlat ovan, ställer även den registrerades rättigheter i kapitel III (framför allt artikel 12-21) krav på den personuppgiftsansvarige. Denne ska exempelvis ge den registrerade rätt till tillgång (vanligen benämnt registerutdrag), rätt till rättelse eller rätt att göra invändningar mot behandlingen. Flera av dessa rättigheter kan vara svåra eller omöjliga att efterleva inom biblioteksverksamhet när det rör uppgifter som förekommer i biblioteksmaterial. Det kan därför bli nödvändigt att ta ställning till i vilken utsträckning bestämmelserna om den registrerades rättigheter ska vara tillämpliga i en viss delverksamhet, vilket utrymme för undantag som eventuellt finns samt vilket utrymme för undantag som kan finnas med stöd av artiklarna 23 eller 89.3, samt vilken kompletterande nationell författningsreglering som utifrån detta kan behövas. Ställningstaganden och förslag i denna del återfinns i kapitel 4, vari vi gör en sammantagen bedömning över de registrerades rättigheter.
4 Personuppgiftsbehandling i forskningsbibliotekens verksamhet
4.1.1. Utgångspunkter
Vårt uppdrag i denna del är att analysera och föreslå vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i forskningsbibliotekens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas. I detta arbete ska vi beakta de förslag till dataskyddslag och tillhörande lagstiftning som lämnats av Dataskyddsutredningen.43 Definitionen av forskningsbibliotek beskrivs närmare i avsnitt 4.2.
En utgångspunkt är att forskningsbiblioteken, precis som alla andra personuppgiftsansvariga, måste ordna sin verksamhet så att den är förenlig med dataskyddsförordningen och den av Dataskyddsutredningen föreslagna dataskyddslagen. Det kan dock finnas sådana undantagssituationer där en del av forskningsbibliotekens verksamhet inte lagligen kan utföras inom de rättsliga förutsättningar som dataskyddsförordningen och den föreslagna dataskyddslagen ger. Endast i dessa fall, och bara i den utsträckning som dataskyddsförordningen medger, kan det vara aktuellt med sektorsspecifik nationell lagstiftning för att möjliggöra behandlingen.
43SOU 2017:39.
4.1.2. Avgränsningar
Utifrån utgångspunkterna ovan behöver ytterligare avgränsningar göras. En första avgränsning gäller de typer av personuppgiftsbehandlingar som förekommer inom ett forskningsbiblioteks verksamheter.
Forskningsbibliotek behandlar även personuppgifter som inte är specifikt biblioteksanknutna. Exempel på sådana behandlingar är för administrationen av själva verksamheten; det kan exempelvis röra sig om system för diarieföring, personaladministration och upphandlingsstöd. Vi utreder inte sådana typer av personuppgiftsbehandlingar i denna promemoria, utan koncentrerar framställningen till sådan behandling som följer av bibliotekens specifika uppdrag.
Figur 2: Typer av behandlingar
I ovanstående figur är sådana personuppgiftsbehandlingar som helt hamnar utanför utredningens uppdrag markerade i rött (till vänster). Sådana behandlingar som utförs inom forskningsbiblioteken allmänt är markerade i grönt (i mitten), och sådana som endast görs i KB:s verksamhet är markerade i blått (längst ner till höger).
Vi måste även göra en avgränsning av vilka typer av bibliotek som omfattas av utredningens uppdrag.44 I följande avsnitt gör vi därför en genomgång av olika definitioner av forskningsbibliotek för att komma fram till en lämplig avgränsning.
Begreppet forskningsbibliotek återfinns inte i bibliotekslagen. I den lagen används i stället det snävare begreppet högskolebibliotek. Deras uppgift är enligt 12 § bibliotekslagen att svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid universitet eller högskolor, och tillgång till dessa bibliotek ska finnas vid alla universitet och högskolor som omfattas av högskolelagen (1992:1434).
De forskningsbibliotek som är offentligt finansierade högskolebibliotek regleras således i lag och ingår enligt 2 § bibliotekslagen i det allmänna biblioteksväsendet. Sådana högskolebiblioteks verksamhet regleras även delvis i högskoleförordningen (1993:100), där det av 2 kap. 16 § framgår att ett högskolebibliotek avgiftsfritt ska ställa litteratur ur de egna samlingarna till andra högskolebiblioteks förfogande.
Bestämmelsen om högskolebibliotek infördes i den tidigare bibliotekslagen (1996:1596). Innan detta fanns bestämmelser om högskolebibliotek enbart i högskoleförordningen. Bestämmelsen fördes in i den tidigare bibliotekslagen för systematikens skull och ändrades endast redaktionellt. I samband med införandet av dagens bibliotekslag ändrades lydelsen på så sätt att det tydliggörs vem som omfattas av kravet på att ge tillgång till ett högskolebibliotek, vilka alltså endast är de universitet och högskolor som omfattas av högskolelagen.45
Bibliotekslagen är avsedd att tillämpas på biblioteksverksamhet som har en offentlig huvudman och som till övervägande del finansieras med anslag från det allmänna. Biblioteksverksamhet med en
44 En uttömmande uppräkning av vilka bibliotek som finns i det allmänna biblioteksväsendet finns i 1 § bibliotekslagen. 45Prop. 2012/13:147 s. 36.
privat huvudman som endast får en begränsad del av sin finansiering genom bidrag från det allmänna faller därmed utanför lagens tillämpningsområde.
Exempel på de bibliotekstyper som ryms inom ”övriga offentligt finansierade bibliotek” är bland annat KB, myndighetsbibliotek, sjukhusbibliotek, depåbibliotek, folkhögskolebibliotek och olika specialbibliotek. Såväl högskolebibliotek som specialbibliotek, vilka närmare beskrivs i följande avsnitt, omfattas således av bibliotekslagen. Lagen reglerar dock inte verksamheten närmare och således heller inte den personuppgiftsbehandling som biblioteken utför.46
Kungliga biblioteket (KB) ska enligt 2 § sin instruktion (2008:1421) svara för frågor om samverkan mellan forskningsbibliotek när det gäller digitalisering och digitalt tillgängliggörande, och analysera utvecklingen inom forskningsbiblioteken i landet. Vidare framgår av 1 § 3 punkten i instruktionen att KB ska vara en resurs för forskning i rollen som humanistisk och samhällsvetenskapligt forskningsbibliotek samt främja forskningens kvalitet genom att tillhandahålla en effektiv forskningsinfrastruktur.
Av KB:s hemsida framgår att med forskningsbibliotek avses universitets- och högskolebiblioteken samt specialbiblioteken. Följande information avseende specialbibliotek finns på KB:s hemsida:
Specialbiblioteken är en del av landets forskningsbibliotek och de har uppgifter av vitt skilda slag. Många gånger har de ett uppdrag att tillhandahålla och bevara alla medier inom sitt specialområde. Specialbiblioteken är ofta knutna till myndigheter, arkiv eller museer. Det finns ett 50-tal specialbibliotek i Sverige. De specialbibliotek som är offentligt finansierade, har minst 20 timmars bemanning per vecka och är tillgängliga för allmänheten ingår i Sveriges officiella biblioteksstatistik. KB vill öka kunskapen om specialbiblioteken och belysa aktuella frågor med anknytning till specialbiblioteken. Uppdraget är en del i KB:s uppgift att analysera forskningsbibliotekens utveckling i landet .47
Högskolebiblioteken har ofta staten som huvudman men att det förekommer också att de drivs av stiftelser. I landet finns, enligt KB, 39 universitets- och högskolebibliotek och ett 50-tal specialbibliotek.
46 A.a. s. 9 f. 47 Se http://www.kb.se/bibliotek/Bibliotek/Specialbibliotek/
KB utgör också ett humanistiskt och samhällsvetenskapligt forskningsbibliotek enligt 1 § 3 punkten sin instruktion (2008:1421).
I utredningens direktiv anges som exempel på verksamhet som kan innefatta personuppgiftsbehandling vid forskningsbiblioteken bland annat hantering av uppgifter om låntagare, digitalisering av analoga samlingar och publicering av dessa på internet, tillhandahållande av möjligheter att söka efter information i databaser, utgivning av publikationer, sköta lärosätenas lokala publikationsdatabaser, hantera identifikatorer för publikationer och forskare samt s.k. text- och datautvinning. 48 Flera av dessa verksamheter är sannolikt aktuella vid de flesta forskningsbibliotek, medan andra troligen främst förekommer vid högskolebiblioteken eftersom de har en anknytning till lärosätets verksamhet.
Enligt dataskyddsförordningen behöver den rättsliga grunden allmänt intresse vara fastställd i nationell rätt. För behandling av t.ex. känsliga personuppgifter krävs särskilt författningsstöd. Att det ska finnas tillgång till högskolebibliotek vid alla universitet och högskolor som omfattas av högskolelagen stadgas i bibliotekslagen, liksom ändamålet med verksamheten och ansvaret för den. Enligt utredningens bedömning kan personuppgiftsbehandlingen i verksamheten generellt anses vara av allmänt intresse, se avsnitt 4.5.2.
Övriga offentliga forskningsbibliotek omfattas av bibliotekslagen, men det finns inget krav på att sådana bibliotek ska finnas. Dessa har enligt bibliotekslagen samma ändamål med sin verksamhet.
Med privat högskolebibliotek avses ett bibliotek som är knutet till ett privat universitet eller en privat högskola, som svarar för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid universitetet eller högskolan.
Privata forskningsbibliotek är inte särskilt författningsreglerade. Det saknas därmed i dag ett tydligt och uttryckligt rättsligt stöd för att verksamheten utgör ett allmänt intresse.
48 Dir. 2017:87.
4.2.4. Avgränsning
Utredningens förslag: Med forskningsbibliotek avses Kungliga
biblioteket, sådana högskolebiblioteken som avses i 12 § bibliotekslagen och de privatfinansierade högskolebiblioteken.
De olika typerna av bibliotek som ryms inom och utanför begreppet ”forskningsbibliotek” kan åskådliggöras enligt följande:
Figur 3: Typer av bibliotek
Utifrån de exempel som ges i utredningens tilläggsdirektiv (dir. 2017:87) har vi tolkat forskningsbibliotek såsom omfattandes KB, högskolebiblioteken samt bibliotek vid privatfinansierade universitet och högskolor (markerade med grönt i ovanstående figur, uppe till höger). Vi behandlar därför inte specialbiblioteken eller enskilda forskningsinstituts (forskningscentras) bibliotek (markerade med blått i ovanstående figur), även om sådan verksamhet kan rymmas innanför vissa tolkningar av begreppet forskningsbibliotek.
Flera av de personuppgiftsbehandlingar som avhandlas i det nedanstående är troligen lika aktuella för sådana bibliotek som faller utanför den avgränsning som vi funnit skäl att göra. De bedömningar vi gör
angående stöd för behandlingarna i gällande rätt samt i dataskyddsförordningen torde också vara relevanta för dessa bibliotek.
Utredningens bedömning: De personuppgifter som forsknings-
biblioteken hanterar i löpande text och i de låntagarregister som förs, utgör inte en behandling av personuppgifter som innebär ett betydande intrång i den enskildes integritet. Regleringen av personuppgiftsbehandlingen kan därför göras i förordningsform.
I detta avsnitt behandlar vi frågan om forskningsbibliotekens personuppgiftsbehandlingar ska regleras i lag eller förordning. Vi måste därför göra en bedömning om de förslag som vi lämnar gällande forskningsbibliotekens personuppgiftsbehandling innebär något betydande integritetsintrång för den enskilde.
Av 2 kap. 6 § andra stycket regeringsformen (RF) framgår att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Sådana åtgärder får endast begränsas genom lag i den utsträckning det är tillåtet enligt de allmänna förutsättningarna för begränsning av fri- och rättigheter som anges i 2 kap. 21 § RF. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har.
Vid bedömning av vilka åtgärder som kan anses utgöra ett ”betydande intrång” ska både åtgärdens omfattning och arten av det intrång åtgärden innebär beaktas.49Med andra ord innebär detta att åtgärder som är av sådant slag som anges i 2 kap. 6 § andra stycket RF bara får vidtas om det finns lagstöd för detta (jfr 2 kap. 20–22 §§ RF).
49 Regeringens proposition En reformerad grundlag ( prop. 2009/10:80) s. 171 ff.
Den bedömning som här måste göras är om den personuppgiftsbehandling som utförs inom forskningsbiblioteken är av sådan karaktär att den kan anses utgöra sådant intrång i den personliga integriteten som avses i enligt 2 kap. 6 § RF.
De personuppgifter som forskningsbiblioteken behandlar återfinns i olika typer av informationssamlingar. Ibland kan personuppgiftsbehandlingarna i dessa informationssamlingar omfatta integritetskänsliga personuppgifter om enskilda, beroende på hur en sammanställning ser ut när den är färdig. De personuppgifter som forskningsbiblioteken behandlar förkommer dock oftast i löpande text och inte i något myndighetsregister, med undantag för de låneregister som biblioteken för. De personuppgifter som kan förekomma om individer i löpande text är oftast allmänt kända sedan tidigare. Resultaten av sökningar i bibliotekens uppgiftssamlingar är inte heller av den beskaffenheten att de kan samköras med andra uppgiftssamlingar, exempelvis andra myndigheters register.
I tidigare lagstiftningsärenden har det bedömts att när det handlar om myndighetsregister med särskilt känsligt innehåll och ett stort antal registrerade, ska registret regleras i lag. Vidare har det i förarbeten bedömts att en reglering i en s.k. registerförfattning50 inte är nödvändig i de fall där personuppgifter behandlas för strikt avgränsande ändamål i ett register.51 Av utredningens kartläggning framkommer det att forskningsbiblioteken inte för några myndighetsregister vari det registreras känsliga personuppgifter om enskilda. De personuppgiftsbehandlingar som förekommer, utförs antingen för arkivändamål eller för forskningsändamål, och består huvudsakligen av lagring och tillgängliggörande av uppgifter som förekommer i löpande text i utgivet material. Utredningen gör bedömningen att det i bibliotekens verksamhet inte förekommer några sådana betydande intrång i den personliga integriteten, vilka innebär kartläggning eller övervakning, som avses i 2 kap. 6 § RF. Detta gäller även när behandlingen rör mer strukturerade uppgifter, som låntagaruppgifter (avsnitt 4.4) eller vid text- och datautvinning (avsnitt 4.10) , sett utifrån vilken effekt denna behandling får för den enskilde.52
50 Registerförfattningar är kompletterande lagstiftning till personuppgiftslagen. 51 Se t.ex. Regeringens propositioner Personuppgiftslag (prop. 1997/98:44) s. 41, Registrering av
fastighetsrättsliga förhållanden, m.m. (prop. 1999/2000:39) s.78 samt om offentlighet, integritet och ADB (prop. 1990/91:60) s. 57 f.
Mot bakgrund av ovanstående finner vi därför att regleringar som innebär ändringar i redan befintliga förordningar görs på en godtagbar normgivningsnivå. Vi föreslår också att bestämmelser om personuppgiftsbehandling i forskningsbibliotekens verksamhet kan och ska regleras i en ny förordning.
I dataskyddsutredningens förslag till dataskyddslag (SOU 2017:39) finns förslag om bemyndiganden för regeringen att meddela föreskrifter. Regeringen ska enligt förslaget få meddela föreskrifter dels om att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse (3 kap. 6 § förslaget till dataskyddslag) dels om ytterligare undantag från förbudet att behandla känsliga personuppgifter, ifall det behövs med hänsyn till ett viktigt allmänt intresse (8 § samma kapitel). Vår bedömning är att även dessa förslag på bemyndiganden talar för att regleringen kan göras i förordningsform.
Utredningens förslag: En ny förordning som reglerar person-
uppgifts-behandling i forskningsbibliotekens verksamhet ska införas.
Förordningens tillämpningsområde ska omfatta Kungliga biblioteket, sådana högskolebibliotek som omfattas av 12 § bibliotekslagen, och privat finansierade högskolebibliotek. Förordningen ska komplettera dataskyddsförordningen. Om det i dataskyddslagen finns bestämmelser som avviker från den föreslagna förordningen, ska förordningens bestämmelser gälla.
I följande avsnitt konstaterar vi att det finns viss personuppgiftsbehandling inom forskningsbibliotekens verksamhet som i dagsläget inte är fullt förenlig med dataskyddsförordningen. Det finns i vissa fall bestämmelser i nationell rätt som kan utgöra en rättslig grund för behandlingen, men vi gör i de följande avsnitten bedömningen att den befintliga nationella regleringen inte fullt ut motsvarar förordningens krav.
Det finns därför behov av kompletterande författning. I föregående avsnitt har vi gjort bedömningen att denna kan göras i förordningsform. Det är dock inte självklart i vilken förordning som regleringen ska införas.
I avsnitt 4.2.4 har vi bedömt hur ”forskningsbibliotek” i utredningens uppdrag bör avgränsas. Tillämpningsområdet för den tänkta regleringen omfattar alltså KB (i sin roll som forskningsbibliotek), sådana högskolebibliotek som avses i 12 § bibliotekslagen och privat finansierade högskolebibliotek. Med privat högskolebibliotek avses ett bibliotek som är knutet till ett privat universitet eller en privat högskola, som svarar för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid universitetet eller högskolan. Eftersom det inte finns någon befintlig författning med ett sådant specialiserat tillämpningsområde anser vi det vara ändamålsenligt att införa en ny författning.
Vi föreslår för tydlighets skull att det av denna nya förordning ska framgå att den kompletterar dataskyddsförordningen. Däremot ska den gälla i stället för den föreslagna dataskyddslagen i den mån den avviker från den nya förordningen. I den mån det finns specialreglering i form av lag eller förordning som rör en mer specifik personuppgiftsbehandling hos ett eller fler bibliotek inom förordningens tillämpningsområde följer av principen om lex specialis att en sådan författning har företräde framför den nya förordningen.
Syftet med förordningen är inte att fullständigt reglera biblioteken inom dess tillämpningsområde, utan bara innehålla kompletterande reglering som ska göra personuppgiftsbehandlingen möjlig hos forskningsbiblioteken. Vi föreslår att detta begränsade syfte med förordningen framgår av dess titel: förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.
Utredningens bedömning: Såväl offentliga som privata högskole-
bibliotek utför uppgifter av allmänt intresse.
Det är inte givet att privata högskolebibliotek kan författningsregleras av lagstiftaren. I stället kan det vara tillåtet för de privata högskolebiblioteken att behandla personuppgifter efter en intresseavvägning enligt artikel 6 f. Det krävs då att behandlingen är nödvändig för berättigade intressen och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre. Det är dock inte tillåtet att
behandla känsliga personuppgifter med stöd av en intresseavvägning. Något av undantagen i artikel 9.2 måste vara tillämpligt för att en sådan behandling ska vara tillåten. Undantagen i artikel 9.2 är inte tillämpliga för de privata högskolebibliotekens verksamhet, om de inte kan anses utföra en uppgift av allmänt intresse. Konsekvensen av att tillämpa intresseavvägning som en rättslig grund för behandlingen blir i så fall att de privata högskolebiblioteken inte kan utföra laglig behandling av känsliga personuppgifter.
De privata högskolebiblioteken, som t.ex. Chalmers tekniska högskola och Stiftelsen Högskolan i Jönköping utför uppgifter i sin verksamhet som i allt väsentligt liknar den verksamhet som utförs vid de offentligt finansierade högskolebiblioteken. De privata högskolorna har liksom de offentliga tillstånd att utfärda examina. Detta framgår av lagen (1993:792) om tillstånd att utfärda vissa examina. Av den lagen framgår det att deras utbildning ska bedrivas så att den uppfyller kraven som ställs i högskolelagens första kapitel. I övrigt gäller inte högskolelagen för dessa aktörer. För varje examen som tillståndet gäller ska utbildningen dessutom uppfylla de särskilda krav som gäller enligt examensordningen som är en bilaga till högskoleförordningen. Övriga delar av högskoleförordningen gäller dock inte för privata utbildningsanordnare. Av första kapitlet i högskolelagen framgår det att högskolorna ska verka för att utbildning och forskning håller god kvalitet samt att man ska verka för att de forskningsresultat som är tillkomna vid högskolan kommer till nytta. Vidare gäller offentlighetsprincipen även för Chalmers tekniska högskola och Stiftelsen Högskolan i Jönköping samt, i begränsad omfattning, Handelshögskolan i Stockholm.53 För de studenter och forskare som är verksamma vid en högskola är det i praktiken ingen formell skillnad mellan att vara verksam vid en offentlig eller privat finansierad högskola. Det är heller ingen skillnad mellan de uppdrag som forskningsbiblioteken har på dessa högskolor. Vår bedömning är därför att såväl offentliga som privata högskolebibliotek utför uppgifter av allmänt intresse.
53 Bilagan till offentlighets- och sekretesslagen (2009:400), proposition 1996/96:142 s. 15 ff Handlingsoffentlighet vid vissa stiftelser.
4.4.1. Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar
Den mest traditionella biblioteksverksamheten, även hos forskningsbibliotek, kan antas vara utlåning av böcker och annat textmaterial i fysisk form. För att kunna erbjuda lån behöver bibliotek i allmänhet kontaktuppgifter till låntagaren, normalt namn, adress och i vissa fall personnummer. Dessa uppgifter inhämtas vanligen i samband med utfärdande av lånekort eller liknande.
Utöver dessa direkta personuppgifter kräver bibliotekens verksamhet även att de behandlar indirekta personuppgifter i form av uppgifter om vilka böcker eller annat material som en viss låntagare har lånat, beställt eller reserverat.
För att få lånekort hos KB krävs att den enskilde ingår ett låntagaravtal med biblioteket. I avtalet anges särskilt att KB behandlar namn, adressuppgifter och personnummer. För att låna material från Stockholms universitetsbibliotek samtycker i stället den enskilde låntagaren till personuppgiftsbehandlingen. Oavsett den exakta formen för personuppgiftsbehandlingens precisering ligger det inom bibliotekens ansvar och möjligheter att anordna verksamheten så att behandlingen blir tillåten.
Sådana enskilda uppgifter om en låntagares lån eller beställningar har tidigare i normalfallet inte betraktats som särskilt integritetskänsliga. I och med övergången till datoriserade utlåningssystem följde dock större möjligheter till kartläggning av enskildas läsvanor, vilket kan utgöra ett hot mot den personliga integriteten.54 Detta resulterade i att sekretess gäller i biblioteksverksamhet för uppgift i register om en enskilds lån, reservation eller annan form av beställning, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon närstående till denne lider men (nuvarande 40 kap 3 § offentlighets- och sekretesslagen [2009:400]). Uppgifterna är däremot inte känsliga i dataskyddsförordningens mening.
Uppgifterna får enligt de grundläggande principerna inte behandlas under längre tid än som behövs för ändamålet. och kan därför
54 Konstitutionsutskottets betänkande Sekretesskydd för uppgifter i bibliotekens låntagarregister (bet. 1988/89:KU38), s. 6 och 11.
raderas eller anonymiseras när de inte längre behövs för bibliotekets verksamhet, dvs. när det lånade materialet är tillbakalämnat.
Regeringen har lagt en proposition55 om att utöka sekretessen till att även omfatta uppgifter om enskilds användning av informationsteknik såsom besökares användning av databaser, surfvanor m.m. I propositionen finns bakgrund kring den föreslagna nya sekretessregeln och de intressen som ligger bakom denna. Lagändringen föreslås träda i kraft den 1 januari 2018.
Loggning och annan behandling av uppgifter om användning
Bibliotekens digitala miljöer används bl.a. för att tillhandahålla tjänster över nätverk till bibliotekets användare, både sådana tjänster som biblioteket själv ansvarar för (som egna katalogtjänster och publikationsdatabaser) och externa tjänster som man förmedlar tillgång till (som databaser och elektroniska tidskrifter). I båda dessa fall finns ett behov att logga information om användning av tjänsterna för att bl.a. kunna stävja missbruk. Denna typ av loggning kan ses som en del av sådana säkerhetsåtgärder som den personuppgiftsansvarige är skyldig att vidta enligt artikel 32 i dataskyddsförordningen. I den mån loggning även innebär personuppgiftsbehandling måste dock även denna behandling vara tillåten.
Sekundära ändamål
Det förekommer att biblioteken har behov av att använda sig av utlåningsuppgifter och andra uppgifter om användning av bibliotekets tjänster för att bl.a. ta fram statistik och underlag för verksamhetsutveckling.
Det finns vid sådan behandling normalt inte anledning att även bevara och i övrigt behandla uppgifter om enskilda biblioteksanvändares identitet.
55 Regeringens proposition Några frågor om offentlighet och sekretess (prop. 2016/17:208), s. 78 ff.
4.4.2. Rättslig grund för behandlingen
Tillämplig rättslig grund
Utredningens bedömning: Behandling av låntagaruppgifter kan
utföras med stöd av samtycke i artikel 6.1 a eller avtal i artikel 6.1 b.
Av 9 § bibliotekslagen framgår att allmänheten på folkbiblioteken ska avgiftsfritt få låna eller på annat sätt få tillgång till litteratur. Denna fastställda uppgift utgör rättslig grund för folkbiblioteken att utföra nödvändig personuppgiftsbehandling för att utföra denna uppgift, exempelvis att föra ett register över låntagare och dess lån.56 Någon motsvarande uppgift framgår inte för högskolebiblioteken eller KB. För högskolebiblioteken finns endast den generella uppgiften att enligt 12 § bibliotekslagen svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid universitetet eller högskolan. Någon sådan reglering för de privata högskolebiblioteken finns inte heller. Vi gör bedömningen att denna uppgift inte med tillräcklig tydlighet gör det nödvändigt att behandla personuppgifter om låntagare och deras lån. Det kan därför inte vara fråga om nödvändig behandling för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt artikel 6.1 e. Personuppgiftsbehandlingen kan i stället göras med stöd av antingen samtycke enligt artikel 6.1 a eller med stöd av avtal med den registrerade enligt artikel 6.1 b. Vi bedömer att ett sådant samtycke kan ges frivilligt eftersom den enskilde, även i de fall denne är student vid lärosätet, kan välja att inte nyttja bibliotekets låneverksamhet. Det föreligger därför inte en betydande ojämlikhet mellan den enskilde och biblioteket (jfr skäl 43 i dataskyddsförordningen)
4.5. Digitalisering av analoga samlingar och publicering av dessa på internet
4.5.1. Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar
I forskningsbibliotekens samlingar förekommer material som man av olika anledningar strävar efter att digitalisera, i första hand för att kunna tillgängliggöra detta på internet. Det kan vara fråga om äldre historiskt material som annars bara kan läsas på plats eftersom det är för känsligt för fjärrlån (i vissa fall, särskilt i KB:s samlingar, är visst material inte tillgängligt för visning överhuvudtaget).57 Bibliotek har även en generell upphovsrättslig möjlighet att med stöd av 16 § 1 p. upphovsrättslagen (1960:729) framställa ytterligare exemplar (även i digital form) för bevarandeändamål, kompletteringsändamål eller forskningsändamål, s.k. bevarandedigitalisering. Detta gäller framför allt tidningar, men även äldre TV- och radioprogram digitaliseras. Det kan också vara fråga om digitalisering av material som man från bibliotekens sida önskar sprida i större utsträckning än vad som är möjligt med traditionellt tillhandahållande från bibliotekets lokaler. Detta kan exempelvis vara fallet med KB:s digitalisering av kartor och bilder.
Att digitalisera analogt material väcker som redan framkommit såväl upphovsrättsliga som dataskyddsrättsliga frågor. Eftersom vårt uppdrag inte omfattar upphovsrättsfrågor kommer vi inte att behandlas dessa.58
I historiskt material saknas ofta personuppgifter om nu levande personer. Arbetet med att digitalisera sådant material är därför oproblematiskt ur ett dataskyddsperspektiv eftersom förordningen inte gäller behandling av personuppgifter rörande avlidna personer (skäl 27). I nyare material förekommer dock personuppgifter om levande personer. Det kan handla om uppgifter om verkens författare, redaktörer eller andra sammanställare och om uppgifter om personer
57 Exempelvis den s.k. Djävulsbibeln (Codex Gigas), som är tillgänglig i högupplöst format på http://www.kb.se/codex-gigas/ 58 För ett exempel på dessa frågeställningar, se Stockholms universitetsbiblioteks projekt med att digitalisera samtliga doktorsavhandlingar från Stockholms högskola (1906-1960), samt avhandlingar publicerade i ACTA-serier från Stockholms universitet, http://www.su.se/forskning/avhandlingarpublikationer/digitaliseringsprojektet-vid-stockholms-universitetsbibliotek-1.155906 samt JK:s beslut i ärende 7402-13-40.
i verkens innehåll. I innehållet kan förekomma känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.
I en digitaliseringsverksamhet kan det vara svårt att avgöra var en personuppgiftsbehandling slutar och nästa börjar. I de flesta fall torde det dock gå att särskilja åtminstone fyra separata former av personuppgiftsbehandlingar.
1. När de analoga exemplaren överförs till digital form (skannas). Resultatet av denna process är en uppsättning digitala filer som avbildar utseendet på de enskilda sidorna i de analoga materialen.
2. När de avbildade sidorna behandlas med ett textigenkänningsprogram (OCR) för att göra texten på sidorna maskinläsbar. Denna process kan ofta generera fel i materialet i form av bokstäver och ord som inte känns igen korrekt. Illustrationer och andra bilder behandlas vanligen inte i denna process.
3. När metadata om verken i sin digitala form tillförs. Dessa metadata kan ofta utgå från befintliga bibliotekskataloguppgifter, men överförs till verket i sin digitala form genom att bl.a. filerna namnges på ett konsekvent sätt utifrån verkets titel eller andra egenskaper, att maskinläsbar metadata bäddas in i filerna, m.m.
4. När verken i sin digitala form tillgängliggörs för bibliotekets besökare i terminaler på plats på biblioteket eller över internet via olika publikationsdatabaser.
Särskilt om Kungliga bibliotekets digitaliseringsarbete
KB ska enligt sin instruktion svara för frågor om samverkan mellan forskningsbibliotek när det gäller digitalisering och digitalt tillgängliggörande samt verka för utveckling och samordning av digitala tjänster och system inom biblioteksväsendet. Inom området digitalisering samverkar KB med andra bibliotek via expertgruppen för digitalisering. Myndigheten är representerad i styrgruppen för Samordningssekretariatet för digitalisering, digitalt bevarande och digital förmedling (Digisam) vid Riksantikvarieämbetet och ska där särskilt svara för samordningen inom bibliotekssektorn. KB deltar även på
olika sätt i det europeiska arbetet med digitalisering, bland annat inom Europeana och The European Library.59
Särskilt om digitalisering i form av offentlig-privat samverkan
Viss digitalisering av de analoga samlingarna görs inom ramen för en offentlig-privat samverkan. Exempelvis har KB samarbetat kring digitalisering av tidningar. Inom ramen för EU:s digitala agenda har sådan offentlig-privat samverkan kring digitalisering av kulturarv särskilt lyfts fram som något som bör uppmuntras.60
Frågan om offentlig-privat samverkan förändrar dock inte bibliotekens personuppgiftsansvar i samband med frågor om digitalisering av analoga samlingar. Sådan digitalisering får fortfarande bedömas precis som annan digitalisering enligt nedanstående resonemang om tillämplig rättslig grund för den personuppgiftsbehandling som blir följden, undantag för behandling av känsliga personuppgifter, m.m.
4.5.2. Rättslig grund
Tillämplig rättslig grund
Forskningsbibliotekens analoga samlingar faller utanför dataskyddsförordningens tillämpningsområde. Den behandling av personuppgifter som en digitalisering av sådant materialet innefattar leder dock till att verksamheten hamnar inom dataskyddsförordningens regelverk. I den mån det digitaliserade materialet innehåller uppgifter som kan hänföras till en fysisk person som är i livet blir därmed den första frågan vilken rättslig grund som är möjlig att tillämpa för att behandlingen ska vara tillåten.
Eftersom behandlingen generellt rör fysiska personer som inte har någon närmare kontakt med biblioteken i fråga, kan enligt vår bedömning samtycke enligt artikel 6.1 a knappast vara praktiskt möjligt för biblioteken att tillämpa som rättslig grund. De personuppgifter som återfinns i biblioteksmaterialet ger inte biblioteken möjligheten att unikt identifiera varje person eller dennes kontaktuppgifter,
59 Se http://www.kb.se/om/verksamhet/digitalisering/ 60 Se skäl 7 i kommissionens rekommendation av den 27 oktober 2011 om digitalisering av och tillgång via internet till kulturellt material och digitalt bevarande (2011/711/EU).
Behandlingen kan vara tillåten om den är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e). Utredningen gör bedömningen att denna grund är möjlig att tillämpa för personuppgiftsbehandling i samband med digitalisering av forskningsbibliotekens samlingar och publicering av dessa på internet, utifrån bibliotekens övergripande uppdrag att bidra till kunskapsförmedling och fri åsiktsbildning.61
Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen, dvs. att den är rättsligt grundad, innebär inte att behandling kan utföras när det gäller vilka personuppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna i artikel 5. Det är vid varje tillfälle den personuppgiftsansvariges ansvar att se till att behandlingen är laglig. Forskningsbiblioteken måste alltid göra en sådan bedömning av de behandlingar av personuppgifter som förekommer i verksamheten.
Fastställd uppgift av allmänt intresse
Utredningens bedömning: KB:s uppgifter att bl.a. förvara och
tillhandahålla den svenska tryckproduktionen framgår av förordningen med instruktion för Kungl. biblioteket. Härigenom är uppgiften fastställd i nationell rätt och KB kan tillämpa den rättsliga grunden uppgift av allmänt intresse vid digitalisering av analoga samlingar och publicering på internet.
Högskolebibliotekens grundläggande uppgift att tillgängliggöra material för bl.a. utbildning och forskning är inte tydligt reglerad i nationell rätt. Uppgiften är därmed inte fastställd i nationell rätt och högskolebiblioteken kommer inte att kunna använda den rättsliga grunden uppgift av allmänt intresse om inte uppgiften regleras tydligare.
Utredningens förslag: Högskolebibliotekens uppgifter att till-
gängliggöra kunskap i syfte att stödja forskning och utbildning ska regleras i en ny paragraf i högskoleförordningen. När det gäller de privata högskolebiblioteken ska det regleras i vårt förslag till
61 Se avsnitt 3.2.3. gällande begreppen uppgift av allmänt intresse och viktigt allmänt intresse.
förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.
För KB:s del framgår det av dess instruktion att myndigheten har till uppgift att bl.a. förvara och tillhandahålla den svenska tryckproduktionen. Uppgiften är med andra ord fastställd i nationell rätt och KB kan tillämpa den rättsliga grunden att biblioteket utför uppgifter av allmänt intresse vid digitalisering av analoga samlingar och publicering på internet.
Vad gäller högskolebiblioteken är det inte lika lätt att beskriva vilka uppgifter de har. Verksamheten är, med få undantag, inte reglerad. Det övergripande ändamålet med bibliotekens verksamhet framgår dock av 2 § bibliotekslagen och omfattar bl.a. att verka för det demokratiska samhällets utveckling genom att bidra till kunskapsförmedling och fri åsiktsbildning, samt att främja litteraturens ställning och intresset för bildning, upplysning, utbildning och forskning samt kulturell verksamhet i övrigt. Det framgår dock inte att högskolebiblioteken har i uppdrag att ge allmänheten tillgång till något visst material, vilket det exempelvis gör för folkbiblioteken (9 § bibliotekslagen).
Att digitalisera analoga samlingar är, enligt vår bedömning, ett sätt att med hjälp av modern informations- och kommunikationsteknik uppfylla bibliotekens uppdrag.62 Digitaliseringen i sig behöver därför inte fastställas som en självständig rättslig grund. Det är forskningsbibliotekens grundläggande uppgift att tillgängliggöra kunskap som måste vara tydligt och uttryckligt reglerad. Vi föreslår därför en sådan bestämmelse i förslaget till högskoleförordningen samt i förordningen om personuppgiftsbehandling i forskningsbibliotekens verksamhet. Vi bedömer att den föreslagna uppgiften är proportionerlig, sett till den stora samhällsnyttan med en effektiv forskningsbiblioteksverksamhet ställt i relation till den lilla påverkan på den enskildes integritet som behandling och spridning av redan utgivet material medför. Uppgiften är precist formulerad på så sätt att det är tydligt vilka handlingar som ingår respektive inte ingår i uppgiften, utan att de enskilda tillåtna behandlingarna behöver särskilt nämnas. Tillämpningen är vidare förutsägbar för den enskilde utifrån förutsättningen
62 Jfr för KB:s del SOU 2003:129 ex. s. 62 ff samt s. 226 ff.
att forskningsbibliotek kan använda modern informationsteknik för att utföra sitt uppdrag.
4.5.3. Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.
Utredningens förslag: Forskningsbiblioteken ska få behandla
känsliga personuppgifter i löpande text enligt artikel 9.2 j om detta är nödvändigt för att biblioteken ska kunna fullgöra sina uppgifter. Detta ska dock endast vara tillåtet när de känsliga uppgifterna förekommer i utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla.
Privata forskningsbibliotek ska få behandla uppgifter om lagöverträdelser m.m. i löpande text. Detta ska dock endast vara tillåtet när uppgifterna förekommer i utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla.
Bestämmelser om detta ska införas i nationell rätt genom utredningens förslag till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.
Huvudregeln i artikel 9.1 i dataskyddsförordningen är att behandling av känsliga personuppgifter är förbjuden. I den mån känsliga personuppgifter förekommer i det material som digitaliseras måste behandlingen kunna stödja sig på något av undantagen från förbudet som framgår av artikel 9.2. De undantag som enligt utredningens bedömning kommer ifråga är sådan behandling som är nödvändig för arkivändamål av allmänt intresse enligt artikel 9.2 j.
Enligt artikel 9.2 j krävs att behandlingen ska göras med stöd av en författning som står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Sådan uttrycklig reglering saknas i svensk rätt.
För att digitalisering av material som kan innehålla känsliga personuppgifter samt efterföljande publicering på internet ska vara tillåten enligt dataskyddsförordningen, krävs alltså att nationell reglering införs som uppfyller kraven i artikel 9.2 j. Vi föreslår därför
en kompletterande bestämmelse i nationell rätt som tillåter biblioteken att behandla känsliga personuppgifter i löpande text när detta är nödvändigt för att biblioteken ska kunna utföra sina uppgifter. Enligt artikel 9.2 j ska nationell rätt innehålla lämpliga skyddsåtgärder. En sådan skyddsåtgärd gällande behandling av känsliga personuppgifter är att det endast ska vara tillåtet när de känsliga uppgifterna förekommer i tidigare utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla. Eftersom behandlingen enligt tidigare bedömning är nödvändig för ett arkivändamål av allmänt intresse medför artikel 89.1 att den personuppgiftsansvarige i det enskilda fallet ska tillämpa lämpliga skyddsåtgärder. Vid publicering på internet är det särskilt viktigt att dessa skyddsåtgärder väljs på ett sätt som möjliggör bibliotekets uppgift att tillgängliggöra kunskap samtidigt som den registrerades friheter och rättigheter skyddas.
Enligt artikel 10 i dataskyddsförordningen får endast myndigheter behandla personuppgifter som rör fällande domar i brottmål och överträdelser. Med överträdelser avses här överträdelser som innefattar brott, dvs. lagöverträdelser.63 Samma artikel anger vidare att det är tillåtet för andra aktörer än myndigheter, dvs. privata aktörer, att behandla personuppgifter om lagöverträdelser om det finns stöd för det i nationell rätt.
I förordningens skäl 8 framgår det att medlemsstaterna får införliva delar av förordningen i nationell rätt om det krävs för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på. Skäl 8 har behandlats av Dataskyddsutredningen som menar att ett sådant införlivande fyller en viktig funktion när det gäller myndigheters behandling av uppgifter om lagöverträdelser, för att på så vis tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att behandla den typen av uppgifter. Av den anledningen föreslår Dataskyddsutredningen att artikel 10 införlivas i svensk rätt i utredningens förslag till dataskyddslag.64 Vi bedömer därför att de forskningsbibliotek som utgör myndigheter därigenom har lagstöd för sin behandling av personuppgifter om lagöverträdelser. Däremot saknas lagstöd för behandling av personuppgifter om lagöverträdelser för de forskningsbibliotek som är privata aktörer. Vi föreslår därför en kompletterande bestämmelse i nationell rätt som
63SOU 2017:39 s. 191 ff. 64SOU 2017:39 s. 192 ff.
tillåter forskningsbiblioteken att behandla uppgifter om lagöverträdelser i löpande text när detta är nödvändigt för att biblioteken ska kunna utföra sitt uppdrag.
När biblioteken bevarar analoga samlingar och bedömer att det finns ett intresse av att digitalisera och tillgängliggöra dessa, talar det enligt vår bedömning för att det föreligger ett arkivändamål av allmänt intresse.65 Själva digitaliseringen utgör en form av bevarande. Tillgängliggörandet av materialet över internet görs utifrån en bedömning av att materialet kan komma att vara intressant för allmänheten. Vi gör därför bedömningen att den personuppgiftsbehandling som förekommer inom bibliotekens verksamhet med att digitalisera analoga samlingar är nödvändig för arkivändamål av allmänt intresse.
Det gemensamma för de olika verksamheterna hos biblioteken är att de uppgifter som behandlas förekommer i löpande text, och den behandlingen som utförs är sådan som är nödvändig för att lagra och tillgängliggöra texten som sådan. Vi bedömer därför att det är möjligt med en generell bestämmelse som tillåter sådan behandling hos forskningsbiblioteken av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som är nödvändig för att förvalta och tillgängliggöra materialet.
4.6. Digitala fjärrlån
4.6.1. Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar
Det finns en uttalad efterfrågan hos forskare och studenter på access till både käll- och undervisningsmaterial. Sådant material finns i såväl KB:s som högskolebibliotekens samlingar. Det finns därför en möjlighet att fjärrlåna material från ett forskningsbibliotek till ett annat (se även det lagstadgade kravet på högskolebibliotek att avgiftsfritt ställa litteratur ur de egna samlingarna till andra högskolebiblioteks förfogande enligt 2 kap. 16 § högskoleförordningen).
Vid fjärrlån digitaliseras dokumentet och filen överförs till det fjärrlånande biblioteket. Det fjärrlånande biblioteket skriver sedan ut dokumentet till låntagaren, som alltså inte får tillgång till verket i digital form.
65 Se avsnitt 3.6.
4.6.2. Rättslig grund
Tillämplig rättslig grund
Den behandling av personuppgifter som en digitalisering av sådant materialet innefattar leder till att fjärrlåneverksamheten hamnar inom dataskyddsförordningens tillämpningsområde. I den mån det digitaliserade materialet innehåller personuppgifter blir därmed den första frågan på vilken rättslig grund som behandlingen kan vara tillåten.
Behandlingen kan vara tillåten om den är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e). Utredningen gör bedömningen att denna grund är möjlig att tillämpa för personuppgiftsbehandling i samband med digitala fjärrlån.
Fastställd uppgift av allmänt intresse
Utredningens bedömning: Enligt 1 § förordningen med instruktion
för Kungl. biblioteket har KB en fastställd uppgift att bl.a. tillhandahålla den svenska tryckproduktionen samt andra typer pliktexemplar. KB kan därför med samma stöd behandla personuppgifter i utlånade verk i samband med digitala fjärrlån.
Enligt 2 kap 16 § högskoleförordningen har högskolebiblioteken en fastställd uppgift att avgiftsfritt ställa litteratur ur de egna samlingarna till andra högskolebiblioteks förfogande. Högskolebiblioteken kan därför tillämpa artikel 6.1 e för att behandla personuppgifter i utlånade verk i samband med digitala fjärrlån eftersom detta är en nödvändig behandling för att uppfylla denna arbetsuppgift.
För forskningsbiblioteken finns en i avsnitt 4.5.2 i förordning föreslagen fastställd uppgift att tillgängliggöra kunskap i syfte att stödja forskning och utbildning. Även de privata högskolebiblioteken kan därför tillämpa artikel 6.1 e som stöd för att behandla personuppgifter i utlånade verk i samband med digitala fjärrlån eftersom detta är en nödvändig behandling för att uppfylla denna arbetsuppgift.
Generellt handlar personuppgiftsbehandlingen i samband med digitalisering såväl om behandling av strukturerade personuppgifter rörande upphovsmän och liknande som om personuppgifter i löpande text.
Med strukturerade personuppgifter avses här sådana uppgifter som ingår i ett register enligt definitionen i artikel 4.6 i dataskyddsförordningen. De strukturerade uppgifterna innefattar, likt andra katalogiserade biblioteksbestånd, i normalfallet inte känsliga personuppgifter. Personuppgifter som kan förekomma i de digitaliserade verkens löptext kan däremot bestå av såväl känsliga personuppgifter samt uppgifter om lagöverträdelser.
Det är i allmänhet inte möjligt att inhämta samtycke från de registrerade i dessa fall. Syftet med behandlingen ryms däremot under bibliotekens uppdrag att främja bl.a. forskning. Behandlingen görs enligt vår bedömning alltså med stöd av den rättsliga grunden att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Vad gäller hanteringen av strukturerade personuppgifter som inte är känsliga i detta sammanhang bör enligt vår bedömning behandlingen som grundregel kunna utföras med stöd av artikel 6.1 e.
4.6.3. Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.
Utredningens förslag: Forskningsbiblioteken ska få behandla
känsliga personuppgifter enligt artikel 9.2 j i löpande text när detta är nödvändigt för arkivändamål av allmänt intresse. Detta ska dock endast gälla när de känsliga uppgifterna förekommer i utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla.
Privata forskningsbibliotek ska få behandla uppgifter om lagöverträdelser m.m. i löpande text. Detta ska dock endast vara tillåtet när uppgifterna förekommer i utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla.
Bestämmelser om detta ska införas i nationell rätt genom utredningens förslag till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.
I den mån känsliga personuppgifter och uppgifter om lagöverträdelser m.m. förekommer i den ostrukturerade fulltexten behöver forskningsbiblioteken kunna hänvisa till nationellt reglerat undantag för att behandlingen av sådana uppgifter ska vara tillåten. Analysen och motiveringen till vårt förslag i detta avsnitt är densamma som vi
redovisat i avsnitt 4.5.3. Vi hänvisar därför till vårt resonemang i det avsnittet.
4.7. Digitalisering på användares begäran (on-demand-digitalisering)
4.7.1. Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar
För äldre material i forskningsbibliotekens samlingar, som inte längre omfattas av upphovsrätt, finns möjligheten för en utomstående användare att begära att biblioteket digitaliserar materialet och tillgängliggör det i digital form (on-demand-digitalisering). Den första personen som begär verket får betala en kostnad motsvarande bibliotekets arbetskostnad, men det digitaliserade verket görs sedan tillgängligt i systemet Ebooks on demand (EOD). EOD är en plattform som ger global access till material i 87 forsknings- och nationalbibliotek.66
För annat material i bibliotekens samlingar finns det möjlighet för besökare eller andra enskilda att kopiera materialet med kopiator, skanner eller digitalkamera. I vissa fall har biblioteken reproduktionsavdelningar som kan utföra kopieringen åt den enskilde. Detta kan omfatta sådan kopiering som medför en digitalisering, dvs. med hjälp av skanner eller digitalkamera. När biblioteken utför sådana reproduktionstjänster åt enskilda tar biblioteket vanligen betalt enligt en fastställd prislista.67
4.7.2. Rättslig grund
Tillämplig rättslig grund
Av samma anledning som för digitala fjärrlån (se avsnitt 4.6) anser vi att den tillämpliga rättsliga grunden för behandling av personuppgifter vid on-demand-digitalisering är att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e).
66 Se vidare om EOD: IFLA Journal (1) 2009 s 35, https://www.ifla.org/files/assets/hq/publications/ifla-journal/ifla-journal-35-1_2009.pdf 67 Se särskilt KB:s reproverksamhet, http://www.kb.se/besoka/kopiering/
Fastställd uppgift av allmänt intresse
Utredningens bedömning: Det är en fastställd uppgift av allmänt
intresse för forskningsbiblioteken att tillgängliggöra kunskap i syfte att stödja forskning och utbildning. Behandling av personuppgifter vid on-demand-digitalisering är en nödvändig del för att tillgängliggöra kunskap i enlighet denna uppgift. KB:s uppgifter att bl.a. förvara och tillhandahålla den svenska tryckproduktionen framgår därtill av KB:s instruktion,
Utredningens förslag: Högskolebibliotekens uppgifter att till-
gängliggöra kunskap i syfte att stödja forskning och utbildning ska regleras i en ny paragraf i högskoleförordningen. När det gäller de privata högskolebiblioteken ska det regleras i vårt förslag till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.
Som nämnts ovan under avsnitt 4.5 handlar personuppgiftsbehandlingen när biblioteken digitaliserar analogt material om behandling av både strukturerade personuppgifter rörande upphovsmän och liknande och av personuppgifter i löpande text. Med strukturerade personuppgifter avses sådana uppgifter som ingår i ett register enligt definitionen i artikel 4.6 i dataskyddsförordningen. Även här förekommer i normalt inte känsliga personuppgifter men däremot kan löptext bestå av såväl känsliga personuppgifter samt uppgifter om lagöverträdelser.
Det är i allmänhet inte möjligt att inhämta samtycke från de registrerade i dessa fall. Syftet med behandlingen ryms däremot under bibliotekens uppdrag att främja bl.a. forskning. Behandlingen görs enligt vår bedömning alltså med stöd av den rättsliga grunden att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Vad gäller behandlingen i detta sammanhang av strukturerade personuppgifter som inte är känsliga bör enligt vår bedömning denna som grundregel kunna utföras med stöd av artikel 6.1 e.
4.7.3. Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.
Utredningens förslag: Forskningsbiblioteken ska få behandla
känsliga personuppgifter enligt artikel 9.2 j i löpande text när detta är nödvändigt för arkivändamål av allmänt intresse. Detta ska dock endast gälla när de känsliga uppgifterna förekommer i utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla.
Privata forskningsbibliotek ska få behandla uppgifter om lagöverträdelser m.m. i löpande text. Detta ska dock endast vara tillåtet när uppgifterna förekommer i utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla.
Bestämmelser om detta ska införas i nationell rätt genom utredningens förslag till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.
I den mån känsliga personuppgifter och uppgifter om lagöverträdelser m.m. förekommer i den ostrukturerade fulltexten hänvisar vi vad gäller analys och motivering till vårt resonemang i avsnitt 4.5.3.
4.8. Publikationsdatabaser
4.8.1. Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar
En allt viktigare uppgift för forskningsbiblioteken har kommit att bli att sköta lärosätenas lokala publikationsdatabaser och att se till att forskare får rätt erkännande för sina resultat genom att hantera globalt gångbara identifikatorer. Sådana identifikatorer är exempelvis Open Researcher and Contributor ID (ORCID)68 och Digital Object Identifier (DOI). Hanteringen av sådana identifikatorer kan medföra behandling av personuppgifter.
Man kan betrakta hanteringen av publikationsdatabaser och identifikatorer som två helt skilda former av personuppgiftsbehandlingar. Det finns dock ett stort värde i att i publikationsdatabaser även lagra
68 Se rapport från KB/Chalmers, ”Erfarenheter av medlemskap och implementering av ORCID på Chalmers” http://www.kb.se/dokument/Om/projekt/open_access/2014/51-KB%20867-2013%20Erfarenheter%20av%20medlemskap%20i%20ORCID%20-%20slutrapport.pdf
identifikatorer för verk och författare. Inom det KB-ledda projektet openaccess.se har bl.a. rekommenderats att ORCID ska vara den standard som används för hantering av författaridentifikatorer i publiceringsdatabaser.69
Det är en vanlig uppgift för högskolebibliotek att bistå sitt lärosäte med att elektroniskt publicera avhandlingar och andra vetenskapliga resultat genom egna publikationsdatabaser eller i samarbetsdatabasen DiVA. Det kan vara fråga om att tillgängliggöra publikationerna i fulltext, eller bara metadata om dem. I det följande beskrivs kortfattat några olika exempel på publikationsdatabaser som drivs av högskolebibliotek.
Digitala vetenskapliga arkivet (DiVA) är ett publiceringssystem för forskningspublikationer och studentuppsatser samt ett digitalt arkiv för långsiktig bevaring av publikationer. DiVA började utvecklas år 2000 av Enheten för digital publicering (Electronic Publishing Centre, EPC) vid Uppsala universitetsbibliotek. DiVA drivs i konsortieform och finansieras av deltagarna i projektet. I dag sker den tekniska utvecklingen av EPC i samråd med övriga medlemmar. DiVA-samarbetet är öppet för alla universitet samt offentligt finansierade forskningsinstitutioner och myndigheter både i Sverige och utomlands. Forskningspublikationer och studentuppsatser från 44 lärosäten och forskningsinstitutioner är sökbara i tjänsten. De lärosäten som inte anslutit sig till DiVA använder sig av andra liknande publikationsdatabaser. Publikationer som registreras i DiVA överförs automatiskt till den nationella databasen SwePub, som innehåller vetenskaplig publicering vid svenska lärosäten. SwePub utvecklas i samarbete mellan Vetenskapsrådet och KB för att ligga till grund för nationell information om och analys av forskning. SwePub är också kopplad till ansökningssystemet Prismas publikationsmodul.
Exakt vilken personuppgiftsbehandling som blir aktuell beror på den exakta omfattningen av publikationsdatabasen. En skiljelinje kan dras mellan sådana databaser som enbart lagrar referenser till publikationer och metadata om dem, såsom uppgifter om författare, titel, utgivningstidpunkt, ämnesklassificering m.m., och sådana databaser som utöver detta även lagrar själva publikationernas innehåll i fulltext.
69 ”Författaridentifikatorer och publiceringsdatabaser – scenarier och utvecklingsmöjligheter. Slutrapport” Gustavsson et al (2013).
4.8.2. Rättslig grund
Tillämplig rättslig grund
Av samma anledning som för tillgängliggörande av analoga samlingar på internet (se avsnitt 4.5.2) anser vi att en tillämplig rättslig grund för behandling av personuppgifter i samband med publikationsdatabaser är att sådan behandling är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e).
Fastställd uppgift av allmänt intresse
Utredningens bedömning: Att förvalta ett register över sådana
publikationer som ingår i ett biblioteks samlingar ingår i den för samtliga forskningsbibliotek fastställda arbetsuppgiften att bidra till kunskapsförmedling. Personuppgiftsbehandling i form av sådan registerförvaltning är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Personuppgiftsbehandling som är nödvändig för att lagra och tillgängliggöra publikationer i fulltext har även den en rättslig grund i artikel 6.1 e dataskyddsförordningen, i den utsträckning det inte förekommer känsliga personuppgifter. Den person som metadata och referenser vanligen hänvisar till är i normalfallet publikationens författare. Inom forskningen torde det höra till undantag att metadata om ett verk i en publikationsdatabas utgör personuppgifter om andra identifierbara personer än författaren själv.70 I vissa fall kan då bibliotekets personuppgiftsbehandling utföras med stöd av samtycke, dvs. när författaren själv varit delaktig i införandet i publikationsdatabasen.
Det kan dock förekomma situationer när den eller de personer som registrerats i metadata i praktiken inte ger sitt samtycke. Det kan vara fråga om publikationer med många författare, vissa vid andra lärosäten, eller författare som trots att de är verksamma vid högskolebibliotekets lärosäte inte prioriterar att hålla publikationsdatabasen
70 Inom vissa discipliner kan dock finnas undantag, exempelvis i rättsvetenskaplig forskning där en vanlig typ av publikation är rättsfallskommentarer, dvs. texter som utgår från ett enskilt rättsfall. I den mån rättsfallet och måltypen kan identifieras från titeln kan redan denna utgöra en indirekt känslig personuppgift, exempelvis i mål om tvångsvård.
uppdaterad. Biblioteket har även i dessa fall ett berättigat intresse av att publikationsdatabaserna ska vara fullständiga.
Det saknas skäl att göra en skillnad mellan en publikationsdatabas som biblioteket förvaltar och den generella bibliotekskatalog som är en förutsättning för bibliotekets verksamhet. Det är knappast möjligt att förmedla den kunskap biblioteken har i sina samlingar om de inte kan föra ett register, med bl.a. författaruppgifter, över samlingarnas innehåll. Vår bedömning är därför att personuppgiftsbehandling i sådan katalogverksamhet är nödvändig för att uppfylla det allmänna syftet att forskningsbibliotek ska bidra till kunskapsförmedling (2 § 1 st. bibliotekslagen). Med andra ord, även om enskilda registrerade författare skulle samtycka till den resulterande personuppgiftsbehandlingen, är en tillämplig rättslig grund för behandlingen att den är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras (artikel 6.1 e).
I de fall där publikationsdatabasen även innehåller publikationerna i fulltext kan dessa innehålla direkta eller indirekta personuppgifter om andra än verkets författare. Denna behandling görs vanligen i syfte att tillgängliggöra forskningsresultat. Denna behandling är nödvändig för uppgift att tillgängliggöra kunskap i syfte att stödja forskning och utbildning som vi föreslår i avsnitt 4.5.2.
4.8.3. Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.
Utredningens bedömning: Behandling av känsliga personuppgifter
i metadata tillhörande en publikationsdatabas är tillåten med stöd av artikel 9.2 j, eftersom detta kan anses vara nödvändigt för ett arkivändamål av allmänt intresse på grundval av nationell rätt.
Utredningens förslag: Forskningsbiblioteken ska få behandla
känsliga personuppgifter enligt artikel 9.2 j i löpande text när detta är nödvändigt för arkivändamål av allmänt intresse. Detta ska dock endast gälla när de känsliga uppgifterna förekommer i utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla.
Privata forskningsbibliotek ska få behandla uppgifter om lagöverträdelser m.m. i löpande text. Detta ska dock endast vara
tillåtet när uppgifterna förekommer i utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla.
Bestämmelser om detta ska införas i nationell rätt genom utredningens förslag till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.
Metadata
I de sällsynta fall när katalogen innehåller känsliga uppgifter är huvudregeln enligt dataskyddsförordningen att behandlingen är förbjuden enligt artikel 9.1. Sådan behandling av känsliga personuppgifter behöver ett rättsligt stöd som uppfyller kraven i artikel 9.2.
Intresset av att biblioteken även i detta avseende kan hantera ett korrekt register av publikationer torde vara viktigt såväl ur bibliotekslagens som ur högskolelagens perspektiv. Av bibliotekens fastställda uppgift att bidra till kunskapsförmedling följer, som vi bedömt ovan i avsnitt 4.8.2, att behandling av personuppgifter, även känsliga sådana, i en publikationsdatabas metadata är nödvändig. Behandlingen är också proportionerlig sett till detta syfte, och även förenlig med det väsentliga innehållet i dataskyddet (särskilt vad gäller forskningens intressen). Detta uppfyller de grundläggande kriterierna för nödvändig behandling för arkivändamål av allmänt intresse som framgår av artikel 9.2 j. Det saknas dock i nationell rätt bestämmelser om lämpliga och särskilda skyddsåtgärder. Med undantag för skyddsåtgärder finns det således stöd i befintlig nationell rätt för den behandling av metadata om publikationerna som förekommer i bibliotekens publikationsdatabaser. De skyddsåtgärder som vi föreslår i avsnitt 4.5.3 är dock tillämpliga även på denna behandling.
Fulltext
I den mån känsliga personuppgifter och uppgifter om lagöverträdelser m.m. förekommer i den ostrukturerade fulltexten i en publikationsdatabas hänvisar vi vad gäller analys och motivering till vårt resonemang i avsnitt 4.5.3.
4.9. Bibliotekens hantering av DOI, ORCID och andra identifikatorsystem
4.9.1. Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar
Med identifikatorsystem avser vi ett system för att tilldela unika, otvetydiga identifierare för personer, dokument och andra typer av resurser. En vanlig identifierare för böcker är exempelvis ISBNnummer. Inom forskning och forskningspublicering är särskilt systemen DOI och ORCID av stor praktisk betydelse.
Digital Object Identifier
Digital Object Identifier (DOI) är en standard för att identifiera digitala dokument (objekt). Utgivaren av ett dokument kan registrera detta genom en ”Registration Agency” och då få en identifierare för objektet. Identifierare är på formen doi:10.1000/182, där de olika delarna av identifierarna anger att det är fråga om just en DOI-identifierare, vilken part som har begärt att få DOI:n, samt ett löpnummer som identifierar ett visst objekt hos den parten.
Själva identifieraren innehåller alltså inga direkta personuppgifter. Metadatamodellen som används när DOI:s registreras innehåller dock möjlighet att ange författare eller annan person som har en roll för objektet, och därigenom innefattar registreringen av DOI:s hantering av direkta personuppgifter. DOI:n utgör därför en indirekt personuppgift då den kan hänvisa till objektets författare.
Open Researcher and Contributor ID
Open Researcher and Contributor ID (ORCID) är ett system för att skapa otvetydiga, maskinläsbara identifierare för forskare och andra som är involverade i forskningssystemet. Identifieraren är knuten till forskaren själv och förändras inte när forskaren byter arbetsgivare, namn eller andra uppgifter. Forskaren registrerar själv sitt eget ORCID samt använder en central tjänst för att tillhandahålla grundläggande uppgifter om sig själv i sin forskarroll. Identifieraren kan sedan användas av olika aktörer inom forskningssystemet, förutom
bibliotek även lärosäten, finansiärer, akademiska tidskrifter, konferenser m.m. Alla som hanterar ett ORCID behandlar en uppgift om den forskaren, men den är i sig varken mer eller mindre speciell än ett (otvetydigt) personnamn. Forskaren kan utöva viss kontroll över vem som får tillgång till de grundläggande uppgifterna, men själva identifieraren är alltid publik. ORCID kan användas av bibliotek för att exempelvis katalogisera publikationer av en viss forskare. Till skillnad från ett personnamn är det alltid otvetydigt vem som avses med ett visst ORCID. Även andra aktörer inom forskningssystemet kan vilja använda ORCID för att exempelvis utvärdera en forskares produktivitet och renommé.
Andra identifikatorer
I bibliotekens verksamhet förekommer många andra typer av identifikatorer för både verk och personer. Det finns dock inget som talar för att bibliotekens hantering av dessa identifikatorer medför någon annan typ av personuppgiftsbehandling än de ovanstående, varför vi koncentrerar framställningen på de ovan nämnda.
4.9.2. Rättslig grund
Tillämplig rättslig grund
Utredningens bedömning: Registrering av identifikatorer för
publikationer och personer kan utföras med stöd av den registrerades samtycke, under förutsättning att sådant samtycke verkligen kan ges frivilligt.
Användning av identifikationer i publikationsdatabaser och andra kataloger är nödvändig för att utföra ett forskningsbiblioteks grundläggande uppgift, vilken utgör en fastställd uppgift av allmänt intresse.
I den mån biblioteken registrerar DOI- och ORCID-identifikatorer så görs det i dag i många fall med den registrerades samtycke. Med tanke på den roll som exempelvis ORCID börjar få kan det möjligtvis
ifrågasättas om ett sådant samtycke är frivilligt. Det vanliga förfarandesättet är dock i dag att den enskilde forskaren registrerar sin egen ORCID-identifikator.
Vad gäller bibliotekens hantering av redan registrerade DOI:s i publikations- eller andra databaser skiljer sig inte den frågan från annan personuppgiftsbehandling i samband med hantering av bibliotekskataloger. Den rättsliga grunden för sådan behandling är alltså att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Sådan hantering kan i sig inte anses vara hantering av känsliga personuppgifter.
I den utsträckning bibliotek använder ORCID eller andra identifierande uppgifter för att bedöma vissa personliga egenskaper hos en forskare kan detta utgöra profilering enligt artikel 4.4. Det torde dock inte vara aktuellt att forskaren blir föremål för ett automatiserat beslut eller en automatisk bedömning från just biblioteken, och att ett sådant beslut eller sådan bedömning har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, något som annars är särskilt reglerat i artikel 22.
Användning av identifikationer i publikationsdatabaser och andra kataloger är nödvändig för att förvalta innehållet i dessa kataloger, vilket utgör en arbetsuppgift av allmänt intresse. Behandlingen kan därför göras med stöd av artikel 6.1 e.
Fastställd uppgift av allmänt intresse
Utredningens bedömning: Hantering av identifikatorer i publika-
tionsdatabaser och andra kataloger eller register är en nödvändig behandling för den för forskningsbiblioteken fastställda arbetsuppgiften att bidra till kunskapsförmedling. Personuppgiftsbehandling i form av sådan registerförvaltning är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Att hantera identifikatorer i publikationsdatabaser eller andra kataloger eller register skiljer sig i dataskyddshänseende inte från hantering av övriga personuppgifter i samma verksamhet. Utredningens
resonemang om uppgiften att förvalta register över biblioteks samlingar i avsnitt 4.8.2 är därför tillämpligt även på hanteringen av identifikatorer.
4.10. Text- och datautvinning
4.10.1. Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar
Text- och datautvinning (Text and Data Mining, TDM) är ett samlingsnamn för sådan automatisk analysteknik som används för att analysera text och data i digital form för att generera information såsom mönster, trender och korrelationer. Text- och datautvinning kan alltså göras på såväl material i textform som bild, ljud och video. Bland möjliga tillämpningar kan nämnas system för fulltextsökning, kategorisering av texter, ansiktsigenkänning med mera.71
Text- och datautvinning handlar på ett grundläggande plan om att utvinna strukturerad information från ostrukturerad data i form av text, bild, ljud, video eller andra källor.
4.10.2. Rättslig grund för behandlingen
Utredningens bedömning: Att använda befintliga digitala sam-
lingar för att utvinna kunskap ryms inom den i avsnitt 4.5.2 föreslagna arbets-uppgiften att tillgängliggöra kunskap i syfte att stödja forskning och utbildning. Personuppgiftsbehandling i form av sådan utvinning är därför nödvändig för att utföra en fastställd arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Tillämplig rättslig grund
I den mån personuppgiftsbehandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse i form av forskning, kan det finnas en rättslig grund för behandling i artikel 6.1 e. ”Nödvändig” ska här inte tolkas som att det är omöjligt att utföra uppgiften utan att sådan
71 Se generellt Lianne Colonna, ”Legal Implications of Data Mining” (2016).
behandling görs. I stället räcker det med att en automatiserad behandling av personuppgifter innebär en påtaglig förenkling.72 Att utvinna ny kunskap ur befintliga samlingar bör enligt vår bedömning ses som en arbetsuppgift av allmänt intresse. Personuppgiftsbehandling i form av sådan utvinning är därför nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Fastställd uppgift av allmänt intresse
Att utföra text- och datautvinning är för forskningsbiblioteken en framväxande uppgift som är tätt förknippad med datadriven forskning, ett område som särskilt lyfts fram i 2016 års forskningsproposition.73 Det är biblioteken – särskilt KB – som har tillgång till de stora informationsmängder i digital form som krävs för olika former av text- och datautvinning. Det kan vidare förutsättas att biblioteken inom ramen för sin uppgift att tillgängliggöra kunskap använder teknikens möjligheter för att utnyttja innehållet i de befintliga samlingarna på bästa sätt. Att utvinna kunskap ur befintliga samlingar ryms därför enligt vår bedömning inom den fastställda uppgift att tillgängliggöra kunskap i syfte att stödja forskning och utbildning som vi föreslagit avsnitt 4.5.2.
4.10.3. Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.
Utredningens förslag: Känsliga personuppgifter ska kunna
behandlas genom text- och datautvinning med stöd av artikel 9.2 g när de ingår i informationsunderlag i form av löpande text.
Som skyddsåtgärd ska dock gälla att text- och datautvinning inte får utföras om syftet med behandlingen är att utvinna känsliga personuppgifter eller om behandlingen i något skede processar sådana uppgifter. Sådana skyddsåtgärder ska dock inte tillämpas om det är nödvändigt att utvinning eller annan behandling av sådana uppgifter görs för att kunna tillhandhålla kunskap till ett etikgodkänt forskningsprojekt med stöd av artikel 9.2 j.
72 Se SOU 2017:50 s. 125 f och där hänvisade rättsfall samt förarbeten. 73Prop. 2016/17:50 s. 95.
Privata forskningsbibliotek ska få behandla uppgifter om lagöverträdelser m.m. för text- och datautvinning med motsvarande skyddsåtgärder.
Bestämmelser om detta ska införas i nationell rätt genom utredningens förslag till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.
När känsliga personuppgifter förekommer i underlaget
Text- och databehandling utgår från stora mängder information i digital form, t.ex. text, ljud, bild eller annan data. Sådant informationsunderlag inom en text- eller datautvinningsprocess kan innehålla känsliga personuppgifter eller uppgifter om lagöverträdelser. Exempelvis kan innehållet i en rättsfallssamling innehålla många direkta eller indirekta uppgifter om hälsa eller lagöverträdelser.
Om informationsunderlaget innehåller känsliga personuppgifter eller uppgifter om lagöverträdelser innebär text- och databehandling av materialet alltid en behandling av dessa personuppgifter, även om slutresultatet inte innehåller sådana uppgifter. Det krävs därför stöd i något av undantagen från förbudet som framgår av artikel 9.2 för att behandlingen ska vara tillåten. Det undantag som enligt utredningens bedömning bör kunna komma ifråga är sådan behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse, enligt artikel 9.2 g. Det viktiga allmänna intresset skulle alltså i detta fall vara att kunna utvinna kunskap ur bibliotekens befintliga digitala samlingar av utgivet och allmänt tillgängligt material. Vi bedömer att ett sådant undantag är proportionerligt och förenligt med det väsentliga innehållet i rätten till dataskydd, med beaktande av den mycket begränsade inverkan sådan behandling har på den enskildes personliga integritet. Regleringen måste dock även innehålla bestämmelser om lämpliga och särskilda skyddsåtgärder.
Vi föreslår därför som skyddsåtgärder att text- och datautvinning inte får utvinna känsliga uppgifter eller uppgifter om lagöverträdelser m.m., eller på annat sätt processa dessa uppgifter under något skede av behandlingen. Med detta avses att textmaterial som innehåller t.ex. känsliga personuppgifter exempelvis får indexeras för fulltextsökning när orden som avslöjar de känsliga uppgifterna
enbart behandlas som vilka ord som helst, men att indexeringsprocessen inte får särskilt identifiera och behandla känsliga personuppgifter som just sådana personuppgifter. Begränsningen omfattar alltså inte enbart slutresultatet av text- och datautvinningen, utan även de enskilda stegen i behandlingen. Med begreppet processa menar vi sådana delar av en personuppgiftsbehandling som identifierar eller på annat sätt hanterar känsliga personuppgifter som just sådana uppgifter. I begreppet processa inräknar vi inte sådana handlingar (manuella eller automatiska) som inte försöker tolka den semantiska innebörden i det underlag där de känsliga uppgifterna förekommer. Vi föreslår denna utformning av begränsningen eftersom det särskilda integritetsintrånget i att behandla någons känsliga personuppgifter uppstår redan när sådana uppgifter förekommer i en automatisk process, även om ingen människa tar del av uppgifterna. Denna begränsning i vad som tillåts utgör en lämplig och för ändamålet särskild skyddsåtgärd.
För vissa typer av text- och datautvinning, särskilt sådana som använder sig av tekniker för maskininlärning, är en viktig del av denna inlärningsprocess att träna upp modeller för exempelvis klassificering av data. Beroende på parametrarna och det informationsunderlag som modellen tränas på kan det vara svårt även för systemets konstruktörer att avgöra om modellen identifierar eller på annat sätt särskilt hanterar känsliga personuppgifter som en del av sin klassificering. Att det kan vara svårt att veta om känsliga uppgifter förekommer i modellen påverkar dock inte vår föreslagna begränsning, eftersom det särskilda integritetsintrånget enligt ovan uppstår redan när uppgifterna förekommer i modellen. Om det med en viss text- och datautvinningsteknik inte framgår hur ett system utför sin klassificering, ens för systemets ansvariga, är detta i sig en omständighet som påkallar extra försiktighet.
När känsliga personuppgifter utvinns eller på annat sätt behandlas särskilt
Den ovan nämnda begränsningen av vilken text- och datautvinning som är tillåten kan tänkas omöjliggöra viss forskning där känsliga uppgifter om enskilda individer utgör relevant forskningsunderlag, och där text- och datautvinning kan vara det enda sättet att utvinna dessa uppgifter. Vi föreslår därför, som ett undantag från ovanstående
begränsning, att biblioteken ska få utvinna eller i övrigt processa känsliga personuppgifter om det görs inom ramen för ett etikgodkänt forskningsprojekt. Det rör alltså situationer där ett forskningsprojekt vänder sig till biblioteket med en förfrågan om att få en viss text- eller datautvinning utförd på digitalt material i bibliotekets samlingar.
Biblioteken kommer i dessa fall att ha ett självständigt personuppgiftsansvar för sin del av behandlingen. Vår föreslagna reglering gör det möjligt för biblioteken att med hänsyn till att behandlingen är nödvändig för forskningsändamål i enlighet med artikel 9.2 j utvinna sådana uppgifter och även lämna ut dem till forskningsprojektet.
4.10.4. Grundläggande krav
En utmaning för all text- och datautvinning är att förena det grundläggande kravet att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål med att uppgifterna inte senare behandlas på ett sätt som är oförenligt med dessa ursprungliga ändamål enligt principen om ändamålsbegränsning, artikel 5.1 b. Dock gäller att ytterligare behandling för bl.a. forskningsändamål inte ska anses vara oförenlig med de ursprungliga ändamålen.
Vad gäller ändamålsbegränsningen för biblioteken är det dock sällan så att personuppgifterna samlats in för just text- och datautvinning. I stället är det fråga om bibliotekens vanliga samlingar som samlats in för biblioteks-verksamhet.
Om syftet med text- och datautvinningen är forskning ryms behandlingen inom ändamålsbegränsningens ramar. Om syftet är ett annat, exempelvis att beskriva bibliotekens samlingar eller upptäcka nya kopplingar mellan verk, får först bedömas om detta är oförenligt med det ändamål för vilken uppgifterna samlades in. Generellt i biblioteksverksamhet, särskilt sett mot det i bibliotekslagen angivna syftet att bl.a. bidra till kunskapsförmedling och intresset för forskning (2 § bibliotekslagen), kan det presumeras att text- och datautvinning är förenligt med det ursprungliga syftet såvida inte text- och datautvinningen i det specifika fallet syftar till något som ligger långt utanför detta syfte. Det är dock den personuppgiftsansvarige som ansvarar för att de grundläggande principerna, inklusive principen om ändamålsbegränsning, följs i varje enskilt fall av text- och datautvinning.
4.10.5. Registrerades rättigheter
Utredningens bedömning: Det saknas möjlighet att inskränka
den registrerades rättigheter när personuppgifter behandlas inom ramen för text- och datautvinning.
I avsnitt 4.11.3 behandlas frågan om hur registrerades rättigheter enligt dataskyddsförordningen påverkar bibliotekens möjligheter att i praktiken utföra sina uppgifter. Våra förslag i dessa delar syftar till att se till att bibliotekens samlingar i digital form inte ska kunna förändras genom invändningar eller liknande från de vars uppgifter förekommer i materialet. Detta på grund av att samlingarna och dess bevarande generellt utgör ett arkivändamål av allmänt intresse.
Samlingarna utgör även informationsunderlag för text- och databehandling. Materialet samlas således inte in för detta ändamål, vilket gör att det i allmänhet kommer att vara praktiskt svårgenomförbart att exempelvis rätta en uppgift om en enskild inom ramen för personuppgiftsbehandling i form av text- och databehandling, eftersom personuppgifterna inte lagras för denna verksamhet utan för ett annat syfte (för vilket vi föreslagit begränsningar i rätten till rättelse).
Däremot skulle ett sätt att resonera ta sin utgångspunkt i att den registrerade kan utnyttja sin rätt till invändning, under förutsättning att denne kan tillhandahålla viss information om sig själv. Om den registrerade tillhandahåller ytterligare information för att biblioteket med säkerhet skulle kunna identifiera textavsnitt eller liknande där denne förekommer kan biblioteket i praktiken utesluta detta material från text- och datautvinningsprocessen, i enlighet med artikel 11.2 i dataskyddsförordningen.
Problemet är att det inte är möjligt att radera i eller markera sådana invändningar i källmaterialet, eftersom det lagras för andra syften. En tillämpning av rätten till invändning skulle därför vara tvungen att göras vid själva inläsningstillfället, och i så fall utgå från ett för detta ändamål särskilt konstruerat register ur vilket det framgår vem och vilka textavsnitt som inte ska tas med i analysen. Att hantera ett sådant register är i sig personuppgiftsbehandling, som i och för sig kan vara nödvändig för den fastslagna uppgiften.
Samtidigt går det endast i vissa fall att hävda att text- och datautvinningen görs för forskningsändamål eller för arkivändamål av allmänt intresse (vi har ovan bedömt att det i huvudsak utförs för ett
viktigt allmänt intresse med stöd av artikel 9.2 g). Utrymmet för inskränkningar i de registrerades rättigheter med stöd av artikel 89.2 eller 89.3 är därför litet. Vi föreslår därför inte några inskränkningar i de registrerades rättigheter när personuppgifter behandlas för text- och datautvinning.
4.11. Övrigt
4.11.1. Möjligheter att söka efter information i databaser
På biblioteken finns olika databaser som innehåller information att söka fram. Databaserna är ofta kopplade till olika söktjänster som har utgivningsbevis74 vilket i sin tur innebär att de omfattas av grundlagsskyddet i yttrandefrihetsgrundlagen75 och inte av regelverket i personuppgiftslagen. Dataskyddsutredningen föreslår att grundlagsskyddet ska gälla även framför dataskyddsförordningen.76 Det är med andra ord tillåtet för den leverantör som tillhandahåller tjänsten att publicera personuppgifter som t.ex. namn och adress utan att behöva ta hänsyn till dataskyddsregleringen. Ett utgivningsbevis ger dock inte leverantören rätt att publicera vad som helst. Strider mot grundlagen gör till exempel förtal, olaga hot eller hets mot folkgrupp vilket kan polisanmälas. Däremot finns det inga hinder att behandla information som inbegriper känsliga personuppgifter och lagöverträdelser m.m. Att skaffa utgivningsbevis är frivilligt. Vad gäller myndigheter kan de visserligen skaffa utgivningsbevis, men de kan inte åberopa grundlagens bestämmelser – som enligt 1 kap. 1 § yttrandefrihetsgrundlagen utgör ett skydd för den enskildes yttrandefrihet gentemot staten – för att undgå förpliktelser enligt lag.77
Med tanke på att det här handlar om tjänster som biblioteken inte kan påverka när det gäller innehåll och utformning, innebär det att biblioteken inte kan anses ha något personuppgiftsansvar. Av den anledningen ska någon bedömning av rättslig grund enligt dataskyddsförordningen inte utföras. Någon reglering i denna del blir därför inte aktuell.
74 Ett utgivningsbevis är en typ av intyg som behövs i vissa fall för att erhålla grundlagsskydd enligt tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL). 751 kap. 9 § yttrandefrihetsgrundlagen. 76SOU 2017:39 s. 98 ff. 77 Datainspektionens beslut den 29 januari 2010, dnr 987-2009.
4.11.2. Allmänt om bibliotekens roll som förlag
Det förekommer att forskningsbiblioteken ägnar sig åt viss förlagsverksamhet och utgivning av publikationer. Det rör sig vanligen inte om en central verksamhet för biblioteken och handlar ofta om sådana publikationer som har en tydlig anknytning till verksamheten vid biblioteket och dess lärosäte. I de fall där biblioteken själva kan anses bedriva förlagsverksamhet omfattas den delen av verksamheten av grundlagsskyddet i TF. Enligt dataskyddsutredningens förslag ska dataskyddsförordningen då inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i TF och YGL (1 kap 4 § förslaget till dataskyddslag).
4.11.3. Registrerades rättigheter
Utredningens förslag: Den registrerades rätt till tillgång enligt
artikel 15, rätt till rättelse enligt artikel 16 och rätt till invändning enligt artikel 21 ska inte gälla vid sådan personuppgiftsbehandling som är nödvändig för ett arkivändamål av allmänt intresse. Ett undantag avseende dessa rättigheter ska därför införas med stöd av artikel 89.3. Detta undantag ska endast gälla för material som är utgivet.
Bestämmelse om detta ska införas i nationell rätt genom utredningens förslag till förordning med bestämmelser om personuppgiftshantering i forskningsbibliotekens verksamhet.
De personuppgiftsbehandlingar som beskrivs i avsnitt 4.5–4.9 har alla det gemensamt att det rör sådan behandling av uppgifter i löpande text som förekommer i det material biblioteken har i uppgift att tillhandahålla. De registrerades rättigheter kan vara svåra eller omöjliga att tillämpa inom biblioteksverksamhet i dessa sammanhang. Vi behandlar därför frågan om undantag från de registrerades rättigheter i dessa sammanhang i det nedanstående avsnittet. Vad gäller vissa andra personuppgiftsbehandlingar behandlar vi frågor om undantag från registrerades rättigheter i anslutning till övriga förslag (exempelvis för text- och datautvinning i avsnitt 4.10.5 samt för KB:s kulturarw³verksamhet i avsnitt 5.7.5).
Undantag från vissa rättigheter
Rätt till tillgång
Rätten till tillgång framgår av artikel 15 och omfattar vad som tidigare benämndes registerutdrag. Regeln har till skillnad från bestämmelsen om information som den personuppgiftsansvarige ska tillhandahålla till den registrerade enligt artikel 14 inget inbyggt undantag. Denna rättighet ger en enskild person möjlighet att framför allt begära information om huruvida ett bibliotek behandlar uppgifter om honom eller henne genom att uppgifter förekommer lagrade i det digitaliserade materialet.
Om det förekommer direkta personuppgifter, framför allt om personen är namngiven, kan det vara möjligt för biblioteket att tillgodose denna rättighet genom att fulltextsöka igenom sitt digitaliserade material. Detta ställer dock höga krav på bibliotekets informationshantering i sin verksamhet med bl.a. tillförlitlig textigenkänning (OCR) av det digitaliserade materialet samt bra söksystem. Tvetydig namngivning kan också försvåra för biblioteket att tillgodose denna rättighet. Om t.ex. en person med ett vanligt namn och inga andra identifierande uppgifter begär tillgång enligt artikel 15 kan biblioteket få svårt att skilja uppgifter om just denna person från alla andra personer med samma namn. Rent praktiskt riskerar denna rätt att bli omöjlig eller mycket svår för biblioteken att efterleva. Vår bedömning är att om denna rättighet skulle tillgodoses skulle det göra det mycket svårare att uppfylla de särskilda ändamålen med bibliotekens digitala hantering av biblioteksmaterial i enlighet med avsnitt 4.5, 4.6, 4.7 och 4.8. Vi har i dessa avsnitt bedömt att den personuppgiftsbehandling som förekommer i dessa verksamheter är nödvändig för ett arkivändamål av allmänt intresse. Det finns därför ett utrymme att med stöd av artikel 89.3 föreskriva ett undantag från rätten till tillgång vid sådana personuppgiftsbehandlingar. Vi föreslår att ett sådant undantag tas in i den föreslagna nya förordningen.
Rätt till rättelse
Rätt till rättelse följer av artikel 16. Det är för ett bibliotek otänkbart att faktiskt gå in och ändra uppgifter i en författares verk, även när dessa skulle visa sig felaktiga. I den mån en rätt till rättelse skulle
omfatta ändringar av verk i digital form måste därför denna rättighet för den enskilde begränsas. En sådan begränsning är tillåten eftersom verksamheten enligt utredningens bedömning behandlar personuppgifterna för ett arkivändamål av allmänt intresse, och ett tillgodoseende av denna rättighet skulle göra det omöjligt eller mycket svårare att uppfylla detta ändamål. Det finns därför ett utrymme för att med stöd av artikel 89.3 föreskriva ett undantag från rätten till rättelse vid denna typ av personuppgiftsbehandlingar. Vi föreslår att ett sådant undantag tas in i den föreslagna nya förordningen.
Rätt att göra invändningar
Den registrerade ska, enligt artikel 21, ha rätt att göra invändningar mot behandling av sina personuppgifter av skäl som hänför sig till hans eller hennes specifika situation när denna behandling utförs och den är nödvändig på grund av en arbetsuppgift av allmänt intresse. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. För den aktuella behandlingen torde biblioteken regelmässigt kunna påvisa sådana tvingande berättigade skäl utifrån sitt uppdrag. Det är lika otänkbart att gå in och stryka uppgifter ur ett verk som det är att ändra uppgifter (jfr rätten till rättelse ovan). Vi har i tidigare avsnitt bedömt att de ovannämnda personuppgiftsbehandlingarna är nödvändiga för arkivändamål av allmänt intresse. Det finns därför ett utrymme att med stöd av artikel 89.3 föreskriva ett undantag från rätten att göra invändningar vid sådana personuppgiftsbehandlingar. Vi föreslår att ett sådant undantag tas in i den nya förordningen.
Övriga rättigheter
Information till den registrerade
Enligt artikel 14 i dataskyddsförordningen ska den personuppgiftsansvarige förse den registrerade med viss information när personuppgifterna inte har erhållits från denne. Enligt artikel 14.5 ska dock
denna skyldighet inte tillämpas om tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för bl.a. behandling för arkivändamål av allmänt intresse. Detta torde enligt utredningens bedömning vara fallet för sådana uppgifter som förekommer i löpande text i biblioteksmaterialet. Det är dock upp till den personuppgiftsansvarige att bedöma detta från fall till fall.
Rätt till radering
Rätt till radering enligt artikel 17 föreligger endast i vissa uppräknade fall, varav egentligen endast artikel 17.1 c (när den registrerade invänder mot behandlingen i enlighet med artikel 21.1 eller 21.2) kan vara tillämplig i de aktuella verksamheterna. Det saknas utrymme för att med stöd av artikel 89.3 begränsa denna rättighet, Eftersom vi föreslår ett undantag i rätten till invändning kommer rätten till radering i praktiken inte kunna användas av enskild för att få biblioteken att radera uppgifter om denne i sådant biblioteksmaterial som är nödvändigt att behandla för arkivändamål av allmänt intresse. Se ovan angående undantag från artikel 21.
Rätt till begränsning av behandling
Även rätten till begränsning av behandling enligt artikel 18 föreligger endast i vissa uppräknade fall, varav egentligen endast artikel 18.1 d (den registrerade har invänt mot behandling i enlighet med artikel 21.1) kan vara tillämplig i de aktuella verksamheterna. Inte heller denna rättighet kommer i praktiken kunna användas av enskild när det är fråga om nödvändig behandling för arkivändamål av allmänt intresse. Se ovan angående undantag från artikel 21.
Anmälningsskyldighet avseende rättelse eller radering
Anmälningsskyldigheten för den personuppgiftsansvarige enligt artikel 19 föreligger endast om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning, och blir bara aktuellt om rättelse eller radering skulle vara för handen, vilket inte lär bli fallet
här. Det saknas därför anledning att överväga ett undantag från denna rättighet i nationell rätt.
Rätt till dataportabilitet
Rätt till dataportabilitet enligt artikel 20 föreligger endast när behandlingen grundar sig på samtycke eller avtal, vilket som regel inte är fallet i den aktuella verksamheten.
5 Personuppgiftsbehandling särskilt i Kungliga bibliotekets verksamhet
I föregående kapitel avhandlades forskningsbibliotekens verksamhet. Mot bakgrund av att KB enligt sin instruktion, förordning (2008:1421) med instruktion för Kungl. biblioteket, utgör ett forskningsbibliotek är föregående kapitel även tillämpligt på KB. I detta avsnitt uppmärksammas sådana delar av KB:s verksamhet som är unika för nationalbiblioteket, utifrån denna myndighets särskilda ställning och uppdrag.
Det finns ett antal lagar och förordningar som särskilt reglerar dessa uppdrag. Det rör sig om lagen (1993:1392) om pliktexemplar av dokument samt förordningen (2008:1420) om pliktexemplar av dokument (nedan kallad pliktlagstiftningen), lagen (2012:492) om pliktexemplar av elektroniskt material samt förordningen (2012:866) om pliktexemplar av elektroniskt material (nedan kallad e-pliktlagstiftningen) samt förordningen (2002:287) om behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsprojekt, nedan kallad kulturarw³-förordningen. Vi kommer i detta kapitel att analysera denna speciallagstiftning utifrån kraven i dataskyddsförordningen78.
78 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.
Ett sätt att beskriva KB:s verksamhet är utifrån de olika samlingarna i biblioteket. Ur ett personuppgiftsperspektiv är det då särskilt relevant att behandla dels de analoga samlingarna, dels de digitala samlingarna.
Figur 2 KB:s samlingar
Innehållet i och hanteringen av de olika samlingarna är reglerat i ovannämnda författningar. Den praktiskt viktigaste regleringen återfinns i plikt- och e-pliktlagstiftningen.
Det som kan betecknas som ”traditionell biblioteksverksamhet” – att samla in, hålla ordning och tillhandahålla tryckt material i fysisk/analog form, och som rör de analoga samlingarna – medför endast begränsad behandling av personuppgifter i datasskyddsförordningens mening. Det rör sig främst om metadata om innehållet i bibliotekskatalogen
och främst då uppgifter om verkens författare eller redaktörer, tillsammans med titlar och andra uppgifter om verken. Sådana uppgifter utgör endast undantagsvis känsliga personuppgifter. Innehållet i verken kan däremot förväntas innehålla känsliga personuppgifter samt uppgifter om lagöverträdelser m.m. i större utsträckning, men behandling av dessa faller enligt vår bedömning utanför såväl personuppgiftslagen (1998:204) som dataskyddsförordningens tillämpningsområde, eftersom det inte är fråga om behandling som helt eller delvis företas på automatisk väg. Detta innebär att tillhandahållande av verken till allmänheten – vilket får sägas en av de mest centrala uppgifterna för ett nationalbibliotek – inte utgör personuppgiftsbehandling, utöver den registrering av den enskilde besökaren i låntagarregister, besöksloggar och liknande som kan förekomma (och som har avhandlats i avsnitt 4.3).
Vad gäller de digitala samlingarna är rättsläget ett annat. Det är fråga om ungefär samma typer av känsliga personuppgifter samt uppgifter om lagöverträdelser m.m. i dessa verk, men eftersom behandling av innehållet i de digitaliserade verken (såväl text som audiovisuella verk) företas helt eller delvis på automatiserad väg faller den under personuppgiftslagens respektive dataskyddsförordningens tillämpningsområde. Detta innebär att allt biblioteket företar sig med innehållet i den digitala samlingen (införskaffande, lagrande, tillgängliggörande, m.m.) måste ha en rättslig grund i enlighet med dataskyddsförordningen, och i övrigt följa denna reglerings krav på behandlingen.
På vissa områden inom de analoga samlingarna har KB inlett digitaliseringsprojekt, främst rörande äldre källmaterial såsom kartor, bilder och handskrifter, men även vissa dagstidningar. I den utsträckning detta material innehåller uppgifter om nu levande personer utgör även digitaliseringen, såväl som efterföljande lagring och tillgängliggörande, personuppgiftsbehandling.
Svenska samlingen
Den centrala delen av KB:s samlingar går under beteckningen Svenska samlingen, och innehåller såväl analogt som digitalt material. Denna samling omfattar sådant material som är inlämnat till KB med stöd av pliktlagstiftningen i pliktlagen, vilket gällande analogt tryckmaterial till övervägande del är sådana skrifter som omfattas av 1 kap 5 § tryckfrihetsförordningen (jfr 5–9 §§ pliktlagen).
Suecana
Av KB:s instruktion 2 § 2 p framgår att biblioteket ska samla, förvara, beskriva och tillhandahålla utomlands utgivna publikationer med svensk anknytning. Denna samling, som alltså underhålls utan stöd i pliktlagstiftning, innehåller utländsk litteratur om Sverige och svenska förhållanden och svensk litteratur i översättning till främmande språk. Samlingen kallas för Suecana.
Utländska samlingen
Av KB:s instruktion 2 § 3 p framgår vidare att biblioteket ska samla, förvara, beskriva och tillhandahålla en representativ samling utländsk litteratur, särskilt inom samhällsvetenskap och humaniora. Denna uppgift anknyter närmare till KB:s roll som forskningsbibliotek, snarare än nationalbibliotek.
Donationer
KB får enligt 3 § instruktionen ta emot donationer eller på annat sätt förvärva material av vissa typer. Detta har i praktiken medfört två delsamlingar; dels personarkiven, dels filmarkivet i Grängesberg. Gemensamt för dessa är att det i allmänhet är fråga om sådant material som inte tillgängliggjorts för allmänheten enligt regleringen i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Materialet kan
innehålla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. i löpande text samt i bild.
Övriga analoga samlingar
Bland de övriga samlingarna räknas även KB:s samlingar av äldre handskrifter, kartor, bilder samt samlingarna i Roggebiblioteket i Strängnäs.79 Dessa torde, på grund av materialets ålder, endast i undantagsfall innehålla uppgifter om nu levande personer.
Utredningens bedömning: Analogt material faller normalt inte in
under dataskyddsförordningens tillämpningsområde. Tillgängliggörandet av fysiska exemplar i enlighet med pliktlagen omfattas inte heller av regleringen i dataskyddsförordningen. Det analoga materialet omfattas av grundlagsskyddet i TF.
Behandling av personuppgifter i analogt material omfattas normalt inte av dataskyddsförordningens bestämmelser. Dataskyddsförordningen kan i vissa fall bli tillämplig även på manuell behandling av personuppgifter nämligen om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier.80 Det analoga materialet på KB omfattas dock av grundlagsskyddet för tryckt skrift i TF och då främst skrifter som både trycks och utges inom Sverige. Det finns emellertid undantag för utländskt tryckt skrift.81 Nyckelorden i detta sammanhang är tryckt skrift. Härmed avses det fysiska exemplaret som därmed omfattas av grundlagsskyddet i TF. Enligt utredningens bedömning bör de analoga samlingarna till största delen omfattas av grundlagsskyddet i TF.
79 Roggebiblioteket är ursprungligen ett stift- och läroverksbibliotek med anor från 1626 som numera är en del av KB. Innehållet i biblioteket beskrivs på http://www.kb.se/samlingarna/oversikt/Roggebiblioteket/ 80 Artikel 2.1 och 4.2 samt skäl 15. 81 Se avsnitt 3.3 i denna promemoria.
Insamling
Enligt e-pliktlagen är varje utgivare skyldig att skicka elektroniskt material som omfattas av regleringen på en fysisk databärare (exempelvis CD-ROM) till KB. Eftersom de som publicerar leveranspliktigt material gör detta i en heldigital miljö med tillgång till snabba internetförbindelser är förstås en sådan form för överlämnande opraktisk. I praktiken kan därför publicister leverera materialet över nätet. Detta görs på frivillig basis. I dag sker det genom automatiska nätverksleveranser82 där antingen leverantören överför materialet till en FTPserver83 hos KB, eller där KB automatiskt hämtar det material som leverantören publicerat i ett RSS-flöde,84 eller genom manuell uppladdning av materialet i ett webbgränssnitt som KB tillhandahåller.
Tillgängliggörande
Varken e-pliktlagstiftningen eller KB:s instruktion reglerar särskilt allmänhetens tillgång till det insamlade materialet. Från våra tilläggsdirektiv (dir. 2017:29) framgår inte att utredningens uppdrag omfattar frågan om tillgängliggörande av det insamlade materialet.
Regeringen har uttalat sin avsikt att utreda frågan i särskild ordning. E-plikt-frågan i allmänhet är omfattande och samtidigt välutredd. Tre separata utredningar har föreslagit e-plikt (SOU 1998:111, SOU 2003:129 och Ds. 2009:61), varav endast det sista förslaget har lett till lagstiftning. I den utredningen hade man explicit inte i uppdrag att utreda integritetsskyddsaspekter på tillgängliggörandet av det insamlade materialet.
82 Automatiska nätverksleveranser beskrivs på http://www.kb.se/plikt/eplikt/leveransmetoder/leverans-over-natverk/ 83 File Transfer Protocol, en standard för filöverföringar över Internet. 84 Rich Site Summary, en standard för att tillgängliggöra publicering av innehåll på en webbplats så att nytillkommet material kan hämtas med automatik.
Regeringen uttalade i senare proposition ”Leveransplikt för elektroniskt material” att man avsåg att återkomma när det gäller tillhandahållandet av det material som samlas in med leveransplikt. 85Liknande uttalande gjordes i propositionen ”Forskning för ett bättre liv” efter den andra utredningen.86
Tillgängliggörande av e-pliktmaterial måste förenas med skyddsåtgärder, eftersom känsliga uppgifter kan förekomma i materialet. Många olika skyddsåtgärder är tänkbara för ett sådant tillgängliggörande, exempelvis åtkomst via särskilda terminaler i KB:s lokaler, att materialet endast är tillgängligt för forskare, att distansåtkomst är möjlig från andra forskningsbibliotek, att sökbegränsningar gäller för materialet, m.m. Valet av skyddsåtgärd(er) får avsevärd effekt på värdet av e-pliktsystemet i sin helhet.
Vårt uppdrag är att utreda KB:s hantering av personuppgifter i verksamheten. Generellt tillhandahållande av e-pliktmaterial är i dagsläget inte en verksamhet för KB. Det finns enligt uppgift från KB inget system som ger access till materialet. Att generellt tillhandahållande av e-pliktmaterial inte är en del av verksamheten framgår motsatsvis av KB:s instruktion. 1 § 1 p säger att man ska ”ta emot, förvara, beskriva och tillhandahålla den svenska tryckproduktionen”, medan 2 § 1 p endast säger att man ska ”fullgöra de uppgifter som följer av … förordningen (2012:866) om pliktexemplar av elektroniskt material”, och den förordningen ålägger i sin tur KB endast att ”för framtiden bevara det som lämnats enligt lagen om pliktexemplar av elektroniskt material”.
Sammantaget är vår bedömning att frågan om tillhandahållande av e-pliktmaterialet måste utredas i särskild ordning med stöd av ett tydligt uppdrag. Vi delar KB:s bedömning att förutsättningarna för tillhandahållande av materialet måste utredas.87
Utredningens bedömning: KB:s arbetsuppgift att samla in och
bevara e-pliktmaterial är fastställd i nationell rätt genom en tydlig, precis och förutsägbar reglering. KB kan därför tillämpa den
85prop. 2011/12:121 s. 1286prop. 2004/05:80 s. 110 f 87 KB:s studie ”Pliktenunder lupp!” (2017), avsnitt 16.1.3 och 16.2.4.
rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e när nödvändig behandling av personuppgifter utförs för att fullgöra uppgiften. Insamlande och bevarande av e-pliktmaterialet är följaktligen en arbetsuppgift av allmänt intresse. Det saknas däremot rättslig grund för den personuppgiftsbehandling som följer av att materialet tillgängliggörs.
Tillämplig rättslig grund
Insamling och bevarande av material i elektronisk form medför behandling av en stor mängd av personuppgifter, såväl i strukturerade metadata som de personuppgifter som förekommer i löpande text i materialet. Uppgiften att samla in och bevara materialet är fastställd i e-pliktlagstiftningen. Den rättsliga grunden för behandlingen är därför i första hand att den är nödvändig för att utföra en uppgift av allmänt intresse.
Tillgängliggörande av det insamlade materialet regleras inte i e-pliktlagen eller någon annan lagstiftning och kan på grund av detta inte anses utgöra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e. Det saknas därför enligt vår bedömning rättslig grund för den behandling av personuppgifter som hör samman med att materialet tillgängliggörs.88
Fastställd uppgift av allmänt intresse
Personuppgiftsbehandlingen är nödvändig för KB:s arbetsuppgift att insamla och bevara materialet som har fastställts i e-pliktlagstiftningen. Enligt utredningens bedömning måste denna uppgift anses vara av allmänt intresse.
88SOU 1998:111, E-plikt – att säkra det elektroniska kulturarvet s. 159
5.4.3. Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.
Utredningens förslag: KB ska få behandla känsliga person-
uppgifter samt uppgifter om lagöverträdelser m.m. i löpande text med stöd av artikel 9.2 j när detta är nödvändigt att utföra de arbetsuppgifter som framgår av e-pliktlagstiftningen.
Utredningens bedömning: Befintliga bestämmelser om vilket
material som omfattas av e-plikten och därför får behandlas av KB utgör sådana skyddsåtgärder som krävs enligt artikel 9.2 j.
E-pliktmaterialet kan innehålla känsliga personuppgifter samt uppgifter om lagöverträdelser m.m. För att behandling av sådant material ska vara tillåten (jfr. avsnitt 4.4.4) krävs att någon av möjligheterna till undantag i artikel 9.2 är tillämpliga. De undantag som ligger närmast till hands är behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g, eller behandling som är nödvändig för arkivändamål av allmänt intresse enligt artikel 9.2 j. I e-pliktlagstiftningens förarbeten framgår det att syftet med lagstiftningen är att tillgodose forskningens behov och att bevara det svenska kulturarvet.89 Detta talar för att det är fråga om ett arkivändamål av allmänt intresse. Vi bedömer därför personuppgiftsbehandlingen utifrån detta ändamål.
E-pliktlagstiftningen utgör enligt utredningens bedömning en sådan precis och förutsägbar reglering som krävs för att uppfylla kraven i artikel 9.2 j, men saknar dock uttryckligt reglerade lämpliga och särskilda åtgärder för att skydda den registrerades fri- och rättigheter. Det är dock svårt att förena skyddsåtgärder i form av exempelvis begränsad tillgång till, samt begränsad sökbarhet i, materialet med lagstiftningens uttalade syfte att tillgodose forskningens behov och att bevara det svenska kulturarvet. Tillhandahållande av materialet är inte reglerat, vilket rent praktiskt utgör ett skydd för den enskildes integritet. De begränsningar av vilket material som kan omfattas av e-pliktlagstiftningen (3 § e-pliktlagen) utgör också ett skydd för den registrerade, även om de inte är uttryckligen är utformade som skyddsåtgärder. Vår sammantagna bedömning är
därför att nuvarande reglering utgör sådana skyddsåtgärder som krävs enligt artikel 9.2 j. Om frågan om tillhandahållande av materialet utreds, får i det sammanhanget närmare analyseras vilka bestämmelser om särskilda och lämpliga skyddsåtgärder som ska ingå i den regleringen.
5.4.4. Registrerades rättigheter
Utredningens förslag: Den registrerades rätt till tillgång enligt
artikel 15, rätt till rättelse enligt artikel 16 samt rätt till invändning enligt artikel 21 dataskyddsförordningen ska inte gälla vid nödvändig behandling för att utföra uppgifterna som framgår av epliktlagstiftningen. En sådan bestämmelse ska tas in i e-pliktförordningen med stöd av artikel 89.3.
De svårigheter som finns för forskningsbiblioteken att tillämpa vissa av de registrerades rättigheter när uppgifter förekommer i biblioteksmaterial, som har behandlats i avsnitt 4.11.3, gäller i samma utsträckning för e-pliktmaterialet i KB:s verksamhet. Det är lika otänkbart att i denna verksamhet rätta felaktiga personuppgifter i e-pliktmaterialet eller att låta den enskilde invända mot behandlingen. Med hänvisning till resonemanget i avsnitt 4.11.3 föreslår vi därför att motsvarande undantag tas in i e-pliktförordningen.
Redan innan den generella e-plikten infördes 2012 fanns en begränsad form av elektronisk pliktleverans. I 4 § förordningen (2006:1226) om Post- och Inrikes Tidningar (PoIT-förordningen) stadgas att Bolagsverket, som ansvarig för PoIT, ska göra utskrifter av nya uppgifter och sända dessa till bl.a. KB. Av andra stycket framgår att KB har rätt att begära uppgifterna i elektronisk form, vilket också i dagsläget görs. Denna form av elektronisk pliktleverans har förekommit innan de generella e-pliktleveranserna inleddes.
Utredningens bedömning: KB:s insamlande och bevarande av upp-
gifter från Post- och Inrikes Tidningar är en arbetsuppgift av allmänt intresse. Uppgiften är fastställd i nationell rätt genom 4 § PoITförordningen, vilken utgör en tydlig, precis och förutsägbar reglering. KB kan därför tillämpa den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e när nödvändig behandling av personuppgifter utförs för att fullgöra arbetsuppgiften.
Tillämplig rättslig grund
De personuppgifter som förekommer i PoIT är av skilda slag och rör framför allt näringslivet. Detta hindrar inte att vissa uppgifter hänför sig till enskilda fysiska personer. Bolagsverket har fått i uppgift att framställa publikationen och tillgängliggöra den i elektronisk form på myndighetens webbplats. Denna reglering talar för att behandlingen hos Bolagsverket görs med stöd av artikel 6.1 e på grund av att den är nödvändig för att utföra en uppgift av allmänt intresse. Samma rättsliga grund torde gälla för KB:s behandling av samma uppgifter.
Fastställd uppgift av allmänt intresse
Enligt 4 § andra stycket framgår som sagt att KB har rätt att begära uppgifterna i elektronisk form. Denna bestämmelse kompletterar uppgiften i första stycket, som anger en plikt för Bolagsverket att skicka utskrivna exemplar av uppgifterna till bl.a. KB. Att hantera samma uppgifter i elektronisk form, får därför anses vara en del av KB:s uppgift att ta emot och bevara uppgifterna.
Under dessa förutsättningar finns det en fastställd arbetsuppgift för KB för vilken det är nödvändigt med den aktuella personuppgiftsbehandlingen.
Utredningens förslag: KB ska få ta emot och bevara känsliga
personuppgifter som förekommer i PoIT med stöd av artikel 9.2 j. En sådan bestämmelse ska tas in PoIT-förordningen.
Enligt 7 § PoIT-förordningen kan känsliga personuppgifter samt uppgifter om lagöverträdelser förekomma i PoIT om det är nödvändigt för att kungöra sådana uppgifter som enligt lag eller förordning ska kungöras i PoIT. När KB tar emot uppgifter från PoIT elektroniskt innebär detta att myndigheten behandlar känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.
Eftersom överföringen kan ses som en form av elektronisk pliktleverans, gör vi bedömningen att myndighetens fastställda arbetsuppgift medför behandling av personuppgifter som är nödvändig för ett arkivändamål av allmänt intresse. Behandling av de känsliga personuppgifterna kan därför utföras med stöd av artikel 9.2 j, på samma sätt som när det gäller e-pliktmaterial (se avsnitt 0)
Utredningens förslag: Den registrerades rätt till tillgång enligt
artikel 15, rätt till rättelse enligt artikel 16 samt rätt till invändning enligt artikel 21 dataskyddsförordningen ska inte gälla vid nödvändig behandling för att utföra KB:s arbetsuppgifter som framgår av PoIT-förordningen. En sådan bestämmelse ska tas in i PoITförordningen med stöd av artikel 89.3.
Samma argument som har anförts i avsnitt 5.4.4 till varför registrerades rätt till rättelse och till invändning ska inskränkas är tillämpbara även för PoIT-materialet.
KB:s samlingar av ljud och bild innehåller bland annat tv, radio, video, biovisad film, skivor, ljudböcker och datorspel. Materialet har samlats in med stöd av 12, 14, 17 och 18 §§ pliktlagen. Äldre innehåll har levererats på analoga eller digitala databärare som film, kassettband, CD-skivor och liknande. Nytt material, särskilt utsänd radio och tv, samlas i praktiken in genom internetöverföringar till KB. Verksamheten var tidigare en del av Statens Ljud- och Bildarkiv, som 2008 överfördes till en ny avdelning inom KB.
Innehållet i verksamhetens samlingar är sökbart för allmänheten via Svensk mediedatabas, SMDB.90 Själva det audiovisuella materialet är tillgängligt hos KB i Humlegården, Stockholm samt som fjärrlån till utvalda bibliotek.
Innehållet i de audiovisuella samlingarna räknas som del av bibliotekets bestånd, och utgör därför inte allmänna handlingar. Det är därmed inte en del av myndighetens arkiv i arkivlagens mening, även om verksamheten tidigare bedrevs under namnet Statens Ljud- och bildarkiv och att det i KB:s instruktion framgår att myndigheten bl.a. är arkiv för ljud- och bilddokument och rörliga bilder.
Utredningens bedömning: Insamlande, bevarande och tillgäng-
liggörande av materialet i de audiovisuella samlingarna är en fastställd arbetsuppgift genom pliktlagstiftningen och KB:s instruktion. Författningarna utgör tydliga, precisa och förutsägbara regleringar. KB kan därför tillämpa den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e när nödvändig behandling av personuppgifter utförs för att fullgöra arbetsuppgiften.
Utredningens förslag: Regeringen eller den myndighet, som
regeringen bestämmer i enskilda fall, ska i pliktlagen bemyndigas
90 https://smdb.kb.se/
att besluta om att skyldigheten att lämna pliktexemplar ska få fullgöras på annat sätt, vad gäller audiovisuellt material. I förordningen om pliktexemplar av dokument ska KB få bemyndigande att besluta om på vilket sätt skyldigheten att lämna pliktexemplar ska fullgöras.
Tillämplig rättslig grund
Materialet i de audiovisuella samlingarna härstammar från Statens Ljud- och bildarkiv (SLBA). Enligt vår bedömning bör materialet betraktas som en del av bibliotekens samlingar och utgör därmed inte allmänna handlingar (se avsnitt 3.6). Uppgiften att samla in, bevara och tillgängliggöra materialet är reglerat i myndighetens instruktion och pliktlagstiftningen. Den rättsliga grunden för behandlingen är därför i första hand att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse.
Rättsläget för de audiovisuella samlingarna skiljer sig inte på ett avgörande vis från e-pliktmaterialet, med undantag för att stödet återfinns i den vanliga pliktlagen. Det finns dock en teknikberoende aspekt i dagens pliktlag som förutsätter att materialet ska pliktlevereras på en fysisk bärare (såsom band eller CD-skiva). Enligt definitionerna i pliktlagen definieras pliktexemplar som exemplar av dokument (1 §). Dokument definieras i sin tur som ett föremål som lagrar information för läsning, avlyssning eller visning (2 §).
I praktiken levereras materialet dock över nätverk, utan att vara fäst vid något fysiskt föremål. I den mån insamlande i praktiken gör avsteg från vad som är reglerat kan därför rättslig grund för behandlingen saknas.
Fastställd uppgift av allmänt intresse
Av 2 § KB:s instruktion framgår att myndigheten ska fullgöra de uppgifter som följer av bl.a. pliktlagen. Detta utgör en tydlig, precis och förutsägbar reglering av en arbetsuppgift av allmänt intresse. Eftersom materialet i praktiken levereras över nätverk faller dock sådan personuppgiftsbehandling utanför den reglerade arbetsuppgiften. För att myndigheten på ett ändamålsenligt sätt ska kunna
behandla personuppgifter behöver därför regleringen av den fastställda arbetsuppgiften ändras för att KB ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e.
Vi föreslår därför bemyndigande i pliktlagen och anknytande förordning som ger KB rätt att i enskilda fall få besluta om att skyldigheten att lämna pliktexemplar ska få fullgöras på annat sätt. Denna form av reglering motsvarar hur e-plikten är utformad i 10 § andra stycket e-pliktlagen och ger KB möjlighet att själv besluta om i vilken form det audiovisuella materialet ska levereras.
Utredningens förslag: KB ska få behandla känsliga person-
uppgifter samt uppgifter om lagöverträdelser m.m. i audiovisuellt material med stöd av artikel 9.2 j när detta är nödvändigt att utföra de arbetsuppgifter som framgår av pliktlagstiftningen.
Utredningens bedömning: Befintliga bestämmelser om vilket
audiovisuellt material som omfattas av plikten och därför kommer att behandlas av KB utgör sådana skyddsåtgärder som krävs enligt artikel 9.2 j.
Precis som övrigt material i KBs samlingar kan det i de audiovisuella samlingarna förekomma känsliga personuppgifter samt uppgifter om lagöverträdelser m.m. Materialets audiovisuella karaktär innebär att det är svårare att söka och sammanställa uppgifter om en enskild person jämfört med i textmaterial, vilket utgör ett visst skydd mot särskilt integritetskränkande handlingar. Precis som vid all behandling av känsliga personuppgifter krävs särskilt författningsstöd. Vår bedömning är att behandling av personuppgifter är nödvändig för ett arkivändamål av allmänt intresse. Vi gör denna bedömning av samma anledningar som för e-pliktmaterialet (se avsnitt 0) . Vi föreslår således en bestämmelse som möjliggör sådan behandling som är nödvändig för att utföra denna arbetsuppgift. De existerande bestämmelserna om vilket material som omfattas av plikten utgör sådana skyddsåtgärder som krävs enligt artikel 9.2 j.
Utredningens förslag: Den registrerades rätt till tillgång enligt
artikel 15, rätt till rättelse enligt artikel 16 samt rätt till invändning enligt artikel 21 dataskyddsförordningen ska inte gälla vid nödvändig behandling för att utföra uppgifterna som framgår av pliktlagstiftningen vad gäller audiovisuellt material. En sådan bestämmelse ska tas in i pliktförordningen med stöd av artikel 89.3.
Samma argument som har anförts i avsnitt 5.4.4 till varför registrerades rätt till rättelse och till invändning ska inskränkas är tillämpbara även för det audiovisuella materialet.
5.7.1. Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar
År 1996 påbörjade KB arbetet med Kulturarw³, som syftar till att med hjälp av automatiserad robotteknik samla in och bevara svenska dokument på internet för kommande generationer.
Utgångspunkten för arbetet är att alla svenska webbsidor ska sparas. Det främsta skälet för en i det närmaste total insamling i stället för ett noggrant urval är enligt KB att man inte kan veta vilket material som i framtiden kommer att anses som värdefullt och efterfrågat.91 Insamlingen kan ses som ett komplement till den insamling som görs med stöd av plikt- och e-pliktlagstiftningen.
5.7.2. Rättslig grund för behandlingen
Utredningens bedömning: Personuppgiftsbehandling inom
Kulturarw³ är nödvändig för att utföra den arbetsuppgift av allmänt intresse som framgår av Kulturarw³-förordningen. Det finns därmed en rättslig grund för behandlingen.
91Ds 2009:61 Leveransplikt för elektroniska dokument s. 41.
Utredningens förslag: KB:s uppdrag att utföra uppgiften ska
framgå av myndighetens instruktion. Hänvisningar till personuppgiftslagen ska ersättas med motsvarande hänvisningar till dataskyddsförordningen. Verksamheten ska betecknas ”Kungliga bibliotekets digitala kulturarvsverksamhet”.
Tillämplig rättslig grund
Uppgiften att samla in och bevara svenska dokument på internet är fastställd i Kulturarw³-förordningen. Den rättsliga grunden för behandlingen är därför i första hand att den är nödvändig för att utföra en uppgift av allmänt intresse.
Fastställd uppgift av allmänt intresse
Själva uppdraget med robotinsamling av svenska internet framgår inte av myndighetens instruktion. Rättsligt stöd för personuppgiftsbehandlingen som detta arbete medför finns dock i Kulturarw³förordningen.92 Denna utgör en sådan nationell lagstiftning som specificerar tillämpningen av dataskyddsförordningen och fastställer närmare villkor för personuppgiftsbehandlingen enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Av Kulturarw³-förordningen framgår dock inte uttryckligen att KB har i uppdrag att utföra denna robotinsamling. Vi föreslår därför att detta ska framgå av myndighetens instruktion.
På flera ställen i Kulturarw³-förordningen förekommer dock hänvisningar till enskilda bestämmelser i personuppgiftslagen. Dessa hänvisningar måste ändras till motsvarande bestämmelser i dataskyddsförordningen. I rubriker bör ”personuppgiftslagen” kunna ersättas av ”annan dataskyddsreglering”, vilket är samma uttryck som vi använt i delbetänkandets förslag om ändring i andra registerförfattningar.
Förordningen hänvisar även till ”Kungl. bibliotekets digitala kulturarvsprojekt” vilket numera är missvisande eftersom kulturarvsarbetet är en del av den löpande verksamheten, om än inte föreskriven i instruktion eller regleringsbrev. Eftersom verksamheten av denna
92 Förordning (2002:287) om behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsprojekt.
anledning saknar ”officiell” beteckning, föreslår vi att uttrycket i författningen, inklusive i dess titel, ersätts av ”Kungliga bibliotekets digitala kulturarvsverksamhet”
5.7.3. Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.
Utredningens bedömning: Personuppgiftsbehandling inom
Kulturarw³ är nödvändig av hänsyn till ett arkivändamål av allmänt intresse som framgår av Kulturarw³-förordningen. Förordningen uppfyller även i övrigt de krav som framgår av artikel 9.2 j.
Eftersom verksamheten omfattar behandling av känsliga personuppgifter krävs att denna behandling är nödvändig av hänsyn till ett viktigt allmänt intresse eller av hänsyn till ett arkivändamål av allmänt intresse. Sett utifrån syftet att komplettera en pliktlagstiftning som i sig kan betraktas som motiverad av arkivändamål av allmänt intresse finns fog för att betrakta även verksamheten inom Kulturarw³ som ett arkivändamål av allmänt intresse. Lagstiftningen är proportionerlig utifrån detta syfte, och även förenlig med det väsentliga innehållet i rätten till dataskydd. Den befintliga regleringen innehåller ett undantag från förbudet att behandla känsliga personuppgifter (6 § med föreslagna ändringar om hänvisning till dataskyddsförordningen i stället för personuppgiftslagen). Regleringen innehåller vidare skyddsåtgärder genom att tillgängligheten är begränsad (10 §) samt att vissa typer av uppgifter inte får användas som sökbegrepp (13 §), vilket enligt vår bedömning uppfyller kraven på lämpliga och särskilda åtgärder. Sammantaget uppfyller förordningen de krav som framgår av artikel 9.2 j.
5.7.4. Grundläggande principer för behandlingen
Utredningens förslag: Ändamålet med den insamling, det beva-
rande och tillgängliggörande av personuppgifter som förekommer inom Kulturarw³ är att tillgodose behovet av forskning och information om det nationella digitala kulturarvet. Detta ska uttryckligen anges i kulturarw³-förordningen.
Enligt principen om ändamålsbegränsning (artikel 5.1 b) måste de ändamål för vilka uppgifter samlas in vara särskilda, uttryckligt angivna och berättigade.
Ändamålet för kulturarw³-uppdraget är inte definierat i dess förordning, men angavs vid arbetets påbörjande att samla in och bevara svenska dokument på internet för kommande generationer.93Den kan även ses som en komplettering till pliktlagstiftningen för sådant material som inte trycks eller ges ut på ett sådant sätt att epliktlagstiftningen är tillämplig. Ändamålet med verksamheten är med andra ord att tillgodose behovet av forskning och information om det nationella digitala kulturarvet.
Ändamålet är dock inte uttryckligt angivet, och bör lämpligen framgå av den nationella rätten, eftersom det är denna som utgör den fastställda grunden för behandlingen. För att ändamålet ska vara korrekt beskrivet bör verksamheten vidare inte beskrivas som projekt utan som en permanent uppgift för nationalbiblioteket.
5.7.5. Registrerades rättigheter
Utredningens förslag: Bestämmelsen om att en enskild registre-
rad inte kan motsätta sig behandlingen kan behållas, men ska förenas med skyddsåtgärd. Som skyddsåtgärd ska gälla att om en enskild registrerad invänder mot att vissa specificerade uppgifter behandlas ska KB spärra dessa uppgifter från att visas genom direktåtkomst, såvida inte KB kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.
Enligt 3 § andra stycket Kulturarw³-förordningen har en registrerad person inte rätt att motsätta sig sådan behandling som är tillåten enligt förordningen.
Enligt artikel 21.1 i dataskyddsförordningen ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på bl.a. artikel 6.1 e. Den
personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.
Den registrerade har vidare enligt artikel 17.1 c rätt att få sina personuppgifter raderade om denne invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre.
Kulturarw³-förordningens bestämmelse om att en registrerad person inte har rätt att motsätta sig behandling av personuppgifter är inte förenlig med rätten till att göra invändningar enligt artikel 21.1 eller rätten till radering enligt artikel 17.1 c i dataskyddsförordningen. Det finns dock möjlighet att inom ramen för artikel 89.3 1 införa nationella inskränkningar av dessa rättigheter.
Den enskildes rätt att göra invändningar kan inskränkas i nationell rätt om uppgifter behandlas för arkivändamål av allmänt intresse enligt artikel 89.3. Vår bedömning är att Kulturarw³, utifrån det ändamål som anges i dess förordning, behandlar personuppgifter för arkivändamål av allmänt intresse. Den nuvarande bestämmelsen i 3 § andra stycket Kulturarw³-förordningen är därför en sådan inskränkning av den registrerades rättigheter som är tillåten enligt nationell rätt med stöd av artikel 89.3.
Ändamålet med KB:s digitala kulturverksamhet är att tillgodose behovet av forskning och information om det nationella digitala kulturarvet. Detta ändamål är sannolikt mycket svårare att uppfylla om enskilda har rätten att ta bort sina uppgifter ur det insamlade materialet. Det finns därför ett utrymme för den befintliga bestämmelsen om att en enskild registrerad inte kan motsätta sig, eller med förordningens terminologi, invända mot, behandlingen.
Detta undantag från den registrerades rättigheter måste dock förenas med lämpliga skyddsåtgärder. Den integritetsmässiga risken, och den som kan förväntas föranleda en enskild att invända, torde vara att personuppgifterna blir tillgängliga för alla och envar genom den möjlighet till direktåtkomst som ges i 10 § i förordningen. Vi föreslår därför att om en registrerad invänder mot att vissa specificerade uppgifter behandlas, ska dessa uppgifter blockeras från att visas genom direktåtkomst, såvida inte KB kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. Avvägningen mellan det
allmänna arkivintresset och den enskildes intresse ska göras på samma sätt som avvägningen skulle ha gjorts enligt artikel 21.1, om den hade varit tillämplig.
Det ankommer på den enskilde att specificera vilka uppgifter det är fråga om genom att exempelvis ange internetadress (URL) till materialet, och om nödvändigt även visa att uppgifterna i fråga avser denne. En enskild namngiven person måste exempelvis kunna visa att uppgifter om en viss person som nämns på en viss adress faktiskt avser just honom eller henne och inte någon annan person med samma namn.
Den enskildes rätt att motsätta sig direktåtkomst ska inte påverka KB:s möjlighet att med stöd av 9 § förordningen lämna ut uppgifter på medium för automatiserad behandling för att användas i forskning.
5.8. Personuppgiftsbehandling utanför de egentliga samlingarna
5.8.1. Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar i LIBRIS och SwePub
LIBRIS är ett samlingsnamn för ett antal olika tjänster som tillsammans utgör en nationell biblioteksinfrastruktur. Den mest namnkunniga av dessa, och som ofta likställs med LIBRIS i sin helhet, 94 är samkatalogen över svenska biblioteks innehav, tillsammans med ett sökgränssnitt.95 Det framgår av KB:s instruktion (5 § 2 p) att myndigheten särskilt ska ansvara för de nationella bibliotekssystemen LIBRIS, men däremot inte vad som utgör dessa system.
Personuppgiftsbehandlingen i dessa system är begränsad till bibliografiska uppgifter. Sådana uppgifter inkluderar inte känsliga personuppgifter eller uppgifter om lagöverträdelser annat än i undantagsfall.
94 Exempelvis så nämns under rubriken ”Om Libris” på http://librishelp.libris.kb.se/help/about_libris_swe.jsp att ”LIBRIS är en nationell söktjänst med information om titlar på svenska bibliotek”, vilket alltså inte är allt som omfattas av namnet ”Libris”. 95 Gränssnittet finns på http://libris.kb.se/
LIBRIS samkatalog och webbgränssnitt
LIBRIS är en nationell samkatalog som bygger på samverkan mellan i första hand svenska högskole- och specialbibliotek, men är öppen även för andra typer av bibliotek som vill delta i samarbetet. Innehållet i katalogen byggs upp gemensamt tillsammans med de cirka 500 biblioteksorganisationer som registrerar sitt material. LIBRIS innehåller också den svenska nationalbibliografin.
KB är systemägare för LIBRIS samt svarar för drift och utveckling, men ansvarar inte för kostnader som faller på deltagande bibliotek i form av personal, material, drift och liknande. Deltagande bibliotek är systemanvändare av LIBRIS och förbinder sig bl.a. att hålla material som har registrerats i LIBRIS tillgängligt för utlån eller läsning (eller motsvarande), följa aktuella anvisningar för katalogisering och auktoritetskontroll m.m. och fortlöpande underhålla och uppdatera bibliografiska metadata för sitt eget material, så att det är aktuellt och håller tillräckligt god kvalitet. Innehållet i LIBRIS görs tillgängligt av KB via ett gemensamt webbgränssnitt.96
LIBRIS Uppsök
Uppsök är en söktjänst för svenska examensarbeten och studentuppsatser i fulltext som skrivs på svenska universitet och högskolor. De studentuppsatser och examensarbeten som ingår i databasen är elektroniskt publicerade i fulltext vid respektive lärosäte. Varje post har en länk till uppsatsen i fulltext. Tjänsten innehåller personuppgifter främst i form av författares namn. Uppsök innehåller däremot inte uppsatserna i fulltext utan enbart länkar till dessa.
LIBRIS fjärrlån
De böcker och artiklar som inte finns på ett lokalt forskningsbibliotek kan i många fall beställas in från annat bibliotek i Sverige eller utomlands genom bibliotekets fjärrlåneavdelning. Enligt gällande bibliotekslag ska bibliotek och bibliotekshuvudmän inom det allmänna biblioteksväsendet samverka, vilket bl.a. innebär möjligheter till ett gemensamt utnyttjande av samlingar och medieresurser. KB har en
96 http://libris.kb.se/
central roll i att stödja, samordna och bevaka utvecklingen av fjärrlåneverksamheten samt att formulera övergripande rekommendationer för denna.
Sondera
Sondera är en samsökningstjänst för LIBRIS, SMDB – Svensk mediedatabas, KB och NAD – Nationell ArkivDatabas.97 En sökning i Sondera ger dels en överblick över innehållet i de tre databaserna, dels en ingång till att studera materialet direkt i respektive databas. Sondera är ett samarbetsprojekt mellan Riksarkivet och KB. Tjänsten utför angiven sökning mot de tre databaserna parallellt och presenterar resultaten sida vid sida utan någon mer sofistikerad behandling av sökresultaten. Personuppgiftsbehandlingen i Sondera ger möjlighet att fältsöka på personnamn.
SwePub
Som en följd av ett regeringsuppdrag samverkar KB med Vetenskapsrådet och med lärosätena genom Sveriges universitets- och högskoleförbund i utvecklingen av SwePub. Syftet är att möjliggöra och kvalitetssäkra bibliometriska analyser. SwePub innehåller referenser till de forskningspublikationer som finns registrerade i för närvarande ett fyrtiotal svenska lärosätens och andra myndigheters publiceringsdatabaser. Urval och omfattning varierar bland deltagande lärosäten och myndigheter. SwePub är alltså en samlad ingång till vetenskaplig publicering vid svenska lärosäten.
5.8.2. Rättslig grund för behandlingen
Utredningens bedömning: KB:s behandling av personuppgifter i
LIBRIS är nödvändig för att utföra den arbetsuppgift att ansvara för systemet som framgår av KB:s instruktion. Den behandling som förekommer i SwePub är nödvändig för att utföra ett givet regeringsuppdrag. KB kan därför tillämpa den rättsliga grunden
97 http://sondera.kb.se/
uppgift av allmänt intresse i artikel 6.1 e när nödvändig behandling av personuppgifter sker för att fullgöra dessa uppgifter.
Tillämplig rättslig grund
Arbetsuppgiften att ansvara för LIBRIS framgår av myndighetens instruktion. SwePub är resultatet av ett regeringsuppdrag. Den rättsliga grunden för personuppgiftsbehandlingen i denna del är därför i första hand att den är nödvändig för att utföra en uppgift av allmänt intresse.
Fastställd uppgift av allmänt intresse
Av KB:s instruktion (5 § 2 p) framgår som nämnts ovan att myndigheten särskilt ska ansvara för de nationella bibliotekssystemen LIBRIS. Däremot framgår inte vad som utgör dessa system. Eftersom instruktionen är så allmänt hållen är det en rimlig tolkning att KB ansvarar för alla system som ingår i LIBRIS. KB har i nuvarande regelverk författningsstöd för personuppgiftsbehandlingen i LIBRIS. KB är personuppgiftsansvarigt i och med sin roll som systemägare av LIBRIS och den som ansvarar för drift och utveckling. Denna roll har även deltagande bibliotek eftersom de, förutom att läsa och söka bland personuppgifterna i systemet, även kan ändra och komplettera dem. Av dataskyddsförordningens artikel 4.7 framgår att om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans och måste sinsemellan bestämma vem som är ansvarig för att fullgöra de olika skyldigheterna i dataskyddsförordningen. Det är här alltså fråga om personuppgiftsansvar för båda parter.
SwePub är som sagt ett resultat av ett regeringsuppdrag. Regeringsuppdrag ges mot bakgrund av en myndighets instruktion. KB har med andra ord en fastställd uppgift att inneha systemet. Uppgifterna för KB är därför fastställda i nationell rätt på ett tydligt och precist sätt, och deras tillämpning är förutsägbar. Samma bedömning gäller för det rättsliga stödet för Sondera eftersom den tjänsten sammanställer sökresultat från två utav KB:s system som redan har rättsligt stöd.
5.8.3. Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.
Utredningens bedömning: Behandling av känsliga personuppgifter
om dessa förekommer i bibliografiska uppgifter är tillåtet med stöd av artikel 9.2 j eftersom detta kan anses vara nödvändigt för ett arkivändamål av allmänt intresse på grundval av nationell rätt.
Personuppgiftsbehandlingen i dessa system är begränsad till bibliografiska uppgifter. Sådana uppgifter inkluderar inte känsliga personuppgifter eller uppgifter om lagöverträdelser annat än i undantagsfall. När detta ändå förekommer torde samma resonemang som i avsnitt 4.8.3 vara tillämpligt. Det rör sig alltså om nödvändig behandling, i detta fall med stöd av KB:s fastställda uppgift att ansvara för LIBRIS respektive SwePub.
5.8.4. Registrerades rättigheter
Utredningens bedömning: Den registrerades rätt till tillgång
enligt artikel 15, rättelse enligt artikel 16 samt rätt till invändning enligt artikel 21 dataskyddsförordningen ska inte gälla vid nödvändig behandling för att utföra fastställda arbetsuppgifter för KB vad gäller LIBRIS och SwePub. Ett sådant undantag följer av det undantag som föreslås i avsnitt 4.11.3. Samma argument som har anförts i avsnitt 5.4.4 till varför registrerades rätt till rättelse och till invändning ska inskränkas är tillämpbara även för behandling i LIBRIS och SwePub. Det undantag som föreslagits i avsnitt 4.11.3 omfattar även KB:s personuppgiftsbehandling i dessa sammanhang.
6 Analys av utredningens förslag
En utredning ska enligt 14–15 a §§kommittéförordningen (1998:1474) redovisa vilka konsekvenser förslagen i ett betänkande kan få i olika avseenden. Av 6 § förordningen (2007:1244) om konsekvensutredning vid regelgivning följer vidare att en konsekvensutredning ska innehålla vissa beskrivningar, uppgifter och bedömningar. Även om förslagen i dessa deluppdrag redovisas i form av en promemoria i stället för i ett betänkande förefaller det ändå lämpligt att redovisa konsekvenserna i samma avseenden. Dessa redovisas i avsnitt 6.1.
Enligt vårt tilläggsdirektiv 2017:87 ska utredningen även redovisa förslagens konsekvenser för aktörer i forskningssystemet. Dessa redovisas i avsnitt 6.2. Slutligen analyseras förlagens konsekvenser för den personliga integriteten i avsnitt 6.2.
Det är inledningsvis viktigt att understryka att utredningens uppdrag i denna del är att analysera vilken reglering som är möjlig och kan behövas för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i KB:s och forskningsbibliotekens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas. Vi ska i det sammanhanget beakta det förslag till lag med kompletterande bestämmelser till dataskyddsförordningen som lämnats av Dataskyddsutredningen (SOU 2017:39). De konsekvenser som direkt följer av förordningen eller Dataskyddsutredningens förslag analyseras därför inte nedan.
Utredningen föreslår i kapitel 4 att uppgiften att tillgängliggöra kunskap i syfte att stödja forskning och utbildning inom högskolans verksamhetsområde ska fastställas i nationell rätt för forskningsbiblioteken. En sådan uppgift torde redan vara underförstådd i
forskningsbibliotekens uppgift att svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid universitetet eller högskolan (12 § bibliotekslagen [2013:801]). Anledningen till att vi föreslår en uttryckligt fastställd uppgift är inte att vi eftersträvar någon förändring av bibliotekens uppgifter. Vi har dock bedömt att det behövs för att uppfylla dataskyddsförordningens krav på att en uppgift av allmänt intresse ska vara fastställd i nationell rätt samt kraven på tydlighet och förutsägbarhet.
De förslag till kompletterande bestämmelser som utredningen lämnar utgör de nödvändiga kompletterande nationella bestämmelserna för att den samlade regleringen, enligt utredningens bedömning, ska möjliggöra en ändamålsenlig behandling samtidigt som den skyddar den enskildes fri och rättigheter.
En allmän utgångspunkt för utredningen har varit att bibehålla bibliotekens möjligheter att utöva sin verksamhet inom ramen för dataskyddsförordningens utrymme för nationell kompletterande reglering. I vart fall ska inte möjligheterna till sådan verksamhet försämras jämfört med dagens situation. Bibliotekens verksamhet är i många avseenden inte detaljerat reglerad. Dataskyddsförordningens krav har därför föranlett att vi i viss utsträckning har fått fastställa bibliotekens uppgifter.
Utöver de föreslagna skyddsåtgärderna föreslår utredningen generellt vissa begränsningar av de registrerades rättigheter som anges i artikel 16 (rättelse) och artikel 21 (invändning). Förslaget medför i denna del vissa konsekvenser för de registrerades personliga integritet i syfte att biblioteken ska kunna fortsätta bedriva sin verksamhet på ett ändamålsenligt sätt vad gäller digitalt tillgängliggörande av kunskap.
I det följande kommer utredningen sammanfattningsvis att analysera konsekvenserna av förslaget att likställa olika biblioteksaktörer med avseende på deras ställning i förhållande till allmänt intresse som rättslig grund för personuppgiftsbehandling, förslaget att tillåta viss behandling av känsliga personuppgifter med vidhängande skyddsåtgärder samt förslaget att i vissa sammanhang införa begränsningar av registrerades rättigheter.
6.1.1. Problem- och målbeskrivning
I april 2016 beslutade EU en förordning som utgör ny generell reglering för personuppgiftsbehandling inom unionen. I och med att denna börjar tillämpas den 25 maj 2018 upphävs nuvarande personuppgiftslag (1998:204) med tillhörande personuppgiftsförordning (1998:1191). Övriga författningar som reglerar personuppgiftsbehandling inom sektorsvisa områden måste anpassas. Dataskyddsutredningen har föreslagit anpassningar och kompletterande författningsbestämmelser på generell svensk nivå.
I dag är den personuppgiftsbehandling som förekommer inom forskningsbiblioteken och KB i stor utsträckning oreglerad och stödjer sig i viss utsträckning på undantag i personuppgiftslagen, som kommer att upphävas i och med att dataskyddsförordningen börjar tillämpas.
Personuppgiftsbehandling i forskningsbibliotekens och KB:s verksamhet kommer i flera fall att behöva kompletterande reglering i nationell lagstiftning för att sådan behandling ska vara tillåten. Vi har därför fått i uppdrag att föreslå en kompletterande reglering för forskningsbiblioteken och KB utöver den reglering som Dataskyddsutredningen redan föreslagit.
6.1.2. Alternativa lösningar
Dataskyddsförordningen lämnar vissa möjligheter till nationella kompletterande och specificerande bestämmelser. Om inte dessa möjligheter att införa nationella anpassningar utnyttjas kommer forskningsbibliotekens och KB:s personuppgiftsbehandlingar i flera fall sakna rättslig grund. Eftersom utredningens övergripande mål är att möjliggöra en ändamålsenlig behandling av personuppgifter i bibliotekens verksamhet är det inte ett rimligt alternativ att låta bli att föreslå reglering.
6.1.3. Förslagens förenlighet med EU-rätten
Utredningens förslag är föranledda av den förändring av EU-rätten som dataskyddsförordningens ikraftträdande medför. Utredningens förslag syftar till att utgöra en kompletterande nationell reglering för personuppgiftsbehandling för forskningsändamål som är förenlig med dataskyddsförordningen, inom det utrymme som dataskyddsförordningen lämnar för nationell rätt. Vi bedömer därmed att förslaget är förenligt med EU-rätten.
6.1.4. Tidpunkt och information inför ikraftträdande
Dataskyddsförordningen ska börja tillämpas från och med den 25 maj 2018 som direkt tillämplig lag i Sverige, vilket innebär att nationella kompletterande författningar måste träda i kraft samma datum.
6.1.5. Ekonomiska konsekvenser
I 14 § kommittéförordningen anges att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner och landsting ska kommittén föreslå en finansiering. Om ett betänkande innehåller förslag till nya eller ändrade regler, ska förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet, enligt 15 a § kommittéförordningen.
Utredningen bedömer att förslagen inte medför några kostnadsförändringar för de aktörer som omnämns i kommittéförordningen. Den huvudsakliga konsekvensen av förslagen är att behandling i biblioteksverksamhet som i dag pågår ska kunna fortgå även efter att dataskyddsförordningen börjar tillämpas. Konsekvenserna kommer mer troligt vara att kostnaderna stannar på de nivåer som för närvarande gäller. Förslagen kan därför betraktas som kostnadsneutrala i förhållande till dagens situation. Konsekvensen av att avstå från regle-
ringen skulle i stället kunna bli en kostnadsökning för de forskningsaktörer som inte längre skulle kunnat utnyttja biblioteken som en resurs för informationsförsörjning.
Vad gäller de föreslagna begränsningarna av de registrerades rättigheter medför de främst att biblioteken i vissa avgränsade situationer inte behöver beakta en del rättigheter som annars skulle tillkomma de registrerade. Begränsningarna bör därför inte medföra ökade ekonomiska kostnader för biblioteken.
6.1.6. Andra konsekvenser enligt kommittéförordningen
Av 15 § kommittéförordningen framgår att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen ska konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.
Utredningen bedömer att de förslag som lämnas inte får några konsekvenser i dessa avseenden.
Forskningsbibliotekens verksamhet är av central betydelse för forskningen. Dataskyddsförordningen får genomgripande konsekvenser för forskningsaktörer, inklusive forskningsbiblioteken och KB i sin roll av nationalbibliotek, i stort. Den kompletterande reglering som vi föreslår riktar sig till samma aktörer. Indirekt berörs också de registrerade, även om deras rättsliga ställning i relation till den personuppgiftsbehandling som bedrivs av biblioteken inte kommer att förändras.
Den huvudsakliga konsekvensen av förslagen är att personuppgiftsbehandling i biblioteksverksamhet som i dag pågår ska kunna
fortgå även efter att dataskyddsförordningen börjar tillämpas. Förslagen får alltså inte till huvudsaklig del några större praktiska konsekvenser för biblioteken eller dess besökare.
Vad gäller text- och datautvinning (avsnitt 4.10) är detta en verksamhet hos biblioteken som i dagsläget är under utveckling. Särskilt KB har börjat anpassa system och tjänster för att kunna bedriva sådan verksamhet och även erbjuda text- och datautvinningstjänster externt, medan många forskningsbibliotek inte alls har börjat, eller bara i begränsad utsträckning. Sådan verksamhet har enligt gällande rätt kunnat bedrivas utan uttrycklig reglering med utnyttjande av vissa undantag i personuppgiftslagen. Vi föreslår i stället en uttrycklig reglering som tillåter sådan behandling med detaljerade bestämmelser vad gäller känsliga personuppgifter samt uppgifter om lagöverträdelser m.m. både inom och utanför ramen av etikprövade forskningsprojekt. Konsekvensen för forskningsbiblioteken och dess besökare, inklusive forskare, blir en större tydlighet i vad biblioteken får göra som personuppgiftsansvariga i samband med denna typ av behandling.
Dataskyddsförordningen lämnar ett visst utrymme för nationell lagstiftning som begränsar eller inskränker de fri- och rättigheter som förordningen ger individen vad gäller den personliga integriteten. Det ställs dock vissa proportionalitetskrav på sådan lagstiftning.
Vi har i avsnitt 4.3.1 gjort bedömningen att bibliotekens nuvarande verksamhet inte medför sådan kartläggning eller övervakning som avses i 2 kap. 6 § regeringsformen. Eftersom våra förslag syftar till att denna verksamhet även fortsättningsvis ska kunna bedrivas anser vi att förslagen inte utgör sådan reglering som medför sådant betydande intrång i den personliga integriteten som avses i regeringsformen.
Vi har, precis som i utredningens tidigare betänkande, tillämpat Datainspektionens metod för att kartlägga den personuppgiftsbehandling som ett förslag kan medföra samt vilka konsekvenser den får för den personliga integriteten.98
Mot denna bakgrund har vi beaktat de centrala faktorer som enligt vägledningen behöver belysas i en sådan kartläggning.
Särskilda faktorer i personuppgiftsbehandlingen
De här diskuterade frågeställningarna är hämtade från Datainspektionens vägledning.
För vilka ändamål ska personuppgifter behandlas?
Utredningen förslag till reglering i en ny förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet och till ändring i högskoleförordningen fastställer en generell uppgift för forskningsbibliotek att tillgängliggöra kunskap i syfte att stödja forskning och utbildning. Utöver detta finns redan särskilda uppgifter för KB rörande plikt och e-plikt samt den digitala kulturarvsverksamheten.
Med vilket rättsligt stöd ska personuppgifterna behandlas?
När personuppgifter behandlas i bibliotekens verksamhet är det huvudsakligen fråga om nödvändig behandling för en uppgift av allmänt intresse, och har därmed stöd i dataskyddsförordningens artikel 6.1 e. Den rättsliga grunden ges i den föreslagna regleringen, med stöd av artikel 6.2 och 6.3. I de enskilda avsnitten i kapitel 4 och 5 har vi gått igenom befintliga uppgifter fastställda i enlighet med gällande lagstiftning, och i vissa fall föreslagit nya fastställda uppgifter.
Vem ska utföra personuppgiftsbehandlingen och vem ansvarar för den?
Varje forskningsbibliotek, inklusive KB, är personuppgiftsansvarig enligt dataskyddsförordningen för den personuppgiftsbehandling som är nödvändig för att utföra bibliotekets uppgifter. Det kan vara biblioteket som utför själva behandlingen, eller en tredje part (exempelvis vid inskanningsarbete, där KB ibland lägger ut jobb på MKC), men detta förändrar inte personuppgiftsansvarets placering.
I den mån personuppgifter behandlas som följd av text- och datautvinning inom ramen för ett etikprövat forskningsprojekt är biblioteket och forskningsprojektet personuppgiftsansvariga för sin del av behandlingen.
Vilka personuppgifter kommer att behöva samlas in och i övrigt behandlas?
De personuppgifter som behandlas är huvudsakligen uppgifter som hänför sig till enskilda som förekommer i löpande text i biblioteksmaterialet. Biblioteken samlar in dessa uppgifter, även i digital form, som en del av sin biblioteksverksamhet och med stöd av existerande och föreslagna fastställda uppdrag. Det förekommer även mer strukturerade personuppgifter både i samband med bibliotekens låneverksamhet (avsnitt 4.4) och i bibliotekens hantering av identifikatorer i samband med databaser och andra katalogsystem (avsnitt 4.9).
Hur många personer kommer att beröras av personuppgiftsbehandlingen och hur många uppgifter om varje person kommer att behöva samlas in?
Det är vanskligt att kvantifiera hur många personer som kommer att beröras av denna behandling samt hur många uppgifter om varje enskild person som kommer behöva samlas in. Den behandling som är nödvändig för bibliotekens uppgifter är en konsekvens av vilka personuppgifter som kan tänkas förekomma i sådant material som biblioteken har i uppdrag att tillgängliggöra.
Vilka kommer att ha åtkomst till personuppgifterna och vilken spridning kan uppgifterna i övrigt komma att få?
Personuppgifterna kommer, med undantag för låntagaruppgifter, att vara tillgängliga för bibliotekets besökare, dvs. en bred allmänhet. Detta inkluderar även tillgänglighet på distans över internet.
Finns det behov av nya sekretessbestämmelser och sekretessbrytande bestämmelser?
Utredningen föreslår varken någon tillkommande sekretessreglering eller sekretessbrytande bestämmelser.
Vilka sök- och sammanställningsmöjligheter är nödvändiga för ändamålet och hur kan de begränsas?
Det är utifrån bibliotekens verksamhet inte lämpligt att ställa upp generella krav på sökbegränsningar. Det kan däremot i samband med text- och datautvinning möjligt att begränsa sådana behandlingar som utvinner eller på annat sätt specialbehandlat känsliga uppgifter.
Hur länge behöver personuppgifter bevaras?
Personuppgifterna behöver bevaras i samma utsträckning som bibliotekens samlingar. Med undantag för KB:s pliktexemplarsverksamhet har biblioteken möjlighet att gallra biblioteksmaterial, även digitalt, när biblioteksverksamheten inte längre kräver att materialet bevaras.
Vilket inflytande kommer de registrerade att ha över personuppgiftsbehandlingen?
De registrerade kan till den allra största delen inte utöva eget inflytande över vilka uppgifter som förekommer i biblioteksmaterialet eller hur detta tillgängliggörs. Ett undantag föreslås för behandling av personuppgifter i KB:s digitala kulturarvsverksamhet (se avsnitt 5.7.5).
Vilken information om behandlingen av personuppgifter kommer de registrerade få?
Personuppgifterna hämtas, med undantag för uppgifter i låneverksamheten, från annat håll än från den registrerade själv. Enligt artikel 14.5 i dataskyddsförordningen ska den personuppgiftsansvariges skyldighet att tillhandahålla information till den registrerade inte tillämpas i vissa fall, som kan bli aktuella inom biblioteksverksamheten (se avsnitt 4.11.3). Det är dock upp till den personuppgiftsansvarige att bedöma detta från fall till fall.
Vilka regler kommer att gälla till skydd för de registrerades personliga integritet vid den föreslagna personuppgiftsbehandlingen?
För de flesta typer av behandlingar som avhandlas i kapitel 4 och 5 gör utredningen bedömningen att dessa är nödvändiga för ett arkivändamål av allmänt intresse. Som generell skyddsåtgärd i dessa fall avgränsas det material som biblioteken får behandla till sådant material som har utgivits samt biblioteken har i uppgift att tillhandahålla i sin verksamhet. I och med att behandlingen bedöms nödvändig för ett arkivändamål av allmänt intresse gäller även enligt artikel 89.1 att behandlingen ska omfattas av lämpliga skyddsåtgärder. Det är den personuppgiftsansvarige som i det enskilda fallet ska tillse att sådana lämpliga skyddsåtgärder tillämpas.
Slutsats av integritetsanalysen
Det förhåller sig så att dataskyddsförordningen, även om den ger visst utrymme för nationell reglering, är direkt tillämplig. En nationell lagstiftning om skyddsåtgärder kan exempelvis aldrig upphäva kravet i artikel 89.1 i dataskyddsförordningen på att personuppgiftsbehandling för arkivändamål av allmänt intresse ska vara omgärdad av lämpliga skyddsåtgärder. Om de av utredningen föreskrivna skyddsåtgärderna är otillräckliga i det specifika fallet är det den personuppgiftsansvariges ansvar att självständigt efterleva dataskyddsförordningens krav.
Utredningens slutsats blir med hänvisning till ovanstående resonemang att konsekvenserna för den personliga integriteten är förenliga med det väsentliga innehållet i rätten till dataskydd.
Proportionalitetsbedömning
I en proportionalitetsbedömning ska det ändamål för vilket personuppgifterna behandlas, och som måste vara godtagbart enligt olika kriterier, ställas mot det integritetsintrång som behandlingen medför.
Vilket eller vilka ändamål motiverar behandlingen av personuppgifter?
Ändamålet med bibliotekens verksamhet är generellt legitimt och godtagbart i ett demokratiskt samhälle. Bibliotekens uppgifter, särskilt forskningsbibliotekens, är dock inte detaljerat reglerade i nationell lagstiftning. Detta medför vissa svårigheter att fastställa vilka konkreta uppgifter av allmänt intresse som ett forskningsbibliotek egentligen har, och som en konsekvens, vilken personuppgiftsbehandling som är nödvändig för dessa uppgifter.
Finns det några mindre integritetsingripande alternativ för att uppnå det avsedda ändamålet än den föreslagna personuppgiftsbehandlingen?
Det som aktualiserar frågan om dataskydd i bibliotekens verksamhet är framför allt den pågående digitaliseringen. Biblioteken gör som ett led i detta arbete mer material och tjänster tillgängligt på digital väg. Detta medför att behandlingen hamnar inom dataskyddsförordningens tillämpningsområde. Att avstå från digitalisering och endast tillhandahålla kunskapen i pappersform skulle vara ett sätt att minska integritetsintrånget, åtminstone i den meningen att dataskyddsförordningen inte längre skulle vara tillämplig på verksamheten. En sådan tillbakagång skulle dock inte vara ändamålsenlig med hänsyn till ändamålen med bibliotekens verksamhet. Ett dylikt arbetssätt skulle inte heller vara förenligt med regeringens förväntningar på hur myndigheter ska arbeta, så som de uttrycks i regeringens digitaliseringsstrategi.99
99 För ett hållbart digitaliserat Sverige - en digitaliseringsstrategi, dnr N2017/03643/D.
Står integritetsintrånget som behandlingen medför i rimlig proportion till den nytta som behandlingen innebär för de avsedda ändamålen?
Vad gäller personuppgifter i utgivet material kan spridning av sådana uppgifter i vissa fall medföra ett avsevärt integritetsintrång. Mot bakgrund av den starka ställning som tryckfriheten har i svensk rätt i relation till dataskyddet anser utredningen dock att sådant integritetsintrång som uppstår i samband med utgivning av materialet står i proportion till den nytta som behandlingen innebär. Det ytterligare integritetsintrång som bibliotekens hantering och spridning medför är i sammanhanget litet och står enligt vår bedömning i proportion till nyttan med behandlingen sett utifrån ändamålet med bibliotekens verksamhet.
Proportionalitetskrav i dataskyddsförordningen
Vi föreslår en nationell reglering som med stöd av artikel 6.2 och 6.3 fastställer den rättsliga grunden allmänt intresse för forskningsbibliotekens uppgift att tillhandahålla kunskap. Sådan nationell rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Författningarna innehåller även vissa begränsningar av den registrerades rättigheter. Det sammanlagda integritetsintrånget blir dock begränsat. Ställt mot det stora värde för forskningen som forskningsbiblioteken har finner vi att de föreslagna bestämmelserna måste anses vara proportionella.
Vi föreslår vidare att det under vissa förutsättningar ska vara tillåtet att behandla känsliga personuppgifter. Av artikel 9.2 j framgår att lagstiftning som tillåter behandling av känsliga personuppgifter ska stå i proportion till det eftersträvade syftet. Vad gäller biblioteksmaterial följer det av principer om tryck- och yttrandefrihet att detta material kan innehålla uppgifter om nu levande personer, även känsliga personuppgifter och uppgifter om lagöverträdelser. Ändamålet med att hantera sådant material i digital form, inklusive tillhandahållande av materialet, kan beskrivas som arkivändamål av allmänt intresse. En författning som skulle föreslå att enstaka uppgifter ur publicerade verk skulle tas bort ur biblioteksmaterialet vore knappast tänkbar. Förordningsförslagen får, inte minst mot bakgrund av det starka
yttrande- och informationsfrihetsintresset, anses vara proportionerliga mot det eftersträvade syftet.
Utredningens bedömning: Den föreslagna regleringen uppfyller de
krav på proportionalitet m.m. som följer av dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument.
Inskränkningarna i de registrerades fri- och rättigheter görs för att tillgodose bibliotekens uppgifter av allmänt intresse. Detta ändamål är godtagbart i ett demokratiskt samhälle. Inskränkningarna har utformats så de inte går utöver vad som är nödvändigt med hänsyn till ändamålet.
Vår bedömning är, utifrån den integritetskartläggning som gjorts, de skyddsåtgärder som föreslås och värdet av den personuppgiftsbehandling som regleringen möjliggör, att regleringen uppfyller de krav på proportionalitet som ställs i dataskyddsförordningen.