SOU 2018:52

Behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Till statsrådet och chefen för Socialdepartementet

Genom beslut den 16 juni 2016 bemyndigade regeringen statsrådet Annika Strandhäll att tillkalla en särskild utredare med uppdrag att analysera konsekvenserna av EU:s s.k. dataskyddsförordning för behandlingen av personuppgifter inom Socialdepartementets verksamhetsområde och föreslå författningsändringar till följd av dataskyddsförordningen.

Som särskild utredare förordnades från och med den 16 juni 2016 ordföranden i Arbetsdomstolen Sören Öman.

Utredningen (S 2016:05) har antagit namnet Socialdataskyddsutredningen.

Uppdraget redovisades i betänkandet Dataskydd inom Social-

departementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (SOU 2017:66) som överlämnades den 29 augusti 2017.

Den 15 juni 2017 beslutade regeringen att ge utredaren i tilläggsuppdrag att utreda behovet av en särskild författning med bestämmelser om personuppgiftsbehandling för Myndigheten för vård- och omsorgsanalys. Om sådana behov finns, ska utredaren lämna behövliga författningsförslag.

Den 11 januari 2018 beslutade regeringen att ge utredaren i tilläggsuppdrag att analysera de rättsliga möjligheterna för Socialstyrelsen och Statistiska centralbyrån att lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys för användning i myndighetens analysprojekt, och vid behov lämna förslag som möjliggör nödvändigt uppgiftsutlämnande. Tiden för uppdraget förlängdes till och med den 30 juni 2018.

I det uppdrag som redovisas i detta betänkande har som sakkunniga medverkat kanslirådet Annika Remaeus (Socialdepartementet), ämnesrådet Linda Stridsberg (Utbildningsdepartementet), departementssekreteraren Anna Weinholt (Socialdepartementet) och kanslirådet Esbjörn Åkesson (Socialdepartementet). Som experter har medverkat chefsjuristen Catarina Eklundh Ahlgren (Inspektionen för socialförsäkringen), verksjuristen Daniel Granqvist (Statistiska centralbyrån), professorn Peter Höglund (Centrala etikprövningsnämnden), avdelningsdirektören Suzanne Isberg (Datainspektionen), juristen Ulrika Marusarz (Socialstyrelsen) samt stabschefen och chefsjuristen Karin Nylén (Myndigheten för vård- och omsorgsanalys).

Som sekreterare i utredningen förordnades verksjuristen Hélène Runsten från och med den 8 augusti 2016 och hovrättsassessorn Jonna Wiborn från och med den 1 september 2016. De avslutade sitt arbete i utredningen den 15 januari 2018. Från och med den 1 januari 2018 förordnades hovrättsassessorn Magdalena Petersson som sekreterare.

Härmed får jag överlämna betänkandet Behandling av person-

uppgifter vid Myndigheten för vård- och omsorgsanalys (SOU 2018:52).

Utredningsarbetet är därmed avslutat.

Stockholm i juni 2018

Sören Öman

/ Magdalena Petersson

5

Innehåll

Sammanfattning ................................................................ 15

1 Författningsförslag ..................................................... 25

1.1 Förslag till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys ..................... 25 1.2 Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor .................. 30 1.3 Förslag till förordning om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys .................................................................. 32

2 Utredningsarbetet och betänkandet ............................. 33

2.1 Utredningsdirektiven .............................................................. 33 2.2 Utredningsarbetet ................................................................... 33 2.3 Betänkandets disposition ........................................................ 34

BAKGRUND ...................................................................... 37

3 Gällande rätt ............................................................. 39

3.1 Europakonventionen .............................................................. 39 3.2 Dataskyddskonventionen ....................................................... 39 3.3 Dataskyddsdirektivet .............................................................. 41 3.4 Dataskyddsförordningen ........................................................ 41 3.4.1 Inledning .................................................................. 41 3.4.2 Materiell och territoriell avgränsning ..................... 42

Innehåll SOU 2018:52

6

3.4.3 Definitioner ............................................................. 43 3.4.4 Grundläggande principer ........................................ 44 3.4.5 Laglig behandling av personuppgifter .................... 45 3.4.6 Känsliga personuppgifter och uppgifter om lagöverträdelser ....................................................... 46 3.4.7 Den registrerades rättigheter .................................. 48 3.4.8 Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter.................... 51 3.4.9 Dataskyddsombud .................................................. 52 3.4.10 Överföring av personuppgifter till tredjeland ....... 53 3.4.11 Tillsynsmyndigheter ............................................... 54 3.4.12 När uppgifter behandlas i strid med dataskyddsförordningen ......................................... 54 3.4.13 Konkurrens med andra rättigheter ......................... 55 3.4.14 Övrigt ...................................................................... 55

3.5 Regeringsformen .................................................................... 56 3.5.1 Skydd för den personliga integriteten.................... 56 3.5.2 Begränsning av skyddet för den personliga integriteten .............................................................. 57 3.5.3 Intrång i den personliga integriteten ..................... 58 3.6 Personuppgiftslagen ............................................................... 62 3.7 Dataskyddslagen ..................................................................... 62

4 Myndigheten för vård- och omsorgsanalys ..................... 65

4.1 Myndighetens uppdrag ........................................................... 65 4.2 Myndighetens verksamhet ..................................................... 67 4.2.1 Egeninitierad verksamhet och regeringsuppdrag .............................................. 67 4.2.2 Arbetsmetoder ........................................................ 68 4.3 Rättsligt stöd för myndighetens behandling av personuppgifter .................................................................. 70 4.4 Behovet av att behandla personuppgifter .............................. 71 4.4.1 Inledning .................................................................. 71 4.4.2 Behov av uppgifter från andra aktörer ................... 72

Innehåll

7

4.4.3 Myndighetens egen bearbetning av personuppgifter ................................................... 74

5 Regleringen av andra analysmyndigheters behandling av personuppgifter ..................................................... 77

5.1 Inledning.................................................................................. 77 5.2 Statskontoret ........................................................................... 78 5.3 Ekonomistyrningsverket (ESV)............................................. 78 5.4 Brottsförebyggande rådet (Brå) ............................................. 78 5.5 Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) ................................................................ 80 5.6 Inspektionen för socialförsäkringen (ISF) ............................ 81 5.7 Myndigheten för kulturanalys ................................................ 83 5.8 Myndigheten för tillväxtpolitiska utvärderingar och analyser (Tillväxtanalys) .................................................. 83 5.9 Trafikanalys ............................................................................. 84

6 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys............................................. 85

6.1 Inledning.................................................................................. 85 6.2 Myndighetens behov ............................................................... 86 6.2.1 Myndighetens behov av att använda redan befintliga data som finns hos andra aktörer ........... 86 6.2.2 Myndighetens behov av att rikta sig direkt till patienter, brukare och andra specifika grupper ..... 87 6.2.3 Myndighetens behov av att rikta sig till personal .................................................................... 89 6.2.4 Myndighetens behov av att följa utveckling över tid ..................................................................... 89 6.3 Uppgiftslämnande mellan myndigheter och sekretess ......... 90 6.3.1 Uppgiftslämnande mellan myndigheter ................. 90 6.3.2 Sekretessbestämmelsernas uppbyggnad ................. 91 6.3.3 Primär och sekundär sekretess ............................... 91

Innehåll SOU 2018:52

8

6.4 Sekretess för uppgifter hos Socialstyrelsen och Statistiska centralbyrån ................................................... 92 6.4.1 Lagen om den officiella statistiken och statistikansvariga myndigheter ........................ 93 6.4.2 Statistiksekretess ..................................................... 95 6.4.3 Vad är statistik? ....................................................... 95 6.4.4 Särskild statistikverksamhet ................................... 96 6.4.5 Annan jämförbar undersökning ............................. 97 6.4.6 Uppgift om enskilds personliga eller ekonomiska förhållande .......................................... 98 6.4.7 Absolut sekretess .................................................... 98 6.4.8 Undantaget för uppgift för forsknings- och statistikändamål .............................................. 100 6.4.9 Undantaget för uppgifter som inte är direkt hänförliga till den enskilde ................................... 102 6.5 Sekretess för uppgifter hos Myndigheten för vård- och omsorgsanalys ................................................................ 102 6.6 Möjligheterna för Socialstyrelsen och Statistiska centralbyrån att lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys ........................ 103 6.6.1 Undantaget för uppgift som behövs för forskningsändamål ................................................ 103 6.6.2 Undantaget för uppgift som behövs för statistikändamål ..................................................... 104 6.6.3 Undantaget för uppgift som inte är direkt hänförlig till den enskilde ..................................... 106 6.7 Sekretessbrytande bestämmelser ......................................... 107 6.7.1 Uppgiftslämnande på grund av lag eller förordning ..................................................... 108 6.7.2 Sekretessbrytande bestämmelse för uppgifter hos Socialstyrelsen och Statistiska centralbyrån ........................................................... 109

Innehåll

9

ÖVERVÄGANDEN OCH FÖRSLAG ...................................... 111

7 Behandling av personuppgifter med stöd av dataskyddsförordningen ........................................... 113

7.1 Rättslig grund för behandling av personuppgifter .............. 113 7.1.1 Regleringen i dataskyddsförordningen ................ 113 7.1.2 Behandling med stöd av samtycke ........................ 114 7.1.3 Behandling för att utföra en arbetsuppgift av allmänt intresse ................................................. 117 7.1.4 Inget behov av nationell reglering av rättslig grund för myndighetens behandling .................... 127 7.2 Behandling av känsliga personuppgifter .............................. 128 7.2.1 Regleringen i dataskyddsförordningen ................ 128 7.2.2 Undantag för behandling med stöd av samtycke ................................................................. 129 7.2.3 Undantag för viktiga allmänna intressen ............. 130 7.2.4 Undantag för hälso- och sjukvård samt social omsorg .................................................................... 138 7.2.5 Undantag för statistikändamål ............................. 140 7.3 Behandling av uppgifter om lagöverträdelser ...................... 142

8 Behovet av en reglering ............................................ 145

9 En ny lag om behandling av personuppgifter ............... 147

9.1 Lagen bör inte innehålla bestämmelser som generellt tillåter behandling ................................................................. 147 9.2 Nationella bestämmelser som kompletterar dataskyddsförordningen ....................................................... 149 9.3 Lagens tillämpningsområde .................................................. 152 9.3.1 Verksamhet som bör omfattas av lagen ............... 152 9.3.2 Automatiserad behandling och manuella register .................................................................... 153 9.3.3 Uppgifter om avlidna personer ............................. 153 9.4 Förhållandet till annan reglering .......................................... 155 9.4.1 Dataskyddsförordningen ...................................... 155

Innehåll SOU 2018:52

10

9.4.2 Dataskyddslagen ................................................... 156 9.4.3 Etikprövningslagen ............................................... 158

10

Krav på extern prövning vid riskfyllda behandlingar

utan samtycke ......................................................... 161

10.1 Det behövs en prövning i varje enskilt fall vid riskfyllda behandlingar .......................................................................... 161 10.2 Någon extern prövning behövs inte vid samtycke ............. 164 10.3 Vilken oberoende instans ska göra prövningen? ................ 166 10.3.1 Inledning ................................................................ 166 10.3.2 Etikprövningsmyndigheten är den naturliga

instansen ................................................................ 167

10.3.3 Alternativ till Etikprövningsmyndigheten och Överklagandenämnden för etikprövning ..... 171 10.3.4 Överväganden om alternativen............................. 180 10.3.5 Utredningen lämnar inget ytterligare förslag på lämplig prövningsinstans ................................. 185

10.4 Vilken avvägningsnorm ska den oberoende instansen tillämpa? ................................................................................ 187 10.4.1 Etikprövningsmyndigheten och

Överklagandenämnden för etikprövning ska tillämpa nuvarande regelverk på motsvarande sätt ............................................... 187

10.4.2 Väljs en annan instans ska den göra en kvalificerad intresseavvägning som fastställs i lag .................................................. 192

11

Känsliga personuppgifter .......................................... 197 11.1 Inledande bedömning ........................................................... 197 11.2 Behovet av att behandla känsliga personuppgifter ............. 198 11.3 Förutsättningarna för att göra undantag från förbudet

mot att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse är uppfyllda ......................... 200 11.3.1 Krav på skyddsåtgärder ......................................... 200 11.3.2 Krav på nödvändighet ........................................... 202

Innehåll

11

11.3.3 Krav på proportionalitet ........................................ 203

11.4 Krav på etisk prövning för behandling av uppgifter om hälsa och personuppgifter som avslöjar etniskt ursprung utan samtycke ....................................................... 204 11.4.1 Behandling tillåts om det finns uttryckligt

samtycke eller etikgodkännande ........................... 204

11.4.2 Undantag från kravet på etisk prövning............... 206

12

Lagöverträdelser ...................................................... 207 12.1 Behovet av att behandla uppgifter om lagöverträdelser...... 207 12.2 Krav på etisk prövning för behandling av uppgifter

om lagöverträdelser utan samtycke ...................................... 208 12.2.1 Behandling tillåts om det finns uttryckligt

samtycke eller etikgodkännande ........................... 208

12.2.2 Undantag från kravet på etisk prövning............... 210

13

Andra personuppgifter än känsliga personuppgifter

och uppgifter om lagöverträdelser ............................. 211

13.1 Behovet av att behandla andra personuppgifter .................. 211 13.2 Behandling av andra personuppgifter i projekt som godkänts vid en etisk prövning .................................... 212 13.3 Utvidgad möjlighet till etisk prövning av projekt som endast innefattar andra uppgifter ................................. 214

14

Skyddsåtgärder ....................................................... 217 14.1 Krav på skydds- eller säkerhetsåtgärder .............................. 217

14.1.1 Regleringen i dataskyddsförordningen ................ 217 14.1.2 Reglering i den föreslagna lagen ........................... 219

14.2 Ändamålsbestämning för varje projekt ............................... 221 14.2.1 Krav på ändamålsbestämning ................................ 221 14.2.2 Generellt formulerade ändamål

i registerförfattningar ............................................ 222

14.2.3 Registerförfattningar utan ändamålsbestämmelser .......................................... 223 14.2.4 Finalitetsprincipen ................................................. 228

Innehåll SOU 2018:52

12

14.2.5 Överväganden ........................................................ 228

14.3 Personuppgifter som får behandlas ..................................... 233 14.4 Behandling som den registrerade invänder mot ................. 234 14.5 Pseudonymisering ................................................................ 238 14.6 Behörighetsstyrning ............................................................. 240

15

Gallring och bevarande ............................................. 243 15.1 Gällande rätt ......................................................................... 243 15.2 Överväganden ....................................................................... 245

16

Begränsning av skyddet mot betydande intrång

i den personliga integriteten ..................................... 247

17

Möjligheterna för Socialstyrelsen och Statistiska

centralbyrån att lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys .............. 251

17.1 Inledning ............................................................................... 251 17.2 Utlämnande av personuppgifter kan inte ske med stöd av undantaget för uppgifter som behövs för forskningsändamål .......................................................... 252 17.3 Utlämnande av personuppgifter kan ske med stöd av undantaget för uppgifter som behövs för statistikändamål .............................................................. 253 17.4 Utlämnande av personuppgifter kan ske med stöd av undantaget för uppgifter som inte är direkt hänförliga till den enskilde ..................................................................... 257 17.5 Det bör inte införas någon uppgiftsskyldighet för Socialstyrelsen och Statistiska centralbyrån.................. 259

AVSLUTANDE DEL ........................................................... 261

18

Ikraftträdande ......................................................... 263

Innehåll

13

19

Konsekvenser .......................................................... 265 19.1 Inledning................................................................................ 265 19.2 Uppdraget och de förslag som lämnas ................................. 266 19.3 Alternativa lösningar och konsekvenser av

att den föreslagna regleringen inte genomförs .................... 267

19.4 Ekonomiska konsekvenser ................................................... 267 19.5 Övriga konsekvenser enligt kommittéförordningen .......... 269 19.6 Konsekvenser för den personliga integriteten .................... 270

20

Författningskommentar ............................................ 271 20.1 Förslaget till lag om behandling av personuppgifter

vid Myndigheten för vård- och omsorgsanalys ................... 271

20.2 Förslaget till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor ................ 290

Referenser ...................................................................... 291

Bilagor

Bilaga 1 Kommittédirektiv 2016:52 ........................................... 297

Bilaga 2 Kommittédirektiv 2017:67 ........................................... 309

Bilaga 3 Kommittédirektiv 2018:1 ............................................. 311

15

Sammanfattning

Det behövs en registerlag för Myndigheten för vård- och omsorgsanalys

Socialdataskyddsutredningen har utrett behovet av en registerförfattning för Myndigheten för vård- och omsorgsanalys. Myndigheten har enligt sin instruktion till uppgift att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Att göra uppföljningar ur de perspektiven innebär i sig att myndigheten behöver kunna rikta sig till patienter, brukare och medborgare med frågor, men också att frågeställningar på andra sätt behöver betraktas med dessa grupper som utgångspunkt. För att kunna fullgöra sin arbetsuppgift behöver myndigheten därför behandla vissa känsliga personuppgifter, personuppgifter från socialtjänsten och omsorgen samt, i enstaka fall, uppgifter om lagöverträdelser. Med hänsyn till den omfattning av personuppgifter det kan bli fråga om, uppgifternas delvis känsliga karaktär, behovet av att personuppgifterna i vissa fall sammankopplas och omständigheten att behandlingen inte alltid kan ske med samtycke, blir resultatet i vissa fall det som enligt 2 kap. 6 § andra stycket regeringsformen kan betraktas som en kartläggning av enskildas personliga förhållanden och ett betydande intrång i den personliga integriteten.

Myndigheten för vård- och omsorgsanalys har möjlighet att i sin analysverksamhet behandla personuppgifter, även känsliga sådana, med stöd av regleringen i dataskyddsförordningen och dataskyddslagen. Det finns emellertid en överenskommelse mellan regering och riksdag om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag, dvs. inte bara av den generella dataskyddsregleringen. Utredningen bedömer att den behandling av personuppgifter myndigheten behöver göra är

Sammanfattning SOU 2018:52

16

sådan att den i vissa situationer faller under den överenskommelsen. Behandlingen bör, på grund av sin karaktär, vidare kringgärdas av mer specifika restriktioner och skyddsåtgärder än som följer av den allmänna dataskyddsregleringen. Utredningen föreslår därför en lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys.

Lagens tillämpningsområde

Lagen ska vara tillämplig vid behandling av personuppgifter i verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Endast sådan behandling av personuppgifter som är helt eller delvis automatiserad samt behandling av personuppgifter som ingår eller är avsedda att ingå i ett register (en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier) ska omfattas.

Lagens bestämmelser om skyddsåtgärder ska tillämpas på uppgifter om både levande och avlidna personer.

Förhållandet till annan reglering

Den föreslagna lagen kompletterar de direkt tillämpliga bestämmelserna i EU:s dataskyddsförordning. Dessutom gäller dataskyddslagen, med generella kompletterande bestämmelser, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats med stöd av den.

Vid forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, ska inte den föreslagna lagen gälla. Då ska myndigheten i stället tillämpa etikprövningslagen.

SOU 2018:52 Sammanfattning

17

Krav på extern etisk prövning vid riskfyllda behandlingar utan samtycke

Myndigheten för vård- och omsorgsanalys har i uppdrag att göra analyser och uppföljningar inom flera sektorer och uppdraget kräver att flera sorters personuppgifter behandlas för olika konkreta ändamål som i praktiken svårligen låter sig sammanfattas på ett sådant sätt att behandlingen kan begränsas på förhand genom lagstiftning. En ändamålsbestämmelse i lag med förutsättningar för att behandling ska få ske skulle därför behöva vara så allmänt hållen att man, enligt utredningens bedömning, inte kan överlåta åt myndigheten att själv tillämpa den i de fall det gäller mer integritetskänslig behandling av personuppgifter. Utredningen har därför kommit fram till att det bästa sättet att tillfredsställande reglera när myndigheten ska få utföra särskilt riskfyllda behandlingar är att föreskriva att det i varje enskilt fall ska göras en bedömning av en extern oberoende och kompetent instans. Med särskild riskfyllda behandlingar avses här behandling av känsliga personuppgifter och uppgifter om lagöverträdelser samt behandling av personuppgifter i sådan omfattning att det, med hänsyn till den stora mängden personuppgifter, uppgifternas integritetskänsliga karaktär och behovet av att koppla samman uppgifterna, innebär en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. Behandling av personuppgifter som sker med stöd av den registrerades samtycke bör dock inte omfattas av ett krav på extern prövning, eftersom sådan behandling inte bedöms förknippad med samma risker för den personliga integriteten och då den registrerade själv genom sitt samtycke då förfogar över bedömningen.

Känsliga personuppgifter

Utredningen föreslår att myndighetens projekt som innefattar behandling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung ska genomgå en extern etisk prövning. Behandling av känsliga personuppgifter med stöd av den registrerades uttryckliga samtycke ska dock inte omfattas av kravet på etisk prövning. Utredningen föreslår därför en bestämmelse som innebär att känsliga

Sammanfattning SOU 2018:52

18

personuppgifter får behandlas bara med stöd av uttryckligt samtycke eller, i fråga om uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung, om projektet har prövats och godkänts vid en etisk prövning. Behandling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung om färre än 100 personer i ett projekt behöver dock inte genomgå etisk prövning.

Uppgifter om lagöverträdelser

I vissa projekt kan det finnas behov av att behandla uppgifter om lagöverträdelser. Behov kan exempelvis uppstå i analyser av socialtjänstens arbete med unga lagöverträdare eller vårdpåföljder. Utredningen anser, trots att det inte finns något krav på särskilda skyddsåtgärder vid myndigheters behandling av uppgifter om lagöverträdelser enligt dataskyddsförordningen, att det är rimligt att även låta behandling av uppgifter om lagöverträdelser omfattas av kravet på extern etisk prövning. Om den registrerade har lämnat sitt samtycke till behandlingen av personuppgifter, ska någon sådan prövning dock inte krävas. Utredningen föreslår därför en bestämmelse som innebär att uppgifter om lagöverträdelser får behandlas bara med stöd av samtycke eller om projektet har prövats och godkänts vid en etisk prövning. Behandling av uppgifter om lagöverträdelser om färre än 100 personer i ett projekt behöver dock inte genomgå etisk prövning.

Behandling av andra personuppgifter i etikgodkända projekt

Det är utredningens uppfattning att en extern etisk prövning utgör en garanti för att samtlig behandling av personuppgifter, inte enbart behandling av känsliga personuppgifter och uppgifter om lagöverträdelser, inom ett godkänt projekt är välgrundad och proportionerlig. Har projektet vid prövningen ansetts motivera behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, är det också befogat att behandla andra personuppgifter i projektet. Utredningen föreslår därför en bestämmelse som innebär att andra personuppgifter än sådana som är känsliga personuppgifter eller uppgifter om lagöverträdelser får behandlas utan de registrerades

SOU 2018:52 Sammanfattning

19

samtycke i ett projekt, om projektet har prövats och godkänts vid en etisk prövning.

Möjlighet till etisk prövning för att ett projekt ska kunna genomföras

Vissa projekt kan omfatta enbart behandling av personuppgifter som inte är känsliga personuppgifter eller uppgifter om lagöverträdelser. Om behandlingen av dessa personuppgifter är så omfattande att den får anses innebära en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen, är den inte tillåten utan lagstöd. Utredningen föreslår därför att sådana projekt som myndigheten bedömer inte kan genomföras på grund av den nämnda bestämmelsen ska kunna genomgå en extern etisk prövning och att behandlingen av personuppgifterna ska vara tillåten om projektet godkänns vid en sådan prövning.

Prövningen av etiska frågor

Utredningens föreslår i första hand att prövningen av myndighetens projekt ska göras av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning. Utredningen finner att Etikprövningsmyndigheten och Överklagandenämnden för etikprövning har den sammansättning, kompetens och organisation som krävs för att hantera ansökningar om etikprövning. Om den etablerade etikprövningsorganisationen inte anses lämplig, bör prövningen utföras av ett annat särskilt organ som är en statlig myndighet eller ett organ som är knutet till en annan statlig myndighet än Myndigheten för vård- och omsorgsanalys. Det särskilda organet för prövning av etiska frågor bör ha företrädare för såväl det allmänna som forskningen, och kompetens att pröva etiska frågeställningar.

Etikprövningsmyndighetens prövning av myndighetens projekt ska göras med tillämpning av etikprövningslagen på motsvarande sätt och utifrån motsvarande kriterier som vid bedömningen av projekt som avser forskning. I stället för att, som när det gäller forskning, väga riskerna mot det vetenskapliga värdet, ska myndigheten väga riskerna med behandlingen av personuppgifter mot det

Sammanfattning SOU 2018:52

20

samhälleliga intresset av den kunskap som projektet kan förväntas resultera i. Om ett annat särskilt organ gör prövningen, ska ett projekt få godkännas bara om behandlingen av personuppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Ett godkännande ska få förenas med villkor. Efter prövningen måste myndigheten följa de eventuella villkor som godkännandet förenats med samt övrig gällande rätt. Regeringen föreslås få meddela föreskrifter om det särskilda organet.

Skyddsåtgärder

Ändamålsbestämning för varje projekt

Utredningen gör bedömningen att det inte är möjligt att för myndighetens verksamhet i lag fastställa tillräckligt avgränsade och förutsägbara ändamål för den behandling av personuppgifter som ska vara tillåten. I stället för att i lagen ange ändamål föreslår utredningen därför att myndighetschefen ska besluta om särskilda ändamål för behandlingen av personuppgifter i varje enskilt uppföljnings- och analysprojekt. Utan ett sådant beslut ska personuppgifter inte få behandlas i uppföljnings- och analysverksamheten. Beslutet ska offentliggöras på lämpligt sätt.

Utredningen föreslår att för att personuppgifter som har samlats in för ett beslutat ändamål i ett projekt ska få behandlas för ett annat ändamål, krävs att myndighetschefen beslutar om det. Innan beslut fattas måste beaktas att personuppgifter som har samlats in för ett visst ändamål i ett projekt får användas för andra ändamål bara om det är förenligt med tillämpliga regler, t.ex. den s.k. finalitetsprincipen och kravet på etisk prövning.

Personuppgifter som får behandlas

I syfte att skapa en tydlig ram för behandlingen av personuppgifter föreslår utredningen att myndighetschefen, utöver att fastställa särskilda ändamål för behandlingen av personuppgifter, för varje projekt även ska besluta om vilka kategorier av personuppgifter som

SOU 2018:52 Sammanfattning

21

får behandlas om vilka kategorier av personer. Utan ett sådant beslut får personuppgifter inte behandlas i verksamheten med uppföljning och analys. Beslutet ska offentliggöras på lämpligt sätt.

Pseudonymisering

Pseudonymiserade uppgifter är uppgifter som inte direkt kan hänföras till en person men som kan återidentifieras med hjälp av kompletterande uppgifter som förvaras separat. Pseudonymisering nämns särskilt i artikel 25 och 32 i dataskyddsförordningen som ett exempel på en lämplig teknisk och organisatorisk åtgärd som den personuppgiftsansvarige ska vidta.

Utredningen föreslår ett krav på pseudonymisering av de personuppgifter som myndigheten behandlar inom ramen för den föreslagna lagen. Om ändamålet med behandlingen av personuppgifter i något fall inte kan uppnås med pseudonymiserade uppgifter, får myndighetschefen dock möjlighet att i ett enskilt fall besluta om att personuppgifter inte behöver pseudonymiseras. Efter pseudonymisering ska personuppgifter göras identifierbara igen endast om det finns starka skäl för detta. För att tydliggöra hanteringen ska myndighetschefen besluta om riktlinjer och villkor för när och hur pseudonymiserade personuppgifter får göras identifierbara. Myndighetschefen ska dessutom införa ett förbud mot att, i andra fall än de som uttryckligen framgår av de av myndighetschefen beslutade riktlinjerna och villkoren, sammanföra pseudonymiserade personuppgifter med personuppgifter som är direkt hänförliga till individer.

Behörighetsstyrning

Myndigheten ska begränsa behörigheten att ta del av personuppgifter till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter. För att det ska bli tydligt vad som gäller i fråga om behörighetstilldelning ska myndighetschefen bestämma villkoren för tilldelning av behörighet för åtkomst till personuppgifter.

För att kunna upptäcka och åtgärda obehörig åtkomst som inte förhindrats av tekniska begränsningar ska åtkomsten till personuppgifter registreras, lämpligen i en logg. Det ska med hjälp av loggen

Sammanfattning SOU 2018:52

22

också finnas en funktion vid myndigheten som regelbundet kontrollerar om någon obehörig åtkomst till personuppgifterna har förekommit.

Gallring och bevarande

Personuppgifter ska, i enlighet med principen om lagringsminimering i artikel 5.1 e i dataskyddsförordningen, inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Utredningen föreslår att myndigheten som huvudregel ska gallra personuppgifter senast sex månader efter att ett projekt är slutfört. För eventuella behov av undantag från huvudregeln föreslår utredningen att regeringen eller den myndighet som regeringen bestämmer (Riksarkivet) ska kunna meddela föreskrifter eller i ett enskilt fall besluta om att gallring ska ske senast vid en viss tidpunkt.

Regeringen eller den myndighet regeringen bestämmer ska dessutom ha möjlighet att besluta att personuppgifter som ingår i ett projekt som är slutfört – och som myndigheten därför är skyldig att gallra – ska få bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Utlämnande av personuppgifter från Socialstyrelsen och Statistiska centralbyrån till Myndigheten för vård- och omsorgsanalys

För att kunna fullgöra sitt uppdrag behöver Myndigheten för vård- och omsorgsanalys samla in personuppgifter, även vissa känsliga personuppgifter, från andra aktörer än den registrerade själv. Utredningen har haft i uppdrag att särskilt bedöma om myndigheten kan få nödvändiga personuppgifter från Socialstyrelsen och Statistiska centralbyrån. De aktuella personuppgifterna är hos Socialstyrelsen och Statistiska centralbyrån skyddade av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen, s.k. statistiksekretess. För personuppgifterna gäller alltså som huvudregel absolut sekretess. Undantag

SOU 2018:52 Sammanfattning

23

gäller dock för uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Utredningen bedömer att Socialstyrelsen och Statistiska centralbyrån kan lämna ut nödvändiga personuppgifter till Myndigheten för vård- och omsorgsanalys med stöd av undantaget för uppgifter som behövs för statistikändamål (24 kap. 8 § tredje stycket offentlighets- och sekretesslagen). Socialstyrelsen och Statistiska centralbyrån kan också, med stöd av samma bestämmelse, lämna ut personuppgifter som inte är direkt hänförliga till den enskilde, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. De berörda myndigheterna delar utredningens bedömningar. Eventuella hinder mot utlämnande kan vanligtvis lösas genom en dialog mellan utlämnande och mottagande myndighet. Utredningen lämnar således inte något författningsförslag i denna del.

Ikraftträdande

Utredningen föreslår att den nya lagstiftningen ska träda i kraft den 1 juli 2019. Några särskilda övergångsbestämmelser bedöms inte behövas.

Konsekvenser

Myndigheten för vård- och omsorgsanalys kan behöva vidta åtgärder för att anpassa verksamheten utifrån de föreslagna kraven på skyddsåtgärder och utbilda medarbetare. Eventuella kostnader för detta bedöms dock rymmas inom befintliga anslag. Inte heller kravet på etikprövning bedöms medföra någon ökad kostnad för myndigheten.

Kravet på etikprövning medför att Etikprövningsmyndigheten kommer att pröva ett något ökat antal ansökningar om etikprövning och att Överklagandenämnden för etikprövning kan komma att få en marginell ökning av antalet ärenden. Förslagen bedöms dock inte medföra annat än en sådan marginell ökning av Etikprövnings-

Sammanfattning SOU 2018:52

24

myndighetens och Överklagandenämnden för etikprövnings kostnader att den ryms inom befintliga anslag, jämte de avgifter som får tas ut.

I övrigt förväntas förslagen inte få några negativa konsekvenser.

25

1 Författningsförslag

1.1 Förslag till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 3 och 9–11 §§ gäller även vid behandling av uppgifter om avlidna personer.

Förhållandet till annan reglering

2 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Författningsförslag SOU 2018:52

26

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Vid forskning gäller lagen (2003:460) om etikprövning av forskning som avser människor.

Ändamålsbestämning

3 § Myndighetschefen ska för varje projekt besluta om särskilda ändamål för behandlingen av personuppgifter och vilka kategorier av personuppgifter som får behandlas om vilka kategorier av personer.

Utan ett sådant beslut får personuppgifter inte behandlas.

För att personuppgifter som har samlats in för ett beslutat ändamål i ett projekt ska få behandlas för ett annat ändamål, krävs att myndighetschefen beslutar om det.

Känsliga personuppgifter

4 § Sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas i ett projekt bara

1. med de registrerades uttryckliga samtycken, med stöd av artikel 9.2 a i samma förordning, eller

2. såvitt avser uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung, om projektet har prövats och godkänts enligt 8 §, med stöd av artikel 9.2 g, h eller j i samma förordning.

Trots första stycket behöver projekt som innefattar behandling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung om färre än 100 personer inte prövas och godkännas enligt 8 §.

SOU 2018:52 Författningsförslag

27

Uppgifter om lagöverträdelser

5 § Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) får behandlas i ett projekt bara

1. med de registrerades samtycken, eller

2. om projektet har prövats och godkänts enligt 8 §. Trots första stycket behöver projekt som innefattar behandling av uppgifter om lagöverträdelser om färre än 100 personer inte prövas och godkännas enligt 8 §.

Övriga personuppgifter i godkända projekt

6 § När sådana personuppgifter som avses i 4 och 5 §§, efter prövning och godkännande enligt 8 § får behandlas i ett projekt, får också andra personuppgifter behandlas utan de registrerades samtycken i projektet.

Prövning av projekt som inte innefattar känsliga personuppgifter eller uppgifter om lagöverträdelser

7 § Om myndigheten bedömer att ett projekt, som endast innefattar behandling av andra personuppgifter än sådana som avses i 4 och 5 §§, inte kan genomföras på grund av 2 kap. 6 § andra stycket regeringsformen, får personuppgifterna behandlas om projektet har prövats och godkänts enligt 8 §.

Författningsförslag SOU 2018:52

28

Prövningen av etiska frågor

ALTERNATIV A ALTERNATIV B

8 §

Prövningen enligt 4 § 2, 5 § 2 och 7 § ska göras av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning. Vid prövning och godkännande ska bestämmelserna om forskning i 611 §§ lagen (2003:460) om etikprövning av forskning som avser människor tillämpas på motsvarande sätt. I fråga om handläggningsordningen för prövning och godkännande samt om överklagande tillämpas bestämmelserna i 24– 33 samt 36 och 37 §§ samma lag.

Prövningen enligt 4 § 2, 5 § 2 och 7 § ska göras av ett särskilt organ för prövning av etiska frågor som har företrädare för såväl det allmänna som forskningen och som är en statlig myndighet eller är knutet till en annan statlig myndighet än Myndigheten för vård- och omsorgsanalys.

Ett projekt får godkännas bara om behandlingen av personuppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Ett godkännande får förenas med villkor.

Regeringen meddelar föreskrifter om organ som avses i första stycket.

SOU 2018:52 Författningsförslag

29

Skyddsåtgärder

9 § De personuppgifter som behandlas i ett projekt ska pseudonymiseras.

Myndighetschefen får för ett särskilt fall besluta om undantag från första stycket, i den utsträckning ändamålet med behandlingen inte kan uppnås med pseudonymiserade personuppgifter.

Myndighetschefen ska besluta om riktlinjer och villkor för när och hur pseudonymiserade personuppgifter får göras identifierbara och förbud mot att i andra fall sammanföra sådana personuppgifter med personuppgifter som är direkt hänförliga till individer.

10 § Behörighet för åtkomst till personuppgifter ska begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter.

Myndighetschefen ska bestämma villkoren för tilldelning av behörighet för åtkomst till personuppgifter. Åtkomsten till personuppgifter ska registreras och det ska finnas en funktion vid myndigheten som regelbundet kontrollerar registreringarna i syfte att upptäcka och åtgärda obehörig åtkomst.

Gallring

11 § Personuppgifter som behandlats i ett projekt ska gallras senast sex månader efter att projektet är slutfört, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Denna lag träder i kraft den 1 juli 2019.

Författningsförslag SOU 2018:52

30

1.2 Förslag till lag om ändring i lagen ( 2003:460 ) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor att 24 och 31 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

24 §1

Etikprövningsmyndigheten ska pröva ansökningar som anges i 23 §.

Etikprövningsmyndigheten ska pröva

1. ansökningar som anges i

23 §,

2. vissa frågor i samband med inrättande av biobanker enligt lagen ( 2002:297 ) om biobanker i hälso- och sjukvården m.m., och

3. vissa frågor enligt lagen (2019:xx) om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys.

Myndigheten ska även pröva vissa frågor i samband med inrättandet av biobanker enligt lagen ( 2002:297 ) om biobanker i hälso- och sjukvården m.m.

31 §2

Överklagandenämnden för etikprövning ska pröva överklaganden av sådana beslut av Etikprövningsmyndigheten som anges i 36 §.

Nämnden ska även pröva ärenden som Etikprövningsmyndigheten har lämnat över enligt 29 § och utöva tillsyn enligt 34 och 35 §§. Nämnden har också till

Nämnden ska även pröva ärenden som Etikprövningsmyndigheten har lämnat över enligt 29 § och utöva tillsyn enligt 34 och 35 §§. Nämnden har också till

1 Senaste lydelse SFS 2018:147. 2 Senaste lydelse SFS 2018:147.

SOU 2018:52 Författningsförslag

31

uppgift att pröva vissa frågor i samband inrättande av biobanker enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

uppgift att pröva vissa frågor i samband inrättande av biobanker enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och vissa frågor enligt lagen

(2019:xx) om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys.

Denna lag träder i kraft den 1 juli 2019.

Författningsförslag SOU 2018:52

32

1.3 Förslag till förordning om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Härigenom föreskrivs följande.

1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av lagen (2019:xx) om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys.

2 § Myndigheten för vård- och omsorgsanalys ska på lämpligt sätt offentliggöra sådana beslut om ändamål och begränsningar av vilka kategorier av personuppgifter om vilka kategorier av personer som får behandlas i ett visst projekt som avses i 3 § första stycket lagen (2019:xx) om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys.

ALTERNATIV A ALTERNATIV B

3 §

Ansökan om prövning enligt 8 § lagen (2019:xx) om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys ska göras hos Etikprövningsmyndighetens verksamhetsregion i Stockholm.

Ansökan om prövning enligt 8 § lagen (2019:xx) om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys ska göras hos [XX].

4 § Riksarkivet får meddela sådana föreskrifter och beslut i enskilda fall om gallring och bevarande som avses i 11 § lagen (2019:xx) om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys.

Denna förordning träder i kraft den 1 juli 2019.

33

2 Utredningsarbetet och betänkandet

2.1 Utredningsdirektiven

I utredningens utredningsdirektiv (dir. 2017:67) anges följande.

Utredaren får i tilläggsuppdrag att utreda behovet av en särskild författning med bestämmelser om personuppgiftsbehandling för Myndigheten för vård- och omsorgsanalys. Om sådana behov finns, ska utredaren lämna behövliga författningsförslag. Utredningstiden förlängs nu t.o.m. den 15 januari 2018 när det gäller tilläggsuppdraget.

Enligt tilläggsdirektiv (dir. 2018:1) ska utredaren även analysera de rättsliga möjligheterna för Socialstyrelsen och Statistiska centralbyrån att lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys för användning i myndighetens analysprojekt och vid behov lämna författningsförslag som möjliggör nödvändigt uppgiftsutlämnande. Genom tilläggsdirektiven förlängdes också utredningstiden till och med den 30 juni 2018.

2.2 Utredningsarbetet

Utredningen har bedrivits på sedvanligt sätt med sammanträden och andra kontakter med experter och sakkunniga samt andra berörda. Sammanlagt har fem utredningssammanträden hållits för arbetet med detta betänkande.

För att undersöka möjligheten för Socialstyrelsen och Statistiska centralbyrån att lämna ut sekretessbelagda personuppgifter till Myndigheten för vård- och omsorgsanalys gjorde den senare myndigheten, inom ramen för utredningsarbetet, fiktiva ansökningar om utlämnande av personuppgifter för användning i myndighetens analysprojekt, som sedan fiktivt prövades av Socialstyrelsen respektive

Utredningsarbetet och betänkandet SOU 2018:52

34

Statistiska centralbyrån. Prövningarna resulterade efter viss dialog mellan myndigheterna i bedömningen att uppgifterna kunde lämnas ut till Myndigheten för vård- och omsorgsanalys.

2.3 Betänkandets disposition

Betänkandet är indelat i tre delar, förutom sammanfattningen, författningsförslagen och detta kapitel.

Den första delen, som omfattar kapitel 3–6, innehåller en allmän bakgrund. Kapitel 3 innehåller en kort beskrivning av gällande rätt. I kapitel 4 finns det en beskrivning av Myndigheten för vård- och omsorgsanalys, dess arbetsuppgifter och arbetsmetoder. I kapitlet redogörs också för myndighetens behov av att behandla personuppgifter. I kapitel 5 görs en översiktlig genomgång av andra analysmyndigheter och deras författningsstöd för att behandla personuppgifter. I kapitel 6 redogörs för möjligheterna att lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys.

I betänkandets andra del, kapitel 7–17, finns utredningens överväganden och förslag. I kapitel 7 redovisas vilka möjligheter Myndigheten för vård- och omsorgsanalys har att behandla personuppgifter enbart med stöd av dataskyddsförordningen. I kapitel 8 finns utredningens överväganden om behovet av en lagreglering om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. Den nya lagens tillämpningsområde och förhållande till annan lagstiftning behandlas i kapitel 9. I kapitel 10–13 redogör utredningen för sina slutsatser kring behovet av reglering av behandling av känsliga personuppgifter, uppgifter om lagöverträdelser och övriga personuppgifter. Kapitel 10 innehåller en kort redogörelse för hur etikprövningen av myndighetens projekt är avsedd att gå till. Utredningens överväganden kring vilka skyddsåtgärder som behövs finns i kapitel 14. Gallring och bevarande berörs i kapitel 15. I kapitel 16 gör utredningen en bedömning av om lagförslaget utgör en tillåten begränsning av grundlagsskyddet mot betydande intrång i den personliga integriteten. Utredningens överväganden avseende Socialstyrelsens och Statistiska centralbyråns möjligheter att lämna ut personuppgifter till Myndigheten för vård-och omsorgsanalys finns i kapitel 17.

SOU 2018:52 Utredningsarbetet och betänkandet

35

Slutligen finns i betänkandets tredje del, kapitel 18–20, de avslutande kapitlen. I kapitel 18 berörs ikraftträdande. Kapitel 19 innehåller en beskrivning av konsekvenserna av utredningens förslag. Författningskommentarer finns i kapitel 20.

BAKGRUND

39

3 Gällande rätt

3.1 Europakonventionen

Artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonvention-

en) avser rätt till skydd för privat- och familjeliv. Artikeln lyder en-

ligt följande:

1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Artikel 8 är tillämplig på behandling av personuppgifter men omfattar inte all slags behandling av personuppgifter – frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder av det allmänna.

3.2 Dataskyddskonventionen

Europarådets ministerkommitté antog år 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Dataskyddskonventionen trädde i kraft den 1 oktober 1985 och Sverige anslöt sig till den före EUmedlemskapet. Även övriga medlemsstater i EU är anslutna till dataskyddskonventionen. Dess syfte är att säkerställa den enskildes rätt till personlig integritet och att förbättra förutsättningarna för

Gällande rätt SOU 2018:52

40

ett fritt informationsflöde över gränserna. Tillämpningsområdet är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3).

Dataskyddskonventionen har sju kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande principerna för dataskydd. Konventionsstaterna ska vidta nödvändiga åtgärder i sin nationella lagstiftning för att ge principerna effekt (artikel 4). Det handlar bl.a. om att personuppgifter ska inhämtas och behandlas på ett korrekt sätt bara när det är lagligt och för särskilt angivna ändamål, att personuppgifterna ska vara relevanta med hänsyn till ändamålet och att personuppgifter ska vara riktiga och uppdaterade vid behov (artikel 5). Uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott får inte behandlas automatiserat, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter mot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister ska ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade (artikel 8).

De grundläggande principerna ger ett minimiskydd och bestämmelserna i kapitel II hindrar inte att personuppgifter ges ett mer omfattande skydd än det som föreskrivs i dataskyddskonventionen (artikel 11). En konventionsstat får dock, enligt artikel 12 i kapitel III, inte hindra gränsöverskridande överföring av personuppgifter till en annan konventionsstat bara av skäl som rör integritetsskydd. Avvikelser kan göras även från minimiskyddet enligt dataskyddskonventionen under förutsättning att avvikelserna anges i lag och är nödvändiga i ett demokratiskt samhälle för att bl.a. skydda den registrerades eller andra personers fri- och rättigheter (artikel 9).

Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehåller bestämmelser om hur man kan ansluta sig till konventionen och hur den kan ändras.

Dataskyddskonventionen är för närvarande föremål för en översyn.

SOU 2018:52 Gällande rätt

41

3.3 Dataskyddsdirektivet

Den allmänna regleringen om behandling av personuppgifter inom EU fanns tidigare i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan kallat dataskyddsdirektivet. Dataskyddsdirektivet syftade till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gällde enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet var direkt bindande för medlemsstaterna i fråga om det resultat som skulle uppnås. Medlemsstaterna bestämde dock själva på vilket sätt dataskyddsdirektivet skulle införlivas i den nationella lagstiftningen och defick, inom den ram som angavs i dataskyddsdirektivet, närmare precisera villkoren för när behandling av personuppgifter fick förekomma. Sådana preciseringar fick inte hindra det fria flödet av personuppgifter inom unionen.

Dataskyddsdirektivet upphörde att gälla den 25 maj 2018 i samband med att dataskyddsförordningen började tillämpas, se avsnitt 3.4.

En redogörelse för bestämmelserna i dataskyddsdirektivet finns i utredningens första betänkande, SOU 2017:66.

3.4 Dataskyddsförordningen

3.4.1 Inledning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och började tillämpas den 25 maj 2018. Den ersatte då dataskyddsdirektivet. Det huvudsakliga syftet med dataskyddsförordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Gällande rätt SOU 2018:52

42

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men det har även tillkommit några nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna, men både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag.

3.4.2 Materiell och territoriell avgränsning

Dataskyddsförordningen är – precis som dataskyddsdirektivet – tillämplig på helt eller delvis automatiserad behandling av personuppgifter och på manuell behandling av personuppgifter, om uppgifterna ingår i eller kommer att ingå i ett register. Vissa behandlingar av personuppgifter är dock uttryckligen undantagna från tillämpningsområdet. Det rör sig om behandling som sker inom verksamhet som inte omfattas av EU-rätten (t.ex. försvar och nationell säkerhet), behandling som sker inom EU:s gemensamma utrikes- och säkerhetspolitik, behandling som utförs av en fysisk person och som är av rent privat natur samt behandling som sker inom brottsbekämpande verksamhet (artikel 2).

Behandlingar av personuppgifter som utförs inom brottsbekämpande verksamhet omfattas i stället av ett särskilt EU-direktiv, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

För att dataskyddsförordningen ska vara tillämplig krävs att de personuppgiftsansvariga är etablerade i EU/EES eller att de behandlar personuppgifter i samband med att de erbjuder varor och tjänster till personer i EU/EES eller behandlar personuppgifter i samband med övervakning av människors beteende inom EU/EES (artikel 3).

SOU 2018:52 Gällande rätt

43

3.4.3 Definitioner

Dataskyddsförordningen innehåller i artikel 4 en rad definitioner av olika begrepp som används i dataskyddsförordningen. Här anges några av definitionerna.

Personuppgifter är varje upplysning som avser en identifierad eller

identifierbar fysisk person (kallad registrerad). Som identifikatorer anges förutom namn, identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer även en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Behandling (av personuppgifter) är en åtgärd eller kombination

av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Profilering är varje form av automatisk behandling av person-

uppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

Register är en strukturerad samling av personuppgifter som är

tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

Personuppgiftsansvarig är en fysisk eller juridisk person, offentlig

myndighet, institution eller annat organ som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen lagts fast i medlemsstaternas nationella rätt, får den nationella rätten också peka ut vem som är personuppgiftsansvarig.

Personuppgiftsbiträde är en fysisk eller juridisk person, offentlig

myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Gällande rätt SOU 2018:52

44

Samtycke är varje slag av frivillig, specifik, informerad och otve-

tydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Personuppgiftsincident är en säkerhetsincident som leder till oav-

siktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Genetiska uppgifter är alla personuppgifter som rör nedärvda eller

förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.

Biometriska uppgifter är personuppgifter som erhållits genom en

särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter.

Uppgifter om hälsa är personuppgifter som rör en fysisk persons

fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.

3.4.4 Grundläggande principer

För all behandling av personuppgifter enligt dataskyddsförordningen gäller samma övergripande principer som enligt dataskyddsdirektivet (artikel 5). Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för på förhand bestämda och berättigade ändamål, som tydligt angivits. Personuppgifterna ska vara riktiga – alla rimliga åtgärder ska vidtas för att felaktiga uppgifter rättas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandlingen ska ske på ett säkert sätt och inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Personuppgifter kan dock under vissa förutsättningar lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

SOU 2018:52 Gällande rätt

45

Personuppgifter som samlats in för ett visst ändamål får som huvudregel inte behandlas för något annat ändamål som strider mot det ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering (artikel 5.1 b och 6.4). Av skäl 50 till dataskyddsförordningen framgår att vid sådan vidarebehandling som inte hindras av finalitetsprincipen bör det inte krävas någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta är en nyhet i förhållande till dataskyddsdirektivet.

3.4.5 Laglig behandling av personuppgifter

För att en behandling av personuppgifter över huvud taget ska vara tillåten, krävs på samma sätt som enligt dataskyddsdirektivet att det finns en laglig grund för behandlingen (artikel 6). Minst ett av ett antal i dataskyddsförordningen angivna villkor måste vara uppfyllt. Det första alternativa villkoret är att den registrerade har lämnat sitt samtycke till behandlingen. Behandling kan också ske om den är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse, för att skydda intressen som är av grundläggande betydelse för en fysisk person, för att utföra en (arbets)uppgift av allmänt intresse eller som ett led i myndighetsutövning. Personuppgifter kan slutligen behandlas med stöd av en intresseavvägning. En nyhet är dock att behandling av personuppgifter som utförs av offentliga myndigheter när de fullgör sina uppgifter inte får ske med stöd av en intresseavvägning.

Om behandling av personuppgifter ska ske med stöd av samtycke från den registrerade, krävs att samtycket är frivilligt. Det ska också vara tydligt vad samtycket avser och det ska ha föregåtts av information från den personuppgiftsansvarige om vad samtycket innebär. Samtycket kan lämnas skriftligt, muntligt eller genom konkludent handlande och kan när som helst tas tillbaka (artikel 7).

Grunden för sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c) eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) måste fastställas i nationell rätt eller EU-rätt (artikel 6.3). Det inne-

Gällande rätt SOU 2018:52

46

bär att det inte – till skillnad från vad som tidigare gällt enligt dataskyddsdirektivet och personuppgiftslagen – kommer att vara möjligt att endast stödja sig på den generella regleringen i dataskyddsförordningen vid sådan behandling.

Ytterligare ett krav när det gäller behandling med stöd av den rättsliga grunden i artikel 6.1 c är att syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig förpliktelse ska fastställas i den rättsliga grunden. I fråga om behandling enligt artikel 6.1 e gäller i stället att syftet med behandlingen ska vara nödvändigt för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.

Det finns också möjlighet att i nationell rätt mer detaljerat reglera olika krav på sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2). I artikel 6.3 anges dessutom att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Denna möjlighet ger utrymme för s.k. registerlagstiftning för bl.a. myndigheter.

3.4.6 Känsliga personuppgifter och uppgifter om lagöverträdelser

Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjudna. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Av dessa kategorier av uppgifter är genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning nya i förhållande till dataskyddsdirektivet. Samtliga angivna kategorier av uppgifter brukar med ett samlingsnamn kallas känsliga personuppgifter.

Från huvudregeln att känsliga personuppgifter inte får behandlas finns flera undantag angivna (artikel 9.2). Känsliga personuppgifter kan t.ex. behandlas med stöd av samtycke eller för att uppgifterna på ett tydligt sätt har offentliggjorts av den registrerade. De kan också behandlas för att skyldigheter och rättigheter ska kunna tillvaratas

SOU 2018:52 Gällande rätt

47

inom arbetsrätten i den omfattning detta är tillåtet enligt unionsrätten, nationell rätt eller kollektivavtal. Samma sak gäller på områdena social trygghet och socialt skydd, vilket är nytt i förhållande till dataskyddsdirektivet. Behandling av känsliga personuppgifter är vidare tillåten om den är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke. Ett annat undantag avser behandling som är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller är en del av domstolarnas dömande verksamhet. Ideella verksamheter med politiskt, filosofiskt, religiöst eller fackligt syfte får behandla känsliga personuppgifter om sina medlemmar. Känsliga personuppgifter kan också behandlas i anslutning till hälso- och sjukvård, yrkesmedicin och social omsorg, på grundval av EU-rätten eller medlemsstaternas nationella rätt, under förutsättning att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt. Dataskyddsförordningen tillåter även behandling av hänsyn till ett viktigt allmänt intresse, av skäl av allmänt intresse på folkhälsoområdet och för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, på grundval av EU-rätten eller medlemsstaternas nationella rätt. Villkoret att nödvändig behandling av känsliga personuppgifter inom hälso- och sjukvård ska ske på grundval av EU-rätt eller nationell lagstiftning är nytt i förhållande till dataskyddsdirektivet. Det har inte heller, såsom dataskyddsdirektivet tolkats i Sverige, tidigare funnits något krav på att känsliga personuppgifter inom hälso- och sjukvården ska behandlas under ansvar av någon som omfattas av tystnadsplikt. Vidare har undantagen för allmänt intresse på folkhälsoområdet och för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål inte tidigare uttryckligen framgått av dataskyddsdirektivet.

Medlemsstaterna har möjlighet att komplettera dataskyddsförordningen med ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa (artikel 9.4).

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder måste ske under kontroll av en myndighet eller med stöd av särskild lagstiftning. Till skillnad från vad som

Gällande rätt SOU 2018:52

48

gäller enligt dataskyddsdirektivet omfattas inte friande brottmålsdomar av denna begränsning. Det finns inte heller någon reglering avseende administrativa frihetsberövanden (artikel 10).

3.4.7 Den registrerades rättigheter

Dataskyddsförordningen föreskriver ett antal rättigheter för den registrerade – och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rätt att få omfattande information från den personuppgiftsansvarige. Informationen ska avse allt från den personuppgiftsansvariges kontaktuppgifter och vilka rättigheter den registrerade har till uppgifter om hur personuppgifterna kommer att användas. Information som den registrerade redan känner till behöver inte lämnas. Om personuppgifterna har samlats in från någon annan än den registrerade, behöver information inte heller lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan, om erhållande eller utlämnande av personuppgifter är rättsligt reglerat eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt (artikel 12–14).

Den informationsskyldighet som framgår av dataskyddsförordningen är betydligt mer omfattande än den som föreskrevs i dataskyddsdirektivet. Nytt i förhållande till dataskyddsdirektivet är bl.a. att om den personuppgiftsansvarige avser att behandla personuppgifterna för ett annat syfte än det för vilket de samlades in, ska den registrerade få information om detta nya syfte samt övrig relevant information. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid, rätten att återkalla ett samtycke och rätten att inge klagomål är andra exempel på information som tillkommit. Regleringen av vid vilken tidpunkt information ska lämnas om behandling av uppgifter som har samlats in från någon annan än den registrerade har också ändrats. Huvudregeln enligt dataskyddsdirektivet, att informationen ska lämnas vid tiden för registreringen, har ändrats på så sätt att information i stället ska lämnas inom en rimlig tid från erhållandet av uppgifterna. Det finns också möjlighet att informera först i samband med den första kommunikationen med den registrerade (artikel 13 och 14).

SOU 2018:52 Gällande rätt

49

Vidare ställer dataskyddsförordningen i artikel 12.1 nya krav på att informationen som lämnas ska vara koncis, klar och tydlig, begriplig och lättillgänglig.

Den registrerade kan också begära registerutdrag med information om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få felaktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artikel 16–18). Rätten till radering eller rätten att bli bortglömd följer av artikel 17 och är betydligt mer detaljerat reglerad än rätten till utplåning enligt dataskyddsdirektivet. Det finns vissa undantag till bestämmelsen. Bland annat gäller den inte för behandling som sker med stöd av grunderna i artikel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning). Det finns också undantag för bl.a. arkivändamål.

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuell rättelse, radering av personuppgifter eller begränsning av behandling och den registrerade ska också kunna få information om dessa mottagare (artikel 19).

Personuppgifter som den registrerade har tillhandahållit den personuppgiftsansvarige, ska på begäran lämnas ut i ett strukturerat, allmänt använt och maskinläsbart format i syfte att kunna överlämnas till en annan personuppgiftsansvarig, s.k. dataportabilitet, men bara om behandlingen grundar sig på samtycke eller avtal (artikel 20). Denna rätt gäller inte i fråga om en behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning. Möjligheten att genom invändningar förhindra behandling av personuppgifter är utökad i förhållande till dataskyddsdirektivet. Om den registrerade invänder mot behandling av personuppgifter får den personuppgiftsansvarige inte längre behandla uppgifterna, såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande,

Gällande rätt SOU 2018:52

50

utövande eller försvar av rättsliga anspråk. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att invända mot behandling av hans eller hennes personuppgifter. Detta gäller om inte behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 21) Dataskyddsförordningen möjliggör i likhet med dataskyddsdirektivet nationella undantag från rätten att invända mot behandling, men endast under de förutsättningar som anges i artikel 23.1 (se nedan). Det innebär att medlemsstaterna inte längre kan begränsa rätten att invända mot behandling genom generella bestämmelser. För att kunna införa eventuella nationella begränsningar krävs det stället att en prövning görs mot artikel 23.1.

En ytterligare rättighet för den registrerade är att slippa bli föremål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22). Denna rättighet gäller dock inte om beslutet är nödvändigt för att ingå eller fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige, om beslutet tillåts enligt EU-rätt eller nationell rätt som också fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen eller om beslutet grundar sig på den registrerades uttryckliga samtycke.

Dataskyddsförordningen lämnar ett förhållandevis stort handlingsutrymme till medlemsstaterna att under vissa förutsättningar göra undantag från och modifiera ovan angivna rättigheter och skyldigheter. Enligt artikel 23.1 kan medlemsstaterna genom bestämmelser i sin lagstiftning begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 12–22 och 34, samt artikel 5 i den mån dessa bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. En sådan begränsning måste vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa olika uppräknade intressen, bl.a. nationell säkerhet, förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott, viktiga mål av generellt allmänt intresse (däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet), förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken, en tillsyns-, inspektions- eller regleringsfunktion som har

SOU 2018:52 Gällande rätt

51

samband med myndighetsutövning i fall som nämnts ovan och skydd av den registrerade eller andras rättigheter och friheter.

Om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, får det i EU-rätten eller i medlemsstaternas nationella rätt föreskrivas om undantag från vissa av den registrerades rättigheter. Det rör sig om rätten till registerutdrag, rättelse, begränsning av behandling och invändning mot behandling. Undantag får göras om det krävs för att uppnå ändamålet med behandlingen. Om personuppgifter behandlas för arkivändamål av allmänt intresse, får undantag även göras från kravet på dataportabilitet och kravet på att den personuppgiftsansvarige ska underrätta mottagare av personuppgifter om eventuella rättelser, raderingar eller begränsningar av behandling som skett (artikel 89).

3.4.8 Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter

Den personuppgiftsansvarige ansvarar för att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24 och 25). Gemensamt personuppgiftsansvariga ska fastställa sina respektive ansvarsområden om dessa inte fastställs genom rättslig reglering (artikel 26).

Om den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, ska hanteringen regleras genom avtal eller motsvarande rättsakt. Personuppgiftsbiträdet får endast behandla personuppgifter på instruktion från den personuppgiftsansvarige, såvida en skyldighet att behandla uppgifter inte framgår av EU-rätten eller nationell rätt (artikel 28 och 29).

Varje personuppgiftsansvarig och varje personuppgiftsbiträde ska var för sig skriftligen upprätta ett register över behandling som utförts under dess ansvar (artikel 30). Detta register lär inte behöva uppfylla definitionen i artikel 4, men registret ska innehålla kontaktuppgifter, upplysning om ändamål med behandlingen, en beskrivning av kategorier av registrerade och kategorier av personuppgifter, upplysning om eventuella mottagare av uppgifterna, eventuell överföring till tredjeland, tidsfrister för radering och en allmän beskriv-

Gällande rätt SOU 2018:52

52

ning av tekniska och organisatoriska säkerhetsåtgärder. Det är följaktligen inte längre dataskyddsombudets arbetsuppgift att upprätta en förteckning över behandlingar (jämför artikel 39 och personuppgiftsombudets tidigare uppgifter enligt artikel 18 i dataskyddsdirektivet).

Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till eventuella risker (artikel 32). Detta innefattar bl.a. att se till att personer som får tillgång till personuppgifter med anledning av sitt arbete endast behandlar dessa på instruktion från den personuppgiftsansvarige, under förutsättning att EU-rätten eller nationell rätt inte ålägger personen att behandla uppgifterna.

En nyhet i dataskyddsförordningen är att personuppgiftsincidenter inom 72 timmar ska anmälas till tillsynsmyndigheten. Den personuppgiftsansvarige är också skyldig att dokumentera alla personuppgiftsincidenter (artikel 33). Även den registrerade ska i vissa fall få information om personuppgiftsincidenten om den sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 34).

För att minska risker med behandling av personuppgifter innehåller dataskyddsförordningen dessutom bestämmelser om konsekvensbedömningar och förhandssamråd med tillsynsmyndigheten, som ska tillämpas om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 35 och 36).

3.4.9 Dataskyddsombud

Myndigheter och andra offentliga organ, dock inte domstolarna i deras dömande verksamhet, måste enligt dataskyddsförordningen utnämna dataskyddsombud (artikel 37). Kravet på att ha ett dataskyddsombud omfattar i vissa fall även andra personuppgiftsansvariga och personuppgiftsbiträden. Ett dataskyddsombud ska i dessa fall utnämnas om en kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Ett dataskyddsombud ska också utnämnas om en kärn-

SOU 2018:52 Gällande rätt

53

verksamhet består av behandling i stor omfattning av känsliga personuppgifter och personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott. Att det i vissa fall krävs att ett dataskyddsombud utses är en nyhet.

Ett dataskyddsombud ska utses på grundval av yrkesmässiga kvalifikationer, sakkunskap och förmåga att utföra arbetsuppgifterna. Arbetsuppgifterna ska utföras självständigt, utan instruktioner från den personuppgiftsansvarige, och med möjlighet att i god tid delta i alla frågor som rör dataskydd. Som en följd av detta ska dataskyddsombudet också, när det gäller dennes genomförande av sina arbetsuppgifter, vara bundet av regler om sekretess eller konfidentialitet. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner för att ha utfört sina arbetsuppgifter. Rapporteringen ska ske direkt till den högsta förvaltningsnivån (artikel 38).

Dataskyddsombudet ska informera och ge råd till berörda samt övervaka efterlevnaden av dataskyddsbestämmelser. Dataskyddsombudet ska också samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt vid förhandssamråd och andra kontakter. Även registrerade ska kunna kontakta dataskyddsombudet (artikel 39).

3.4.10 Överföring av personuppgifter till tredjeland

Personuppgifter får överföras till tredjeland eller en internationell organisation endast under vissa förutsättningar. En sådan förutsättning är om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet eller den internationella organisationen säkerställer en adekvat skyddsnivå (artikel 45). I avsaknad av ett beslut från kommissionen får personuppgifter överföras till tredjeland eller en internationell organisation efter att lämpliga skyddsåtgärder vidtagits och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga (artikel 46). Därutöver anges i dataskyddsförordningen ett antal förhållanden som kan grunda rätt till överföring till tredjeland i särskilda situationer (artikel 49).

Gällande rätt SOU 2018:52

54

3.4.11 Tillsynsmyndigheter

Varje medlemsstat ska ha en tillsynsmyndighet som övervakar tillämpningen av dataskyddsförordningen (artikel 51). Tillsynsmyndigheten och dess ledamöter ska vara oberoende (artikel 52–54) och behörigheten att utföra uppgifter ska vara begränsad till vad som framgår av dataskyddsförordningen (artikel 55–57). I form av utredningsbefogenheter kan tillsynsmyndigheten bl.a. kräva information som behövs för att myndigheten ska kunna fullgöra sina uppgifter, genomföra undersökningar och få tillgång till lokaler. Tillsynsmyndigheten har också korrigerande befogenheter som bl.a. består av att utfärda varningar, reprimander, förelägganden, införa förbud mot behandling och påföra administrativa sanktionsavgifter. Dessutom kan tillsynsmyndigheter utfärda tillstånd och ge råd (artikel 58).

Tillsynsmyndigheter ska samarbeta med varandra, utbyta relevant information och ge varandra bistånd (artikel 60 och 61). Vid behov ska de genomföra gemensamma insatser (artikel 62).

3.4.12 När uppgifter behandlas i strid med dataskyddsförordningen

En registrerad som anser att behandling av personuppgifter avseende honom eller henne strider mot dataskyddsförordningen, ska – till skillnad från vad som tidigare varit möjligt enligt dataskyddsdirektivet – kunna lämna klagomål till tillsynsmyndigheten och få ett överklagbart beslut (artikel 77 och 78). Den registrerade ska också kunna väcka talan i domstol mot den personuppgiftsansvarige eller personuppgiftsbiträdet (artikel 79).

Den som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till skadestånd (artikel 82). Ett skadeståndsanspråk kan, i likhet med vad som gäller enligt dataskyddsdirektivet, riktas mot den personuppgiftsansvarige. Under vissa förutsättningar kan dock skadeståndsanspråk begäras även av ett personuppgiftsbiträde, vilket är nytt i förhållande till vad som gällt tidigare.

Tillsynsmyndigheten ska enligt en annan nyhet i dataskyddsförordningen kunna påföra s.k. administrativa sanktionsavgifter (artikel 83). Två olika kategorier av överträdelser – uppdelade utifrån

SOU 2018:52 Gällande rätt

55

bestämmelser som föreskriver rättigheter och skyldigheter – föranleder två olika maxbelopp (artikel 83.4 och 83.5). Medlemsstaterna får själva bestämma i vilken utsträckning myndigheter ska kunna påföras administrativa sanktionsavgifter.

Medlemsstaterna ska vidare fastställa regler om andra sanktioner för överträdelser av dataskyddsförordningen, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter (artikel 84).

3.4.13 Konkurrens med andra rättigheter

Medlemsstaterna ska i lag förena rätten till integritet i enlighet med dataskyddsförordningen med yttrande- och informationsfriheten (artikel 85.1). För behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska medlemsstaterna fastställa undantag eller avvikelser från stora delar av dataskyddsförordningen om det är nödvändigt för att förena rätten till integritet med yttrande- och informationsfriheten (artikel 85.2).

Personuppgifter i allmänna handlingar får lämnas ut av myndigheter i enlighet med nationell rätt (artikel 86).

3.4.14 Övrigt

Medlemsstaterna får själva bestämma hur ett nationellt identifikationsnummer (personnummer) får behandlas, med beaktande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen (artikel 87).

För behandling av personuppgifter i anställningsförhållanden, får medlemsstaterna i lag eller kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av anställdas rättigheter och friheter (artikel 88).

Dataskyddsförordningen innehåller också bl.a. bestämmelser om uppförandekoder och certifiering (artikel 40–43), mekanismer för en enhetlig tillämpning av dataskyddsförordningen (artikel 63–67) och Europeiska dataskyddsstyrelsens ställning och arbetsuppgifter (artikel 68–76).

Gällande rätt SOU 2018:52

56

3.5 Regeringsformen

3.5.1 Skydd för den personliga integriteten

I regeringsformen finns grundläggande bestämmelser till skydd för den personliga integriteten. Redan i målsättningsstadgandet i 1 kap. 2 § regeringsformen slås fast att den offentliga makten ska utövas med respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. Av 2 kap. 6 § andra stycket regeringsformen framgår att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Uttrycket enskildas personliga förhållanden avses enligt förarbetena ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). Det innebär att regleringen i 2 kap. 6 § andra stycket regeringsformen kan komma att omfatta vitt skilda slag av information som är knuten till den enskildes person, t.ex. uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, t.ex. uppgift om anställning, omfattas av uttrycket. I enlighet med vad som framgår av förarbetena till 1980 års sekretesslag (1980:100) torde även en uppgift om en persons ekonomi omfattas av uttrycket personliga förhållanden.1

Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är enligt förarbetena inte dess huvudsakliga syfte utan vilken effekt åtgärden har.2 Som exempel anges att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, många gånger kan anses innebära kartläggning av enskildas förhållanden. Detta oaktat att avsikten med åtgärden inte är att kartlägga enskilda. Det konstateras vidare att det förekommer myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering inom i stort sett all statlig och kommunal förvaltning och att informationshanteringen i många fall finns särskilt reglerad. Enligt propositionen får uppgifterna i flertalet fall anses

SOU 2018:52 Gällande rätt

57

tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.3 Som exempel på kartläggning angav Integritetskommittén i sitt betänkande hantering av uppgifter om den enskildes hälsa i patientjournaler och hälsodataregister eller inom ramen för forskning i det allmännas regi.4

Vad som utgör ett betydande intrång får enligt förarbetena avgöras utifrån bl.a. uppgifternas karaktär och omfattning. En hantering av känsliga uppgifter kan innebära ett betydande intrång i den personliga integriteten även om det rör sig om ett fåtal uppgifter. Å andra sidan kan mängden uppgifter i sig vara en betydelsefull faktor i sammanhanget. Även ändamålet med behandlingen är av vikt för att avgöra om det rör sig om ett betydande intrång. En hantering som syftar till att utreda brott anses i förarbetena normalt vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Omfattningen av utlämnande av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan också vara av betydelse vid bedömningen.5

3.5.2 Begränsning av skyddet för den personliga integriteten

Skyddet för den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen är inte absolut och kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En begränsning måste dock enligt 2 kap. 20 § regeringsformen ske genom lag och får enligt 2 kap. 21 § regeringsformen göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får

3Prop. 2009/10:80 s. 180 f. Det kan dock noteras att Informationshanteringsutredningen i SOU 2015:39 s. 198 ff. argumenterar för att det inte är helt självklart att bestämmelser i registerförfattningar alltid måste anses utgöra sådan reglering som medför ett betydande intrång i den personliga integriteten. 4SOU 2008:3 s. 271. 5Prop. 2009/10:80 s. 183 f.

Gällande rätt SOU 2018:52

58

inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

Regleringen avser enligt förarbetena att understryka kravet på att lagstiftaren, när en fri- och rättighetsinskränkande lag beslutas, noga redovisar sina syften.6 Eftersom begränsningen inte får gå utöver vad som är nödvändigt med hänsyn till ändamålet, måste ett lagstiftningsarbete som påverkar skyddet av den personliga integriteten inkludera en integritetsanalys. Det intrång som sker i den enskildes personliga integritet måste vara befogat och stå i rimlig proportion till de fördelar som intrånget bidrar med till det motstående intresset. Det är endast tillåtet med lagar som inskränker integritetsskyddet om det inte finns några mindre integritetskänsliga alternativ och det intresse som ska tillgodoses är så starkt att det väger över intresset av skydd för den personliga integriteten. I förarbetena framfördes en förväntan på att kravet på att lagstiftaren tydligt redovisar vilka avvägningar som gjorts vid proportionalitetsbedömningen skulle medföra att avvägningarna i fråga om integritetsintrånget skulle bli mer ingående belysta och presenteras på ett sådant sätt att kvaliteten i lagstiftningen skulle höjas ytterligare.7

Det är således bara genom (svensk) lag som skyddet enligt 2 kap. 6 § andra stycket regeringsformen kan inskränkas. Den rätt att behandla personuppgifter som följer av den i Sverige direkt tillämpliga dataskyddsförordningen gör alltså inte att myndigheter får behandla personuppgifter i strid med 2 kap. 6 § andra stycket regeringsformen.

3.5.3 Intrång i den personliga integriteten

Många förarbeten till författningar och enstaka bestämmelser rörande behandling av personuppgifter som beslutats före 2011, då 2 kap. 6 § andra stycket regeringsformen började gälla, innehåller inte en grundlig analys av om regleringen kan förväntas orsaka ett betydande intrång i den personliga integriteten. Även om slutsatsen ofta är att regleringen av myndigheters behandling av personuppgifter ska ske i lag, är det resonemang som leder fram till det inte sällan summariskt och mynnar många gånger ut i en hänvisning till en överenskommelse

SOU 2018:52 Gällande rätt

59

mellan regering och riksdag från början av 1990-talet. Överenskommelsen framgår av de förarbeten som följde på Data- och offentlighetskommitténs betänkande. Kommittén hade behandlat frågor om författningsreglering av personregister och med anledning av detta konstaterat att register med kvalificerat känsliga personuppgifter kräver speciallagstiftning.8 I det efterföljande lagstiftningsarbetet uttalade regeringen att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag.9 Konstitutionsutskottet ställde sig bakom detta ställningstagande.10 Dessa uttalanden har senare vid åtskilliga tillfällen åberopats i lagstiftningsärenden som vägledande för att välja lagform för registerförfattningsreglering. Uttalandena har med åren kommit att tillämpas på såväl regleringen av regelrätta register som myndigheters behandling av personuppgifter i stort.11

Ett exempel på ett lagstiftningsärende som regeringen ansett innefattat sådan integritetskänslig informationshantering som enskilda är skyddade mot enligt 2 kap. 6 § andra stycket regeringsformen är kustbevakningsdatalagen (2012:145). Med hänsyn till omfattningen och arten av Kustbevakningens verksamhet, den ingripande myndighetsutövning som ingår i myndighetens uppdrag samt behovet av att kunna behandla personuppgifter även av känsligare slag inom främst den brottsbekämpande verksamheten, ansåg regeringen att stora delar av Kustbevakningens behandling av personuppgifter innefattar sådan integritetskänslig informationshantering som enskilda är skyddade mot enligt 2 kap. 6 § andra stycket regeringsformen.12

Även Utredningen om personuppgiftsbehandlingen vid ISF kom, i sitt betänkande med förslag till en lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen, fram till att regleringen skulle medföra en sådan kartläggning av enskildas personliga förhållanden och sådana betydande intrång i den personliga integriteten som enligt 2 kap. 6 § andra stycket och 20 § första stycket 2 regeringsformen behöver ha stöd i lag. Som skäl angavs dels arten av den verksamhet som Inspektionen för socialförsäkringen bedriver, där det finns behov av att behandla ett stort

Gällande rätt SOU 2018:52

60

antal personuppgifter, inklusive känsliga sådana och personuppgifter om lagöverträdelser m.m., dels att personuppgifter behöver sammankopplas och att dessa behandlingar normalt sker utan att den enskilde själv får kännedom om dem eller kan lämna sitt godkännande. Till detta kom att personuppgifterna kan komma att sparas under avsevärd tid.13

Ett exempel på motsatt bedömning är när regeringen i förarbetena till lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering konstaterade att den behandling av personuppgifter som Institutet för arbetsmarknads- och utbildningspolitisk utvärdering har behov av att utföra för att fullgöra sitt uppdrag i sig inte kan anses innebära ett sådant betydande intrång i den personliga integriteten att det av den anledningen krävs att behandlingen regleras i lag, särskilt mot bakgrund av att behandlingen till så stor del avser avidentifierade personuppgifter för forskningsändamål. Avgörande för att välja lagform blev därför den överenskommelse mellan regering och riksdag som nämns ovan.14

En annan bedömning i förhållande till 2 kap. 6 § regeringsformen gjorde Informationshanteringsutredningen som i sitt betänkande med förslag till myndighetsdatalag menade att det är i rena undantagsfall som behandling av personuppgifter hos icke brottsbekämpande myndigheter kan anses innehålla några särskilda moment av personuppgiftsbehandling som typiskt sett kan ses som en sådan kartläggning eller övervakning som innebär ett betydande intrång i den personliga integriteten och därför omfattas av grundlagsstadgandet.15 Det kan noteras att Datainspektionen har ifrågasatt denna bedömning.16

Innan man prövar om ett förslag till reglering utgör ett betydande intrång i den personliga integriteten och omfattas av grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen, kan det finnas skäl att analysera om de föreslagna bestämmelserna över huvud taget medför ett intrång. Behandling av personuppgifter med stöd av samtycke, som undantas i 2 kap. 6 § andra stycket regeringsformen, torde exempelvis inte anses utgöra samma integritetsintrång som behandling som sker utan att den registrerade tillfrågas. För att en

13SOU 2014:67 s. 89. 14Prop. 2011/12:176 s. 19 f. 15SOU 2015:39 s. 206 ff. 16 Datainspektionens yttrande, dnr 1125-2015.

SOU 2018:52 Gällande rätt

61

reglering av behandling av personuppgifter ska anses utgöra ett intrång i den personliga integriteten måste regleringen rimligen avse en åtgärd som i någon mån inskränker den enskildes möjligheter att själv bestämma över sina personuppgifter. En reglerad skyldighet att behandla personuppgifter, exempelvis en föreskrift om att en myndighet ska föra ett visst register med personuppgifter eller att uppgifter ska lämnas från en personuppgiftsansvarig till en annan får alltid anses medföra ett visst intrång i enskildas personliga integritet. Skyldigheten att behandla vissa personuppgifter innebär att den registrerade inte själv kan påverka behandlingen eller omfattningen av densamma. Även en tillåtande bestämmelse som innebär att en myndighet får möjlighet att utföra en viss behandling av personuppgifter som annars skulle ha varit otillåten, får anses medföra ett intrång i enskildas personliga integritet. I och med att behandlingen av personuppgifter har gjorts tillåten, tvingas den enskilde finna sig i eventualiteten att hans eller hennes personuppgifter behandlas utan att samtycke först inhämtas.

Integritetsskyddskommittén, som lämnade förslaget till grundlagsbestämmelsen i 2 kap. 6 § andra stycket regeringsformen, konstaterade att de från integritetsskyddssynpunkt viktigaste momenten i hanteringen handlar om hur uppgifter om enskilda får samlas in, ändamålet med behandlingen och i vilken utsträckning uppgifter på grund av uppgiftsskyldighet, som alltså bryter sekretess som gäller för uppgifterna, ska lämnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skäl.17 Bestämmelser om direktåtkomst till personuppgifter hos en annan personuppgiftsansvarig liksom de sekretessbrytande bestämmelser som krävs för att direktåtkomst ska kunna tillåtas, får genomgående anses medföra intrång i den personliga integriteten. Samma sak gäller bestämmelser som medger utökade befogenheter att sammanställa personuppgifter. Bestämmelser som inte föranleder behandling av personuppgifter utan i stället begränsar den personuppgiftsansvariges möjligheter att behandla personuppgifter, t.ex. i form av olika skyddsåtgärder, kan däremot inte i sig anses medföra intrång i den personliga integriteten. Bestämmelser om begränsning av åtkomst till personuppgifter, krav på behörighetstilldelning och krav på pseudonymisering av personuppgifter skapar självständigt ingen möjlighet till

Gällande rätt SOU 2018:52

62

behandling av personuppgifter utan utgör snarare regler om skydd för den enskildes personliga integritet.

Dataskyddsdirektivet genomfördes i Sverige genom personuppgiftslagen (1998:204) och ett antal andra författningar som kompletterade personuppgiftslagen eller innehöll särreglering i förhållande till personuppgiftslagen. Personuppgiftslagen trädde i kraft den 24 oktober 1998 och ersatte den tidigare gällande datalagen (1973:289). Personuppgiftslagen upphävdes i anslutning till att dataskyddsförordningen började tillämpas den 25 maj 2018.

En redogörelse för bestämmelserna i personuppgiftslagen finns i utredningens första betänkande, SOU 2017:66.

3.7 Dataskyddslagen

Lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:218), dataskyddslagen, trädde i kraft den 25 maj 2018. Vid samma tidpunkt upphävdes personuppgiftslagen.

Dataskyddsförordningen är direkt tillämplig i Sverige, vilket innebär begränsade möjligheter att införa och behålla nationella bestämmelser om dataskydd.18 Dataskyddsförordningen förutsätter och medger dock nationella bestämmelser som kompletterar och föreskriver undantag från förordningens regler. I vissa fall tillåter också dataskyddsförordningen att förordningens regler specificeras i nationell rätt. Svenska bestämmelser som kompletterar dataskyddsförordningen och är av generell karaktär har samlats i den nya övergripande dataskyddalagen. Termer och uttryck i dataskyddslagen har samma betydelse som i dataskyddsförordningen.

Dataskyddslagen innehåller bestämmelser om utvidgad tillämpning av bestämmelserna i dataskyddsförordningen. Av 1 kap. 2 och 3 §§ dataskyddslagen framgår att bestämmelserna i dataskyddsförordningen och dataskyddslagen ska gälla även i verksamhet utanför unionsrättens tillämpningsområde och vid Sveriges deltagande i den gemensamma utrikes- och säkerhetspolitiken. Undantag gäller

SOU 2018:52 Gällande rätt

63

dock för verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet eller 6 kap. polisdatalagen (2010:361). Dataskyddslagen är dock subsidiär i förhållande till annan lag eller förordning (1 kap. 6 § dataskyddslagen). Det möjliggör avvikande bestämmelser i registerförfattningar, dvs. författningar som reglerar behandling av personuppgifter på ett avgränsat område. Dataskyddslagens inledande kapitel innehåller också bestämmelser om lagens territoriella tillämpningsområde, förhållandet till tryck- och yttrandefriheten och tystnadsplikt för personuppgiftsombud.

I dataskyddslagens andra kapitel finns bestämmelser som förtydligar när behandling av personuppgifter är laglig med stöd av dataskyddsförordningen. Av skäl 41 till dataskyddsförordningen kan man dra slutsatsen att den rättsliga grunden för behandling av personuppgifter inte måste fastställas i en av riksdagen beslutad lag, men däremot att grunden måste vara fastställd i laga ordning, dvs. på ett konstitutionellt korrekt sätt. Vad detta konkret innebär i svensk rätt när det gäller arbetsuppgifter av allmänt intresse har preciserats i 2 kap. 2 § 1 dataskyddslagen. Enligt den bestämmelsen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. En bestämmelse som är ny i förhållande till tidigare lagstiftning är att ett barn som är minst 13 år kan samtycka till behandling av personuppgifter i samband med användning av informationssamhällets tjänster, t.ex. sociala medier.

I tredje kapitlet finns kompletterande bestämmelser om behandling av särskilda kategorier av personuppgifter. I dataskyddslagen benämns sådana uppgifter känsliga personuppgifter (3 kap. 1 § dataskyddslagen). Kapitlet innehåller också bestämmelser om behandling av personuppgifter som rör lagöverträdelser samt personnummer och samordningsnummer.

Användningsbegränsningar för personuppgifter som behandlas för arkivändamål och statistiska ändamål finns i 4 kap. dataskyddslagen.

Gällande rätt SOU 2018:52

64

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen finns i dataskyddslagenslagens femte kapitel. Bestämmelserna i artiklarna 13–15 i dataskyddsförordningen om information och rätt att få tillgång till personuppgifter gäller inte uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som meddelats med stöd av författning. Om den personuppgiftsansvarige inte är en myndighet gäller undantaget för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (5 kap. 1 § dataskyddslagen). Bestämmelsen i dataskyddsförordningen om den registrerades rätt till tillgång till personuppgifter m.m. gäller inte personuppgifter i löpande text som utgör utkast eller minnesanteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje part, om uppgifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller om de har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning (5 kap. 2 § dataskyddslagen). Regeringen får meddela ytterligare föreskrifter om begränsningar enligt dataskyddsförordningen (5 kap. 3 § dataskyddslagen).

Dataskyddslagens sjätte kapitel innehåller bestämmelser om tillsynsmyndighetens handläggning och beslut. Tillsynsmyndighetens befogenheter enligt dataskyddsförordningen gäller vid myndighetens tillsyn över att bestämmelserna i dataskyddslagen och andra föreskrifter som kompletterar förordningen följs. Det finns också närmare bestämmelser om sanktionsavgifter vid överträdelse av dataskyddsförordningen.

I det sjunde och avslutande kapitlet finns bestämmelseser som rör skadestånd och överklagande. Av 7 kap. 1 § dataskyddslagen framgår att rätten till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet enligt artikel 82 i dataskyddsförordningen gäller vid överträdelser av bestämmelser i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen, dvs. även andra registerförfattningar.

65

4 Myndigheten för vård- och omsorgsanalys

4.1 Myndighetens uppdrag

Myndigheten för vård- och omsorgsanalys inrättades den 1 januari 2011, då under namnet Myndigheten för vårdanalys. Myndigheten hade till en början till uppgift att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård samt i gränssnittet mellan vård och omsorg.

De huvudsakliga skälen till att myndigheten bildades var behovet av mer kvalificerad och systematisk analys och uppföljning av de aktuella sektorerna, en oberoende analys samt ett patient- och brukarperspektiv i utvärderingen.

I direktiven till den organisationskommitté som fick i uppdrag att förbereda och genomföra bildandet av Myndigheten för vårdanalys angavs att Sverige behöver en oberoende aktör som kan bedriva en kvalificerad och systematisk uppföljning, utvärdering och effektivitetsgranskning av hälso- och sjukvården. Myndighetens verksamhet ska vara oberoende på så sätt att den kan granska alla delar av hälso- och sjukvården, däribland myndigheternas arbete. Vidare ska myndigheten inte stå i beroendeställning i förhållande till vårdgivarna, intresseorganisationer eller andra intressenter. Myndigheten ska också ha ett patient- och medborgarperspektiv i syfte att stärka dessa gruppers ställning och inflytande över hälso- och sjukvården.1

Den 1 juli 2015 utvidgades myndighetens uppdrag till att även omfatta omsorgen. Med det avses hela socialtjänstens område och de verksamheter som bedrivs med stöd av lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall och lagen (1993:387) om stöd och service till

1 Dir. 2010:58.

Myndigheten för vård- och omsorgsanalys SOU 2018:52

66

vissa funktionshindrade med flera författningar. I samband med att uppdraget utvidgades fick myndigheten sitt nuvarande namn.

Myndigheten för vård- och omsorgsanalys har enligt 1 § förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys till uppgift att ur ett patient-, brukar-, och medborgarperspektiv följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. Av 2 och 3 §§ samma förordning framgår att uppgiften mer specifikt innebär att myndigheten ska

• följa upp och analysera vårdens och omsorgens funktionssätt,

• effektivitetsgranska statliga åtaganden och verksamheter,

• inom sitt verksamhetsområde bistå regeringen med underlag och rekommendationer för effektivisering av statlig verksamhet och styrning,

• kontinuerligt utvärdera sådan information om vården och omsorgen som lämnas till den enskilde, i fråga om informationens innehåll, kvalitet, ändamålsenlighet och tillgänglighet,

• på regeringens uppdrag bistå med utvärderingar och uppföljningar av beslutade eller genomförda statliga reformer och andra statliga initiativ, samt

• inom sitt verksamhetsområde bedriva omvärldsbevakning och genomföra internationella jämförelser.

Myndighetens uppgift beskrivs något mer utförligt i direktiven till den organisationskommitté som hade i uppdrag att förbereda och genomföra bildandet av myndigheten. I direktiven2 uttalade regeringen följande.

Den nya myndighetens ansvarsområde omfattar all offentligt finansierad hälso- och sjukvård (inklusive tandvård), oavsett huvudmannaskap eller driftsform, samt den privat finansierade hälso- och sjukvården. Utgångspunkten för myndighetens verksamhet ska vara att ur ett patient- och medborgarperspektiv följa upp, utvärdera, effektivitetsgranska och redovisa förhållanden inom hälso- och sjukvården särskilt med fokus på verksamhetens kvalitet och effektivitet. Myndighetens uppgift är att följa upp hur väl hälso- och sjukvården totalt sett fungerar

2 Dir. 2010:58.

SOU 2018:52 Myndigheten för vård- och omsorgsanalys

67

och analysera större satsningar och reformer ur ett patient- och medborgarperspektiv. Centrala frågeställningar handlar om hur kvaliteten och effektiviteten i hälso- och sjukvården utvecklas och vilka effekter och konsekvenser som kan mätas till följd av olika satsningar och reformer. Det skulle exempelvis kunna röra sig om frågor som handlar om tillgängligheten till hälso- och sjukvården, patientsäkerhet, samverkan mellan sjukvårdshuvudmännen etc. Utvärderingar kan omfatta hela kedjan från lagstiftning, normering och tillsyn till tillämpning och utfall på regional och lokal nivå. För patienternas och medborgarnas del handlar det om att underlätta deras möten med hälso- och sjukvården genom ökad kunskap, exempelvis genom att stärka deras möjligheter att göra informerade val. För beslutsfattarna genereras underlag som kan ligga till grund för ett mer kunskapsbaserat beslutsstöd för framtida styrning, verksamhetsuppföljning, förbättringsarbete och prioriteringar i hälso- och sjukvården. Uppföljning och utvärdering på hälso- och sjukvårdens makronivå underlättas ofta av jämförelser med andra länder. Internationella studier och jämförelser mellan Sverige och andra länder ska således vara en del av myndighetens verksamhet.

Som anges ovan omfattar myndighetens uppdrag numera även hela socialtjänstens område och de verksamheter som bedrivs med stöd av lagen med särskilda bestämmelser om vård av unga, lagen om vård av missbrukare i vissa fall och lagen om stöd och service till vissa funktionshindrade med flera författningar.

Myndigheten ska enligt 4 § i instruktionen senast den 1 februari varje år i en särskild analys- och granskningsplan ange vilken huvudsaklig inriktning verksamheten ska ha under året. Resultatet av sådana analyser, granskningar, uppföljningar och utvärderingar som avses i 1–3 §§ ska enligt 12 § i instruktionen löpande redovisas till regeringen.

4.2 Myndighetens verksamhet

4.2.1 Egeninitierad verksamhet och regeringsuppdrag

Verksamheten vid Myndigheten för vård- och omsorgsanalys består av både egeninitierade analyser och genomförande av särskilda uppdrag från regeringen. När det gäller den egeninitierade verksamheten konkretiseras den breda arbetsuppgift som följer av instruktionen i den analysplan som myndigheten ska ta fram varje år. I analysplanen beskrivs ett antal analysområden som myndigheten avser att arbeta

Myndigheten för vård- och omsorgsanalys SOU 2018:52

68

inom. Arbetet inom ett analysområde pågår i ett antal år. Exempel på områden som är med i 2018 års analysplan är en jämlik vård och omsorg utan omotiverade skillnader och effektiva vård- och omsorgssystem för en god vård och omsorg. Inom varje analysområde utarbetas frågeställningar som ska besvaras. Utifrån analysplanen tar myndigheten fram en verksamhetsplan som konkretiserar vilka specifika projekt som ska bedrivas inom respektive analysområde under verksamhetsåret. Där preciseras också syfte, mål och frågeställningar samt budget och övergripande tidsplan. När verksamhetsplanen har beslutats, tas projekten vidare inom ramen för myndighetens projektstyrningsmodell.

Vid sidan av analysområdena arbetar myndigheten även med det den kallar för ”Aktuell respons”. Inom den verksamheten kan myndigheten med kort varsel initiera och genomföra avgränsade analyser av angelägna frågor med hög aktualitet. Projekten bedrivs normalt under kortare tid än övriga projekt.

Utöver den egeninitierade verksamheten får myndigheten särskilda uppdrag av regeringen antingen i myndighetens regleringsbrev eller genom särskilda regeringsbeslut. Regeringsuppdragen åtföljs som regel av särskild finansiering för att myndigheten ska ha möjlighet att själv bestämma inriktningen på den egeninitierade verksamheten. Regeringsuppdragen är ofta ganska omfattande och pågår under ett till två år.

4.2.2 Arbetsmetoder

Analysverksamheten bedrivs i projektform. Det gäller oavsett om det är en återkommande undersökning som ska göras eller om det är en specifik fråga som ska besvaras vid ett tillfälle. Ett projekt är, enligt den definition myndigheten använder, en tidsbegränsad arbetsuppgift som ska genomföras inom bestämda ramar, exempelvis i fråga om tid, arbetsinsatser och ekonomi.

Arbetet inleds genom att det tas fram ett projektdirektiv som beskriver bakgrunden till att en analys bör genomföras, syfte, mål och övergripande resursbehov. Därefter utformas en detaljerad projektplan som bl.a. innehåller syfte, mål, frågeställningar, omfattning, avgränsningar, bakgrund, intressenter, samverkan och beroenden till andra projekt, metod och beskrivning av datainsamling, aktivitets-

SOU 2018:52 Myndigheten för vård- och omsorgsanalys

69

och tidsplan, juridiska och etiska aspekter samt riskanalys. När projektplanen är beslutad påbörjas arbetet. Projekten ska bedrivas i enlighet med myndighetens projektstyrningsmodell. Resultatet av analysarbetet presenteras i rapporter eller promemorior.

Myndigheten har inget uttryckligt uppdrag att bedriva och anser inte att dess verksamhet i dag utgör forskning. Det kan i detta sammanhang dock konstateras att merparten av myndighetens anställda är disputerade forskare och att myndigheten anlitar externa forskare som bedriver forskning på myndighetens uppdrag. Myndigheten utgår också från vetenskapliga principer och metoder i sitt analysarbete. Som en del i detta använder den statistiska metoder. Myndigheten vinnlägger sig om att ha effektiva processer som tillgodoser behovet av användbara kunskapsunderlag.

Varje projekt har en styrgrupp som består av generaldirektören, analyschefen, chefsjuristen samt enhetschefen (projektdirektören) för den enhet som håller i projektet. Styrgruppen fattar de mer avgörande besluten i projekten, medan det dagliga arbetet leds av en projektledare. Till projektet finns en arbetsgrupp knuten. Projektdeltagarna har olika kompetens beroende på vad projektet handlar om. Vid myndigheten finns exempelvis hälsoekonomer, statsvetare, jurister och personer med medicinsk bakgrund. En stor andel av personalen på analysavdelningen är disputerad.

Personuppgifter samlas in i ett särskilt projekt i syfte att kunna besvara frågeställningarna i det specifika projektet. Myndigheten har alltså inte några egna databaser där insamlade uppgifter lagras i syfte att användas för olika ändamål i framtiden. När personuppgifterna har samlats in ersätts personnummer med löpnummer med hjälp av en kodnyckel. Det förekommer inte personnummer eller namn i de datafiler som används inom projektet. Endast ett fåtal personer har tillgång till kodnyckeln, som är krypterad och förvaras inlåst. Personuppgifterna arkiveras senast när projektet avslutas. Om det skulle visa sig att personuppgifterna är nödvändiga att behandla i ett annat projekt, görs en bedömning av om den nya behandlingen av personuppgifterna är tillåten och förenlig med finalitetsprincipen enligt dataskyddsförordningen och om uppgifterna kan lämnas ut till det andra projektet trots sekretessregleringen.

Myndigheten för vård- och omsorgsanalys SOU 2018:52

70

4.3 Rättsligt stöd för myndighetens behandling av personuppgifter

Myndigheten för vård- och omsorgsanalys behandlade tidigare personuppgifter med stöd av personuppgiftslagen. För att myndigheten skulle kunna behandla personuppgifter måste därmed varje behandling föregås av en prövning enligt bl.a. 10 § personuppgiftslagen, där det föreskrevs att personuppgifter endast får behandlas om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för vissa i paragrafen angivna syften. Behandlingen kunde t.ex. vara tillåten om den ansågs nödvändig för att en arbetsuppgift av allmänt intresse skulle kunna utföras. Behandlingen kunde också vara tillåten om den var nödvändig för att ett ändamål som rörde ett berättigat intresse hos den personuppgiftsansvarige eller den till vilken personuppgifterna ska lämnas ut ska kunna tillgodoses, om detta intresse vägde tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Myndigheten för vård- och omsorgsanalys hade med denna reglering endast möjlighet att behandla känsliga personuppgifter med stöd av den registrerades uttryckliga samtycke enligt 15 § personuppgiftslagen. Myndigheten anser sig inte bedriva någon forskning, och behandling av känsliga personuppgifter kunde därför inte heller ske med stöd av undantaget avseende forskningsändamål i 19 § första stycket personuppgiftslagen.

Personuppgiftslagen upphävdes den 25 maj 2018 i anslutning till att dataskyddsförordningen började tillämpas. Eftersom Myndigheten för vård- och omsorgsanalys saknade särskild registerförfattning vid denna tidpunkt, måste myndigheten i stället enbart tillämpa dataskyddsförordningen och den kompletterande dataskyddslagen.

Redan i samband med att Myndigheten för vårdanalys bildades uppmärksammade organisationskommittén att myndigheten inte hade författningsstöd för att utföra all den behandling av personuppgifter som behövdes. I den promemoria som togs fram konstaterade kommittén att myndigheten i viss utsträckning skulle kunna utföra behandling av känsliga personuppgifter, t.ex. uppgifter om hälsa, med stöd av samtycke eller därför att den sker för statistikändamål. Någon mer omfattande behandling av känsliga personuppgifter kunde enligt kommittén dock inte grundas på de undantagen. Kommittén gjorde därför bedömningen att det i normalfallet

SOU 2018:52 Myndigheten för vård- och omsorgsanalys

71

inte skulle vara möjligt för myndigheten att behandla känsliga personuppgifter. Kommittén ansåg att myndigheten borde ges utökade möjligheter att behandla personuppgifter i syfte att ge myndigheten möjlighet att genomföra fler typer av analyser och därmed kunna få fram ytterligare resultat. Kommitténs slutsats var att frågan om myndighetens behov av att behandla personuppgifter krävde författningsändringar som borde utredas särskilt.3

Myndigheten för vård- och omsorgsanalys har därefter, alltsedan myndigheten bildades, fört en dialog med Socialdepartementet angående behovet av författningsstöd som möjliggör behandling av de personuppgifter som behövs i analysverksamheten.

4.4 Behovet av att behandla personuppgifter

4.4.1 Inledning

För att myndigheten ska kunna fullgöra sitt uppdrag enligt instruktionen behöver myndigheten behandla personuppgifter. Eftersom myndighetens verksamhet består i att följa upp och analysera vården och omsorgen ur ett patient-, brukar och medborgarperspektiv, är det ofta aktuellt att behandla känsliga personuppgifter om hälsa. Myndighetens projekt inkluderar dock även andra typer av personuppgifter. Det kan röra sig om demografiska uppgifter om t.ex. ålder, kön, bostadsuppgifter, civilstånd och familj. Det finns också behov av att behandla socioekonomiska uppgifter om t.ex. utbildning, ekonomi, bidrag, sysselsättning och sysselsättningsgrad. Vidare kan det förekomma fall då det behövs uppgifter om socialförsäkringsförmåner. Uppgifter om vård- och omsorgsbehov samt vård- och omsorgsinsatser behöver behandlas och detsamma gäller uppgifter om patienters och brukares upplevelser samt om medicinska resultat. Gemensamt för alla dessa behov är att utgångspunkten för undersökningarna är att fånga hälso- och sjukvården och omsorgen ur patienters, brukares och medborgares perspektiv.

I avsnitt 6.5 berörs frågan om sekretess för uppgifter hos Myndigheten för vård- och omsorgsanalys.

3 Promemoria av Utredningen om inrättande av en ny oberoende granskningsmyndighet med ansvar för uppföljning och utvärdering av hälso- och sjukvården (S 2010:05).

Myndigheten för vård- och omsorgsanalys SOU 2018:52

72

4.4.2 Behov av uppgifter från andra aktörer

Insamling av personuppgifter

Eftersom myndigheten är beroende av att inhämta samtycke för att kunna behandla känsliga personuppgifter (se avsnitt 4.3), är myndigheten begränsad till vissa arbetssätt. Myndigheten kan rikta sig antingen till ett urval av befolkningen i allmänhet, till patientpaneler som finns hos undersökningsföretag och som har samtyckt till att bli tillfrågade om deltagande eller till vård- och omsorgspersonal för att samla in personuppgifter direkt från enskilda. Personerna tillfrågas om de exempelvis har varit patienter under en viss tid och om de i så fall vill delta i en viss studie och samtycka till nödvändig behandling av personuppgifter. Uppgifterna samlas sedan in med stöd av samtycket genom enkäter eller intervjuer.

Att vända sig till ett urval av befolkningen i allmänhet är en framkomlig väg i många fall, särskilt när myndigheten undersöker breda populationers uppfattningar om något de flesta har erfarenhet av, exempelvis allmänhetens syn på primärvården eller apotekens verksamhet. I flera av myndighetens projekt, både de egeninitierade och i regeringsuppdragen, analyseras dock mer specifika frågor som rör exempelvis vården för personer med kronisk sjukdom, missbruksvården eller cancerläkemedel. Då rör det sig om mer specifika grupper av patienter, brukare eller medborgare som är berörda. Det kan gälla t.ex. patienter med cancer, personer med missbruk, personer i en viss åldersgrupp, personer som lever under socioekonomiskt utsatta förhållanden eller personer som använder särskilt dyra eller nya läkemedel. Myndigheten har därför behov av att i vissa fall kunna nå specifika grupper för att genomföra enkätundersökningar eller intervjuer och på så sätt inhämta deras uppfattning om, inställning till eller erfarenhet av en viss fråga.

Många av de analyser Myndigheten för vård- och omsorgsanalys behöver utföra, såväl sådana som härrör från regeringsuppdrag som analyser för den egeninitierade verksamheten, förutsätter behandling av personuppgifter som samlas in från andra aktörer och inte enbart från den registrerade själv. Myndigheten har framför allt behov av att behandla personuppgifter som finns i Socialstyrelsens hälsodataregister, hos Statistiska centralbyrån samt i kvalitetsregister och databaser hos kommuner och landsting. Även uppgifter som finns hos andra aktörer kan behövas i vissa fall. Sekretess har

SOU 2018:52 Myndigheten för vård- och omsorgsanalys

73

åberopats som hinder för att lämna ut personuppgifterna till Myndigheten för vård- och omsorgsanalys.

Som ett sätt att ändå lösa sina uppgifter har det förekommit att myndigheten tagit hjälp av externa forskare vid universitet och högskolor som utför forskning på de aktuella områdena och som har kunnat utföra studier åt myndigheten. Dessa forskare hade tidigare möjlighet att behandla personuppgifter med stöd av undantaget avseende forskningsändamål i 19 § första stycket personuppgiftslagen under förutsättning att behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, etikprövningslagen. Enligt ett remitterat utkast till lagrådsremiss om behandling av personuppgifter för forskningsändamål kan behandling av personuppgifter ske direkt med stöd av artikel 6.1 dataskyddsförordningen. När det gäller behandling av känsliga personuppgifter kan behandling för forskningsändamål enligt bedömningen i utkastet ske med stöd av artikel 9.2 j i dataskyddsförordningen och 2, 3, 6 och 10 §§ etikprövningslagen.4 Det förekommer också att personuppgifter som finns hos exempelvis Socialstyrelsen eller Statistiska centralbyrån avidentifieras och sammanställs till statistik och därefter lämnas ut till myndigheten.

Exempel på personuppgifter som finns hos andra aktörer

I syfte att åskådliggöra behoven av att behandla personuppgifter som finns hos andra aktörer ges nedan några exempel på regeringsuppdrag där frågan har aktualiserats.

Ett regeringsuppdrag handlade om att följa och utvärdera nyttan med ordnat införande av nya läkemedel. Uppdraget bestod bl.a. av att analysera om ordnat införande leder till en ordnad och jämlik tillgång till nya kostnadseffektiva läkemedel till de som behöver det oavsett t.ex. bostadsort, ålder, kön och socioekonomiska faktorer.5För att kunna genomföra den analysen behövdes individuppgifter om läkemedelsanvändning och de bakgrundsfaktorer som nämns i uppdraget samlas in från olika myndigheter.

4 Utkast till lagrådsremiss dnr U2018/01639/F s. 40 ff. och s. 79 f. 5 Regeringens beslut dnr S2016/01693/FS (delvis).

Myndigheten för vård- och omsorgsanalys SOU 2018:52

74

Ett liknande exempel är ett regeringsuppdrag som handlade om att ta fram ett kunskapsunderlag kring införande, användning och uppföljning av cancerläkemedel. Myndigheten skulle med anledning av uppdraget analysera vilka patienter som får tillgång till läkemedel och vilka hinder mot jämlik tillgång som finns.6 För att genomföra en sådan analys behövde myndigheten behandla personuppgifter från flera olika myndigheters register. Eftersom myndigheten inte hade författningsstöd för en sådan behandling av känsliga personuppgifter, använde myndigheten i stället tidigare publicerade analyser vilket medförde en begränsning när det gällde vilka frågor som var möjliga att undersöka.

Ytterligare ett exempel är ett regeringsuppdrag rörande primärvårdens verksamhet där det angavs att myndigheten skulle göra en fördjupad analys av förutsättningarna för en jämlik och patientcentrerad primärvård. Utifrån befintliga data och kunskap om primärvårdens funktionssätt skulle primärvårdens förutsättningar att erbjuda en god vård efter behov analyseras.7 Uppdraget medförde att myndigheten behövde uppgifter från landstingen om hur befolkningen använder primärvården. Alla landsting kunde inte göra sådana utdrag ur sina databaser och de landsting som hade möjlighet att göra det bedömde att de inte kunde lämna ut personuppgifterna till myndigheten eftersom myndigheten saknade författningsstöd för att behandla sådana uppgifter. Landstingen kunde inte heller avsätta resurser för att sammanställa uppgifterna i sådan form att de inte längre var att betrakta som personuppgifter.

4.4.3 Myndighetens egen bearbetning av personuppgifter

Myndigheten behöver inte bara kunna samla in personuppgifter från andra aktörer. För att utföra de analyser som ingår i myndighetens uppdrag behöver myndigheten också kunna bearbeta uppgifterna och analysera dem på egen hand.

Det finns behov av att analysera uppgifterna ur olika synvinklar, för att exempelvis se vilka parametrar som sticker ut, vilka förhållanden som verkar förekomma och hur de hänger ihop. Det är också nödvändigt att kunna gå tillbaka till materialet för att kontrollera att

6 Regeringens beslut dnr S2017/00359/FS (delvis). 7 Regeringens beslut dnr S2015/04519/RS och S2015/08135/RS (delvis).

SOU 2018:52 Myndigheten för vård- och omsorgsanalys

75

resultaten stämmer, är relevanta och tillräckligt säkra för att dra en viss slutsats eller därför att det i analysprocessen framkommit ny information och kunskap som inte var möjlig att förutse. Inget av detta är möjligt om myndigheten endast kan använda statistik som tagits fram av en annan aktör enligt hur beställningen formulerades initialt. Det finns en risk att den framtagna statistiken inte ger tillräckliga svar på frågeställningarna eller att myndigheten missar väsentliga resultat. Om myndigheten inte själv får behandla personuppgifter är alltså riskerna att analyserna inte blir oberoende och att kvaliteten och omfattningen av analyserna blir begränsade.

Det är inte tillräckligt att myndigheten, av den aktör som har uppgifterna, får dem sammanställda i form av sådan statistik som innebär att det inte längre är fråga om personuppgifter. Myndigheten har inte möjlighet att utföra en oberoende analys om den behöver förlita sig på sammanställningar av uppgifter som görs av de aktörer som myndigheten granskar. Det är inte heller möjligt för myndigheten att kvalitetssäkra en databearbetning som har utförts av en annan aktör.

Det finns dessutom en risk att myndigheten över huvud taget inte får tillgång till något underlag. Detta eftersom andra aktörer inte alltid har möjlighet att avsätta de resurser som krävs för att sammanställa de uppgifter som myndigheten behöver på ett sätt som innebär att de inte längre utgör personuppgifter. I de fall en aktör avsätter tid för att hjälpa till tar det ofta lång tid för myndigheten att få del av sammanställningarna. Det har förekommit att handläggningen av myndighetens begäran om uppgifter har tagit över ett år. Det är inte möjligt för myndigheten att vänta så länge. Detta innebär att vissa analyser inte kan genomföras på grund av att myndigheten över huvud taget inte får tillgång till uppgifterna.

För att kunna analysera personuppgifter som exempelvis finns i journaler hos hälso- och sjukvården och akter hos socialtjänsten och andra aktörer finns det ett behov av att kunna sammanställa, systematisera och strukturera uppgifterna. Personuppgifterna kan i vissa fall även behöva sambearbetas med personuppgifter som samlats in från annat håll.

Som ett exempel på ett uppdrag där behovet aktualiserats kan nämnas regeringsuppdraget att utvärdera PRIO-satsningen som var en handlingsplan för riktade insatser inom området psykisk ohälsa.8

8 Regeringens beslut dnr S2012/4529/FS.

Myndigheten för vård- och omsorgsanalys SOU 2018:52

76

Uppdraget innebar att myndigheten skulle undersöka om s.k. individuella planer använts. Myndigheten hade endast möjlighet att samla in uppgifter om hur många planer som tagits fram. För att kunna mäta effekterna av planerna och bedöma dess innehåll hade myndigheten behövt ta del av planerna och strukturera den informationen som fanns i planerna för att därefter kunna göra analyser. Överlag saknas på omsorgsområdet befintliga datakällor, vilket medför att myndigheten har behov av att själv göra struktureringar och sammanställningar.

Myndigheten har även behov av att kunna genomföra återkommande undersökningar. Det kan t.ex. handla om att återkommande vända sig till en viss grupp för att följa utvecklingen av ett visst förhållande i vården. För att kunna utföra vissa av dessa återkommande undersökningar på ett ändamålsenligt sätt har myndigheten behov av att spara personuppgifter under en längre tid.

77

5 Regleringen av andra analysmyndigheters behandling av personuppgifter

5.1 Inledning

Till regeringens förfogande finns ett antal sektorsanknutna analysmyndigheter med uppdrag liknande det uppdrag Myndigheten för vård- och omsorgsanalys har. Det är därför relevant att undersöka vilket stöd dessa andra myndigheter har för att behandla personuppgifter. Myndigheterna är Brottsförebyggande rådet (Brå), Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), Inspektionen för socialförsäkringen (ISF), Myndigheten för kulturanalys, Myndigheten för tillväxtpolitiska utvärderingar och analyser (Tillväxtanalys) samt Trafikanalys. Därutöver finns Statskontoret, som genomför utredningar inom alla sektorer på uppdrag av regeringen, och Ekonomistyrningsverket (ESV), som på uppdrag av regeringen utför utredningar inom området ekonomisk styrning. Till skillnad från Statskontoret och ESV har de sektorsanknutna analysmyndigheterna en tydlig koppling till ett eller flera verksamhetsområden och de ansvarar för analyser eller utvärderingar inom sina respektive sektorer.

Här följer en översiktlig redogörelse för hur regleringen av de olika myndigheternas behandling av personuppgifter ser ut.

Regleringen av andra analysmyndigheters behandling av personuppgifter SOU 2018:52

78

5.2 Statskontoret

Statskontoret ska enligt förordningen (2007:827) med instruktion för Statskontoret genomföra utredningar, utvärderingar och uppföljningar av statlig och statligt finansierad verksamhet och av övergripande frågor om den offentliga förvaltningens funktionssätt. Statskontoret är inte en statistikansvarig myndighet vilket innebär att lagen (2001:99) om den officiella statistiken, statistiklagen, inte är tillämplig.1 Det finns inte heller någon registerförfattning som reglerar myndighetens behandling av personuppgifter. Eventuell behandling av personuppgifter sker därför med stöd av dataskyddsförordningen och dataskyddslagen.

5.3 Ekonomistyrningsverket (ESV)

ESV ska enligt förordningen (2016:1023) med instruktion för Ekonomistyrningsverket bl.a. utveckla och förvalta den ekonomiska styrningen av den statliga verksamheten. ESV är en statistikansvarig myndighet och ska vid behandling av personuppgifter vid framställning av officiell statistik tillämpa statistiklagen och förordningen (2001:100) om den officiella statistiken, statistikförordningen. Vissa bestämmelser i statistiklagen gäller även vid framställning av annan statistik hos en statistikansvarig myndighet (1 kap. 1 § tredje stycket statistiklagen). Därutöver finns det inte någon registerförfattning som reglerar myndighetens behandling av personuppgifter. Eventuell behandling av personuppgifter sker, i den mån behandlingen inte är reglerad i statistiklagen, med stöd av dataskyddsförordningen och den kompletterande dataskyddslagen.

5.4 Brottsförebyggande rådet (Brå)

Brå har enligt förordningen (2016:1201) med instruktion för Brottsförebyggande rådet i uppdrag att utveckla kunskap på det kriminalpolitiska området genom att ansvara för den officiella kriminalstatistiken i enlighet med förordningen om den officiella statistiken och utveckla denna statistik samt annan relevant statistik, initiera och bedriva forsknings-, analys- och utvecklingsarbete, och årligen

1 Se vidare om lagen om den officiella statistiken i avsnitt 6.4.1.

SOU 2018:52 Regleringen av andra analysmyndigheters behandling av personuppgifter

79

genomföra den nationella trygghetsundersökningen, årligen ta fram kunskap om hatbrott och minst vart tredje år genomföra skolundersökningen om brott.

När Brå behandlar känsliga personuppgifter i egenskap av statistikansvarig myndighet, sker behandlingen med stöd av statistiklagen och statistikförordningen. Vissa bestämmelser i statistiklagen gäller även vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet.

Enligt ett remitterat utkast till lagrådsremiss om behandling av personuppgifter för forskningsändamål kan de myndigheter som har en tydlig författningsreglerad uppgift att bedriva forskning behandla personuppgifter för forskningsändamål med stöd av artikel 6.1 e i dataskyddsförordningen, som avser behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse.2 Detta gäller således vid Brås behandling av personuppgifter för forskningsändamål. Vidare kan Brå behandla känsliga personuppgifter för forskning med stöd av artikel 9.2 j som avser behandling som är nödvändig för vetenskapliga eller historiska forskningsändamål.3 Vid behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden i sådan verksamhet som avser forskning och utveckling ska behandlingen prövas och godkännas av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt 3 och 6 §§ etikprövningslagen.

Som anges i propositionen som föregick dataskyddslagen kan statistiska undersökningar vara en integrerad del av ett forskningsprojekt.4 I sådana fall ska behandling av personuppgifter som sker under forskarens ansvar bedömas enligt de bestämmelser som gäller vid behandling för forskningsändamål.5

I övrigt behandlar Brå personuppgifter med stöd av dataskyddsförordningen och den kompletterande dataskyddslagen. I den nationella trygghetsundersökningen inhämtas exempelvis uppgifter med

2 Utkast till lagrådsremiss dnr U2018/01639/F s. 40 ff. 3 Utkast till lagrådsremiss dnr U2018/01639/F s. 74 f. 4Prop. 2017/18:105 s. 124. 5Prop. 2017/18:107 s. 28.

Regleringen av andra analysmyndigheters behandling av personuppgifter SOU 2018:52

80

stöd av samtycke6 och skolundersökningen om brott genomförs med hjälp av en enkät som eleverna fyller i anonymt7.

5.5 Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU)

IFAU ska enligt förordningen (2007:911) med instruktion för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering främja, stödja och genom forskning genomföra uppföljningar, utvärderingar och studier. Behandling av personuppgifter vid IFAU sker således företrädesvis i samband med forskning. Sådan behandling omfattas av bestämmelserna i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och den tillhörande förordningen (2012:742) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.

Personuppgifter får enligt 5 § lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering endast behandlas om det är nödvändigt för att fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Personuppgifter som behandlas för dessa ändamål får enligt 6 § också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Därutöver är vidarebehandling som inte strider mot finalitetsprincipen tillåten (6 a §).

Enligt 7 § första stycket lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får inte andra känsliga personuppgifter än sådana som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning behandlas för de ändamål som anges i lagen. Av andra stycket i samma paragraf framgår att forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas enligt etikprövningslagen.

6 Brottsförebyggande rådets rapport 2017:1 Nationella trygghetsundersökningen 2016 – Om utsatthet, otrygghet och förtroende, s. 17. 7 Brottsförebyggande rådets rapport 2016:21 Skolundersökningen om brott 2015 – Om utsatthet och delaktighet i brott, s. 7.

SOU 2018:52 Regleringen av andra analysmyndigheters behandling av personuppgifter

81

För behandling av såväl känsliga som icke känsliga personuppgifter gäller dessutom flera begränsningsregler i 10–12 §§. Personuppgifter som inte direkt kan hänföras till en person och som ingår i samlingar av personuppgifter som behandlas automatiserat får t.ex. inte behandlas i syfte att röja en persons identitet (10 §). Vissa personuppgifter som har samlats in för att behandlas inom olika avgränsade studier, uppföljningar eller utvärderingar får endast under vissa förutsättningar sambearbetas med varandra (11 §). Tillgången till personuppgifter ska dessutom begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (12 §).

Sådan behandling av personuppgifter vid IFAU som inte är särskilt reglerad i lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och den tillhörande förordningen sker med stöd av dataskyddsförordningen och dataskyddslagen.

5.6 Inspektionen för socialförsäkringen (ISF)

ISF har enligt förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen till uppgift att utöva systemtillsyn över och utföra effektivitetsgranskning inom socialförsäkringsområdet, i huvudsak av den verksamhet som bedrivs av Försäkringskassan, Pensionsmyndigheten, i de delar som inte står under Finansinspektionens tillsyn, och Skatteverket, i de delar som avser beslut om pensionsgrundande inkomst. Utredningen om personuppgiftsbehandlingen vid ISF har i SOU 2014:67 lämnat förslag till en lag om behandlingen av personuppgifter inom ISF:s tillsyns- och granskningsverksamhet. Förslaget har ännu inte lett till någon lagstiftning, så ISF behandlar i dag personuppgifter bara med stöd av dataskyddsförordningen och dataskyddslagen.

Personuppgifter ska enligt 6 § i den föreslagna lagen om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen få behandlas om det behövs för att fullgöra inspektionens uppdrag att vid sin systemtillsyn eller effektivitetsgranskning genomföra undersökningar av rättstillämpning, handläggning och administration inom socialförsäkringsområdet och inom verksamheter med direkt anknytning till socialförsäkringen, effekter av förändringar inom socialförsäkringsområdet och nyttjandet av

Regleringen av andra analysmyndigheters behandling av personuppgifter SOU 2018:52

82

socialförsäkringen och av system som gränsar till socialförsäkringen. Personuppgifter ska även få behandlas om det behövs för att inspektionen vid sin systemtillsyn och effektivitetsgranskning ska kunna samverka med de tillsynsmyndigheter som berörs av inspektionens tillsyns- eller granskningsverksamhet. Personuppgifter föreslås också enligt 7 § få behandlas för att fullgöra ett utlämnande av uppgifter. Därutöver föreslås vidarebehandling som inte strider mot finalitetsprincipen vara tillåten.

Känsliga personuppgifter och uppgifter om lagöverträdelser får enligt 8 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen behandlas om uppgifterna har lämnats i ett tillsyns- eller granskningsärende eller annars är nödvändiga för handläggningen av ett sådant ärende.

I syfte att minska risken för intrång i den personliga integriteten föreslås i 9 § att det vid ISF ska finnas en integritetsskyddsfunktion. Funktionen ska ha till uppgift att lagra de uppgifter som lämnas till eller hämtas in av inspektionen på ett säkert sätt och förse uppgifter som är direkt hänförliga till enskilda med en beteckning. På så sätt får medarbetare som arbetar med tillsyns- och granskningsärenden normalt inte tillgång till personuppgifter som är direkt hänförliga till enskilda individer. Integritetsskyddsfunktionen ska också bereda ISF direktåtkomst till uppgifter i socialförsäkringsdatabasen och administrera behörigheter – bl.a. genom att styra åtkomsten för projektmedarbetare i tillsyns- eller granskningsärenden till uppgifter lagrade på inspektionens servrar och till socialförsäkringsdatabasen, när de befattningshavare hos ISF som har till uppgift att sköta integritetsskyddsfunktionen (informationsansvariga) av administrativa skäl måste delegera en sådan åtkomst till en projektmedarbetare.8

Även vissa andra skyddsåtgärder föreslås, såsom tilldelning och begränsning av behörigheter samt kontroll av elektronisk åtkomst.9Dessutom föreslås i 13 § att uppgifter i tillsyns- och granskningsärenden inte ska få sammanföras med varandra eller med andra uppgifter i syfte att ta reda på en enskild persons identitet.10

ISF bedömer att delar av myndighetens uppföljnings- och utvärderingsverksamhet i praktiken faller inom ramen för forskning så som begreppet definieras i etikprövningslagen.11 Utredningen om

SOU 2018:52 Regleringen av andra analysmyndigheters behandling av personuppgifter

83

personuppgiftsbehandlingen vid ISF anser att ISF:s möjligheter att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser i första hand bör regleras genom den föreslagna registerlagen, inte genom etikprövningslagens regelsystem. Samtidigt konstaterar dock samma utredning att ISF:s verksamhet i vissa avseenden bör anses utgöra forskning och att sådana projekt bör kunna genomföras med stöd av ett godkännande från en etikprövningsnämnd.12

5.7 Myndigheten för kulturanalys

Myndigheten för kulturanalys har enligt förordningen (2011:124) med instruktion för Myndigheten för kulturanalys till uppgift att göra utvärderingar, analyser och redovisningar inom kulturområdet. Myndigheten ska också ansvara för officiell statistik enligt förordningen om den officiella statistiken. För den delen av verksamheten som avser framställning av officiell statistik gäller statistiklagen och statistikförordningen. Vissa bestämmelser i statistiklagen gäller även vid framställning av annan statistik än officiell statistik hos myndigheten. Därutöver gäller dataskyddsförordningen och dataskyddslagen.

5.8 Myndigheten för tillväxtpolitiska utvärderingar och analyser (Tillväxtanalys)

Tillväxtanalys har enligt förordningen (2016:1048) med instruktion för Myndigheten för tillväxtpolitiska utvärderingar och analyser till uppgift att göra utvärderingar, analyser och redovisningar avseende nationell och regional tillväxt och näringslivsutveckling. Myndigheten svarar också för officiell statistik enligt förordningen om den officiella statistiken. För den delen av verksamheten som avser framställning av officiell statistik, och i vissa fall även vid framställning av annan statistik hos myndigheten, gäller statistiklagen och statistikförordningen. Därutöver gäller dataskyddsförordningen och dataskyddslagen.

Regleringen av andra analysmyndigheters behandling av personuppgifter SOU 2018:52

84

5.9 Trafikanalys

Trafikanalys har enligt förordningen (2010:186) med instruktion för Trafikanalys till huvuduppgift att, med utgångspunkt i de transportpolitiska målen, utvärdera och analysera samt redovisa effekter av föreslagna och genomförda åtgärder inom transportområdet. Vidare ska myndigheten ansvara för att samla in, sammanställa och sprida statistik på transportområdet. Trafikanalys får inom sitt verksamhetsområde bedriva egen forskning utifrån statistiskt material. Myndigheten svarar också för officiell statistik enligt förordningen om den officiella statistiken. För den delen av verksamheten som avser framställning av officiell statistik gäller statistiklagen och statistikförordningen. Vidare är vissa bestämmelser i statistiklagen tillämpliga vid framställning av annan statistik än officiell statistik hos Trafikanalys. Därutöver gäller dataskyddsförordningen och dataskyddslagen.

85

6 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

6.1 Inledning

I kapitel 4 redovisas de huvudsakliga skälen till att Myndigheten för vård- och omsorgsanalys bildades. Där beskrivs också myndighetens uppdrag enligt förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys, myndighetens verksamhet och arbetsmetoder. Utredningen konstaterar att myndigheten, för att kunna fullgöra sitt uppdrag, behöver behandla personuppgifter, även vissa känsliga personuppgifter. Många av de analyser myndigheten behöver utföra förutsätter behandling av personuppgifter som samlas in från andra aktörer än den registrerade själv, t.ex. från Socialstyrelsens hälsodataregister, Statistiska centralbyrån eller kvalitetsregister och databaser hos kommuner och landsting. De personuppgifter som Myndigheten för vård- och omsorgsanalys för sin analysverksamhet behöver få från Socialstyrelsen och Statistiska centralbyrån omfattas av s.k. statistiksekretess hos dessa myndigheter. Också i analysverksamheten hos Myndigheten för vård och omsorgsanalys omfattas personuppgifterna av statistiksekretess (se avsnitt 6.5).

Utredningens huvuduppdrag i denna del är att utreda behovet av en särskild författning med bestämmelser om personuppgiftsbehandling för Myndigheten för vård- och omsorgsanalys. Utredningen ska dock, enligt tilläggsdirektiv, också analysera de rättsliga möjligheterna för Socialstyrelsen och Statistiska centralbyrån att lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys för användning i myndighetens analysprojekt och vid behov

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys SOU 2018:52

86

lämna författningsförslag som möjliggör nödvändigt uppgiftslämnande. Utredningen redogör därför i detta kapitel för den reglering som finns om utlämnande av personuppgifter från Socialstyrelsen och Statistiska centralbyrån.

6.2 Myndighetens behov

6.2.1 Myndighetens behov av att använda redan befintliga data som finns hos andra aktörer

I avsnitt 4.4.2 ges några exempel på regeringsuppdrag där frågan om behovet för Myndigheten för vård- och omsorgsanalys att behandla personuppgifter som finns hos andra aktörer aktualiserats. Andra exempel på frågeställningar som myndigheten genom regeringsuppdrag har fått i uppgift att analysera, och som kräver att personuppgifter hämtas från andra myndigheter, är:

• Finns det socioekonomiska skillnader i tillgången till kirurgisk behandling av prostatacancer?

• Hur har vårdval inom den specialiserade vården påverkat vårdutnyttjandet mellan olika socioekonomiska grupper av patienter?

• Hur har fördelningen av antalet vårdkontakter i primärvården på olika socioekonomiska grupper utvecklats före och efter vårdvalsreformen?

• Vem besöker första linjens vård, det vill säga primärvården, öppen specialistvård eller akutmottagning?

Sammanfattningsvis kan sägas att myndigheten behöver kunna inhämta personuppgifter från andra aktörer och bearbeta uppgifterna på egen hand. Det är inte tillräckligt att myndigheten, av en annan aktör, får uppgifterna sammanställda i en form som innebär att det inte längre är fråga om personuppgifter.

Myndigheten för vård- och omsorgsanalys har angett tre huvudsakliga skäl till det.

För det första bör Myndigheten för vård- och omsorgsanalys ges tillräckliga analysmässiga förutsättningar för att kunna genomföra uppdragen på bästa möjliga sätt. Syftet med att behandla personuppgifterna är att nå ny kunskap. Uppgifterna bör analyseras ur olika

SOU 2018:52 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

87

synvinklar, för att exempelvis se vilka parametrar som utmärker sig, vilka förhållanden som verkar förekomma och hur de hänger ihop. Utifrån initiala analyser kan man ta den nya kunskapen som framkommit vidare till nästa steg i analysen. Ibland finns det behov av att gå tillbaka till de ursprungliga uppgifterna för att kontrollera att resultaten stämmer, är relevanta och tillräckligt säkra för att dra en viss slutsats. Det är vanligt att det i analysprocessen framkommer ny information och kunskap som inte var möjlig att förutse, vilket gör att analysen behöver anpassas. Om myndigheten är hänvisad till att be en annan aktör om statistik, kan det innebära att myndigheten blir ”låst” av hur beställningen formulerades initialt, utan möjlighet till en undersökande analysprocess. Det kan medföra risk för att sammanställningen inte ger tillräckliga svar på den aktuella frågeställningen eller att väsentliga resultat förbises.

Vidare ska myndigheten göra en oberoende analys. Om myndigheten behöver be den aktör som ska granskas att själv sammanställa sin egen data i statistikform åt myndigheten finns det risk för att analyserna, men även myndighetens verksamhet i stort, ifrågasätts.

För det tredje behöver Myndigheten för vård- och omsorgsanalys kunna säkra kvaliteten i analysen. Om en annan aktör utför bearbetningen av uppgifterna är det svårt att kvalitetssäkra den, och myndigheten blir beroende av en annan aktörs kvalitetssäkringsmodell. I analyser som bygger på stora datamaterial är det svårt för den aktör som inte har utfört analysen att få en tillräcklig förståelse för datamaterial, resultaten, osäkerhet i olika moment och hur analysen genomförts. Samtidigt är det nödvändigt att Myndigheten för vård- och omsorgsanalys har sådan förståelse för materialet, för att kunna ta ansvar för vad som har gjorts och på vilket sätt.

6.2.2 Myndighetens behov av att rikta sig direkt till patienter, brukare och andra specifika grupper

I Myndigheten för vård- och omsorgsanalys uppdrag ingår att följa upp och analysera vården, omsorgen och tandvården ur ett patient-, brukar-, och medborgarperspektiv. Det kan också anges i de specifika regeringsuppdragen att myndigheten ska göra analyserna ur ett patient- och medborgarperspektiv.

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys SOU 2018:52

88

För närvarande löser myndigheten detta genom att vända sig till ett urval av befolkningen och fråga om någon i urvalsgruppen varit patient exempelvis under en viss tid, och om han eller hon i så fall vill delta i en studie. Det är en möjlig metod i många fall, särskilt när myndigheten undersöker breda populationers uppfattningar om något de flesta har erfarenhet av, till exempel allmänhetens syn på primärvården eller på apotekens öppettider.

I flera av myndighetens uppdrag berörs dock specifika grupper av patienter och medborgare. Det kan till exempel röra sig om patienter med cancer, personer med missbruk, personer i en viss åldersgrupp, personer som lever under socioekonomiskt utsatta förhållanden eller som använder särskilt dyra eller nya läkemedel. Myndigheten för vård- och omsorgsanalys har anfört att för att göra de analyser som är nödvändiga behöver myndigheten i vissa fall nå dessa grupper direkt med exempelvis enkäter för att inhämta deras uppfattning om, inställning till eller erfarenhet av en viss fråga eller för att fråga om deltagande i intervjuer. Uppgifter om vilka personer som tillhör de aktuella målgrupperna finns till exempel i Socialstyrelsens hälsodataregister eller Statistiska centralbyråns datakällor.

Ett exempel på ett regeringsuppdrag som aktualiserar frågan om kontakt med specifika grupper avser analys av de samlade insatserna som genomförs under perioden 2015–2019 inom förlossningsvården, övrig hälso- och sjukvård, primärvård samt mammografin.1 Uppdraget omfattar även analys av införandet av kostnadsfria preventivmedel för personer under 21 år. Myndigheten ska särskilt granska insatserna utifrån ett patient- och medborgarperspektiv. De insatser som ska utvärderas riktar sig bl.a. till socioekonomiskt utsatta grupper. För att genomföra denna analys hade det varit lämpligt om myndigheten hade kunnat kontakta specifika målgrupper t.ex. patienter som varit i förlossningsvården, patienter som genomgått mammografi eller unga kvinnor.

För att nå en specifik grupp personer vänder sig myndigheten i dag, som anges i det föregående, till allmänheten och frågar om de exempelvis varit patienter med viss diagnos och vill delta i den specifika studie det är fråga om. Den enskilde kan därigenom lämna sitt samtycke, som också utgör stöd för behandlingen av personuppgifter. Myndigheten för vård- och omsorgsanalys har gjort gällande att detta tillvägagångssätt inte är möjligt i vissa fall, då

1 S2016/06724/FS.

SOU 2018:52 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

89

myndigheten inte på ett ändamålsenligt sätt kan nå de grupper av individer som är aktuella. Med den nuvarande metoden finns det en risk för att urvalet blir för litet för att kunna ge ett tillförlitligt resultat. Det finns också en risk för att ”fel” individer svarar då det inte går att säkerställa individers diagnos, socioekonomiska förhållanden och andra omständigheter utifrån vad de själva uppger. Vidare innebär detta tillvägagångssätt att myndigheten belastar långt fler personer än vad som är nödvändigt. Det kan leda till sämre svarsfrekvens, något som redan är ett stort problem, vilket också begränsar vilka slutsatser som kan dras av undersökningarna.

Med det vidgade uppdrag Myndigheten för vård- och omsorgsanalys fick 2015 krävs analyser även på exempelvis socialtjänstens område. Enligt myndigheten är det svårt att genom att vända sig till en större del av befolkningen hitta ett tillräckligt antal personer som får insatser från socialtjänsten.

6.2.3 Myndighetens behov av att rikta sig till personal

I vissa undersökningar behöver Myndigheten om vård- och omsorgsanalys vända sig till olika personalgrupper för att ställa frågor om deras syn på förhållanden inom vården, tandvården och omsorgen. Det rör sig då om frågor utifrån deras anställning eller utbildning och rör inte deras hälsa eller andra typer av känsliga personuppgifter. Urvalet kan då göras med hjälp av aktörer som har tillgång till uppgifter om anställda personer. De största begränsningarna för denna typ av undersökningar är tillgången till information om vilka personer som ingår i olika personalgrupper.

6.2.4 Myndighetens behov av att följa utveckling över tid

Som beskrivs i avsnitt 4.2.2 bedrivs analysverksamheten vid Myndigheten får vård- och omsorgsanalys i projektform. Ett projekt är, enligt myndighetens definition, en tidsbegränsad arbetsuppgift som ska genomföras inom bestämda ramar, exempelvis i fråga om tid, arbetsinsatser och ekonomi. Även om de flesta projekt är tidsbegränsade har myndigheten anfört att det i vissa fall kan finnas behov av att återkommande kunna vända sig till en viss grupp för att följa utvecklingen över tid. Det kan röra sig om utvärderingar där

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys SOU 2018:52

90

myndigheten behöver återkomma till samma individer med samma typer av frågor för att följa deras syn på utvecklingen kring vissa förhållanden i vården. Ett annat exempel är att myndigheten återkommande vänder sig till personer som tillhör en grupp med samma frågor, t.ex. verksamhetschefer i hälso- och sjukvården. Vidare ska myndigheten enligt sin instruktion kontinuerligt utvärdera sådan information om vården och omsorgen som lämnas till den enskilde, i fråga om informationens innehåll, kvalitet, ändamålsenlighet och tillgänglighet. Även i sådana fall kan det vara värdefullt att efter en tid vända sig till samma personer för synpunkter. Myndigheten har också haft ett återkommande regeringsuppdrag att fånga samma frågor i en internationell jämförande studie.

6.3 Uppgiftslämnande mellan myndigheter och sekretess

6.3.1 Uppgiftslämnande mellan myndigheter

Enligt 6 kap. 5 § offentlighets- och sekretesslagen (2009:400) ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Bestämmelser om sekretess finns i offentlighets- och sekretesslagen och offentlighets- och sekretessförordningen (2009:641). Med sekretess avses enligt 3 kap. 1 § offentlighets- och sekretesslagen ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt.

Som huvudregel gäller föreskriven sekretess även mellan myndigheter. Enligt 8 kap. 1 § offentlighets- och sekretesslagen får en uppgift för vilken sekretess gäller inte röjas för andra myndigheter, om inte annat anges i lagen eller i lag eller förordning som offentlighets- och sekretesslagen hänvisar till.

SOU 2018:52 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

91

6.3.2 Sekretessbestämmelsernas uppbyggnad

Offentlighets- och sekretesslagen innehåller undantag från offentlighetsprincipen och sekretess ska därför gälla bara om det finns ett särskilt skyddsvärt intresse. För att klargöra sekretessens omfattning är sekretessbestämmelserna som regel utformade med hjälp av tre olika slags rekvisit. Rekvisiten anger föremålet för sekretessen, sekretessens räckvidd och sekretessens styrka.2

Med föremålet för sekretessen avses vilket slags uppgift som sekretessregleringen avser, t.ex. uppgift om enskilds personliga och ekonomiska förhållanden.

Sekretessens räckvidd anger inom vilken verksamhet eller i vilken typ av ärenden sekretessbestämmelsen gäller. I vissa fall hänvisas till en viss bestämd myndighet. Om inget annat anges, är bestämmelsen tillämplig inom hela den offentliga förvaltningen.

Sekretessens styrka anges genom ett skaderekvisit. Det finns i huvudsak två olika typer av skaderekvisit, det raka och det omvända. Vid ett rakt skaderekvisit är utgångspunkten offentlighet. Det uttrycks i lagtexten genom att sekretess gäller om det kan antas att en viss skada inträffar om uppgiften röjs. Vid ett omvänt skaderekvisit finns det en presumtion för att uppgifterna omfattas av sekretess. Sekretessen uttrycks i dessa fall genom att sekretess gäller om det inte står klart att uppgiften kan röjas utan skada och men.

I vissa fall innehåller sekretessbestämmelsen inte något skaderekvisit. Sekretessen är i sådana fall absolut, vilket innebär att någon sekretessprövning inte ska göras och att uppgiften inte kan lämnas ut.

6.3.3 Primär och sekundär sekretess

Det är en grundläggande princip i sekretessregleringen att sekretess inte automatiskt överförs mellan myndigheter.3 En sekretessbestämmelse som gäller för en uppgift hos en myndighet blir inte utan särskild reglering tillämplig hos en annan myndighet när uppgiften lämnas dit. Detta har i förarbetena motiverats med att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset, utan måste i varje sammanhang vägas mot

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys SOU 2018:52

92

intresset av insyn i myndigheternas verksamhet.4 Kravet på offentlighet kan innebära att vissa uppgifter, som betraktas som hemliga hos en myndighet, är offentliga hos en annan myndighet som har inhämtat dem hos den förstnämnda myndigheten.

För att en uppgift ska omfattas av sekretess gäller som huvudregel att det ska finnas en primär sekretessbestämmelse. Med en primär sekretessbestämmelse avses enligt 3 kap. 1 § offentlighets- och sekretesslagen en sekretessbestämmelse som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten eller omfattar viss verksamhetstyp eller ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter hos myndigheten. Ett alternativ är att det finns en särskild överföringsbestämmelse som medför att sekretessen sprids utanför sitt ursprungliga tillämpningsområde, en sekundär sekretess. Enligt definitionen i offentlighets- och sekretesslagen är en sekundär sekretessbestämmelse en bestämmelse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om överföring av sekretess (3 kap. 1 § offentlighets- och sekretesslagen).

6.4 Sekretess för uppgifter hos Socialstyrelsen och Statistiska centralbyrån

För att kunna utföra sitt uppdrag i enlighet med sin instruktion har Myndigheten för vård- och omsorgsanalys gjort gällande att myndigheten behöver kunna hämta och behandla personuppgifter från bland annat Socialstyrelsen och Statistiska centralbyrån. Skälet till att myndigheten inte kan få tillgång till data i den omfattning och av den sort som behövs för vissa av myndighetens uppdrag är att uppgifterna är skyddade av så kallad statistiksekretess hos Socialstyrelsen och Statistiska centralbyrån. Nedan följer en kort redogörelse för regleringen av statistikansvariga myndigheter och vad den får för konsekvenser för möjligheten för Socialstyrelsen och Statistiska centralbyrån att lämna ut personuppgifter till Myndigheten får vård och omsorgsanalys.

4Prop. 1979/80:2 Del A s. 75 f.

SOU 2018:52 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

93

6.4.1 Lagen om den officiella statistiken och statistikansvariga myndigheter

Den officiella statistiken regleras i lagen om den officiella statistiken (2001:99), statistiklagen, och förordningen (2001:100) om den officiella statistiken, statistikförordningen. Statistiklagen innehåller bestämmelser som kompletterar dataskyddsförordningen vid behandling av personuppgifter vid framställning av officiell statistik. Vid behandling av personuppgifter med stöd av statistiklagen gäller dataskyddslagen och föreskrifter som har meddelats med stöd av lagen, om inte annat följer av statistiklagen eller föreskrifter som meddelats i anslutning till lagen. Av 1 kap. 1 § tredje stycket statistiklagen framgår att vissa bestämmelser i lagen är tillämpliga även vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet.

Enligt 3 § statistiklagen ska officiell statistik finnas för allmän information, utredningsverksamhet och forskning. Den ska vara objektiv och allmänt tillgänglig (3 a § statistiklagen). I lagen anges också vilka kvalitetskriterier som ska tillämpas när den officiella statistiken utvecklas, framställs och sprids.

Ansvaret för den officiella statistiken är fördelat på ett antal statliga myndigheter. Regeringen beslutar inom vilka områden det ska finnas officiell statistik och vilka myndigheter som ska ansvara för denna, s.k. statistikansvariga myndigheter. Vilka de statistikansvariga myndigheterna är och vilka ansvarsområden respektive myndighet har regleras i en bilaga till statistikförordningen.

Statistiska centralbyrån är den dominerande statistikproducenten och svarar för en stor del av den officiella statistiken. Myndigheten ansvarar bl.a. för officiell statistik inom områdena arbetsmarknad, befolkning, hushållens ekonomi och levnadsförhållanden.

Socialstyrelsen ansvarar för officiell statistik som rör hälsa och sjukdomar, hälso- och sjukvård, dödsorsaker, individ- och familjeomsorg, äldre- och handikappomsorg samt stöd och service till funktionshindrade.

Av 14 § statistiklagen framgår att en statistikansvarig myndighet får behandla personuppgifter för framställning av statistik, om inte annat följer av 15 §. Av den senare paragrafen framgår att känsliga personuppgifter och personuppgifter som rör fällande domar i brott-

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys SOU 2018:52

94

mål och överträdelser eller därmed sammanhängande säkerhetsåtgärder (artiklarna 9.1 och 10 i dataskyddsförordningen) får behandlas om det följer av föreskrifter som regeringen meddelar. I en bilaga till statistikförordningen anges för vilka ändamål de statistikansvariga myndigheterna får behandla känsliga personuppgifter och personuppgifter som avser brott, domar i brottmål och straffprocessuella tvångsmedel och vilka kategorier av sådana personuppgifter som får behandlas.

Vid framställning av annan statistik än officiell statistik får känsliga personuppgifter och personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder också behandlas om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Personuppgifterna får också behandlas om de ingår i ett forskningsprojekt och behandlingen har godkänts enligt etikprövningslagen (15 § andra stycket statistiklagen). Bestämmelserna i dataskyddsförordningen om rätten till rättelse och rätten till begränsning av behandling av personuppgifter (artiklarna 16 och 18) gäller inte vid behandling av personuppgifter som är tillåten enligt statistiklagen (15 a § statistiklagen).

När en statistikansvarig myndighet lämnar ut personuppgifter som inte direkt kan hänföras till en enskild, får myndigheten i samband med utlämnandet förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna (16 § statistiklagen). En sådan åtgärd får vidtas om den som uppgifterna lämnas ut till ska använda dessa för forskning eller statistik samt har ett särskilt behov av att senare kunna komplettera uppgifterna. I 17 § statistiklagen förtydligas att personuppgifter som lämnats ut med stöd av 16 § endast får behandlas för forskning och statistik hos mottagaren.

SOU 2018:52 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

95

6.4.2 Statistiksekretess

I sådan särskild verksamhet hos en myndighet som avser framställning av statistik gäller sekretess för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Det framgår av 24 kap.8 §offentlighets- och sekretesslagen. Bestämmelsen reglerar sekretessen för den statistikproduktion som sker vid statistikansvariga myndigheter, statistiksekretessen.

Motsvarande sekretess gäller enligt 24 kap. 8 § andra stycket offentlighets- och sekretesslagen bl.a. vid annan jämförbar undersökning som utförs av en myndighet i den utsträckning regeringen meddelar föreskrifter om det.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år.

6.4.3 Vad är statistik?

Statistiksekretess gäller i sådan särskild verksamhet som avser framställning av statistik. Vad som avses med statistik anges inte i statistiklagen eller statistikförordningen.

I motiven till statistiklagen anges att statliga myndigheter framställer statistik för olika ändamål.5 Först nämns sådan statistik som tas fram genom sammanställning och bearbetning av uppgifter som myndigheterna förfogar över för att följa upp, bedöma och utvärdera sin egen verksamhet, s.k. driftstatistik. Statistiklagens reglering avser emellertid sådan statistik som framställs av Statistiska centralbyrån och vissa andra myndigheter, och som har ett vidare syfte. Denna statistik bygger på uppgifter som antingen samlas in direkt från enskilda fysiska eller juridiska personer eller inhämtas från administrativa källor. Denna typ av statistik, den officiella statistiken, får inte påverkas av ovidkommande faktorer och den får inte heller utformas för att tjäna vissa syften. Det ska vara en grundläggande statistisk information inom olika samhällsområden för samhällsplanering, forskning, allmän information och för internationell rapportering. Statistiska metoder ska användas som garanterar att statistiken inte kan ifrågasättas ur sådana synvinklar. Statistiken ska

5Prop. 1991/92:118 s. 12 f. och 22 f.

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys SOU 2018:52

96

också offentliggöras på sådant sätt att den är enkelt åtkomlig för de behov som ska tillgodoses.

I propositionen som föregick de senaste ändringarna i bestämmelserna om statistiksekretess diskuteras begreppet statistik.6 Det konstateras att uttrycket statistik inte definieras i offentlighets- och sekretesslagen eller i någon annan lagstiftning. I allmänt språkbruk används statistik huvudsakligen i två olika betydelser. Den ena betydelsen av statistik är såsom en beteckning på en vetenskaplig disciplin. Ursprungligen menades med statistik en vetenskap som handlade om rådande förhållanden, i synnerhet politiska, sociala och ekonomiska förhållanden, inom en stat eller olika stater. Statistiken som vetenskaplig disciplin kom senare att även inom fler områden handla om metoder för insamling, bearbetning, redovisning och analys av data.

Statistik kan även avse sammanställningar av data, vanligen i tabeller eller liknande, sammanställningar som ofta åstadkoms med de olika metoder för insamling, bearbetning, redovisning och analys som utvecklats inom den statistiska vetenskapen.

I propositionen dras slutsatsen att med statistik avses i 24 kap. 8 § offentlighets- och sekretesslagen den senare av de nämnda betydelserna, dvs. sammanställning av data. Statistik framställs i många olika sammanhang. All statistikframställning omfattas emellertid inte av bestämmelserna om statistiksekretess. Det beror inte på att uttrycket statistik har någon särskild betydelse i offentlighets- och sekretesslagen. Det beror i stället på att bestämmelsen bara är tillämplig i viss verksamhet som avser framställning av statistik. Det gäller dels särskild statistikverksamhet hos myndigheter, dels vissa undersökningar hos myndigheter.

6.4.4 Särskild statistikverksamhet

Bestämmelsen om statistiksekretess är tillämplig i ”särskild verksamhet för framställning av statistik”. Av förarbetena till den tidigare sekretesslagen (1980:100) framgår att en och samma uppgift hos en myndighet kan vara offentlig när den används hos en handläggande avdelning, men sekretessreglerad hos en avdelning som

SOU 2018:52 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

97

framställer statistik.7 För statistiksekretessens räckvidd är det således inte avgörande varifrån uppgifterna kommer eller hur de har kommit till myndigheten, utan i vilken verksamhet de förekommer. Det är en allmänt utredande verksamhet utan anknytning till något särskilt ärende som avses. Ett typexempel är den verksamhet som avser framställning av den officiella statistiken.

Bestämmelsen om statistiksekretess är inte tillämplig i all verksamhet som avser framställning av statistik, utan endast ”särskild verksamhet”. Med särskild verksamhet avses verksamhet som är skild från annan verksamhet hos myndigheten. Utmärkande är att verksamheten är organiserad som en egen enhet eller liknande. Vid bedömningen av frågan om en särskild verksamhet är en verksamhet för framställning av statistik måste en helhetsbedömning göras av verksamheten.8 Om den särskilda verksamhetens huvudsakliga syfte är att framställa statistik är bestämmelsen om statistiksekretess tillämplig. Bestämmelsen är inte tillämplig i en verksamhet som har något annat än statistikframställning som sitt främsta syfte, även om det i den verksamheten skulle förekomma insamling eller bearbetning av uppgifter med hjälp av statistiska metoder. Vidare är det, för att en särskild verksamhet ska bedömas som en verksamhet för framställning av statistik, inte nödvändigt att verksamheten leder till en slutlig statistikprodukt. Det kan vara tillräckligt att det inom verksamheten samlas in uppgifter som bearbetas, analyseras och redovisas vidare i en annan myndighets särskilda verksamhet. En förutsättning är dock att den andra myndighetens särskilda verksamhet kan karaktäriseras som en verksamhet för framställning av statistik.

6.4.5 Annan jämförbar undersökning

Vissa undersökningar omfattas av statistiksekretess trots att de genomförs utanför en särskild verksamhet för framställning av statistik eller avser något annat än statistik. Det gäller enligt 24 kap. 8 § andra stycket offentlighets- och sekretesslagen annan jämförbar undersökning som utförs av Riksrevisionen, av riksdagsförvaltningen, av Statskontoret eller inom det statliga kommittéväsendet. Detsamma gäller annan jämförbar undersökning som utförs av någon annan

7Prop. 1979/80:2 del A s. 263. 8Prop. 1979/80:2 del A s. 265 och prop. 2013/14:162 s. 8.

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys SOU 2018:52

98

myndighet i den utsträckning regeringen meddelar föreskrifter om det. I 7 § offentlighets- och sekretessförordningen har regeringen föreskrivit att statistiksekretess ska gälla hos vissa angivna myndigheter, avseende de undersökningar som anges och för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detta gäller t.ex. Myndigheten för vårdanalys, se avsnitt 6.5. I vissa fall anges särskilda begränsningar i sekretessen.

I lagens förarbeten nämns som exempel på annan med statistik jämförlig undersökning som utförs av myndighet undersökningar som har till syfte att belysa flygsäkerhetsrisker, angående trivseln i arbetet och inställning till överordnande eller rör konstruktionen av mätinstrument inom psykologi och andra beteendevetenskaper. Vidare nämns kriminologiska undersökningar för forskningsändamål och enkäter som görs av kommittéer. Dessa och liknande undersökningar kan enligt förarbetena inte alltid sägas ske för statistiska ändamål.9

6.4.6 Uppgift om enskilds personliga eller ekonomiska förhållande

Statistiksekretessen gäller för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Härigenom skyddas inte bara sådana uppgifter som innehåller identitetsbeteckningar som namn och personnummer på en enskild utan även andra uppgifter som på något sätt kan hänföras till en viss enskild.10

6.4.7 Absolut sekretess

Bestämmelsen om statistiksekretess innehåller inte något skaderekvisit. Statistiksekretessen är således absolut och det är som huvudregel förbjudet att lämna ut några som helst uppgifter. Skälen till den starka sekretessen för uppgifter i statistikverksamhet diskuteras i förarbetena till den tidigare sekretesslagen. I propositionen anges att

9Prop. 1979/80: 2 Del A s. 263. 10Prop. 1979/80:2 Del A s. 263.

SOU 2018:52 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

99

det i fråga om statistikuppgifter finns en intressekonflikt mellan önskemålet om allmän insyn i statistiskt primärmaterial och hänsynen till den enskildes integritet.11 Ett skäl att ha en långtgående sekretess är att offentlighetsintresset i detta sammanhang framstår som förhållandevis svagt, medan integritetsintresset däremot är påtagligt. Registeruppgifter från exempelvis Statistiska centralbyrån är visserligen var för sig tämligen harmlösa, men en sammanställning av sådana uppgifter är ofta integritetskänslig. Behovet av ett starkt sekretesskydd beträffande statistiken beror också, enligt propositionen, på att statistikkvaliteten blir dålig om inte den enskilde uppgiftslämnaren är säker på att hans eller hennes uppgifter inte kommer ut.

Skälen för det starka sekretesskyddet utvecklas vidare i förarbetena till den senaste ändringen av bestämmelsen om statistiksekretess.12 Ett motiv som anges är att uppgiftslämnarna ska kunna lita på att de uppgifter de lämnar inte används för andra ändamål än de har samlats in för. Det anförs också att det i en statistikverksamhet ofta förekommer uppgifter som hämtats in på olika sätt och som det är praktiskt svårt att hålla åtskilda. Uppgiftslämnarnas förtroende för att uppgifterna endast används för de ändamål de har samlats in för är en av de grundläggande förutsättningarna för framställning av statistik av god kvalitet. Om uppgiftslämnarna skulle misstänka att uppgifterna kan komma att spridas eller användas för andra ändamål än de som uppgifterna samlats in för, finns det en risk att uppgiftslämnarna lämnar felaktiga uppgifter, snedvridna svar eller helt avstår från att lämna uppgifter.

I 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen anges vissa undantag från den absoluta sekretessen. De som bör tas upp i detta sammanhang är undantaget för uppgift som behövs för forsknings- och statistikändamål och uppgift som inte är direkt hänförlig till den enskilde.

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys SOU 2018:52

100

6.4.8 Undantaget för uppgift för forsknings- och statistikändamål

Inledning

Enligt 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen får uppgift som behövs för forsknings- eller statistikändamål trots sekretessreglering lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Det omvända skaderekvisitet innebär att det finns en presumtion för sekretess.

Möjligheten till utlämnande för forsknings- och statistikändamål är avsedd att tillämpas mycket restriktivt.13 Utlämnande till andra statistikansvariga myndigheter bör i realiteten endast komma i fråga för sådana som själva tillämpar statistiksekretess. Då blir skyddet lika starkt som hos de myndigheter som lämnar ut uppgifterna.

Forskningsändamål

Vad som avses med forskningsändamål anges inte närmare i offentlighets- och sekretesslagen eller förarbetena till lagen. Undantagsbestämmelsen om utlämnande av uppgifter för forskningsändamål motiveras i förarbetena med att det finns behov av att genombryta sekretessen i vissa särskilda fall, såsom för forskning om yrkessjukdomar.14

I förarbetena till den senaste ändringen av 24 kap. 8 § offentlighets- och sekretesslagen anförs att vad som avses med forskningsändamål till viss del klargjorts genom domstolarnas tillämpning av undantagsbestämmelsen.15 I propositionen hänvisas till två rättsfall.

I RÅ 1992 not. 456 begärde en utredare med uppdrag hos Statens jordbruksverk att hos Statistiska centralbyrån få ut en förteckning av målnummer och respektive tingsrätt avseende brotten djurplågeri och brott mot djurskyddslagen. Uppgifterna lämnades inte ut. Uppgifterna medgav direkt identifiering av de personer som målen gällde och det ändamål som uppgifterna hade begärts ut för ansågs snarare vara att hänföra till ett bestämt utredningsuppdrag än vetenskapligt studium.

SOU 2018:52 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

101

I rättsfallet RÅ 2004 ref. 9 begärde en medicinklinik att från Socialstyrelsens dödsorsaksregister få uppgift om dödsorsak beträffande vissa namngivna före detta patienter. Uppgifterna skulle sammanställas i statistiska tabeller och användas för kvalitetsuppföljning inom vården. Erfarenheter från vården av tidigare, sedermera avlidna patienter skulle användas vid vården av levande patienter. Regeringsrätten (numera Högsta förvaltningsdomstolen) konstaterade att vad som avses med forskningsändamål inte har preciserats i lagtexten och att inte heller förarbetena ger någon ledning för fastställande av innebörden av begreppet forskningsändamål. Efter en genomgång av 2 § etikprövningslagen och 3 § lagen (1998:543) om hälsodataregister i deras dåvarande lydelser samt vissa förarbetsuttalanden uttalade Regeringsrätten att den åtskillnad som i olika sammanhang görs mellan forskning å ena sidan och uppföljning, utvärdering och kvalitetssäkring å andra sidan bör upprätthållas även vid tillämpning av den nu aktuella bestämmelsen. Uppgifterna kunde därför inte lämnas ut med hänvisning till att de skulle behövas för forskningsändamål.

Statistikändamål

Sedan en lagändring 1995 får även uppgifter som behövs för statistikändamål lämnas ut efter en skadeprövning. Syftet med lagändringen var att säkra tillgången till uppgifter för framställning av statistik, framför allt den officiella statistiken, även i de fall det inte finns bestämmelser om uppgiftsskyldighet som bryter statistiksekretessen.16

I förarbetena till den senaste ändringen av bestämmelsen om statistiksekretess konstateras att det inte anges i lagtexten och inte heller explicit uttrycks i förarbetena vad som avses med statistikändamål.17 Det anförs att det, mot bakgrund av lagstiftningens syfte, är rimligt att tolka uttrycket statistikändamål så att det endast omfattar användning av uppgifterna för framställning av statistik utan anknytning till något särskilt ärende. Om uppgifterna i och för sig ska bearbetas med statistiska metoder, men sedan i bearbetad form ska användas i ett särskilt ärende, kan de således inte lämnas ut med stöd av undantaget för uppgifter som behövs för statistikändamål.

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys SOU 2018:52

102

6.4.9 Undantaget för uppgifter som inte är direkt hänförliga till den enskilde

Uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får lämnas ut. Det får dock bara ske under förutsättning att det står klart att uppgiften kan röjas utan att den enskilde eller denne närstående lider skada eller men. Även här gäller således ett omvänt skaderekvisit. Undantaget infördes för att tillgodose behovet av detaljerad statistik.18 Bestämmelsen avser inte bara utlämnande för forsknings- och statistikändamål, utan är generellt tillämplig. Med likande förhållande avses enligt förarbetena exempelvis telefonnummer eller fastighetsbeteckning. Begreppet enskild omfattar också avliden.19

6.5 Sekretess för uppgifter hos Myndigheten för vård- och omsorgsanalys

Regeringen har med stöd av 24 kap. 8 § andra stycket offentlighets- och sekretesslagen meddelat föreskrifter om sekretess i 7 § offentlighets- och sekretessförordningen. I bestämmelsen regleras sekretess för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden hos ett antal myndigheter avseende vissa särskilda undersökningar.

Hos Myndigheten för vård- och omsorgsanalys gäller sekretess för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden i två typer av undersökningar, dels sådana som rör vårdens och omsorgens funktionssätt samt om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, dels utvärderingar av information om vård och omsorg som lämnas till enskilda samt av statliga reformer och andra statliga initiativ inom vård och omsorg.

18Prop. 1979/80:2 Del A s. 264. 19Prop. 1979/80:2 Del A s. 264.

SOU 2018:52 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

103

I dessa typer av undersökningar och utvärderingar gäller således som huvudregel absolut sekretess för uppgifter som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Undantag från den absoluta sekretessen gäller enligt 24 kap. 8 § tredje stycket första meningen, dvs. för uppgift som behövs för forsknings- och statistikändamål och uppgift som inte är direkt hänförlig till den enskilde, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser enskildas personliga förhållanden, och annars i högst tjugo år.

6.6 Möjligheterna för Socialstyrelsen och Statistiska centralbyrån att lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys

Som anges i det föregående är den sekretess som föreskrivs i 24 kap. 8 § offentlighets- och sekretesslagen absolut. Det innebär att uppgift som avser enskilds personliga eller ekonomiska förhållanden som huvudregel inte får lämnas ut. Sekretess gäller i regel även mellan myndigheter, dvs. även mellan Socialstyrelsen och Statistiska centralbyrån i förhållande till Myndigheten för vård- och omsorgsanalys. Frågan är om något av de undantag från statistiksekretessen som redovisas ovan är tillämpliga i de fall Myndigheten om vård- och omsorgsanalys begär ut personuppgifter från Socialstyrelsen eller Statistiska centralbyrån för att använda i sin analysverksamhet.

6.6.1 Undantaget för uppgift som behövs för forskningsändamål

Som redovisats i det föregående har Myndigheten för vård- och omsorgsanalys till uppgift att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. Myndigheten ska vidare följa upp och analysera vårdens och omsorgens funktionssätt, effektivitetsgranska statliga åtaganden och verksamheter samt bistå regeringen med underlag och rekommendationer för effektivisering av statlig verksamhet och styrning. Till

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys SOU 2018:52

104

myndighetens arbetsuppgifter hör också att utvärdera sådan information om vården och omsorgen som lämnas till den enskilde, bistå med utvärderingar och uppföljningar av beslutade eller genomförda statliga reformer och andra statliga initiativ samt att bedriva omvärldsbevakning och genomföra internationella jämförelser. I myndighetens uppdrag ingår således inte uttryckligen forskning, och som anges i avsnitt 4.2.2 anser myndigheten inte att dess verksamhet i dag utgör forskning. Merparten av myndighetens anställda är dock disputerade forskare och myndigheten anlitar externa forskare som bedriver forskning på myndighetens uppdrag. Myndigheten tillämpar vidare vetenskapliga principer och metoder i sitt analysarbete.

Myndigheten för vård- och omsorgsanalys har till regeringen lämnat in en begäran om ändring av myndighetens instruktion som innebär att en del av myndighetens verksamhet ska kvalificeras som forskning. Någon sådan ändring har inte genomförts. Det är inte heller säkert att en ändring av instruktionen är tillräckligt för att uppgifter ska kunna lämnas från Socialstyrelsen och Statistiska centralbyrån till Myndigheten för vård- och omsorgsanalys med stöd av undantagsbestämmelsen. Det krävs också att de utlämnande myndigheterna gör bedömningen att de särskilda projekt eller den verksamhet som uppgifterna ska användas i bedöms som forskning i det konkreta fallet.

6.6.2 Undantaget för uppgift som behövs för statistikändamål

Myndigheten för vård- och omsorgsanalys är inte en statistikansvarig myndighet. Vid utlämnande av uppgifter från Socialstyrelsen och Statistiska centralbyrån med stöd av undantaget för uppgifter som behövs för statistikändamål är det emellertid inte nödvändigt att den mottagande myndigheten är en statistikansvarig myndighet. Socialstyrelsen och Statistiska centralbyrån gör en prövning av samtliga omständigheter i det enskilda fallet för att bedöma om undantagsbestämmelsen är tillämplig.

Enligt uppgift från Socialstyrelsen är det ovanligt att myndigheten får anledning att fundera kring skillnaden mellan den verksamhet som utförs av statistikansvariga myndigheter och verksamhet i annan med statistik jämförlig undersökning som utförs av myndighet, eftersom utlämnande vanligtvis sker till andra statistikansvariga

SOU 2018:52 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

105

myndigheter. Generellt kan dock sägas att Socialstyrelsen bara lämnar ut uppgifter från hälsodata- och socialtjänstregistren när uppgifterna hos mottagaren också omfattas av absolut statistiksekretess. Myndigheten gör en helhetsbedömning av verksamheten, med stöd av de riktlinjer som anges i offentlighets- och sekretesslagens förarbeten (se avsnitt 6.4.4 och 6.4.5) för att avgöra om det rör sig om en sådan särskild verksamhet för framställning av statistik eller annan jämförbar undersökning som avses i undantagsbestämmelsen.

Hos myndigheten för vård- och omsorgsanalys gäller statistiksekretess för vissa särskilda undersökningar (se avsnitt 6.5). Det innebär emellertid inte att Socialstyrelsen utan vidare prövning kan lämna ut personuppgifter till myndigheten. En förutsättning är att undantaget för statistikändamål från den absoluta sekretessen är tillämpligt i det enskilda fallet. Med utgångspunkt i förarbetena till offentlighets- och sekretesslagen prövar Socialstyrelsen om personuppgifterna ska användas i undersökningar för att framställa statistik i ett allmänt utredande syfte, utan samband med något särskilt ärende. Om uppgifterna i och för sig ska bearbetas med statistiska metoder, men sedan i bearbetad form ska användas i ett särskilt ärende, kan de inte lämnas ut med stöd av undantaget för uppgifter som behövs för statistikändamål.20

Inte heller Statistiska centralbyrån har några i förväg uppställda kriterier som ska vara uppfyllda för att en verksamhet ska anses innefatta sådan statistikproduktion som innebär att undantaget för statistik i 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen blir tillämpligt. Bedömningen är beroende av om uppgifterna behövs för statistikändamål hos mottagaren. Utlämnandefrågor avgörs emellertid inte bara på den grunden att det är statistik som ska produceras med det material som myndigheten lämnar ut. I bedömningen är flera omständigheter av betydelse. Statistiska centralbyrån beaktar om det organ som begär ut uppgifterna har en avgränsad statistikverksamhet. Det är av betydelse om uppgifterna ska lämnas ut till en myndighet och om statistiksekretess gäller för uppgifterna hos den mottagande myndigheten. Vissa mottagare har tidigare prövats och bedömts lämpliga att få ut uppgifter med stöd av undantagsbestämmelsen, t.ex. vissa kommuner och regioner, och kan få ut uppgifter igen. Den som begär ut uppgifter kan också visa att det

20 Jämför prop. 2013/14:162 s. 9 och 11.

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys SOU 2018:52

106

finns stöd för ett utlämnande av annat skäl, till exempel på grund av ett särskilt uppdrag från regeringen.

Hittills har utlämnande av uppgifter från Socialstyrelsen och Statistiska centralbyrån till Myndigheten för vård och omsorgsanalys inte skett med stöd av undantagsbestämmelsen för uppgifter som behövs för statistikändamål.

6.6.3 Undantaget för uppgift som inte är direkt hänförlig till den enskilde

Undantaget för uppgifter som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförliga till den enskilde är generellt tillämpligt, och gäller inte enbart vid utlämnande för forskning- och statistikändamål. Anonymiserade uppgifter kan således lämnas ut från Socialstyrelsen eller Statistiska centralbyrån trots statistiksekretess, om myndigheterna vid skadeprövningen bedömer att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

Eftersom uppgifter som omfattas av statistiksekretess har ett så starkt skydd, innebär ett utlämnande som medför att uppgifterna kommer att omfattas av ett svagare sekretesskydd i sig en risk för skada.21 Även om användningen av uppgifterna hos mottagaren inte medför någon skada, kan det svagare sekretesskyddet hos mottagaren medföra att uppgifterna lämnas vidare på ett sätt som medför skada. Vid den utlämnande myndighetens skadeprövning är det således av betydelse vilket sekretesskydd uppgifterna kommer att ha hos den mottagande myndigheten.

När det gäller skadeprövningen i samband med utlämnande av uppgifter till Myndigheten för vård och omsorgsanalys kan det konstateras att absolut sekretess gäller för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden i undersökningar som rör vårdens och omsorgens funktionssätt samt om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg. Sådan sekretess gäller också vid utvärderingar av information om vård och omsorg som lämnas till enskilda samt av statliga reformer och andra statliga initiativ inom vård och omsorg. Sekretesskyddet hos Myndigheten för vård- och omsorgsanalys är, när det gäller

SOU 2018:52 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

107

sådana undersökningar och utvärderingar som anges ovan, således det samma som i statistikverksamheten hos Socialstyrelsen och Statistiska centralbyrån. Vid utlämnande av uppgifter från Socialstyrelsen och Statistiska centralbyrån till sådana undersökningar och utvärderingar hos Myndigheten för vård- och omsorgsanalys lär skadeprövningen resultera i att uppgifter kan lämnas ut.

Uppgifter, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförliga till den enskilde kan användas för vissa typer av analyser och undersökningar hos Myndigheten för vård- och omsorgsanalys. Som beskrivits i avsnitt 4.4.2 har myndigheten emellertid i vissa fall behov av att rikta sig direkt till en viss grupp av patienter, brukare och andra grupper. I sådana projekt är det inte tillräckligt att få tillgång till anonymiserade uppgifter från Socialstyrelsen och Statistiska centralbyrån.

Myndigheten har också behov av att återkommande vända sig till en viss grupp individer för att följa utvecklingen över tid. Även för sådana utvärderingar och uppföljningar krävs uppgifter på individnivå för att kunna identifiera en viss grupp och återkomma till samma personer efter en viss tid. I 16–17 §§ statistiklagen finns det särskilda bestämmelser om att en statistikansvarig myndighet i samband med utlämnande av uppgifter som inte är direkt hänförliga till en enskild kan förse uppgifterna med en beteckning som hos den utlämnande myndigheten kan kopplas till personnummer eller motsvarande. Bestämmelserna är avsedda att tillämpas vid longitudinella studier, det vill säga mätning av utvecklingen över tiden av en och samma företeelse, och sådana likartade studier.22 En sådan åtgärd får emellertid bara vidtas om den som uppgifterna lämnas ut till ska använda dem för forskning eller statistik (17 § statistiklagen).

6.7 Sekretessbrytande bestämmelser

Huvudregeln är att sekretess gäller även mellan myndigheter. Det har dock ansetts att sekretessregleringen inte bör hindra myndigheter från att utväxla uppgifter i de fall där intresset av att uppgifterna lämnas ut bör ha företräde framför det intresse som sekretessen ska skydda. Ett antal sekretessbrytande bestämmelser och

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys SOU 2018:52

108

undantag från sekretessen har därför införts i offentlighets- och sekretesslagen.

Bestämmelser som endast bryter sekretess enligt en viss bestämmelse eller enligt några få bestämmelser finns i anslutning till berörda sekretessbestämmelser i lagens fjärde och femte avdelningar. Om det inte finns någon särskild sekretessbrytande regel, får en bedömning göras om någon av de generella sekretessbrytande bestämmelserna i lagens tionde kapitel är tillämplig. Exempelvis hindrar inte sekretess att en uppgift lämnas till en annan enskild eller till en myndighet om den enskilde samtycker till det (10 kap. 1 § offentlighets- och sekretesslagen). Enligt den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Den bestämmelsen gäller dock uttryckligen inte i fråga om bl.a. statistiksekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (10 kap. 27 § andra stycket offentlighets- och sekretesslagen).

6.7.1 Uppgiftslämnande på grund av lag eller förordning

Enligt 10 kap. 28 § offentlighets- och sekretesslagen hindrar inte sekretess att en uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag och förordning. En uppgiftsskyldighet i en lag eller förordning ska således gälla före en sekretessbestämmelse för samma uppgift. På detta sätt kan man reglera skyldighet för myndigheter att lämna ut uppgifter av ett visst slag, en viss myndighets rätt att ta del av uppgifter i allmänhet eller reglera en myndighets skyldighet att lämna ut uppgifter till andra myndigheter. Det följer t.ex. av 6 § statistikförordningen att statliga myndigheter har skyldighet att till statistikansvariga myndigheter lämna de uppgifter som behövs för framställning av officiell statistik.

SOU 2018:52 Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

109

6.7.2 Sekretessbrytande bestämmelse för uppgifter hos Socialstyrelsen och Statistiska centralbyrån

Utlämnande av uppgifter från Socialstyrelsen och Statistiska centralbyrån kan som huvudregel inte ske på grund av statistiksekretess. I detta sammanhang kan dock övervägas om det finns skäl att i lag eller förordning föreskriva en skyldighet för dessa myndigheter att lämna vissa uppgifter till Myndigheten för vård- och omsorgsanalys. Frågan är om det skulle kunna vara ett sätt att tillförsäkra Myndigheten för vård- och omsorgsanalys tillgång till uppgifter som myndigheten behöver för att utföra sitt uppdrag.

Inför införandet av en sekretessbrytande bestämmelse krävs vissa överväganden. I detta fall ska behovet av ett starkt skydd för uppgifter om enskilda hos de statistikansvariga myndigheterna beaktas. Som anförs i avsnitt 6.4.7 är ett skäl för den absoluta sekretessen för uppgifter hos statistikansvariga myndigheter att uppgiftslämnarna ska kunna lita på att de uppgifter de lämnar inte används för andra ändamål än de har samlats in för. Uppgiftslämnarnas förtroende för att uppgifterna bara används för de ändamål de har samlats in för är en av de grundläggande förutsättningarna för framställning av statistik av god kvalitet. Dessa skäl ska vägas mot Myndigheten om vård- och omsorgsanalys behov av snabb och effektiv analys för att kunna fullgöra sitt uppdrag från regeringen. Av betydelse är också att Myndigheten för vård- och omsorgsanalys ska ha möjlighet att framställa korrekta och ändamålsenliga analyser som kan vara till nytta för patienter, brukare och andra medborgare.

För det fall avvägningen resulterar i att uppgiftsskyldighet bör införas för Socialstyrelsen och Statistiska centralbyrån krävs det för att en sådan bestämmelse ska beaktas att den har en viss grad av konkretion. Det bör t.ex. övervägas om bestämmelsen ska ålägga myndigheterna att lämna ut vissa uppgifter eller vissa kategorier av uppgifter. Det bör också beaktas om det i bestämmelsen ska anges om uppgifterna, för att det ska finnas uppgiftsskyldighet, ska användas för särskilda ändamål hos Myndigheten får vård- och omsorgsanalys.

ÖVERVÄGANDEN OCH FÖRSLAG

113

7 Behandling av personuppgifter med stöd av dataskyddsförordningen

7.1 Rättslig grund för behandling av personuppgifter

7.1.1 Regleringen i dataskyddsförordningen

För att Myndigheten för vård- och omsorgsanalys över huvud taget ska kunna behandla personuppgifter, oavsett om dessa är känsliga eller inte, krävs att det finns en rättslig grund för behandlingen. De rättsliga grunderna räknas upp i artikel 6.1 a–f i dataskyddsförordningen. Behandling får enligt punkten a ske om den registrerade har lämnat sitt samtycke till behandlingen. Enligt punkten e kan behandling utföras om den är nödvändig för att utföra en (arbets)uppgift av allmänt intresse. Behandling av personuppgifter som utförs av offentliga myndigheter när de fullgör sina uppgifter får enligt artikel 6.1 andra stycket i dataskyddsförordningen inte ske med stöd av en intresseavvägning. Det innebär att Myndigheten för vård- och omsorgsanalys inte har möjlighet att behandla personuppgifter i analysverksamheten efter en intresseavvägning i enlighet med punkten f. De övriga rättsliga grunder som anges i artikel 6 bedöms inte relevanta för myndighetens kärnverksamhet. I de följande avsnitten berörs därför endast grunderna i punkterna a och e (samtycke och allmänt intresse).

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

114

7.1.2 Behandling med stöd av samtycke

Utredningens bedömning: Myndigheten för vård- och omsorgs-

analys har möjlighet att behandla personuppgifter med stöd av samtycke enligt artikel 6.1 a i dataskyddsförordningen.

Behandling av personuppgifter får enligt artikel 6.1 a i dataskyddsförordningen ske om den registrerade har samtyckt till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Samtycke definieras i artikel 4 punkt 11 i dataskyddsförordningen som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. I artikel 7 i dataskyddsförordningen finns ytterligare bestämmelser om samtycke, som är nya i förhållande till dataskyddsdirektivet och personuppgiftslagen. Där anges bl.a. att den personuppgiftsansvarige ska kunna visa att den registrerade har samtyckt. En begäran om samtycke ska göras i en begriplig och lätt tillgänglig form med användande av klart och tydligt språk och kunna särskiljas från andra frågor. Samtycket kan när som helst tas tillbaka.

Av skäl 43 till dataskyddsförordningen framgår att samtycke inte bör utgöra giltig rättslig grund i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Någon motsvarande skrivning fanns inte i skälen till dataskyddsdirektivet. Det kan alltså inte uteslutas att kraven på samtycke i vissa situationer när samtycke utgör den rättsliga grunden för behandling av personuppgifter har skärpts något i förhållande till vad som gällde innan dataskyddsförordningen började tillämpas. I skäl 171 till dataskyddsförordningen finns också skrivningar som verkar förutsätta att ett samtycke enligt dataskyddsdirektivet inte alltid uppfyller villkoren i dataskyddsförordningen. Där anges nämligen att om behandling grundar sig på samtycke enligt dataskyddsdirektivet behöver den registrerade inte lämna ett nytt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen efter det att dataskyddsförordningen har börjat tillämpas, om det sätt på

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

115

vilket samtycket gavs överensstämmer med villkoren i dataskyddsförordningen.

Artikel 29-gruppen har i ett yttrande gjort vissa uttalanden avseende dataskyddsdirektivets krav på att samtycke ska ha lämnats frivilligt. I yttrandet anges att typen av registeransvarig kan vara avgörande för valet av rättslig grund för behandling av personuppgifter. Detta gäller framför allt registeransvariga inom den offentliga sektorn, där behandlingen av personuppgifter normalt är knuten till fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse. Att använda samtycke som rättslig grund i dessa fall är inte lämpligt. Detta är särskilt tydligt när det gäller hur personuppgifter behandlas av offentliga myndigheter som har officiella maktbefogenheter, t.ex. rättsvårdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiära och rättsliga aktiviteter. I samma yttrande anges att ett samtycke som i en vårdsituation getts under hot om att medicinsk vård annars inte kommer att ges, eller att medicinsk vård av lägre kvalitet kommer att ges, inte kan betraktas som frivilligt. Artikel 29-gruppen menar dock att samtycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter, men en noggrann kontroll bör göras för att se om samtycket faktiskt är tillräckligt frivilligt.1

Myndigheten för vård- och omsorgsanalys är en offentlig myndighet där behandlingen av personuppgifter många gånger är knuten till utförandet av en arbetsuppgift av allmänt intresse. Det finns därför skäl att analysera om ett samtycke kan lämnas frivilligt och därmed utgöra stöd för behandling av personuppgifter.

I egenskap av att vara en oberoende analysmyndighet har myndigheten ett mycket renodlat uppdrag bestående i analys och uppföljning på övergripande nivå. Den hanterar inte enskilda personers ärenden och har alltså inte någon möjlighet att påverka utfallet i enskilda ärenden. Myndigheten analyserar över huvud taget inte enskilda fall som rör individer, utan gör analyser på övergripande nivå, generellt sett nationellt. Enskilda personer och fall saknar i den bemärkelsen betydelse.

Inte heller fördelar myndigheten ekonomiska bidrag eller har någon direkt inverkan på resursfördelning, som skulle kunna påverka enskilda personers situation. Myndigheten har inget tillsynsuppdrag

1 Artikel 29-gruppens yttrande 15/2011 om definitionen av begreppet ”samtycke” s. 13–14 och 16–17.

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

116

och utför inga inspektioner. Den har inte heller i övrigt några maktbefogenheter. Analysobjekt anges i rapporter endast på en övergripande nivå och i sådan form att det inte går att härleda uppgifterna till någon enskild, även när det rör sig om s.k. goda exempel.

Det sagda innebär att myndigheten är helt fristående från den verksamhet som analyseras. De personer som tillfrågas om samtycke, såväl patienter och brukare som personal vid exempelvis vårdinrättningar, har ingen relation till myndigheten i övrigt, varför myndigheten inte kan utöva någon påtryckning mot de registrerade. Det bör även tilläggas att genom att myndigheten har ett renodlat uppdrag förhåller det sig alltid så att myndigheten inte har någon sådan överordnad roll i förhållande till enskilda personer. Vissa andra myndigheter kan ha mer uppdelade uppdrag, där myndighetsutövning sker på viss avdelning och analys på annan. I de fallen kan det möjligen vara svårare för den enskilde att förstå vems frågor den svarar på. I Myndigheten för vård- och omsorgsanalys fall är det dock inte så.

Sammantaget bedömer utredningen att registrerade som exempelvis medverkar i en enkätundersökning som ingår i ett analysprojekt inte kan sägas befinna sig i en sådan beroendeställning i förhållande till myndigheten att kravet på frivillighet inte kan uppfyllas. Samtycke kan således i de allra flesta fall lämnas frivilligt och därmed utgöra grund för behandling av personuppgifter i Myndigheten för vård- och omsorgsanalys verksamhet. Myndigheten måste dock göra en bedömning av om kravet på frivillighet är uppfyllt i varje enskilt fall. För det fall kravet på frivillighet bedöms vara uppfyllt när det gäller en viss behandling av personuppgifter som myndigheten utför måste även de övriga kraven på samtycke i dataskyddsförordningen följas.

Av praktiska skäl är det inte möjligt att stödja all behandling som myndigheten behöver utföra på samtycke. Som anges i avsnitt 4.4.2 är det vid genomförande av analyser, som innebär att en större mängd personuppgifter samlas in från andra aktörer än den registrerade själv, inte hanterbart att inhämta samtycke från samtliga registrerade. Sådan behandling av personuppgifter som sker i syfte att ta fram kontaktuppgifter till personer med t.ex. en viss hälsoegenskap kan inte heller ske med samtycke, eftersom samtycke kan lämnas först när kontakt har tagits.

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

117

7.1.3 Behandling för att utföra en arbetsuppgift av allmänt intresse

Utredningens bedömning: Myndigheten för vård- och omsorgs-

analys har möjlighet att behandla personuppgifter med stöd av den rättsliga grunden arbetsuppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

Arbetsuppgift av allmänt intresse

Behandling av personuppgifter får enligt artikel 6.1 e i dataskyddsförordningen ske om den är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Vad som är ett allmänt intresse definieras varken i dataskyddsförordningen eller i dataskyddsdirektivet. Innebörden av begreppet allmänt intresse i dataskyddsregleringen har ännu inte heller närmare utvecklats av EU-domstolen.

Hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster inbegrips i enlighet med vad som anges i skäl 45 till dataskyddsförordningen i allmänintresset.

Datalagskommittén har som exempel på arbetsuppgifter som kan vara av allmänt intresse nämnt arkivering, forskning, framställning av statistik, etablerade idrottsorganisationers registrering av vilka personer som har vunnit svenska mästerskap eller innehar svenskt rekord i erkända sportgrenar och registrering som sker av personer som har fått allmänt erkända utmärkelser, t.ex. Nobelpris.2 I andra förarbeten har det ansetts vara ett viktigt allmänt intresse t.ex. att Rättsmedicinalverket kan upprätthålla och förbättra kvaliteten och enhetligheten i sitt arbete med uppföljning, utvärdering och kvalitetssäkring3, att socialtjänsten ska kunna utföra sina arbetsuppgifter på ett tillfredsställande sätt4 och att Inspektionen för socialförsäkringen får behandla känsliga personuppgifter vid sin tillsyn och granskning.5 Datainspektionen har bl.a. ansett att förbättrande av

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

118

kvaliteten inom hälso- och sjukvården är en verksamhet av allmänt intresse.6

I förarbetena till dataskyddslagen anges att rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse.7 Utöver en hänvisning till vad som anges i skäl 45 till dataskyddsförordningen, konstateras i propositionen att begreppet förekommer i motsvarande bestämmelser i artikel 7 e dataskyddsdirektivet och 10 § d personuppgiftslagen och att ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser.

Vidare anges att, när personuppgiftslagen var tillämplig, nödvändig behandling av personuppgifter i t.ex. myndigheternas verksamhet kunde ske efter en intresseavvägning enligt 10 § f personuppgiftslagen. Den motsvarande bestämmelsen i dataskyddsförordningen, artikel 6.1 f, gäller dock inte för behandling som utförs av offentliga myndigheter när de utför sina uppgifter. Myndigheternas utrymme för att grunda behandling på samtycke från den registrerade är också fortfarande begränsat, i vart fall i sådana situationer där det är osannolikt att ett samtycke lämnas frivilligt (skäl 43). För att myndigheternas verksamhet ska kunna fungera även i fortsättningen anser regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse.8

Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är, enligt propositionen, av allmänt intresse.9Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. På motsvarande sätt är de obligatoriska uppgifter som ålagts kommuner och landsting att utföra av allmänt intresse. Detta måste, enligt propositionen, gälla även i dataskyddsförordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse. Begreppet uppgifter av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i dataskyddsförordningen behöver den personuppgiftsansvarige inte vara

6 Datainspektionens rapport 2002:1 Nationella kvalitetsregister, s. 9. 7Prop. 2017/18:105 s. 55 f. 8Prop. 2017/18:105 s. 56. 9Prop. 2017/18:105 s. 56 f.

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

119

skyldig att utföra uppgiften för att den rättsliga grunden i led e ska vara tillämplig.

I propositionen konstateras alltså att den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.10

När det gäller behandling av personuppgifter för statistiska ändamål anges i propositionen att den officiella statistiken och annan reglerad statistik framställs av särskilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse.11Personuppgifter kan således samlas in och i övrigt behandlas för detta statistiska ändamål, utan samtycke från de registrerade, med stöd av artikel 6.1 e i dataskyddsförordningen. Detsamma bör, enligt propositionen, gälla vid sådan statistikverksamhet som är nödvändig för att t.ex. en myndighet ska kunna utföra sitt fastställda uppdrag, även om statistik inte uttryckligen nämns i uppdraget. I dataskyddsförordningen avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat (skäl 162). Ett statistiskt ändamål innebär, enligt samma skäl, att resultatet av behandlingen inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild privatperson.

Regeringen har genom myndighetsinstruktionen gett Myndigheten för vård- och omsorgsanalys i uppdrag att bedriva uppföljnings- och analysarbete ur ett patient-, brukar- och medborgarperspektiv. Vid inrättandet av myndigheten angavs att en av målsättningarna med myndigheten var att stärka patienternas och medborgarnas ställning och inflytande genom att följa upp, utvärdera och effektivitetsgranska hälso- och sjukvården samt offentliggöra resultaten för patienter, medborgare och andra aktörer inom hälso- och sjukvården.12 Uppdraget har därefter utvidgats till att även omfatta hela

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

120

socialtjänstens område. Verksamheten består huvudsakligen i att ta fram kunskapsunderlag och rekommendationer till beslutsfattare rörande vårdens och omsorgens funktionssätt och styrning. Syftet med myndighetens verksamhet är att bidra till att förbättra och effektivisera vården, tandvården och omsorgen samt stärka patienternas och brukarnas ställning. Att olika aspekter av verksamheten inom hälso- och sjukvård, tandvård och omsorg på detta sätt följs upp och utvärderas av en oberoende myndighet i syfte att effektivisera och förbättra verksamheten får anses vara av stort samhälleligt intresse.

Det kan också konstateras att delar av Myndigheten för vård- och omsorgsanalys analysverksamhet väl överensstämmer med dataskyddsförordningens definition av en verksamhet med ett statistiskt ändamål. Resultatet av myndighetens behandling består inte av personuppgifter, utan av aggregerade personuppgifter, och resultatet används inte till stöd för åtgärder eller beslut som avser en särskild person. Myndigheten för vård- och omsorgsanalys är inte en statistikansvarig myndighet, men de statistiska åtgärder som myndigheten vidtar är i vissa fall nödvändig för att myndigheten ska kunna utföra sitt fastställda uppdrag. Mot bakgrund av dataskyddsförordningens definition av statistiska ändamål och uttalandena i propositionen angående behandling av personuppgifter för statistiska ändamål gör utredningen bedömningen att den statistikverksamhet som myndigheten utför för att utföra sitt fastställda uppdrag är en arbetsuppgift av allmänt intresse. Sammanfattningsvis är det således utredningens uppfattning att den verksamhet som Myndigheten för vård- och omsorgsanalys bedriver med stöd av sin instruktion, utgör en sådan arbetsuppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.

Nödvändighetskravet

För att behandlingen av personuppgifter ska vara tillåten måste den vara nödvändig för att utföra arbetsuppgiften av allmänt intresse. Motsvarande krav på att behandlingen ska vara nödvändig finns i artikel 7 i dataskyddsdirektivet. Enligt EU-domstolen har begreppet nödvändigt i dataskyddsdirektivet en unionsrättslig innebörd. Kravet

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

121

på nödvändighet enligt dataskyddsdirektivet har inte ansetts innebära att det ska vara omöjligt att utföra arbetsuppgiften om inte personuppgifter behandlas. Trots att en arbetsuppgift skulle kunna utföras utan att personuppgifter behandlas på visst sätt kan behandlingen anses nödvändig om den innebär effektivitetsvinster.13

Enligt förarbetena till dataskyddslagen bör EU-domstolens praxis om nödvändighetskravet i dataskyddsdirektivet kunna utgöra stöd även vid tolkning av dataskyddsförordningen.14 Enligt propositionen bör det t.ex. i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom manuell informationshantering inte utgör ett realistiskt alternativ.

Myndigheten för vård- och omsorgsanalys måste alltså inför en planerad behandling göra en bedömning av om behandlingen är nödvändig. Om personuppgifter inte behövs i det aktuella projektet eller om en arbetsuppgift kan utföras nästan lika enkelt och till nästan samma kostnad utan att personuppgifter behandlas, är nödvändighetskravet inte uppfyllt och behandlingen därmed inte tillåten.

Grunden ska vara rättsligt fastställd

Grunden för sådan behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse måste enligt artikel 6.3 i dataskyddsförordningen fastställas i nationell rätt eller EUrätt.

I skäl 45 till dataskyddsförordningen anges att förordningen inte medför något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Av ordalydelsen i artikel 6.3 första stycket framgår att det som ska fastställas i unionsrätten eller i nationell rätt är den grund för behandlingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i unionsrätten eller i nationell rätt av den behandling av personuppgifter som ska ske med stöd av dessa rättsliga grunder. Det som

13 EU-domstolens dom av den 16 december 2008, Huber C-524/06, EU:C:2008:724. 14Prop. 2017/18:105 s. 47.

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

122

måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet.15

I propositionen betonas att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte utgör någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. Legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Principen är grundlagsfäst genom 1 kap. 1 § regeringsformen, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt.16 Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.17

Av skäl 41 till dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid EUdomstolen och Europadomstolen. Även detta är, enligt propositionen, ett uttryck för legalitetsprincipen och utgör således inte någon nyhet inom den svenska offentliga förvaltningen.18 Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringens mening bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten, såsom när det gäller behandling av elevers namn i reguljär skolverksamhet, kan ske med stöd av en rättslig grund som är allmänt hållen. Ett mer kännbart intrång, t.ex. behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Om intrånget är betydande och innebär övervakning eller kartläggning av den enskildes personliga förhållanden krävs dessutom särskilt lagstöd enligt 2 kap.6 och 20 §§regeringsformen.

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

123

Grunden för behandlingen ska enligt artikel 6.3 första stycket i dataskyddsförordningen fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Med detta avses inte, enligt propositionen, att den rättsliga grunden nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag.19 Däremot måste grunden vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt. Sammanfattningsvis konstateras i propositionen att en rättslig grund är fastställd i enlighet med svensk rätt om den följer av författning eller beslut som meddelats i enlighet med regeringsformens bestämmelser. Som en följd av den svenska arbetsmarknadsmodellen kan en rättslig grund även följa av kollektivavtal.

När det gäller frågan om nationell reglering av behandling av personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen konstateras i propositionen att det framgår direkt av dataskyddsförordningen att för en laglig behandling krävs det att, förutom att den arbetsuppgift som den personuppgiftsansvarige utför ska vara av allmänt intresse, också att arbetsuppgiften ska vara fastställd i enlighet med unionsrätten eller den nationella rätten samt att behandlingen ska vara nödvändig för ett ändamål som är nödvändigt för att utföra uppgiften. Någon ytterligare reglering på nationell nivå behövs således inte i detta avseende.20 Enligt propositionen krävs det dock en bestämmelse i dataskyddslagen som tydliggör hur en uppgift av allmänt intresse ska fastställas för att kunna utgöra en grund för behandling av personuppgifter. I 2 kap. 2 § 1 dataskyddslagen finns därför en upplysningsbestämmelse som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Myndigheten för vård- och omsorgsanalys arbetsuppgifter framgår som nämnts av myndighetens instruktion. Arbetsuppgifterna är således fastställda i förordning. Den övergripande arbetsuppgiften att ur ett patient-, brukar-, och medborgarperspektiv följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg i enlighet med 1 § i instruktionen preciseras i

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

124

de följande bestämmelserna. Av 2–3 §§ framgår att uppdraget innebär att myndigheten ska följa upp och analysera vårdens och omsorgens funktionssätt, effektivitetsgranska statliga åtaganden och verksamheter, inom sitt verksamhetsområde bistå regeringen med underlag och rekommendationer för effektivisering av statlig verksamhet och styrning, kontinuerligt utvärdera sådan information om vården och omsorgen som lämnas till den enskilde, i fråga om informationens innehåll, kvalitet, ändamålsenlighet och tillgänglighet, på regeringens uppdrag bistå med utvärderingar och uppföljningar av beslutade eller genomförda statliga reformer och andra statliga initiativ, samt inom sitt verksamhetsområde bedriva omvärldsbevakning och genomföra internationella jämförelser. För de särskilda uppdrag som regeringen ger myndigheten anges det dessutom mer specifikt i regleringsbrev eller separata regeringsbeslut vad varje analys eller uppföljning ska omfatta.21 Myndigheten ska även, enligt 4 § i instruktionen, varje år i en särskild analys- och granskningsplan ange vilken huvudsaklig inriktning verksamheten ska ha under året. I den planen specificeras, förutom regeringsuppdragen, även de projekt som myndigheten avser att initiera på egen hand.22

I de verksamheter som myndigheten har i uppdrag att analysera behandlas ett stort antal personuppgifter, även känsliga sådana, vilket torde vara tydligt för de registrerade. Att myndigheten behöver behandla en betydande mängd personuppgifter för att fullgöra sitt uppdrag att på olika sätt analysera dessa verksamheter är därmed förutsägbart. Myndighetens uppdrag anges i förordning och preciseras genom regeringsuppdrag och analysplaner. Utredningen är därför av uppfattningen att regleringen av myndighetens uppdrag är tillräckligt tydlig, precis och förutsägbar för att kunna utgöra en rättslig fastställelse av arbetsuppgiften av allmänt intresse. Grunden för behandlingen är således fastställd på det sätt som krävs enligt dataskyddsförordningen.

21 Se t.ex. regeringens beslut dnr S2016/07779/RS. 22 Se t.ex. Myndigheten för vård- och omsorgsanalys analysplan för 2017 s. 25–41.

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

125

Syftet med behandlingen ska vara nödvändigt

Vid behandling av personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen måste dessutom syftet med behandlingen enligt artikel 6.3 vara nödvändigt för att utföra arbetsuppgiften av allmänt intresse. Bestämmelsen uttrycker det samband som måste finnas mellan behandlingen och den fastställda arbetsuppgiften och riktar sig till den som bestämmer ändamålen för behandlingen, dvs. som regel den personuppgiftsansvarige. Det innebär alltså att den specifika behandlingen måste vara nödvändig för ett ändamål som i sin tur är nödvändigt för att myndigheten ska kunna utföra arbetsuppgiften av allmänt intresse. En bedömning av detta måste göras av myndigheten i samband med varje behandling.

Kravet på att syftet ska vara nödvändigt ska enligt förarbetena till dataskyddslagen inte tolkas som att arbetsuppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt.23Den metod som den personuppgiftsansvarige väljer för att utföra sin arbetsuppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss arbetsuppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken behandling av personuppgifter som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resultatinriktad nivå, kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i dataskyddsförordningens mening. Kravet på att ändamålet ska vara nödvändigt för att utföra en arbetsuppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses.

Proportionalitet och mål av allmänt intresse

Unionsrätten eller den nationella rätt som utgör den rättsliga grunden för behandlingen av personuppgifter enligt artikel 6.1 e i dataskyddsförordningen måste enligt artikel 6.3 andra stycket sista

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

126

meningen i dataskyddsförordningen också uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Det finns därmed en gräns för vilka arbetsuppgifter som över huvud taget kan läggas till grund för behandling av personuppgifter.

Bestämmelsen om att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell med det legitima mål som eftersträvas motsvarar, enligt förarbetena till dataskyddslagen, det krav som Europakonventionen ställer på lagstiftaren i en rättsstat.24 Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna har Europakonventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § regeringsformen att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör, enligt propositionen, utgångspunkten vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt. Den personuppgiftsansvarige behöver därmed inte göra någon proportionalitetsbedömning avseende regleringen av den rättsliga grunden för behandlingen, utan kan utgå från att svensk rätt uppfyller detta krav. Däremot måste behandlingen vara nödvändig i förhållande till den rättsliga grunden och följa de grundläggande principerna i artikel 5. Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet.25

Utredningen har ovan konstaterat att den uppföljnings- och analysverksamhet som Myndigheten för vård- och omsorgsanalys bedriver enligt instruktionen utgör en sådan arbetsuppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Av samma skäl får regleringen av myndighetens arbetsuppgifter anses uppfylla ett mål av allmänt intresse.

Myndighetens arbetsuppgifter, inklusive den behandling av personuppgifter som uppdraget medför, synes väl avvägda i förhållande till syftet med myndighetens verksamhet. Dessutom måste myndigheten i sin verksamhet beakta skyddet mot betydande intrång i den

24Prop. 2017/18:105 s. 50. 25 Se 5 § förvaltningslagen (2017:900). Lagen träder i kraft den 1 juli 2018.

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

127

personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen. Utredningen är mot denna bakgrund av uppfattningen att regleringen av myndighetens arbetsuppgifter med råge når upp till dataskyddsförordningens proportionalitetskrav. Kraven enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen är därmed uppfyllda.

7.1.4 Inget behov av nationell reglering av rättslig grund för myndighetens behandling

Utredningens bedömning: Myndigheten för vård- och omsorgs-

analys har möjlighet att stödja behandling av personuppgifter som inte är känsliga direkt på bestämmelserna i dataskyddsförordningen. Det behövs därmed inte någon särskild nationell reglering av rättslig grund för behandlingen av personuppgifter vid Myndigheten för vård- och omsorgsanalys.

Myndigheten för vård- och omsorganalys har, som utredningen konstaterat i avsnitt 7.1.2 och 7.1.3, möjlighet att behandla personuppgifter med stöd av de rättsliga grunderna samtycke och arbetsuppgift av allmänt intresse. Myndigheten synes alltså ha goda möjligheter att behandla sådana personuppgifter som inte är känsliga och som behövs i verksamheten enbart med stöd av regleringen i dataskyddsförordningen. Någon särskild författningsreglering i syfte att utgöra stöd för behandling av personuppgifter som inte är känsliga verkar därför inte behövas. För behandling av känsliga personuppgifter ställer dock dataskyddsförordningen särskilda krav, se avsnitt 7.2 nedan.

När myndigheten behandlar personuppgifter med stöd av någon av de ovan angivna grunderna måste givetvis dataskyddsförordningens reglering i övrigt tillämpas. Myndigheten måste alltså bl.a. se till att de grundläggande principerna i artikel 5 i dataskyddsförordningen iakttas, de säkerhetsåtgärder som dataskyddsförordningen kräver vidtas och den registrerades rättigheter tillgodoses.

Även om myndigheten har stöd i dataskyddsförordningen för en behandling av personuppgifter, måste myndigheten, som när personuppgiftslagen upphävts inte har stöd i svensk lag för behandling av personuppgifter, se till att behandlingen inte strider mot 2 kap. 6 §

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

128

andra stycket regeringsformen om skydd mot betydande intrång i den personliga integriteten som sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

7.2 Behandling av känsliga personuppgifter

7.2.1 Regleringen i dataskyddsförordningen

För att känsliga personuppgifter ska få behandlas är det inte tillräckligt att det finns en rättslig grund enligt artikel 6 i dataskyddsförordningen. Vid sådan behandling måste även artikel 9 i dataskyddsförordningen beaktas. Av artikel 9.1 i dataskyddsförordningen framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. De angivna kategorierna av personuppgifter benämns i artikeln som särskilda kategorier av uppgifter.

I 3 kap. dataskyddslagen finns kompletterande bestämmelser om behandling av känsliga personuppgifter. Enligt 3 kap. 1 § dataskyddslagen avses med känsliga personuppgifter sådana uppgifter som avses i artikel 9.1 i dataskyddsförordningen. Enligt propositionen är motivet till att använda det tidigare begreppet känsliga personuppgifter i lagen att det begreppet är väl inarbetat, även på EU-nivå, och att det är språkligt enklare att använda och förstå, inte minst i författningstext.26 Utredningen använder därför också begreppet känsliga personuppgifter för de kategorier av uppgifter som räknas upp i artikel 9.1 i dataskyddsförordningen.

Förbudet mot att behandla känsliga personuppgifter kompletteras av ett antal undantag i artikel 9.2 i dataskyddsförordningen, som anger när behandling av känsliga personuppgifter trots allt är tillåten eller kan tillåtas. Några av undantagen är direkt tillämpliga medan andra kräver viss reglering i den nationella lagstiftningen för att behandling av känsliga personuppgifter ska få ske.

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

129

Av artikel 9.2 a i dataskyddsförordningen följer att känsliga personuppgifter får behandlas med stöd av ett uttryckligt samtycke från den registrerade. Om behandlingen sker på grundval av EU-rätten eller medlemsstaternas nationella rätt, kan känsliga personuppgifter också behandlas bl.a. av hänsyn till ett viktigt allmänt intresse (9.2 g), i anslutning till hälso- och sjukvård, yrkesmedicin och social omsorg under förutsättning att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt (9.2 h och 9.3) och för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (9.2 j).

Nedan berörs enbart de undantag som bedöms relevanta för Myndigheten för vård- och omsorgsanalys att tillämpa.

7.2.2 Undantag för behandling med stöd av samtycke

Utredningens bedömning: Myndigheten för vård- och omsorgs-

analys har möjlighet att behandla känsliga personuppgifter med stöd av ett uttryckligt samtycke enligt artikel 9.2 a i dataskyddsförordningen.

Känsliga personuppgifter får med stöd av artikel 9.2 a i dataskyddsförordningen behandlas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av personuppgifterna för ett eller flera specifika ändamål.

I propositionen till dataskyddslagen konstateras att bestämmelsen motsvarar artikel 8.2 a i dataskyddsdirektivet.27 Vid införandet av personuppgiftslagen ansåg regeringen att det inte fanns något integritetsskyddsintresse som gjorde det befogat att förbjuda en behandling som den registrerade och den personuppgiftsansvarige var överens om.28 Det infördes därför varken någon sådan bestämmelse i lag eller någon möjlighet för regeringen eller Datainspektionen att föreskriva om förbud mot behandling trots den registrerades samtycke. Regeringen anser att det inte heller nu med anledning av dataskyddsförordningen bör införas ett förbud mot behandling trots den registrerades samtycke.29 Den registrerades

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

130

uttryckliga samtycke medför alltså även fortsättningsvis att känsliga personuppgifter får behandlas.

De krav på samtycke som redovisats i avsnitt 7.1.2 gäller även för samtycke enligt den nu aktuella artikeln. Av samma skäl som anges i det avsnittet förefaller det i många fall vara möjligt för Myndigheten för vård- och omsorgsanalys att stödja behandling av känsliga personuppgifter på samtycke. Som anges i det ovan nämnda avsnittet finns det dock praktiska svårigheter med att använda samtycke som grund för all behandling av personuppgifter myndigheten behöver utföra.

7.2.3 Undantag för viktiga allmänna intressen

Utredningens bedömning: Myndigheten för vård- och omsorgs-

analys kan inte stödja behandling av känsliga personuppgifter direkt på undantaget för ett viktigt allmänt intresse i artikel 9.2 g i dataskyddsförordningen. Inte heller de generella nationella undantagen kan tillämpas.

Känsliga personuppgifter får enligt artikel 9.2 g i dataskyddsförordningen behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Vad som är ett allmänt intresse respektive ett viktigt allmänt intresse är inte definierat i dataskyddsdirektivet eller dataskyddsförordningen och begreppets innebörd har inte heller utvecklats närmare av EU-domstolen. I förarbetena till dataskyddslagen konstateras att det är svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse.30 Enligt propositionen torde det dock stå klart att verksamhet som innefattar myndighetsutövning utgör ett viktigt allmänt intresse. När det gäller myndigheters behandling måste det också anses utgöra ett viktigt

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

131

allmänt intresse att svenska myndigheter, även utanför området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt.

Utredningen har i avsnitt 7.1.3 konstaterat att den uppföljnings- och analysverksamhet som Myndigheten för vård- och omsorgsanalys bedriver utgör en sådan arbetsuppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Av samma skäl får myndighetens arbetsuppgifter anses utgöra ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen.

Ytterligare en förutsättning för att undantaget i artikel 9.2 g ska vara tillämpligt är att behandlingen sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet. Enligt propositionen som föregick dataskyddslagen innebär detta att den rättsliga grunden för behandlingen typiskt sett kommer att vara någon av de som avses i artikel 6.1 c eller e, dvs. en rättslig förpliktelse, en arbetsuppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsordningen.31 Att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten innebär inte ett krav på att själva behandlingen av personuppgifter måste regleras. Det är i stället den rättsliga förpliktelsen, arbetsuppgiften av allmänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen.

För att behandling av känsliga personuppgifter ska få ske ställs särskilda krav på det rättsliga stödet.32 Detta måste vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. I propositionen konstateras att dessa krav på det rättsliga stödet motsvarar kraven för att begränsa de rättigheter som skyddas av EU:s stadga om de grundläggande rättigheterna. I artikel 52 i stadgan anges att varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter.

31Prop. 2017/18:105 s.48 f. och s. 84. 32Prop. 2017/18:105 s. 84.

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

132

Vad som utgör det väsentliga innehållet i rätten till dataskydd definieras inte i dataskyddsförordningen. Det anförs i propositionen att det är svårt att föreställa sig en rättslig grund för behandling av personuppgifter som uppfyller kraven i artikel 6, men som ändå inte är förenlig med det väsentliga innehållet i rätten till dataskydd.33 Om grunden för behandlingen inte är förenlig med det väsentliga innehållet i rätten till dataskydd lär den inte utgöra en godtagbar rättslig grund för behandling av personuppgifter över huvud taget. Det kan därför ifrågasättas om tillägget i artikel 9.2 g utgör ett krav som går utöver de krav som gäller enligt artikel 6 och som måste vara uppfyllda vid all behandling av personuppgifter i allmänt intresse. Däremot tillkommer, enligt propositionen, ett krav på att gällande rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Detta krav överensstämmer med det som har gällt även enligt dataskyddsdirektivet och innebär således ingen ny begränsning av möjligheten att behandla känsliga personuppgifter. Det innebär inte heller att undantaget i sig måste genomföras i svensk rätt för att vara tillämpligt.

Utredningen bedömer att det inte helt klart framgår av artikel 9.2 g i dataskyddsförordningen att ett undantag avseende behandling av känsliga personuppgifter måste regleras i nationell rätt. Den nationella regleringen ska i vart fall omfatta bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Att tolka bestämmelsen som att det utöver reglering av skyddsåtgärder är tillräckligt att verksamheten i sig är reglerad skulle innebära en betydande utvidgning av möjligheten att behandla känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse jämfört med vad som gällde enligt dataskyddsdirektivet. Där angavs nämligen i artikel 8.4 att medlemsstaterna i sin nationella lagstiftning fick besluta om undantag från förbudet mot att behandla känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse. Det var också enligt artikeln tillåtet med nationell lagstiftning som gav tillsynsmyndigheten möjlighet att besluta om undantag. Det är inte troligt att en utvidgning, som innebär att det inte längre ska krävas något nationellt författningsstöd för själva behandlingen, har varit avsedd. Härtill kommer att det är svårt att förstå vad kravet på proportionalitet i artikel 9.2 g i dataskyddsförordningen skulle avse om det inte hänför sig till den

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

133

reglering som tillåter behandlingen av hänsyn till ett viktigt allmänt intresse.

Även om det alltså inte är helt klart vad skrivningen om nationell rätt i artikel 9.2 g i dataskyddsförordningen innebär gör utredningen bedömningen att det är sannolikt att EU-domstolen vid en prövning, av de skäl som anges ovan, skulle komma fram till att stöd i nationell rätt för själva behandlingen krävs. Utredningen är därför av uppfattningen att behandling av känsliga personuppgifter vid Myndigheten för vård- och omsorgsanalys direkt med stöd av artikel 9.2 g i dataskyddsförordningen och den skyddsåtgärd som gällande sekretessreglering kan sägas innebära inte bör komma i fråga.

I dataskyddslagen finns det för myndigheter ett generellt undantag från förbudet mot att behandla känsliga personuppgifter. Enligt 3 kap. 3 § dataskyddslagen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vid behandling som sker enbart med stöd av den bestämmelsen är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

I propositionen konstateras att för att myndigheter ska kunna bedriva sin verksamhet är det ofta nödvändigt att behandla känsliga personuppgifter, och i många fall sker behandlingen i den registrerades eget intresse.34 Det finns därför ett behov av en tydlig reglering som tillåter viss behandling av känsliga personuppgifter hos myndigheterna. I många fall finns sådana bestämmelser i sektorsspecifika författningar om behandling av personuppgifter. Det finns också bestämmelser som tillåter behandling av känsliga personuppgifter på ett mer indirekt sätt, t.ex. i form av bestämmelser som anger att uppgifter eller handlingar ska överlämnas till andra myndigheter eller till enskilda som begär det. Det behov av att behandla känsliga personuppgifter som därutöver finns hos myndigheter var på personuppgiftslagens tid tillgodosett genom att viss behandling var tillåten genom den s.k. missbruksregeln i 5 a § personuppgiftslagen och enligt 8 § personuppgiftsförordningen. Dataskyddsdirektivets

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

134

krav på skyddsåtgärder har i svensk rätt ofta ansetts tillgodosett genom att personuppgifterna omfattas av bestämmelser om sekretess. Det har också ansetts utgöra en skyddsåtgärd att bara tillåta behandling av känsliga personuppgifter som inte innefattar ett missbruk av personuppgifterna.35

Enligt 8 § personuppgiftsförordningen fick känsliga personuppgifter behandlas av en myndighet i löpande text, om uppgifterna hade lämnats i ett ärende eller var nödvändiga för handläggningen av det. Här avsågs sådan behandling som var oundviklig i en myndighets verksamhet som en direkt följd av exempelvis offentlighets- och sekretesslagens (2009:400) och förvaltningslagens (1986:223) krav, såsom krav på diarieföring och skyldighet att ta emot e-post.36Bestämmelsen möjliggjorde t.ex. att känsliga personuppgifter fick finnas i skälen till ett beslut, när det krävdes för att uppfylla kraven på att beslut ska innehålla de skäl som bestämt utgången. Dessutom har bestämmelsen ansetts ge stöd för att personuppgifter behandlas i ärendehanteringssystem, då de förekommer i handlingar med löpande text.37 Den formulering som användes i 8 § personuppgiftsförordningen har däremot inte ansetts omfatta s.k. faktisk verksamhet som en myndighet bedriver, t.ex. rådgivning och annan service, uppföljning eller olika former av samverkan utan ärendeanknytning.38 Vid faktisk verksamhet var det således bara 5 a § personuppgiftslagen som kunde tillämpas, om sektorsspecifik reglering saknades. Det kan enligt propositionen inte råda något tvivel om att det är ett viktigt allmänt intresse att myndigheterna kan sköta sina uppdrag på ett korrekt, rättssäkert och effektivt sätt. Det gäller även i den faktiska verksamheten. Missbruksregeln i 5 a § personuppgiftslagen har dock ingen motsvarighet i dataskyddsförordningen. Det kan inte heller tas för givet att det för all offentlig verksamhet redan finns sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få behandlas. Enligt propositionen krävs det därför särskilda bestämmelser i dataskyddslagen som är tillämpliga för alla

35Prop. 2005/06:173 s. 34. 36Prop. 2017/18:105 s. 86. 37SOU 2015:39 s. 306. 38 Jämför Lagrådets yttrande över förslaget till lag om behandling av personuppgifter inom socialtjänsten, prop. 2000/01:80 s. 272.

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

135

myndigheter och som uppfyller kraven i artikel 9.2 g i dataskyddsförordningen.39

Myndigheten för vård och omsorgsanalys har behov av att behandla känsliga personuppgifter utöver vad som krävs när uppgifter har lämnats till myndigheten och behandling krävs enligt lag. I bestämmelsen avses sådan behandling som är en direkt följd av exempelvis offentlighets- och sekretesslagens och förvaltningslagens40 krav, dvs. den nödvändiga behandling av personuppgifter som sker vid hanteringen av allmänna handlingar.41

Enligt det andra undantaget får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g dataskyddsförordningen om behandlingen är nödvändig för handläggningen av ett ärende. I förarbetena till bestämmelsen anförs att begreppet ärende används som avgränsning för förvaltningslagens område, och enligt regeringens mening bör det användas även i den aktuella bestämmelsen. Kännetecknande för ett ärende är enligt förarbetena att det regelmässigt avslutas genom ett uttalande från myndighetens sida som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet.42 Ett ärende avslutas genom ett beslut av något slag. Uttrycket handläggning innefattar alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det avslutas. Myndigheten för vård- och omsorgsanalys kan inte sägas utföra sådan ärendehandläggning som avses i bestämmelsen när myndigheten genomför sina analyser. Myndigheten kan således inte stödja sin behandling av känsliga personuppgifter i analysverksamheten på denna bestämmelse.

Enligt de tredje undantaget i 3 kap. 3 § dataskyddslagen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den personliga integriteten. Här avses sådan behandling av känsliga personuppgifter som utförs inom ramen för myndighetens faktiska verksamhet, dvs. sådan verksamhet som inte utgör handläggning av ärenden.43 Det kan t.ex. röra sig om att myndigheten besvarar en fråga från en medborgare som via e-post uppgett

39Prop. 2017/18:105 s. 80 ff. 40 En ny förvaltningslag (2017:900) träder i kraft den 1 juli 2018. 41Prop. 2017/18:105 s. 86 f. 42Prop. 2017/18:105 s. 87 samt prop. 2016/17:180 s. 2325 och 286. 43Prop. 2017/18:105 s. 88.

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

136

känsliga personuppgifter eller att känsliga personuppgifter framkommer vid kommunikationen mellan skola och föräldrar eller inom en myndighet i samband med utvärdering av den egna verksamheten.

Enligt personuppgiftslagen var sådan behandling tillåten med stöd av missbruksregeln i 5 a § personuppgiftslagen, om behandlingen inte innebar en kränkning av den registrerades personliga integritet. Regeringen anser, mot bakgrund av vikten av att samhällets funktioner upprätthålls, att dataskyddslagen på ett likartat sätt bör ge myndigheterna ett visst utrymme för behandling av känsliga personuppgifter även i den faktiska verksamheten.

Bestämmelsen är avgränsad till behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse. Det utgör ett ytterligare villkor utöver det som gällde enligt missbruksregeln i 5 a § personuppgiftslagen.44 Den närmare innebörden av begreppet viktigt allmänt intresse bör enligt propositionen överlämnas till rättstillämpningen att utveckla. Bestämmelsen är avsedd att användas restriktivt. Genom formuleringen ”i annat fall” förtydligas att bestämmelsen tar sikte på sådan behandling av känsliga personuppgifter som inte omfattas av övriga bestämmelser i dataskyddslagen om behandling av känsliga personuppgifter för viktiga allmänna intressen.

Bestämmelsen innehåller vidare ett krav på att behandlingen inte får ske om den innebär ett otillbörligt intrång i de registrerades integritet.45 Detta krav motverkar att känsliga personuppgifter behandlas slentrianmässigt i den löpande verksamheten, utan att annat författningsstöd finns. För att avgöra om intrånget är otillbörligt måste myndigheten göra en proportionalitetsbedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Detta innebär inte att den personuppgiftsansvarige måste göra en bedömning i förhållande till varje berörd individ. Ju mindre tydligt myndighetens behov av att behandla uppgifterna är, desto större är dock sannolikheten för att de registrerades intresse typiskt sett väger tyngre och att intrånget därför bör betraktas som otillbörligt. Vid bedömningen av de registrerades intresse bör vikt läggas vid sådana aspekter som uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

137

att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Den närmare betydelsen av begreppet otillbörligt intrång bör dock också ges utrymme att utvecklas i rättstillämpningen. I propositionen påpekas att det vid behandling som innebär betydande intrång i den personliga integriteten och innebär övervakning eller kartläggning av den enskildes personliga förhållanden krävs särskilt lagstöd enligt 2 kap.6 och 20 §§regeringsformen.

Behandlingen av känsliga personuppgifter hos Myndigheten för vård- och omsorgsanalys behöver ske i större omfattning än vad det tredje undantaget i 3 kap. 3 § dataskyddslagen medger. Inte heller denna bestämmelse kan således ge stöd för behandling av känsliga personuppgifter i myndighetens analysverksamhet.

Enligt 3 kap. 3 § andra stycket dataskyddslagen är det förbjudet att enbart med stöd av första stycket utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökförbudet omfattar alla typer av tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas.46 Sökförbudet har dock begränsats till att avse de fall då behandlingen sker enbart med de generella myndighetsundantagen som grund. Förbudet gäller endast vid sådan behandling av känsliga personuppgifter som utförs med stöd av de särskilda bestämmelser som gäller för myndigheter enligt 3 kap. 3 § dataskyddslagen med hänsyn till viktiga allmänna intressen. Sökbegränsningarna gäller således inte vid behandling som sker med stöd av bestämmelser i en registerförfattning. Avvikande bestämmelser i lag eller i förordning kan således enligt propositionen införas, förutsatt att det finns andra lämpliga och särskilda skyddsåtgärder för den registrerade.

Inget av de undantag från förbudet att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse som finns i 3 kap. 3 § dataskyddslagen kan tillämpas som stöd för Myndigheten för vård- och omsorgsanalys behandling av känsliga personuppgifter i myndighetens analysverksamhet. Vidare kan myndigheten ha behov av att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter, framför allt på uppgifter om hälsa. Myndigheten för vård- och omsorgsanalys kan således inte, enligt utredningens bedömning, stödja sin behandling av känsliga personuppgifter direkt på undantaget för ett viktigt allmänt intresse

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

138

i artikel 9.2 g i dataskyddsförordningen eller de generella nationella undantagen.

7.2.4 Undantag för hälso- och sjukvård samt social omsorg

Utredningens bedömning: Undantaget för hälso- och sjukvård

samt social omsorg i artikel 9.2 h i dataskyddsförordningen och 3 kap. 5 § dataskyddslagen kan utgöra grund för behandling av känsliga personuppgifter vid Myndigheten för vård- och omsorgsanalys.

Behandling av känsliga personuppgifter får enligt artikel 9.2 h i dataskyddsförordningen ske om den är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller den nationella rätten eller enligt avtal med yrkesverksamma på hälsoområdet. En ytterligare förutsättning för att behandling av känsliga personuppgifter på hälso- och sjukvårdsområdet samt inom social omsorg ska vara tillåten är att uppgifterna enligt artikel 9.3 i dataskyddsförordningen behandlas av eller under ansvar av en yrkesutövare eller annan person som omfattas av tystnadsplikt. I 3 kap. 5 § dataskyddslagen finns, i syfte att tydliggöra regleringen, motsvarande undantag.

Undantaget för hälso- och sjukvård har justerats något i jämförelse med motsvarande bestämmelse i dataskyddsdirektivet. Bland annat har social omsorg lagts till. Vad som avses med social omsorg framgår inte av dataskyddsförordningen. I propositionen anges att det sannolikt är arbetsuppgifter som utförs inom socialtjänsten som avses, men att det i avsaknad av praxis är svårt att närmare avgränsa innebörden av begreppet.47 Utredningen instämmer i den bedömningen och anser att social omsorg innefattar sådan verksamhet som avses i 2 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

139

Begreppet administration av hälso- och sjukvård har ersatts med förvaltning av hälso- och sjukvårdstjänster och deras system. Med förvaltning av tjänster för hälso- och sjukvård, social omsorg och deras system avses enligt skäl 53 till dataskyddsförordningen bl.a. behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg. I propositionen till dataskyddslagen anförs att det av skäl 53 framgår att avsikten är att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt. Detta innebär för svenskt vidkommande, enligt propositionen, att bestämmelsen även omfattar den verksamhet som bedrivs av bl.a. Socialstyrelsen, Inspektionen för vård och omsorg, Folkhälsomyndigheten och Myndigheten för vård- och omsorgsanalys.48

Myndigheten för vård- och omsorgsanalys skulle möjligen i vissa fall kunna sägas bedriva kvalitetskontroll. Myndigheten kan inte anses ingå i förvaltningen av hälso- och sjukvården eller den sociala omsorgen och är inte en hälsovårdsmyndighet. Myndigheten bedriver inte heller någon tillsyn. Mot bakgrund av regeringens bedömning att verksamheten vid Myndigheten för vård- och omsorgsanalys omfattas av hälso- och sjukvårdsundantaget i dataskyddsförordningen får det dock anses att myndigheten får behandla känsliga personuppgifter i sin analysverksamhet med stöd av artikel 9.2 h i dataskyddsförordningen och 3 kap. 5 § dataskyddslagen. De personer som arbetar med myndighetens analysverksamhet omfattas av tystnadsplikt (se avsnitt 6.5) på det sätt som krävs.

Bestämmelserna i 3 kap. 5 § dataskyddslagen utgör ett sådant lagstöd som tillåter betydande intrång i den personliga integriteten (2 kap. 6 § och 20 §§regeringsformen).

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

140

7.2.5 Undantag för statistikändamål

Utredningens bedömning: Undantaget för behandling för sta-

tistiska ändamål i artikel 9.2 j dataskyddsförordningen och 3 kap. 7 § dataskyddslagen kan utgöra grund för behandling av känsliga personuppgifter vid Myndigheten för vård- och omsorgsanalys.

Enligt artikel 9.2 j i dataskyddsförordningen är behandling av känsliga personuppgifter tillåten om behandlingen är nödvändig för bl.a. statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Med statistiska ändamål avses varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat (skäl 162). Ett statistiskt ändamål innebär, enligt samma skäl, att resultatet av behandlingen inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller personuppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild privatperson.

Bestämmelsen i artikel 9.2 j i dataskyddsförordningen aktualiseras både vid insamling av känsliga personuppgifter för statistiska ändamål och vid vidarebehandling av känsliga personuppgifter för sådana ändamål. Kravet på lämpliga och särskilda åtgärder överensstämmer med det som gäller för behandling av känsliga personuppgifter med hänsyn till andra viktiga allmänna intressen enligt artikel 9.2 g i dataskyddsförordningen.49 Dessa krav motsvarar i sin tur det krav på skyddsåtgärder som ställs i dataskyddsdirektivet om viktiga allmänna intressen, som legat till grund för personuppgiftslagens bestämmelser om behandling av personuppgifter för statistiska ändamål. Detta innebär att förutsättningarna för att det ska vara tillåtet att behandla känsliga personuppgifter för statistiska ändamål i huvudsak är desamma som enligt dataskyddsdirektivet.

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

141

Enligt 19 § andra stycket personuppgiftslagen fick känsliga personuppgifter behandlas för statistikändamål, om behandlingen var nödvändig på sätt som angavs i 10 § personuppgiftslagen och om samhällsintresset av det statistikprojekt där behandlingen ingick klart vägde över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kunde innebära. I 19 § tredje stycket personuppgiftslagen angavs att förutsättningarna enligt andra stycket skulle anses uppfyllda om behandlingen hade godkänts av en forskningsetisk kommitté, dvs. ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning. I förarbetena till 19 § andra stycket personuppgiftslagen anges att viss statistik är så viktig att den inte bör vara beroende av att varje berörd enskild har informerats och lämnat sitt samtycke.50 Ibland tar samhällsintresset över intresset av att skydda enskildas personliga integritet. Vidare framgår att det mot bakgrund av att det finns många olikartade statistikprojekt, vilka som regel pågår bara under en begränsad tid, förefaller lämpligare att göra en avvägning i varje särskilt fall än att i lag införa generella regler om vilken statistik som ska tillåtas. Vid en sådan individuell avvägning kan olika faktorer kring projektet, t.ex. hur pass viktig den kunskap är som projektet kan ge, vägas mot intrånget i den enskildes personliga integritet.

Även i förarbetena till dataskyddslagen görs bedömningen att det inte är lämpligt att genom lagstiftning på förhand avgöra exakt i vilka fall behandling av känsliga personuppgifter ska få ske för statistiska ändamål.51 I 3 kap. 7 § dataskyddslagen har det därför införts en avvägningsnorm motsvarande den som fanns i 19 § andra stycket personuppgiftslagen. Behandling av känsliga personuppgifter för statistiska ändamål ska således få ske om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Detta villkor för behandling utgör en sådan lämplig och särskild åtgärd som avses i artikel 9.2 j i dataskyddsförordningen. Den praxis som finns avseende 19 § andra stycket personuppgiftslagen bör, enligt propositionen, kunna tjäna som

Behandling av personuppgifter med stöd av dataskyddsförordningen SOU 2018:52

142

vägledning även för tillämpningen av bestämmelsen i dataskyddslagen. För att bestämmelsen ska aktualiseras förutsätts att insamlingen av personuppgifter är tillåten med stöd av någon av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen eller att behandlingen utgör en tillåten vidarebehandling av för andra ändamål insamlade personuppgifter.

Som konstateras i avsnitt 17.3 kan stora delar av den analysverksamhet som Myndigheten för vård- och omsorgsanalys ägnar sig åt anses motsvara statistisk verksamhet. Personuppgifter kan, enligt propositionen, med stöd av artikel 6.1 e i dataskyddsförordningen samlas in och i övrigt behandlas utan samtycke från de registrerade vid sådan statistikverksamhet som är nödvändig för att t.ex. en myndighet ska kunna utföra sitt fastställda uppdrag, även om statistik inte uttryckligen nämns i myndighetens uppdrag.52 Utredningen bedömer därför att Myndigheten för vård- och omsorgsanalys kan stödja viss del av behandlingen av känsliga personuppgifter på artikel 9.2 j i dataskyddsförordningen och 3 kap. 7 § dataskyddslagen.

Bestämmelserna i 3 kap. 7 § dataskyddslagen utgör ett sådant lagstöd som tillåter betydande intrång i den personliga integriteten (2 kap.6 och 20 §§regeringsformen).

7.3 Behandling av uppgifter om lagöverträdelser

Utredningens bedömning: Myndigheten för vård- och omsorgs-

analys har möjlighet att behandla uppgifter om lagöverträdelser under förutsättning att det finns en rättslig grund för behandlingen enligt artikel 6.1 i dataskyddsförordningen.

Av artikel 10 i dataskyddsförordningen framgår att behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 i dataskyddsförordningen endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

SOU 2018:52 Behandling av personuppgifter med stöd av dataskyddsförordningen

143

Det framgår också att ett fullständigt register över brottmålsdomar endast får föras under kontroll av en myndighet.

Personuppgifter om lagöverträdelser får således behandlas av en myndighet under förutsättning att det finns lagligt stöd för behandlingen enligt artikel 6.1 i dataskyddsförordningen. Det innebär att Myndigheten för vård- och omsorgsanalys har samma möjligheter att behandla uppgifter om lagöverträdelser som myndigheten har att behandla andra personuppgifter som inte är känsliga, se avsnitt 7.1.

145

8 Behovet av en reglering

Utredningens bedömning: En lagreglering av behandlingen av

personuppgifter vid Myndigheten för vård- och omsorgsanalys bör införas.

Myndigheten för vård- och omsorgsanalys har sedan myndigheten bildades 2011 framfört behov av ett författningsstöd som gör det möjligt att behandla personuppgifter på ett för uppföljnings- och analysverksamheten ändamålsenligt sätt. Myndigheten för vård- och omsorgsanalys har som ett led i sitt uppdrag, i vissa fall, behov av att genomföra analyser som inkluderar stora mängder patient- och brukaruppgifter (se avsnitt 4.4). Dessa analyser medför som regel en omfattande behandling av känsliga personuppgifter.

De känsliga personuppgifter som myndigheten behöver behandla består t.ex. av uppgifter från vården, kvalitetsregister och Socialstyrelsens hälsodataregister i form av bl.a. uppgifter om diagnos, olika symptom och livslängd. Det handlar även om personuppgifter från socialtjänsten. I kombination med dessa känsliga personuppgifter finns det behov av att behandla bl.a. socioekonomiska uppgifter – t.ex. uppgifter om utbildning, ekonomi, bidrag, sysselsättning och sysselsättningsgrad, demografiska uppgifter – t.ex. ålder, kön, bostadsuppgifter, civilstånd och familj, och socialförsäkringsuppgifter, t.ex. uppgifter om sjukskrivning och innehav av privat sjukförsäkring. Med hänsyn till omfattningen av personuppgifterna, uppgifternas känsliga karaktär, behovet av att personuppgifterna i vissa fall sammankopplas och omständigheten att behandlingen sker utan samtycke, skulle resultatet i en del fall bli en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

Behovet av en reglering SOU 2018:52

146

Som framgått av kapitel 7 har Myndigheten för vård- och omsorgsanalys, på grund av regleringen i dataskyddsförordningen och dataskyddslagen, möjlighet att i sin analysverksamhet behandla personuppgifter, även känsliga sådana. Den allmänna lagstiftningen om behandling av personuppgifter ger således ett stöd för behandlingen.

Det finns emellertid, såsom redogjorts för i avsnitt 3.5.3, en överenskommelse mellan regering och riksdag om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag, dvs. inte bara av den allmänna lagstiftningen om behandling av personuppgifter. Utredningen bedömer att behandlingen av personuppgifter i myndighetens analysverksamhet är sådan att den faller under den överenskommelsen. Därför och då behandlingen bör kringgärdas av mer specifika restriktioner och skyddsåtgärder än som följer av den allmänna dataskyddsregleringen, bör enligt utredningens bedömning behandlingen regleras särskilt i lag. Med en särskild lagreglering blir det tydligt under vilka förutsättningar myndigheten får behandla personuppgifter.

Den särskilda lagen för analysverksamheten vid Myndigheten för vård- och omsorgsanalys tar, enligt 1 kap. 6 § dataskyddslagen, över de generella bestämmelserna i dataskyddslagen. Det innebär att myndigheten inte kan åberopa t.ex. bestämmelserna i 3 kap. 5 och 7 §§ dataskyddslagen som stöd för behandling av personuppgifter i analysverksamheten, utan stödet måste i princip finnas i den särskilda lagen; se dock undantag för behandling av känsliga personuppgifter och uppgifter om lagöverträdelser i vissa fall, avsnitt 11.4.2 och 12.2.2. På motsvarande sätt är det med bestämmelserna i dataskyddsförordningen. Myndigheten kan alltså inte på de punkter som regleras i den särskilda lagen i stället åberopa dataskyddsförordningens bestämmelser. En annan sak är att den särskilda lagen bara bör komplettera dataskyddsförordningen och dataskyddslagen och att bestämmelser i den lagstiftningen blir tillämpliga i den utsträckning något inte är reglerat i den särskilda lagen (se avsnitt 9.4).

147

9 En ny lag om behandling av personuppgifter

9.1 Lagen bör inte innehålla bestämmelser som generellt tillåter behandling

Utredningens bedömning: Det behövs inga s.k. ändamålsbestäm-

melser. Bara behandling av personuppgifter i projekt som sker med samtycke eller har prövats och godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt av ett annat särskilt organ för prövning av etiska frågor bör tillåtas enligt lagen. Övrig behandling av personuppgifter, som inte strider mot 2 kap. 6 § andra stycket regeringsformen, kan genomföras med stöd av dataskyddsförordningen och dataskyddslagen.

Som framgår av avsnitt 7.1.4 kan Myndigheten för vård- och omsorgsanalys behandla personuppgifter som inte är känsliga med stöd av dataskyddsförordningen. Utredningen bedömer därför att det inte behövs någon bestämmelse i lagen som generellt tillåter behandling, motsvarande sådana ändamålsbestämmelser som finns i registerförfattningar som kommit till före dataskyddsförordningen. Skulle en sådan bestämmelse införas i lagen, utgör den ett sådant lagstöd som tillåter betydande intrång i den personliga integriteten trots skyddet i 2 kap. 6 § andra stycket regeringsformen. Utan en bestämmelse som generellt tillåter behandling får myndigheten själv i det enskilda fallet bedöma om behandlingen är tillåten enligt grundlagen. Det är enligt utredningens bedömning bättre för integritetsskyddet än en generell bestämmelse, se också avsnitt 14.2.5.

En ny lag om behandling av personuppgifter SOU 2018:52

148

Eftersom den föreslagna lagen inte innehåller några ändamålsbestämmelser, förefaller det onödigt att ha en uttrycklig bestämmelse om att Myndigheten för vård- och omsorgsanalys är personuppgiftsansvarig för den behandling myndigheten utför enligt lagen. Det framgår tillräckligt tydligt redan av definitionen av personuppgiftsansvarig i artikel 4 i dataskyddsförordningen.

Viss behandling som behöver utföras i myndighetens uppföljnings- och analysverksamhet kan innebära ett sådant intrång som avses i 2 kap. 6 § andra stycket regeringsformen. För sådan behandling krävs det enligt 2 kap. 20 § regeringsformen ett lagstöd. Som kommer att framgå i det följande föreslår utredningen ett lagstöd för behandling av personuppgifter i uppföljnings- och analysprojekt om projektet har prövats och godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt av ett annat särskilt organ för prövning av etiska frågor (kapitel 10–13). I de allra flesta fall ska behandling av känsliga personuppgifter och uppgifter om lagöverträdelser, som inte sker med stöd av samtycke, enligt förslaget bara vara tillåten om det finns ett sådant godkännande. Om sådana personuppgifter får behandlas i ett godkänt projekt, ska enligt förslaget även andra personuppgifter få behandlas i projektet. Det innebär att all behandling av personuppgifter i projekt som godkänts vid en etisk prövning har ett lagstöd som innebär att behandlingen får utföras även om den sker utan samtycke och innebär ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

I de allra flesta av myndighetens projekt som kräver att personuppgifter behandlas utan samtycke från den registrerade lär det, med hänsyn till myndighetens inriktning på hälso- och sjukvård och socialtjänst, behövas vissa känsliga personuppgifter eller uppgifter om lagöverträdelser. Det kan emellertid inte helt uteslutas att myndigheten i ett projekt behöver behandla bara sådana personuppgifter som inte är känsliga personuppgifter eller uppgifter om lagöverträdelser men som ändå innebär ett sådant betydande intrång i den personliga integriteten utan samtycke som avses i 2 kap. 6 § andra stycket regeringsformen.

Därför bör det, enligt utredningens mening, finnas en möjlighet att i undantagsfall få behandla sådana personuppgifter i ett viktigt projekt trots 2 kap. 6 § andra stycket regeringsformen, om projektet

SOU 2018:52 En ny lag om behandling av personuppgifter

149

har prövats och godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt av ett annat särskilt organ för prövning av etiska frågor. Det kan inte vara fråga om många fall och prövningsmöjligheten är begränsad till fall där integritetsskyddsintresset tydligt står på spel. I kapitel 13 föreslår utredningen därför en sådan möjlighet.

I kapitel 16 redovisas en samlad bedömning av tillåtligheten enligt regeringsformen av de föreslagna undantagen från skyddet enligt 2 kap. 6 § regeringsformen.

Givetvis måste tillämpliga bestämmelser i dataskyddsförordningen följas även när behandlingen på det beskrivna sättet tillåtits i svensk lag. Ett exempel är att det kan vara nödvändigt att myndigheten före behandlingen och ansökan om prövning av Etikprövningsmyndigheten alternativt av ett annat särskilt organ för prövning av etiska frågor gör en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen. Den möjlighet som finns enligt artikel 35.10 i dataskyddsförordningen att i stället göra konsekvensbedömningen avseende dataskydd i samband med antagandet av nationell lagstiftning kan nämligen, enligt utredningens bedömning, inte användas när det såsom i detta fall i lagstiftningen inte närmare anges vilken behandling som tillåts utan detta överlämnas till en särskild prövningsinstans att avgöra.

9.2 Nationella bestämmelser som kompletterar dataskyddsförordningen

Utredningens bedömning: Bestämmelser som syftar till att Myn-

digheten för vård- och omsorgsanalys ska kunna bedriva sin verksamhet enligt sin instruktion, som medför en begränsning av rätten till skydd för den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen och är tillåtna enligt 2 kap. 21 § regeringsformen, är också tillåtna enligt dataskyddsförordningen.

Det är tillåtet att införa krav på skyddsåtgärder hos Myndigheten för vård- och omsorgsanalys utöver vad som gäller enligt dataskyddsförordningen och att inskränka myndighetens möjligheter till behandling.

En ny lag om behandling av personuppgifter SOU 2018:52

150

Förtydligande bestämmelser som anger vad som är tillåten behandling enligt den direkt tillämpliga dataskyddsförordningen är förenliga med dataskyddsförordningen.

Dataskyddsförordningen är direkt tillämplig och dess bestämmelser är tvingande. Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna dock behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen när det gäller behandling av personuppgifter som är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, dvs. sådan behandling som avses i artikel 6.1 c och e i dataskyddsförordningen. Den rättsliga grund för behandlingen som enligt artikel 6.3 i dataskyddsförordningen i dessa fall ska fastställas i den nationella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Som exempel på sådana bestämmelser anges allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Den rättsliga regleringen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Av avsnitt 7.1.3 framgår att det är utredningens uppfattning att den verksamhet som Myndigheten för vård- och omsorgsanalys bedriver med stöd av sin instruktion utgör en sådan arbetsuppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Bestämmelser som syftar till att myndigheten på ett ändamålsenligt sätt ska kunna bedriva den verksamhet som anses vara av ett allmänt intresse får också anses uppfylla ett mål av allmänt intresse och är därmed tillåtna under förutsättning att de uppfyller kravet på proportionalitet.

Rätten till skydd för den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen får enligt 2 kap. 21 § regeringsformen begränsas endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och

SOU 2018:52 En ny lag om behandling av personuppgifter

151

inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Även enligt regeringsformen krävs således en proportionalitetsbedömning. I den mån den förslagna regleringen medför en begränsning av rätten till skydd för den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen som är tillåten enligt 2 kap. 21 § regeringsformen, är regleringen enligt utredningens bedömning därför även tillåten enligt dataskyddsförordningen, dvs. regleringen klarar då också det proportionalitetskrav dataskyddsförordningen uppställer. Det kan tilläggas att det även av 2 kap. 19 § regeringsformen och Europakonventionen följer ett krav på att lagstiftning som begränsar rätten till skydd för privatlivet ska vara proportionerlig. I kapitel 16 redovisas utredningens bedömning av de föreslagna reglernas förenlighet med regeringsformens bestämmelser.

Möjligheten att begränsa myndigheters behandling av personuppgifter och utöka deras skyldigheter i förhållande till vad som gäller enligt dataskyddsförordningen är i enlighet med den bedömning utredningen har gjort i det första betänkandet inte begränsad till att avse behandling som sker med stöd av de grunder som anges i artikel 6.1 c och e i dataskyddsförordningen. Dataskyddsförordningen innebär inte en skyldighet att behandla personuppgifter i de fall det är tillåtet annat än när det föreskrivs en sådan skyldighet, t.ex. när det gäller uppfyllandet av den registrerades rättigheter exempelvis avseende registerutdrag. Dataskyddsförordningen innebär inte heller ett förbud mot att en personuppgiftsansvarig väljer att gå utöver sina skyldigheter enligt dataskyddsförordningen och t.ex. lämna registrerade mera information än vad som krävs. I den utsträckning personuppgiftsansvariga har en sådan valrätt enligt dataskyddsförordningen, är det utredningens bedömning att medlemsstaterna utan hinder av dataskyddsförordningen genom nationell rätt kan disponera över den valrätten för sina egna myndigheter. Det kan därför i nationell rätt föreskrivas att Myndigheten för vård- och omsorgsanalys ska ha mer begränsade möjligheter att behandla personuppgifter eller utökade skyldigheter i förhållande till vad som gäller enligt dataskyddsförordningen. Det är t.ex. möjligt att i nationell lagstiftning införa krav på begränsande åtgärder i form av skyddsåtgärder. Däremot är det förstås inte tillåtet att i nationell rätt

En ny lag om behandling av personuppgifter SOU 2018:52

152

föreskriva att myndigheten får göra eller slipper göra något annat än när detta är tillåtet enligt dataskyddsförordningen.

Det är också tillåtet att i viss utsträckning införliva dataskyddsförordningens bestämmelser i nationell rätt. Av skäl 8 till dataskyddsförordningen framgår att om dataskyddsförordningen föreskriver förtydliganden eller begränsningar av bestämmelserna i dataskyddsförordningen genom den nationella rätten kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av dataskyddsförordningen i nationell rätt. I betänkandet föreslås några bestämmelser som anger vad som är tillåten behandling enligt den direkt tillämpliga dataskyddsförordningen. Bestämmelserna är enligt utredningens mening sådana förtydligande bestämmelser som är förenliga med EU-rätten, med beaktande av skäl 8 till dataskyddsförordningen.

9.3 Lagens tillämpningsområde

Utredningens förslag: Lagen ska gälla vid behandling av per-

sonuppgifter i verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv.

Lagen ska endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

I vissa delar ska lagen även gälla uppgifter om avlidna personer.

9.3.1 Verksamhet som bör omfattas av lagen

Tillämpningsområdet för den nya lagen bör utgå från Myndigheten för vård- och omsorgsanalys huvudsakliga uppdrag såsom det är formulerat i 1 § förordningen med instruktion för Myndigheten för vård- och omsorgsanalys (2010:1385). Utredningen föreslår därför att lagen ska vara tillämplig i den del av myndighetens verksamhet som består i att följa upp och analysera verksamheter och förhållanden

SOU 2018:52 En ny lag om behandling av personuppgifter

153

inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Tillämpningsområdet kommer på så sätt att omfatta hela myndighetens uppdrag inklusive hur detta preciseras i 2 och 3 §§ i myndighetens instruktion.

Myndigheten behandlar också personuppgifter i den interna administrationen vid hantering av exempelvis personal- och lokalfrågor och ekonomiadministration. Behandlingen av personuppgifter i den administrativa verksamheten har inte någon närmare koppling till fullgörandet av de arbetsuppgifter som myndigheten är ålagd att göra inom ramen för dess kärnverksamhet. Den behandling av personuppgifter som sker inom den administrativa verksamheten skiljer sig inte heller nämnvärt från den behandling som utförs av andra myndigheter eller enskilda företag och föranleder därför inte något behov av särreglering. Myndighetens behandling av personuppgifter inom den administrativa verksamheten bör därför inte omfattas av den nya lagen. I stället ska, förutom dataskyddsförordningen, dataskyddslagen tillämpas inom den verksamheten.

9.3.2 Automatiserad behandling och manuella register

Den nya lagen bör omfatta helt eller delvis automatiserad behandling av personuppgifter och annan behandling om uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (register). Tillämpningsområdet ansluter därmed till dataskyddsförordningens, dataskyddslagens och flertalet andra registerförfattningars tillämpningsområde. Manuell behandling av personuppgifter som inte ingår i en uppgiftssamling som är strukturerad för sökning eller sammanställning, såsom minnesanteckningar från intervjuer som enbart förs på papper, kommer således inte att omfattas av den nya lagen.

9.3.3 Uppgifter om avlidna personer

Dataskyddsförordningen är inte tillämplig på uppgifter om avlidna personer. Medlemsstaterna är dock oförhindrade att låta nationell lagstiftning som kompletterar dataskyddsförordningen ha ett vidare eller snävare tillämpningsområde än dataskyddsförordningen. Att

En ny lag om behandling av personuppgifter SOU 2018:52

154

medlemsstaterna får fastställa bestämmelser för behandlingen av personuppgifter om avlidna personer framgår dessutom av skäl 27 till dataskyddsförordningen.

Myndigheten för vård- och omsorgsanalys har behov av att behandla bl.a. uppgifter om livslängd i förhållande till olika diagnoser. Om uppgifterna om avslutad livslängd kan hänföras till enskilda, är uppgifterna sådana som avser avlidna personer. Regeringen har i förarbetena till patientdatalagen (2008:355) konstaterat att det i hälso- och sjukvårdens verksamhet förekommer en mängd uppgifter om avlidna patienter samt att dessa uppgifter kan vara integritetskänsliga.1 Sådana uppgifter omfattas därför av patientdatalagens bestämmelser om behandling av personuppgifter i tillämpliga delar, t.ex. när det gäller för vilka ändamål uppgifter om avlidna får användas eller när det gäller vilken elektronisk åtkomst som får förekomma till uppgifter om avlidna. Tillämpningsområdet har även för vissa andra registerförfattningar utsträckts till att gälla behandling av uppgifter om avlidna personer.2 Däremot omfattas avlidna personer inte av tillämpningsområdet för lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

Eftersom Myndigheten för vård- och omsorgsanalys till stor del hanterar uppgifter som kommer från vården, finns det skäl att göra samma bedömning som regeringen har gjort i förhållande till patientuppgifter. Myndigheten för vård- och omsorgsanalys hanterar dessutom till övervägande del uppgifter som inte är direkt hänförliga till en enskild och har därmed svårt att, om inte uppgiften i sig indikerar att personen avlidit, särskilja uppgifter om avlidna från uppgifter om levande personer. Att låta samtliga uppgifter om personer omfattas av samma regler framstår därför även som praktiskt motiverat.

Det kan dock inte anses motiverat att kravet på prövning och godkännande av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt av ett annat särskilt organ för prövning av etiska frågor, även ska gälla projekt med enbart uppgifter om avlidna. Kravet på etikprövning för forskningsprojekt enligt etikprövningslagen omfattar endast projekt med uppgifter om levande personer. Däremot kommer naturligtvis uppgifter om avlidna

1Prop. 2007/08:126 s. 52. 2 Se t.ex. lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och 114 kap. socialförsäkringsbalken.

SOU 2018:52 En ny lag om behandling av personuppgifter

155

att inkluderas i prövningen om projektet även medför behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser om levande personer.

9.4 Förhållandet till annan reglering

Utredningens förslag: Lagen ska innehålla en upplysning om att

den kompletterar dataskyddsförordningen.

Dataskyddslagen ska gälla, om inte annat följer av lagen eller föreskrifter som har meddelats med stöd av den.

Vid forskning ska lagen (2003:460) om etikprövning av forskning som avser människor gälla.

9.4.1 Dataskyddsförordningen

Dataskyddsförordningen är direkt tillämplig och har företräde framför nationell lagstiftning. Den nya lagen om behandling av personuppgifter i Myndigheten för vård- och omsorgsanalys verksamhet kommer därför endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen, när det är tillåtet. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör den föreslagna lagen innehålla en bestämmelse som upplyser om att dataskyddsförordningen gäller. Bestämmelser bör formuleras på samma sätt som i andra registerlagar inom Socialdepartementets verksamhetsområde som har anpassats till dataskyddsförordningen.3

Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. Lagrådet har uttalat att en konsekvensanalys bör göras vid valet av hänvisningsteknik och redovisas för var och en av de hänvisningar som görs.4 Eftersom dataskyddsförordningen är direkt tillämplig och syftet med hänvisningen i det här

En ny lag om behandling av personuppgifter SOU 2018:52

156

fallet endast är att upplysa om att dataskyddsförordningen gäller, framstår det som mest lämpligt att hänvisningen dit görs dynamisk.

Att dataskyddsförordningen är direkt tillämplig innebär alltså att Myndigheten för vård- och omsorgsanalys, förutom bestämmelserna i den nya lagen, även ska tillämpa dataskyddsförordningens bestämmelser. En redogörelse för huvuddragen i dataskyddsförordningen finns i avsnitt 3.4. Som exempel på bestämmelser som ska tillämpas kan nämnas bestämmelserna om de grundläggande principerna för behandling av personuppgifter, den registrerades rättigheter samt den personuppgiftsansvariges skyldigheter att vidta säkerhetsåtgärder och göra konsekvensbedömningar före behandlingar som kan innebära en hög integritetsrisk.

9.4.2 Dataskyddslagen

Av 1 kap. 6 § dataskyddslagen följer att om en annan lag eller förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från dataskyddslagen ska den bestämmelsen tillämpas. Dataskyddslagen är alltså subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter. De flesta registerförfattningar var, när personuppgiftslagen gällde, konstruerade så att de endast kompletterade eller ersatte personuppgiftslagen i frågor som var specifika för de verksamheter som omfattades av särregleringen. Sedan dataskyddsförordningen började tillämpas kompletterar eller gäller sådana registerförfattningar i stället för dataskyddslagen. Detta innebär att den personuppgiftsansvarige, utöver dataskyddsförordningen, måste beakta såväl den särskilda registerförfattningen som den generella nationella regleringen i dataskyddslagen. Alternativet var tidigare att heltäckande reglera all behandling av personuppgifter i en viss verksamhet i registerförfattningen. Så skedde också undantagsvis på det område som nu omfattas av dataskyddsförordningen, bl.a. i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, som innehöll hänvisningar till de bestämmelser i personuppgiftslagen som skulle gälla. I samband med anpassningen till dataskyddsförordningen frångicks den lagstiftningstekniken och numera anges att registerförfattningen kompletterar dataskyddsförordningen och

SOU 2018:52 En ny lag om behandling av personuppgifter

157

att dataskyddslagen gäller om inte annat följer av registerförfattningen eller anknytande föreskrifter.5

Inom Socialdepartementets verksamhetsområde var registerförfattningarna tidigare konstruerade så att de gällde utöver personuppgiftslagen och bara innehöll de särbestämmelser som ansågs nödvändiga på det aktuella området. Utredningen föreslog i det första betänkandet att författningarna, när dataskyddsförordningen hade börjat tillämpas, skulle gälla utöver dataskyddslagen. I den efterföljande propositionen anförs att den regleringstekniken, dvs. att registerförfattningen gäller utöver den generella nationella regleringen av behandling av personuppgifter, kan och bör behållas.6 Eftersom dataskyddslagen som nämnts är subsidiär, behövs ingen materiell bestämmelse för att uppnå detta. Registerförfattningarna innehåller dock ändå ofta en bestämmelse om förhållandet till den generella lagen. Normalt är det en upplysning om att den generella lagen gäller om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till författningen. I linje med de bedömningar som gjorts när sådana bestämmelser införts, är det enligt propositionen lämpligt att uttryckligen upplysa om att registerförfattningen kompletterar dataskyddsförordningen och att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den. Registerförfattningarna bör därför, enligt propositionen, innehålla en sådan upplysning.

Den nya lagen bör endast reglera frågor som är specifika för den verksamhet som bedrivs av Myndigheten för vård- och omsorgsanalys. De särregler som behövs i förhållande till den generella regleringen är förhållandevis få. Registerlagen bör endast innehålla de från ett ändamåls- eller integritetsskyddsperspektiv viktigaste särbestämmelserna i förhållande till dataskyddsförordningens och dataskyddslagens bestämmelser. Utredningen gör därför bedömningen att det är lämpligt att låta även den nya lagen gälla utöver dataskyddslagen. Alternativet, att i registerlagen heltäckande reglera vilka bestämmelser i dataskyddslagen och anknytande föreskrifter som ska gälla, kan möjligen passa för verksamheter där det behövs ett stort antal undantag och särregler i förhållande till den generella

En ny lag om behandling av personuppgifter SOU 2018:52

158

regleringen. Ett sådant sätt att reglera framstår dessutom som mindre lämpligt mot bakgrund av att även bestämmelserna i den direkt tillämpliga dataskyddsförordningen ska tillämpas.

Eftersom dataskyddslagen är subsidiär, behövs ingen materiell bestämmelse för att den nya lagen ska gälla utöver dataskyddslagen. Av tydlighetsskäl innehåller dock flertalet registerförfattningar en bestämmelse om förhållandet till den generella regleringen. Utredningen föreslår därför en bestämmelse som innebär att dataskyddslagen gäller vid behandling av personuppgifter enligt den föreslagna lagen, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats med stöd av den. När dataskyddslagen är tillämplig, är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Det innebär att eventuella förordningsbestämmelser om undantag från dataskyddslagens tillämplighet gäller.

Bestämmelsen om förhållandet till dataskyddslagen bör formuleras som i andra registerlagar inom Socialdepartementets verksamhetsområde som har anpassats till dataskyddsförordningen.7

9.4.3 Etikprövningslagen

Lagen om etikprövning av forskning som avser människor, etikprövningslagen, innehåller bestämmelser om etikprövning av forskning som avser människor. I dag ska lagen tillämpas bl.a. på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen. Lagen ska dock enligt ett remitterat utkast till lagrådsremiss anpassas till dataskyddsförordningen och från och med 2019 tillämpas bl.a. på forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt

SOU 2018:52 En ny lag om behandling av personuppgifter

159

identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Av dessa kategorier av uppgifter är genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning nya i förhållande till vad som gällde innan dataskyddsförordningen började tillämpas. När det gäller uppgifter om lagöverträdelser föreslås inte någon ändring beträffande vilka uppgifter som ska omfattas.8

Med forskning avses enligt 2 § etikprövningslagen vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund.9 Forskning som omfattas av etikprövningslagens tillämpningsområde får enligt 6 § utföras bara om den godkänts vid en etikprövning.

Myndigheten för vård- och omsorgsanalys bedömer att dess verksamhet, trots många likheter med forskning, i dag inte utgör någon forskning (se avsnitt 4.3). Utredningens förslag i kapitel 10–12 om att det för viss behandling av personuppgifter i analysverksamheten ska krävas en prövning och godkännande av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt av ett annat särskilt organ för prövning av etiska frågor avser således inte sådan verksamhet som utgör forskning. Om myndigheten i något fall ändå skulle bedriva forskning, bör den lyda under samma regler som all annan forskning när det gäller behandling av personuppgifter och inte under den av utredningen föreslagna specialregleringen. En bestämmelse som förtydligar att etikprövningslagen ska tillämpas vid forskning bör därför införas. Med forskning av ses detsamma som enligt etikprövningslagen.

8 Utkast till lagrådsremiss dnr U2018/01639/F s. 73 och 87 f. 9 Förslag på ny definition av begreppet forskning har lämnats i SOU 2017:104.

161

10 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

10.1 Det behövs en prövning i varje enskilt fall vid riskfyllda behandlingar

Utredningens bedömning: Det behövs en prövning i varje en-

skilt fall av en extern oberoende instans för att Myndigheten för vård- och omsorgsanalys ska få utföra särskilt riskfyllda behandlingar.

Problemet vid reglering av behandling av personuppgifter vid myndigheter som har i uppdrag att göra analyser, uppföljningar eller tillsyn (eller bedriva spaning), som kräver behandling av personuppgifter, är att dessa myndigheter som regel behöver behandla allehanda personuppgifter för vitt skilda konkreta ändamål som i praktiken inte låter sig sammanfattas på förhand i lagstiftning på ett sådant sätt att behandlingen kan begränsas. Så är fallet när det gäller Myndigheten för vård- och omsorgsanalys behov av behandling av personuppgifter. En ändamålsbestämmelse i lag med förutsättningar för att behandling ska få ske skulle därför behöva vara så allmänt hållen att man, enligt utredningens bedömning, inte gärna kan överlåta åt myndigheten att själv tillämpa den i de fall det gäller mer integritetskänslig behandling av personuppgifter.

Motsvarande problem med att på förhand fastställa tillräckligt konkreta förutsättningar för behandling av personuppgifter finns vid forskning, som ju kan avse vad som helst och kräva vilka personuppgifter som helst. Myndigheten för vård- och omsorgsanalys

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

162

konkretiserar i sin verksamhet med uppföljning och analys frågeställningarna på motsvarande sätt som vid forskning och använder samma metoder som vid forskning för att besvara dessa.

Vid forskning är problemet, när det gäller känsliga personuppgifter och uppgifter om lagöverträdelser, numera löst genom systemet med etikprövning som innebär att en extern instans med expertkompetens enligt ganska konkreta avvägningsnormer i varje enskilt fall bedömer om integritetsintrånget är försvarligt med hänsyn till intresset av behandlingen.

datalagens tid löstes problemet genom att det krävdes tillstånd av Datainspektionen för att få föra ett forskningsregister och att inspektionen kunde förena tillståndet med skräddarsydda villkor. När personuppgiftslagen infördes 1998 avskaffades tillståndssystemet för nya behandlingar. Behandling av känsliga personuppgifter för forskningsändamål var enligt den ursprungliga lydelsen av personuppgiftslagen tillåten med samtycke eller efter en kvalificerad intresseavvägning.1 Behandlingen var tillåten om den var nödvändig och om samhällsintresset av det forskningsprojekt där behandlingen ingick klart vägde över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kunde innebära. Det betonades att det behövde göras en prövning i varje enskilt fall och att den som regel skulle göras av någon oberoende instans. Därför infördes också en bestämmelse om att förutsättningarna enligt den kvalificerade intresseavvägningen skulle anses uppfyllda om behandlingen hade godkänts av en forskningsetisk kommitté. Med forskningsetisk kommitté avsågs ett sådant särskilt organ för prövning av forskningsetiska frågor som hade företrädare för såväl det allmänna som forskningen och som var knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierade forskning.

Genom införandet 2004 av etikprövningslagen avskaffades möjligheten för den personuppgiftsansvarige att själv avgöra om och under vilka förutsättningar behandling utan samtycke av känsliga personuppgifter (och uppgifter om lagöverträdelser) för forskningsändamål var tillåten. Den prövningen anförtroddes åt de då nyinrättade oberoende etikprövningsnämnderna, med en person med domarkompetens som ordförande och i övrigt ledamöter med vetenskaplig

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

163

kompetens och ledamöter som företräder allmänna intressen. I etikprövningslagen infördes också mer precisa bestämmelser om hur prövningen och den kvalificerade intresseavvägningen skulle gå till. Sedan 2008 ska också forskning som sker med samtycke prövas av etikprövningsnämnd.

Myndigheten för vård- och omsorgsanalys har behov av att behandla vissa känsliga personuppgifter, uppgifter om lagöverträdelser och att i vissa fall behandla personuppgifter i sådan omfattning att det, med hänsyn till den stora mängden personuppgifter, uppgifternas integritetskänsliga karaktär och behovet av att koppla samman uppgifterna, innebär en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen (särskilt riskfyllda behandlingar). Det är utredningens slutsats att det bästa sättet att tillfredsställande reglera när Myndigheten för vård- och omsorgsanalys ska få utföra särskilt riskfyllda behandlingar är att föreskriva att det i varje enskilt fall ska göras en bedömning av en oberoende och kompetent instans. I kapitel 11–13 redogörs närmare för vilka särskilt riskfyllda behandlingar som Myndigheten för vård- och omsorgsanalys behöver utföra och som bör prövas av en oberoende och kompetent instans.

En del av de analyser Myndigheten för vård- och omsorgsanalys utför sker till följd av uttryckliga uppdrag från regeringen. Om analysprojekten underställs en extern prövning av ett annat organ innebär det en risk för att myndigheten, om ett godkännande inte lämnas, inte kan utföra uppdraget. Lämpligheten i en sådan konstruktion kan därför diskuteras. Det är dock bara den metod för uppdragets utförande som varit underställd prövningen som inte kan användas om ett godkännande inte lämnas. I många fall kommer myndigheten att kunna anpassa uppläggningen av projektet på ett sätt som gör att regeringsuppdraget ändå kan utföras, exempelvis genom att den del som innefattar särskilt känslig behandling av personuppgifter utgår eller justeras.

Forskningsdatautredningen har övervägt om kravet på etikprövning i etikprövningslagen bör utvidgas till att gälla all behandling av personuppgifter för forskningsändamål i stället för att som i dag endast omfatta behandling av känsliga personuppgifter och uppgifter om lagöverträdelser. En sådan utvidgning skulle innebära att

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

164

även behandling av personuppgifter som inte innebär någon integritetsmässig risk skulle omfattas av kravet på etikprövning. Vid behandling av personuppgifter som inte innebär risk för kränkning av den personliga integriteten finns det dock enligt Forskningsdatautredningen inte något behov av etikprövning. En utvidgning av etikprövningslagens tillämpningsområde till att omfatta all behandling av personuppgifter för forskningsändamål skulle därför, enligt Forskningsdatautredningen, undergräva syftet med etikprövningslagen och riskera att urholka förtroendet för systemet. Forskningsdatautredningen har av den anledningen gjort bedömningen att tillämpningsområdet för etikprövningslagen inte bör omfatta all behandling av personuppgifter för forskningsändamål.2 I ett remitterat utkast till lagrådsremiss om behandling av personuppgifter för forskningsändamål görs samma bedömning.3

Mot denna bakgrund anser utredningen att det inte är lämpligt att införa ett krav på en extern prövning av alla myndighetens projekt. Detta kan inte heller anses nödvändigt av integritetsskyddsskäl eller annars.

10.2 Någon extern prövning behövs inte vid samtycke

Utredningens förslag: Behandling av personuppgifter med stöd

av den registrerades samtycke ska inte omfattas av kravet på prövning av en extern instans.

Etikprövningslagen är i dag som nämnts tillämplig på forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser även om behandlingen sker med den registrerades samtycke. Utredningen har därför övervägt om det bör uppställas ett krav på extern prövning också för sådana projekt i vilka myndigheten behandlar personuppgifter med stöd av samtycke.

Som anges i avsnitt 7.2.2 har Myndigheten för vård- och omsorgsanalys i många fall möjlighet att behandla känsliga personuppgifter med stöd av bestämmelsen om uttryckligt samtycke i artikel 9.2 a i dataskyddsförordningen. Vid enkätundersökningar som riktar sig till ett slumpmässigt urval av befolkningen kan myndigheten tillfråga

2SOU 2017:50 s. 346 ff. 3 Utkast till lagrådsremiss U2018/01639/F s. 71 f.

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

165

personerna om de vill delta i en viss studie och om de samtycker till behandling av känsliga personuppgifter. Samma sak gäller vid användning av patientpaneler som finns hos undersökningsföretag, där patienterna på förhand samtyckt till att personuppgifterna behandlas i syfte att kontakta dem om olika enkäter. I dessa situationer har den registrerade möjlighet att aktivt ta ställning till frågan om dennes känsliga personuppgifter ska få behandlas av myndigheten. Den registrerade kan då själv göra en bedömning av hur känsliga de efterfrågade uppgifterna är och vilka integritetsrisker behandlingen av personuppgifterna medför. Behandling som grundas på den registrerades uttryckliga samtycke innebär därför som regel inte samma integritetsintrång som behandling som sker utan att den registrerade tillfrågas.

Det har inte framkommit att de studier som i dag sker med stöd av den registrerades samtycke medför sådana integritetsrisker att det är nödvändigt med en extern prövning. Den oberoende prövningen kan i dessa fall sägas ske genom den enskildes egna överväganden. Behandling av personuppgifter som sker med samtycke omfattas inte heller av skyddet mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen.4 Behandling av personuppgifter som sker med stöd av den registrerades samtycke bör därför inte omfattas av ett krav på extern prövning. Är det fråga om behandling av känsliga personuppgifter, krävs enligt artikel 9.2 a i dataskyddsförordningen att samtycket är uttryckligt. Som anges i avsnitt 7.1.2 måste myndigheten i varje enskilt fall ta ställning till om det är möjligt att grunda en behandling på samtycke.

I sammanhanget bör noteras att sådan behandling av personuppgifter som sker i syfte att ta fram kontaktuppgifter till personer med t.ex. en viss hälsoegenskap, såsom personer med en viss diagnos, för att kunna tillfråga dem om samtycke till behandling av känsliga personuppgifter inte kan ske med uttryckligt samtycke. Eftersom kontaktuppgifterna i ett sådant fall avser personer med viss hälsoegenskap, utgör redan behandlingen av kontaktuppgifterna en behandling av känsliga personuppgifter, som inte kan ske med uttryckligt samtycke. Det innebär att projekt som förutsätter att personer med sådana egenskaper som är känsliga personuppgifter eller uppgifter om lagöverträdelser söks fram måste genomgå en extern

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

166

prövning, även om behandlingen av personuppgifter för själva analysen eller uppföljningen avses ske med uttryckligt samtycke.

10.3 Vilken oberoende instans ska göra prövningen?

10.3.1 Inledning

Det är en etisk prövning som behöver göras där det bedöms om det i det enskilda fallet är försvarligt att utsätta människor för den aktuella behandlingen. Därför bör den instans som gör prövningen helst ha vana att göra etiska bedömningar.

Prövningen bör förstås ske sakligt och opartiskt och det är en fördel om instansen har tillgång till kompetens i fråga om ärendehandläggning. Därför bör den prövande instansen vara eller ingå i en myndighet, som vid fullgörandet av offentliga förvaltningsuppgifter ska iaktta saklighet och opartiskhet (1 kap. 9 § regeringsformen). Med hänsyn till att Myndigheten för vård- och omsorgsanalys är en statlig myndighet med ett rikstäckande uppdrag bör bara statliga myndigheter komma i fråga.

Det är samhällets intresse och behov av den kunskap som det aktuella analysprojektet kan ge som kan motivera integritetsintrånget; i nästa avsnitt redogörs närmare för den avvägningsnorm som bör tillämpas. Därför bör personer som företräder det allmänna ingå i den instans som gör prövningen. Till exempel riksdagsledamöter eller andra ledande företrädare för riksdagspartier är väl skickade att bedöma samhällets intresse och behov. De har också goda förutsättningar att bedöma hur stort ett visst integritetsintrång kan sägas vara.

Det kan inte vara försvarligt att göra ett integritetsintrång för att få fram viss kunskap som samhället i och för sig har behov av, om den kunskapen redan finns eller om den kan tas fram utan eller med ett mindre integritetsintrång. Därför bör personer med vetenskaplig kompetens också ingå i den instans som gör prövningen. Dugliga forskare på det aktuella området har en kunskapsöverblick och goda förutsättningar för att bedöma vilka metoder som finns för att få fram kunskap.

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

167

10.3.2 Etikprövningsmyndigheten är den naturliga instansen

Utredningens förslag: Etikprövningsmyndigheten, eller Överklag-

andenämnden för etikprövning, ska göra den externa prövningen av de projekt som bedrivs av Myndigheten för vård- och omsorgsanalys.

I dag finns det regionala etikprövningsnämnder och en central nämnd för etikprövning som har till arbetsuppgift att pröva ansökningar om etikprövning enligt etikprövningslagen. Etikprövningslagen innehåller bestämmelser om etikprövning av forskning som avser människor. Syftet med lagen är att skydda den enskilda människan och respekten för människovärdet vid forskning. Med forskning avses enligt 2 § etikprövningslagen vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund.5

Etikprövningslagen ska enligt ett utkast till lagrådsremiss från och med 2019 tillämpas på bl.a. forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 §).6 Även behandling som sker med den registrerades samtycke omfattas numera av etikprövningslagens tillämpningsområde.7

Forskning får enligt 6 § utföras bara om den godkänts vid en etikprövning. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser bara om behandlingen har godkänts vid etikprövningen.

Utgångspunkterna för etikprövningen regleras i 7–11 §§ etikprövningslagen. Av bestämmelserna följer bl.a. att etikprövningsnämnden vid sin prövning ska göra en intresseavvägning där riskerna för den personliga integriteten vägs mot forskningens vetenskapliga värde.

5 I SOU 2017:104 föreslås att definitionen av begreppet forskning ska ändras. 6 Utkast till lagrådsremiss U2018/01639/F s.10. 7Prop. 2007/08:44 s. 21 ff.

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

168

I etikprövningslagen regleras även etikprövningsnämndernas verksamhet och sammansättning. Från och med 2019 ändras organisationen.8 De regionala etikprövningsnämnderna ersätts av Etikprövningsmyndigheten och den centrala nämnden för etikprövning döps om till Överklagandenämnden för etikprövning. Etikprövningsmyndigheten ska vara indelad i verksamhetsregioner (25 § etikprövningslagen). Varje verksamhetsregion ska ha en eller flera avdelningar. En avdelning ska pröva ärenden inom vissa forskningsområden. Avdelningen ska bestå av en ordförande och femton övriga ledamöter, varav tio ska ha vetenskaplig kompetens och fem företräda allmänna intressen. Ordföranden och ersättare för ordföranden ska vara eller ha varit ordinarie domare.

Etikprövningmyndighetens beslut överklagas till Överklagandenämnden för etikprövning. Vidare kan en avdelning inom Etikprövningsmyndigheten som är oenig om utgången av etikprövningen lämna över ärendet för avgörande till Överklagandenämnden för etikprövning (29 § etikprövningslagen). Överklagandenämnden för etikprövning har också till uppgift att utöva tillsyn och att pröva vissa frågor i samband med inrättande av biobanker enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. Överklagandenämnden för etikprövning ska bestå av en ordförande, som ska vara eller ha varit ordinarie domare, och sex övriga ledamöter. Av de övriga ledamöterna ska fyra ha vetenskaplig kompetens och två företräda allmänna intressen.

Eftersom ändringarna av etikprövningsorganisationen kommer att gälla vid den tidpunkt som utredningens förslag föreslås träda i kraft, formulerar utredningen sina förslag med utgångspunkt i den nya etikprövningsorganisationen.

Myndigheten för vård- och omsorgsanalys har till uppgift att ur ett patient-, brukar-, och medborgarperspektiv följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. Myndigheten har inget uttryckligt uppdrag att bedriva forskning och anser inte att dess verksamhet i dag utgör forskning i etikprövningslagens mening. Det analysarbete som myndigheten ägnar sig åt har dock stora likheter med forskning. I analysarbetet tillämpas vetenskapliga principer och metoder. Som en del i detta använder myndigheten statistiska metoder. Det kan även konstateras att merparten av myndighetens anställda är disputerade

8 SFS 2018:147 och prop. 2017/18:45.

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

169

forskare och att myndigheten anlitar externa forskare som bedriver forskning på myndighetens uppdrag. När myndigheten ger i uppdrag åt externa forskare att genomföra vissa analyser där känsliga personuppgifter ingår ansöker forskaren om etikprövning enligt etikprövningslagen. Myndighetens analyser medför motsvarande risker för den personliga integriteten som forskning. Myndighetens analysprojekt verkar därför i och för sig lämpa sig för den avvägning som görs av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning vid en etikprövning enligt etikprövningslagen.

Den etablerade etikprövningsorganisationen har redan stor vana av och organisation för att hantera ansökningar om etikprövning av projekt och skulle tillämpa samma formella och materiella bestämmelser på myndighetens ansökningar som på ansökningar som gäller forskningsprojekt (se avsnitt 10.4.1). Etikprövningsmyndighetens och Överklagandenämnden för etikprövnings sammansättning och ledamöternas kompetens är reglerad i lag. I organen ingår såväl företrädare för det allmänna som forskningen. Regleringen av ledamöternas kompetens uppfyller alltså de krav på vilka företrädare utredningen bedömer att den instans som ska göra prövningen av myndighetens projekt bör ha. Sammansättningen gör att organen har goda förutsättningar att bedöma det samhälleliga intresset av den kunskap som myndighetens projekt kan förväntas resultera i och på samma sätt som görs vid forskningsprojekt väga detta mot motstående intressen.

En farhåga som lyfts under utredningsarbetet är att det skulle kunna tolkas som att det analys- och uppföljningsarbete som Myndigheten för vård- och omsorgsanalys ägnar sig åt utgör forskning, om projekten etikprövas av etikprövningsorganisationen för forskning. Etikprövningsmyndighetens och Överklagandenämndens prövning kommer dock inte att ske på grund av bestämmelserna om forskning i etikprövningslagen utan till följd av regleringen i den föreslagna lagen om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. Även om Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt den föreslagna lagen ges i uppdrag att pröva projekt som bedrivs vid myndigheten kommer det inte att innebära att myndighetens verksamhet blir forskningsprojekt. Skulle projektet i själva verket avse forskning, är etikprövningslagen och inte den föreslagna lagen tillämplig (se avsnitt 9.4.3). Förslaget innebär i stället att prövningen av ytterligare

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

170

en typ av projekt ansluts till Etikprövningsmyndighetens och Överklagandenämnden för etikprövnings uppdrag, på liknande sätt som gjorts när det gäller prövningen av inrättandet av vissa biobanker enligt lagen om biobanker i hälso- och sjukvården m.m. För att det inte ska uppstå några missförstånd är det lämpligt att Etikprövningsmyndighetens och Överklagandenämnden för etikprövningens beslut avseende myndighetens projekt formuleras på ett sådant sätt att det tydligt framgår att prövningen skett på grund av den föreslagna lagen och inte på grund av att projektet innebär forskning. Några bestämmelser om hur etikprövningsorganens beslut bör utformas kan dock inte anses nödvändiga utan detta bör organen som hittills få bestämma.

Utredningens förslag i kapitel 10–12 innebär att avgränsningen av vilka av de projekt som bedrivs av Myndigheten för vård- och omsorgsanalys som ska omfattas av prövningen skiljer sig något från vad som gäller för de forskningsprojekt som Etikprövningsmyndigheten och Överklagandenämnden för etikprövning prövar.

Analysprojekt som bedrivs av myndigheten som innefattar behandling av personuppgifter med stöd av samtycke ska enligt förslaget, till skillnad från vad som gäller för forskningsprojekt, inte falla under Etikprövningsmyndighetens och Överklagandenämnden för etikprövnings prövning. Utredningen har i avsnitt 10.2 övervägt om det i den föreslagna lagen bör uppställas ett krav på särskild prövning även för sådana projekt i vilka myndigheten behandlar personuppgifter med stöd av samtycke. Eftersom det inte har framkommit att de studier som i dag sker med stöd av den registrerades samtycke medför sådana integritetsrisker att det är nödvändigt med en prövning ur etiskt hänseende, lägger utredningen dock inte fram ett sådant förslag.

En annan skillnad är att projekt, som innefattar behandling av bara andra personuppgifter än känsliga personuppgifter eller uppgifter om lagöverträdelser, men som innebär en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen enligt förslaget ska omfattas av Etikprövningsmyndighetens och Överklagandenämnden för etikprövnings prövning (kapitel 13), något som inte är fallet när det gäller forskningsprojekt. Eftersom etikprövningen ska göras av en expertmyndighet, lär denna diskrepans inte föranleda några särskilda tillämpningssvårigheter.

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

171

Mot bakgrund av etikprövningssystemets beprövade funktion och etikprövningsorganens sammansättning, kompetens och organisation för att hantera ansökningar om etikprövning framstår Etikprövningsmyndigheten och Överklagandenämnden för etikprövning som väl lämpade för att göra den prövning av myndighetens analysprojekt som utredningen föreslår. Utredningen föreslår därför i första hand att prövningen av myndighetens projekt ska göras av Etikprövningsmyndigheten och Överklagandenämnden för etikprövning.

10.3.3 Alternativ till Etikprövningsmyndigheten och Överklagandenämnden för etikprövning

Utredningens bedömning: Mot bakgrund av att det inom utred-

ningen framförts önskemål om utredning av alternativ till extern prövning av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning, för den händelse prövning inom den etablerade etikprövningorganisationen inte skulle anses vara aktuellt, bör alternativa förslag till extern prövningsinstans lämnas.

Utredningens alternativa förslag: Ett särskilt organ för pröv-

ning av etiska frågor som har företrädare för såväl det allmänna som forskningen och som är en statlig myndighet eller är knutet till en annan statlig myndighet än Myndigheten för vård- och omsorgsanalys ska göra prövningen. Regeringen får meddela föreskrifter om det särskilda organet för prövning av etiska frågor.

Det har inom utredningen framförts önskemål om utredning av lämpliga alternativ till att Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning gör prövningen av de projekt som bedrivs av Myndigheten för vård- och omsorgsanalys, för den händelse den etablerade etikprövningsorganisationen inte skulle anses vara aktuell.

Den alternativa instansen bör i enlighet med vad utredningen konstaterat i avsnitt 10.3.1 vara en statlig myndighet eller ett organ som är knutet till en statlig myndighet. Eftersom det inte rör sig om ett särskilt stort antal ansökningar per år, är det inte motiverat att tillskapa en ny instans för denna arbetsuppgift. Prövningen bör i stället göras av ett befintligt organ som redan i dag har att pröva

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

172

etiska frågeställningar. För att prövningen ska bli så allsidig som möjligt bör organet, på motsvarande sätt som Etikprövningsmyndigheten och Överklagandenämnden för etikprövning, ha företrädare för såväl det allmänna som forskningen.

Nedan följer en redogörelse för de instanser som utredningen bedömt kunna komma i fråga som alternativ till den etablerade etikprövningsorganisationen.

Socialstyrelsen

Socialstyrelsen är förvaltningsmyndighet för verksamhet som rör hälso- och sjukvård och annan medicinsk verksamhet (1 § förordningen [2015:284] med instruktion för Socialstyrelsen). Myndigheten ansvarar också för tandvård, socialtjänst, stöd och service till vissa funktionshindrade samt frågor om alkohol och missbruksmedel. Socialstyrelsen ska bistå regeringen med underlag och expertkunskap för utvecklingen inom sitt verksamhetsområde. Av instruktionen följer att myndighetens ansvar gäller i den utsträckning en fråga inte ska handläggas av någon annan myndighet.

Socialstyrelsen har ett brett ansvar för verksamhet på vård- och omsorgsområdet. Myndigheten ska bl.a. genom kunskapsstöd och föreskrifter bidra till att hälso- och sjukvården och socialtjänsten bedrivs enligt vetenskap och beprövad erfarenhet och ansvara för kunskapsutveckling och kunskapsförmedling inom sitt verksamhetsområde (4 § i instruktionen). Socialstyrelsen ska arbeta med och ge stöd till metodutveckling inom sitt verksamhetsområde samt följa, analysera och rapportera om hälsa och hälso- och sjukvård genom statistikframställning, uppföljning, utvärdering och epidemiologiska studier. Till myndighetens uppgifter hör vidare att följa forsknings- och utvecklingsarbete av särskild betydelse inom myndighetens verksamhetsområde och verka för att sådant arbete kommer till stånd. Socialstyrelsen ska ta fram föreskrifter och allmänna råd samt pröva och utfärda legitimationer för personal inom olika yrkesgrupper, t.ex. apotekare, läkare, naprapater, psykologer och tandläkare.

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

173

Socialstyrelsen ansvarar vidare för vissa förvaltningsuppgifter i enlighet med vad som anges i lag och förordning. Socialstyrelsen ska också bl.a. ansvara för donationsregistret samt för att ta fram och utveckla statistik och register inom sitt verksamhetsområde.

Utöver denna exemplifiering har myndigheten ytterligare ansvarsområden för verksamhet inom vård- och omsorg. Inom Socialstyrelsens verksamhet finns ett antal råd med fokus på olika frågor. De råd som i sin verksamhet kan komma i kontakt med olika typer av etiska frågeställningar, och som skulle kunna komma i fråga i nu aktuellt sammanhang, beskrivs kortfattat nedan.

Socialstyrelsens råd för vissa rättsliga, sociala och medicinska frågor

Socialstyrelsens råd för vissa rättsliga, sociala och medicinska frågor, vanligen kallat rättsliga rådet, är ett självständigt organ med egen beslutsrätt. Det är administrativt knutet till Socialstyrelsen, men är fristående från Socialstyrelsens övriga verksamhet.

Av 18 § i Socialstyrelsens instruktion framgår att rättsliga rådet har till uppgift att avgöra vissa särskilt angivna ärenden. Rådet ska avgöra rättsmedicinska ärenden, ärenden om fastställelse av könstillhörighet eller tillstånd till ingrepp i könsorgan enligt lagen (1972:119) om fastställande av könstillhörighet i vissa fall, tillstånd till sterilisering eller kastrering, tillstånd till ingående av äktenskap, tillstånd till abort och tillstånd till avbrytande av havandeskap enligt 6 § abortlagen (1974:595), tillstånd till insemination och till befruktning utanför kroppen som vägrats i enlighet med 7 kap. 5 § lagen (2006:351) om genetisk integritet m.m. samt ärenden om utlåtande om en persons hälsotillstånd i samband med prövning av en persons lämplighet att ta emot ett barn med hemvist utomlands i syfte att adoptera det. I andra typer av ärenden ska rättsliga rådet avge utlåtande på begäran av en domstol eller en annan myndighet. Det gäller främst allmänmedicinska och rättsmedicinska samt rättspsykiatriska och psykiatriska frågor. Rådet ska exempelvis yttra sig över en sådan utredning med ett utlåtande om risk för återfall i brottslighet som avses i 10 § lagen (2006:45) om omvandling av fängelse på livstid. I rådets uppdrag ingår också att avgöra andra ärenden i vilka Socialstyrelsen på begäran av en domstol, en åklagarmyndighet eller Polismyndigheten ska avge utlåtande om någons hälsotillstånd.

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

174

Socialstyrelsen har med stöd av instruktionen beslutat att rättsliga rådet även ska handlägga vissa andra ärenden, t.ex. ärenden avseende förlängd tid för förvaring av fryst ägg enligt 5 kap. 6 § lagen (2006:351) om genetisk integritet m.m.

Ordföranden i rådet och dennes två ställföreträdare ska ha erfarenhet som lagfaren domare. Rådet består därutöver, beroende av vad ärendet gäller, av läkare, rättsläkare, läkare med specialistkompetens i obstetrik och gynekologi respektive rättspsykiatri, beteendevetare och lekmän, som utses på förslag av riksdagspartierna. I ärenden om adoption av utländskt barn ingår även ledamot som är anställd hos Socialstyrelsen.9

Ordföranden och ledamöterna i rådet utses av generaldirektören. Rådets sammansättning i olika typer av ärenden bestäms i handläggnings- och beslutsordningen för rättsavdelningen, efter samråd med generaldirektören och i samråd med rådets ordförande. I rättsmedicinska och allmänmedicinska ärenden ska rådet exempelvis bestå av ordföranden och två läkare, varav en är föredragande, samt en lekman.10 Ordföranden får adjungera annan som ledamot att delta i visst ärende. Vidare får utlåtande av ledamot i Socialstyrelsens vetenskapliga råd eller av annan expert inhämtas efter beslut vid sammanträde eller efter beslut av ordföranden.

Socialstyrelsens råd för etiska frågor

Socialstyrelsens råd för etiska frågor är ett internt rådgivande organ. Rådet består för närvarande av nio ledamöter, de flesta med akademisk bakgrund. Generaldirektören är ordförande i rådet. Det finns ingen formell nomineringsprocess, utan nya ledamöter utses av generaldirektören, efter förslag från rådet, universiteten, Statens medicinsk-etiska råd och andra organisationer.

Rådet för etiska frågor tar upp frågor som väcks inom Socialstyrelsens verksamhet, men kan även ta upp frågor på eget initiativ. Rådets uppgift är bl.a. att verka för att frågor som kan vara integritetskänsliga eller påverka respekten för människovärdet blir analyserade och bedömda. Rådet har ingen beslutande funktion, utan ska fungera som ett stöd inom myndigheten för att identifiera och

9 4 kap. 5 a § arbetsordningen för Socialstyrelsen, 2017-12-07, dnr. 10.5 – 371/2017. 10 Handläggnings- och beslutsordning för rättsavdelningen, 2017-01-09, dnr 1.6 – 94/2017.

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

175

analysera etiska frågeställningar som kan uppkomma i verksamheten. Frågorna diskuteras muntligen, ur ett teoretiskt etiskt perspektiv, tillsammans med den som tagit upp frågan för behandling. Diskussionen resulterar inte i något skriftligt beslut eller någon slutsats. Målet är i stället att de argument som förs fram under diskussionen ska kunna användas som vägledning i det praktiska arbetet för handläggare och utredare på myndigheten.

Under 2017 tog rådet t.ex., i samband med att Socialstyrelsen fick i uppdrag att följa upp konsekvenserna av ändringar i lagen om utbyte av sprutor och kanyler, upp frågan om vilka etiska aspekter som bör beaktas vid utvecklingen av en systematisk och samordnad uppföljning av dessa verksamheter. Ett annat exempel rör Socialstyrelsens uppdrag att genomföra en nationell kartläggning av hedersrelaterat våld. Inför starten av detta uppdrag lyftes frågorna hur ämnet ska benämnas och hanteras i uppdraget och hur de etiska aspekterna ska beaktas vid datainsamling och analys.

Vetenskapsrådets expertgrupp för etik

Vetenskapsrådet är en statlig myndighet som har ett nationellt ansvar för att stödja grundläggande forskning av högsta vetenskapliga kvalitet inom alla vetenskapsområden (1 § lagen [2000:662] om Vetenskapsrådet och 1 § förordning [2009:975] med instruktion för Vetenskapsrådet). Vetenskapsrådet ska bl.a. främja den svenska grundforskningens kvalitet och förnyelse, stödja forskarinitierad forskning och initiera och stödja ämnesövergripande satsningar på forskning. Myndigheten ska initiera och stödja strategiska satsningar inom forskning och samverka nationellt och internationellt med andra myndigheter och organisationer som bedriver och finansierar forskning. I myndighetens verksamhet ingår att ta initiativ till att etiska frågor uppmärksammas vid forskning och förmedla information om forskningsetiska frågor.

Till Vetenskapsrådets arbetsuppgifter hör också att fördela medel till forskning, dyrbar vetenskaplig utrustning, nationella forskningsanläggningar, internationella åtaganden och högpresterande datorsystem samt utvärdera och bedöma forskningen och dess vetenskapliga kvalitet och betydelse. Vetenskapsrådet ska slutligen stödja och utveckla förutsättningarna för kliniska studier i Sverige.

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

176

Vetenskapsrådets expertgrupp för etik är ett internt organ som har det övergripande beredningsansvaret för etikfrågor vid Vetenskapsrådet, särskilt för arbetet med frågor av forskaretisk karaktär och övergripande forskningsetiska frågor. För expertgruppens verksamhet gäller särskilda bestämmelser.11

Expertgruppen ska på uppdrag av Vetenskapsrådet ge råd i ärenden som rör etik och integritet inom ramen för myndighetens forskningsfinansieringsprocess och utarbeta underlag för Vetenskapsrådets yttranden, ställningstaganden och riktlinjer i forskar- och forskningsetiska frågor. Expertgruppen ska utarbeta underlag för Vetenskapsrådets publikationer och kommunikationsinsatser inom forskar- och forskningsetik. Till expertgruppens arbetsuppgifter hör också att representera myndigheten i nationella och internationella sammanhang.

Vetenskapsrådets expertgrupp för etik ska bestå av en ordförande och sex ledamöter samt en sekreterare från Vetenskapsrådet. Ordföranden och övriga ledamöter utses av Vetenskapsrådets styrelse. Enligt beslutet om reglering av expertgruppen bör ordföranden vara professor i etik. Vissa vetenskapliga områden ska finnas representerade i expertgruppen. Det rör sig om etik, juridik, medicin och hälsa, naturvetenskap och teknikvetenskap samt samhällsvetenskap och humaniora. Dessutom ska den vetenskapliga sekreteraren i Centrala etikprövningsnämnden och chefen för forskningsfinansieringsavdelningen på Vetenskapsrådet vara med i expertgruppen.

Statens medicinsk-etiska råd

Statens medicinsk-etiska råd är ett rådgivande organ till regeringen i medicinsk-etiska frågor. I rådet ingår ordförande och åtta ledamöter föreslagna av de politiska partierna i riksdagen. Vidare finns i rådet tio sakkunniga, varav några representerar berörda aktörer såsom myndigheter och intresseorganisationer, och övriga är experter inom områden som filosofi, medicinsk rätt och klinisk genetik.12 De sakkunniga har inte rösträtt i rådet. Samtliga ledamöter och sakkunniga

11 Reglering av Expertgrupp för etik, beslut av Vetenskapsrådets styrelse vid sammanträde 2013-12-12, Dnr 113-2008-7863. 12Prop. 2009/10:83 s. 8.

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

177

utses av det statsråd som i regeringen ansvarar för ärenden om hälso- och sjukvård.

Rådet inrättades 1985 som en kommitté under Socialdepartementet.13 I beslutet om inrättande anges att rådet bör ha till uppgift att analysera medicinsk-etiska frågor ur ett övergripande samhällsperspektiv. Det finns behov av att få en samlad bild över de medicinsk-etiska frågor som den snabba utvecklingen ger upphov till. Rådet ska sträva efter en helhetssyn på frågor som rör sådan medicinsk forskning och behandling som kan anses känslig för den mänskliga integriteten eller påverka respekten för människovärdet. Rådet har stor frihet att ta upp de frågor man finner viktiga, men frågor som rör människors lika värde och rätt till integritet bör ges stort utrymme. I arbetet med dessa frågor är det också viktigt att ha i åtanke att den utveckling som sker på området ofta har mycket långsiktiga verkningar.

I beslutet anförs att en öppen debatt kring de medicinsk-etiska frågorna är en förutsättning för att kunna ta ställning till en ny teknik och vetenskap. Det är därför viktigt att rådet kan arbeta under öppna former så att det stimulerar till debatt och ställningstaganden i frågorna. Ett av flera sätt kan då vara att anordna hearings i olika frågor.

Rådet ska också fungera som ett organ för informations- och åsiktsutbyte och bör därför samla in och väga faktamaterial samt sprida kunskap om de medicinsk-etiska frågorna.

Rådet ska enligt beslutet också ha rollen av förmedlande instans mellan vetenskapen, medborgarna och de politiskt ansvariga samt, när det bedöms lämpligt, kunna lämna förslag till utredningsverksamhet.

En av rådets arbetsuppgifter är att i ett tidigt skede underrätta regeringen om utvecklingen inom sådan medicinsk forskning och behandling som kan vara etiskt kontroversiell. Rådet ska vara fristående från det löpande regeringsarbetet.

Rådets analyser grundar sig på senast tillgängliga fakta och tillämpning av grundläggande etiska principer.14 Rådet sammanställer fakta från forskare eller andra med specialkunskaper. Mot bakgrund

13 Inrättande av ett råd för medicinsk-etiska frågor, protokoll vid regeringssammanträde 21; 1985-03-14, S 2909/84. 14 http://www.smer.se/om-smer/uppdrag/

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

178

av inhämtade fakta identifierar rådet värderings- och intressekonflikter och beskriver för- och nackdelar med olika handlingsalternativ. Därefter tar rådet ställning utifrån etiska grundprinciper, exempelvis människovärde och integritet. Rådet har inte att avgöra enskilda patientärenden eller granska enskilda forskningsprojekt.

Statens medicinsk-etiska råd är formellt en s.k. bokstavskommitté, dvs. en form av kommitté som tillsätts internt inom departementet. Det är en permanent kommitté som finansieras via kommittébudgeten. Statens medicinsk-etiska råd skiljer sig från andra kommittéer som tillsätts av regeringen. Det ska, liksom andra kommittéer, vara självständigt i förhållande till regeringen, men utgör inte en egen myndighet utan är en del av Regeringskansliet.

Statens beredning för medicinsk och social utvärdering

Statens beredning för medicinsk och social utvärdering ska utvärdera det vetenskapliga stödet för tillämpade och nya metoder i hälso- och sjukvården och i den verksamhet som bedrivs med stöd av socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade ur ett medicinskt perspektiv där så är tillämpligt, samt ur ett ekonomiskt, samhälleligt och etiskt perspektiv (1 § förordning [2007:1233] med instruktion för Statens beredning för medicinsk och social utvärdering). Myndigheten ska sammanställa utvärderingarna på ett enkelt och lättfattligt sätt och sprida dem så att huvudmän (landsting och kommuner), vårdgivare och andra berörda kan tillägna sig kunskapen. Myndigheten ska kontinuerligt utveckla sitt arbete med att sprida utvärderingarna så att dessa tillämpas i praktiken och leder till önskade förändringar inom hälso- och sjukvården och socialtjänsten. Myndigheten ska vidare systematiskt identifiera och aktivt informera om sådana metoder i hälso- och sjukvården och socialtjänsten vars effekter det saknas tillräcklig kunskap om. Myndigheten ska vara kontaktmyndighet i internationella frågor som rör utvärdering av medicinska metoder och stödja såväl det europeiska samarbetet som övrigt internationellt samarbete.

Inom myndigheten finns ett särskilt beslutsorgan som benämns Nämnden för medicinsk och social utvärdering. Nämndens uppgift är att fastställa slutsatser i de utvärderingar som myndigheten genomför. I nämndens uppdrag ingår också att bidra till utvärderingarnas

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

179

tillämpbarhet för huvudmän (landsting och kommuner), vårdgivare och andra berörda. Nämnden består av myndighetens chef och högst 15 andra ledamöter. Ordföranden och övriga ledamöter utses av regeringen. Nämndens sammansättning är inte reglerad, men vid tillsättningen av ledamöter eftersträvas en bred representation av organisationer inom hälso- och sjukvård, omsorg och forskning. För närvarande ingår representanter för bl.a. Forskningsrådet för hälsa, arbetsliv och välfärd, Akademikerförbundet SSR, Statens Institutionsstyrelse, Sveriges Kommuner och Landsting, Vetenskapsrådet, Socialstyrelsen, Vårdförbundet och Sveriges Läkarförbund.

Inom Statens beredning för medicinsk och social utvärdering finns också två vetenskapliga råd, som har till uppgift att ge råd inför beslut av nämnden och också att ge råd inför generaldirektörens beslut.

Forskningsrådet för hälsa, arbetsliv och välfärd

Forskningsrådet för hälsa, arbetsliv och välfärd, Forte, är ett statligt forskningsråd som finansierar vetenskaplig forskning för människors hälsa, arbetsliv och välfärd. Fortes uppdrag är att främja och stödja grundforskning och behovsstyrd forskning på arbetslivsområdet samt inom social- och folkhälsovetenskap (1 § förordning [2007:1431] med instruktion för Forskningsrådet för hälsa, arbetsliv och välfärd). Myndigheten ska, inom ramen för denna uppgift, särskilt fördela medel till forskning och därmed sammanhängande verksamhet och bedöma kvaliteten, nyttiggörandet och samhällsrelevansen av den egna verksamheten och i utvärderingen av den forskning till vilken rådet har fördelat medel, även ur ett internationellt och ett EU-perspektiv. Rådet ska vidare bl.a. utreda vilka forskningsbehov som är angelägna inom myndighetens verksamhetsområde, redovisa resultaten av dessa utredningar samt ta initiativ till och främja den forskning som behövs för att tillgodose sådana behov, beakta forskningsetiska frågor och främja kunskapsuppbyggnad i frågor om arbetsliv samt öka kunskapen om och förståelsen för sociala förhållanden och processer.

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

180

Forte leds av en styrelse. Styrelsen ska bestå av en ordförande, myndighetschefen och elva andra ledamöter. Vid forskningsrådet ska det också finnas en huvudsekreterare med hög vetenskaplig kompetens.

10.3.4 Överväganden om alternativen

Utredningen bedömer att det krävs en prövning i varje enskilt fall av en extern oberoende instans för att Myndigheten för vård- och omsorgsanalys ska få utföra särskilt riskfyllda behandlingar av personuppgifter inom ramen för sina analysprojekt. Den externa instansens uppgift ska vara att bedöma om behandlingen av personuppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. I avsnitt 10.3.1 anges vissa grundläggande krav som bör vara uppfyllda av den prövande instansen. Den instans som ska ha till uppgift att pröva myndighetens projekt ska helst ha erfarenhet av att göra etiska bedömningar och ha kompetens inom ärendehandläggning. För att garantera saklighet och opartiskhet bör den prövande instansen vara eller ingå i en statlig myndighet. Vidare bör både personer som företräder det allmänna och personer som har vetenskaplig kompetens ingå i den instans som gör prövningen. Nedan följer en analys av de organ som beskrivs i föregående avsnitt, med utgångspunkt i de av utredningen uppställda kraven.

Socialstyrelsens rättsliga råd

När det gäller Socialstyrelsens rättsliga råd finns det vissa omständigheter som talar för att det är en lämplig instans att utföra den prövning som utredningen föreslår. Socialstyrelsen är en myndighet med ett vidsträckt ansvarsområde som täcker såväl hälso- och sjukvård som tandvård och omsorg. Rättsliga rådet är ett självständigt organ inom myndigheten, med egen beslutsrätt i vissa typer av ärenden, främst på det medicinska området. Rådets ansvarsområde är reglerat i förordning, och skulle därmed på ett förhållandevis enkelt sätt kunna tillföras uppgiften att pröva Myndigheten för vård-

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

181

och omsorgsanalys projekt. Med hänsyn till rådets nuvarande verksamhet kan det antas att det inom rådet finns en organisation för och kompetens om ärendehantering av det slag som krävs för den föreslagna prövningen. Ordföranden i rådet och ordförandens ställföreträdare ska ha erfarenhet som lagfaren domare, vilket borgar för självständighet och objektivitet. I rådet finns företrädare för det allmänna, och sammansättningen kan i övrigt anpassas till den typ av ärende som ska avgöras. Om arbetsuppgiften att pröva Myndigheten för vård- och omsorgsanalys projekt skulle läggas på rättsliga rådet, skulle rådets sammansättning således i det enskilda fallet kunna anpassas till det ärende som ska avgöras.

Vissa omständigheter talar emellertid mot rättsliga rådets lämplighet som prövningsinstans. I Myndigheten för vård- och omsorgsanalys ansvarsområde ingår att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. Myndigheten har mandat att granska samtliga verksamheter på området för hälso- och sjukvård, tandvård och omsorg, inklusive verksamheten vid Socialstyrelsen och dess rättsliga råd. Det kan ifrågasättas om det är lämpligt att en myndighet som faller inom Myndigheten för vård- och omsorgsanalys granskningsområde ska utföra den föreslagna prövningen. Det kan finnas en risk för att allmänheten kan få föreställningen att rådet skulle vara tillmötesgående för att undvika granskning eller undkomma kritik. Denna problematik hade kunnat undvikas genom att Socialstyrelsens rättsliga råd undantas från Myndigheten för vård- och omsorgsanalys granskning. Det finns dock ytterligare omständigheter som talar mot att rättsliga rådet är den mest lämpade instansen att göra prövningen. Rådets verksamhet består i dag främst av att göra medicinska bedömningar i enskilda ärenden. Rådets uppdrag på det sociala området är emellertid begränsat. De etiska frågeställningar som kan antas komma upp i samband med rådets ärenden är av annat slag än de som kan förväntas vid prövningen av Myndigheten för vård- och omsorgsanalys projekt. Det som ska prövas är om det integritetsintrång som personuppgiftsbehandlingen i ett visst projekt är försvarligt med hänsyn till samhällsvinsten i form av ny kunskap. Fokus ligger på att bedöma om den metod som ska användas i projektet är den mest lämpade för att nå önskad kunskap. Denna typ av bedömning skiljer sig från de etiska överväganden som kan bli aktuella i de ärenden rådet har att avgöra i dag.

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

182

Socialstyrelsens råd för etiska frågor

Socialstyrelsens råd för etiska frågor är inte, i sin nuvarande form, en lämplig prövningsinstans. Som en del av Socialstyrelsen faller rådet, som nämns ovan, inom Myndigheten för vård- och omsorgsanalys granskningsområde. Rådets verksamhet innebär visserligen etiska överväganden på både det medicinska och sociala området, men rådet är endast ett internt rådgivande organ, utan självständig beslutsrätt. Rådets verksamhet innefattar inte någon formell ärendehandläggning och dess diskussioner leder inte till något beslut eller annan slutsats. Rådets sammansättning inte är särskilt reglerat, vilket innebär att det inte kan garanteras att det alltid finns personer som företräder det allmänna eller personer med den vetenskapliga kompetens som krävs för den föreslagna prövningen representerade i rådet.

Vetenskapsrådets expertgrupp för etik

Även vad gäller Vetenskapsrådets expertgrupp för etik finns det omständigheter som talar för och emot rådets lämplighet som prövningsinstans. Vetenskapsrådet ligger formellt utanför Myndigheten för vård- och omsorgsanalys granskningsområde då dess verksamhet inte avser hälso- och sjukvård, tandvård eller omsorg. Inom myndigheten och i myndighetens expertgrupp för etik finns erfarenhet och kompetens från forskningsområdet, och det kan antas att expertgruppen är väl skickad att bedöma frågor som kräver vetenskaplig överblick och kunskap i de olika metoder som Myndigheten för vård- och omsorgsanalys önskar använda i sina analysprojekt. Däremot saknar rådet, i sin nuvarande utformning, personer som företräder det allmänna. Vidare kan konstateras att även Vetenskapsrådets expertgrupp för etik är ett rådgivande organ för den egna verksamheten. Rådet ansvarar inte för någon ärendehandläggning och har inte någon självständig beslutsrätt.

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

183

Statens medicinsk-etiska råd

Statens medicinsk-etiska råd har bl.a. till uppgift att följa utvecklingen på forskningsfronten och uppmärksamma regeringen på intressanta och kontroversiella frågor som aktualiseras inom medicinsk forskning, diagnostik och behandling som kan vara särskilt känslig för den mänskliga integriteten och som på sikt skulle kunna skada människovärdet. Rådets fokus ligger således på etiska frågor inom hälso- och sjukvård och medicinsk forskning. I rådet finns både företrädare för det allmänna och personer med vetenskaplig kompetens. Att det i rådet finns både allmänföreträdare och experter med olika kompetensområden borgar för att de frågor som diskuteras får en allsidig belysning och en god förankring. Det har under utredningstiden framkommit att Statens medicinsk-etiska råd är ett organ som har en hög grad av legitimitet inom hälso- och sjukvårdsverksamhet. Det kan dock konstateras att rådet inte är någon självständig myndighet, utan formellt utgör en del av Regeringskansliet, dvs. står regeringen nära. Rådets verksamhet innebär för närvarande inte någon typ av ärendehantering eller beslutsfattande av det slag som är aktuellt enligt utredningens förslag. Vidare faller frågor på det sociala området utanför rådets ansvarsområde.

Statens beredning för medicinsk och social utvärdering

Statens beredning för medicinsk- och social utvärdering är en oberoende statlig myndighet som ska göra utvärderingar av metoder och insatser inom hälso- och sjukvård, inklusive tandvård, samt granska kunskapsläget för metoder och insatser inom socialtjänst och området för funktionstillstånd. Myndigheten har i uppdrag att utvärdera vårdens och socialtjänstens metoder ur ett samlat medicinskt, ekonomiskt, etiskt och socialt perspektiv. Både Statens beredning för medicinsk och social utvärdering och Myndigheten för vård- och omsorgsanalys har således i uppgift att utvärdera hälso- och sjukvård, tandvård och omsorg, men ur olika perspektiv. Detta talar för att beredningen är ett lämpligt organ för prövning av Myndigheten för vård- och omsorgsanalys projekt. Inom myndigheten finns ett särskilt organ, Nämnden för medicinsk och social utvärdering, som är reglerad i myndighetens instruktion och har mandat att fatta självständiga beslut. Det kan antas att det inom myndigheten finns

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

184

en organisation som skulle kunna hantera den typ av ärendehandläggning och beslutsfattande som krävs för den prövning som utredningen föreslår. Det kan också antas att det inom myndigheten finns den vetenskapliga kompetens inom hälso- och sjukvård samt social omsorg som behövs för att bedöma Myndigheten för vård- och omsorgsanalys projekt. Mot bakgrund av myndighetens uppdrag kan det också antas att de etiska aspekterna av myndighetens behandling av personuppgifter kommer att kunna beaktas på ett tillfredsställande sätt.

Det som talar mot nämndens lämplighet som prövningsinstans är att även den, som en del av Statens beredning för medicinsk och social utvärdering, faller inom granskningsområdet för Myndigheten för vård- och omsorgsanalys. Vidare är nämndens nuvarande arbetsuppgifter begränsade till att pröva den egna myndighetens analyser och slutsatser. Nämndens sammansättning inte särskilt reglerad, vilket innebär att det inte finns någon garanti för att personer som företräder det allmänna deltar i nämndens beslut.

Forskningsrådet för hälsa, arbetsliv och välfärd

Det som talar för att Forskningsrådet för hälsa, arbetsliv och välfärd, Forte, utgör en lämplig prövningsinstans är att det hos myndigheten finns erfarenhet av att bedöma forskningsprojekt av olika slag. Myndigheten för vård- och omsorgsanalys har betonat vikten av att det inom prövningsinstansen finns välgrundad forskarkompetens, eftersom de metoder som myndigheten använder sig av i sina projekt ligger nära forskningens. Forte har inte något särskilt etiskt råd, men etiska frågor och hur sådana hanteras diskuteras regelbundet med andra forskningsfinansiärer och med forskningsaktörer. I utlysningstexter om bidrag ska sökanden kommentera projektets etiska överväganden och kommentera om projektet kräver etiska hänsynstaganden. I anslagsvillkoren finns krav på att forskningsetiska regler följs och om de forskningsetiska reglerna inte följs kan bidrag dras in. Det kan således konstateras att myndigheten, utöver vetenskaplig kompetens, torde ha vana att pröva etiska frågeställningar.

Det som talar mot Fortes lämplighet som prövningsinstans är att arbetsuppgiften att pröva Myndigheten för vård- och omsorgsanalys projekt skiljer sig från myndighetens verksamhet i övrigt. Vidare

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

185

saknas representation av allmänna intressen i myndighetens beslutande organ.

Datainspektionen

Det kan tilläggas att utredningen även övervägt om Datainspektionen kan vara en lämplig instans för prövning av Myndigheten för vård och omsorgsanalys projekt. Datainspektionens uppgift är att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Frågan är om myndigheten, som representant för enskildas integritetsskyddsintressen, bör vara det externa organ som prövar om analysmyndighetens behandling av personuppgifter är befogad. Eftersom Datainspektionens huvudsakliga uppgift är att genom sin tillsynsverksamhet bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet, bedömer utredningen att myndigheten är väl lämpad att utföra denna prövning. Inom myndigheten finns också en organisation för och erfarenhet av den ärendehantering som krävs för uppdraget. Utredningen konstaterar emellertid att arbetsuppgiften att på förhand pröva en annan myndighets behandling av personuppgifter skulle skilja sig mycket från Datainspektionens nuvarande övriga arbetsuppgifter. I och med personuppgiftslagens införande ändrades Datainspektionens verksamhetsinriktning från förhandsgranskning och tillståndsverksamhet till tillsynsverksamhet. Det framstår därför som mindre lämpligt att tillföra Datainspektionen, som i dag är en i det närmaste renodlad tillsynsmyndighet, en arbetsuppgift som innebär förhandsgranskning av enskilda projekt. Utredningen bedömer mot denna bakgrund att Datainspektionen inte bör tilldelas uppgiften att pröva Myndigheten för vård- och omsorgsanalys projekt.

10.3.5 Utredningen lämnar inget ytterligare förslag på lämplig prövningsinstans

Utredningen föreslår att en extern oberoende instans ska göra en etisk prövning av Myndigheten för vård- och omsorgsanalys projekt som innefattar särskilt riskfyllda behandlingar av personuppgifter. Bedömningen ska avse om det i det enskilda fallet är försvarligt att,

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

186

med hänsyn till den samhällsnytta som myndighetens projekt kan leda till, utsätta människor för den aktuella behandlingen. Myndigheten för vård- och omsorgsanalys har gjort bedömningen att det kan komma att röra sig om fem till sex ärenden per år. Som konstaterats i det föregående är det inte en tillräckligt omfattande verksamhet för att skapa en ny myndighet för denna arbetsuppgift. Arbetsuppgiften att utföra den föreslagna prövningen bör i stället tilldelas ett redan existerande organ.

Utredningen gör som nämnts bedömningen att det är den etablerade etikprövningsorganisationen som är mest lämpad att utföra den föreslagna prövningen. Som genomgången ovan visar är det därutöver inte något redan existerande organ som uppfyller samtliga de krav som enligt utredningens bedömning bör vara uppfyllda av den prövande instansen. Utredningen kan därför inte förespråka någon av de beskrivna myndigheterna framför den andra som lämplig prövningsinstans.

Utredningen kan dock konstatera att det, men hänsyn till det begränsade antal ärenden det är fråga om, inte heller är nödvändigt att det prövande organet uppfyller alla de angivna kraven i sin permanenta organisation. Utredningens slutsats är att det viktigaste är att prövningen görs av en myndighet, eller en del av en myndighet, som är självständig i förhållande till Myndigheten för vård- och omsorgsanalys. Den prövande instansen bör ha vana vid ärendehandläggning. Att bedömningen genomförs på ett sakligt och opartiskt sätt kan säkerställas genom att ordföranden i den prövande instansen är en person med domarkompetens, eller annars en person med vana att göra självständiga bedömningar. Med hänsyn till den avvägning som ska göras mellan integritetsintrång och allmännytta är det också viktigt att representanter för det allmänna deltar i bedömningen. För bedömning av metodfrågor och det rådande kunskapsläget kan emellertid lämpliga sakkunniga med forskningskompetens anlitas för varje enskilt ärende. På detta sätt kan den prövande instansens sammansättning anpassas till det ärende som ska avgöras.

Som ett alternativ till prövning av den etablerade etikprövningsorganisationen föreslår utredningen en generell reglering i lag med kriterier för den instans som ska göra prövningen och möjlighet för regeringen att, med tillämpning av de lagstadgade kriterierna, peka ut instansen. Vidare bör regeringen få meddela föreskrifter om det särskilda organet för prövning av etiska frågor.

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

187

10.4 Vilken avvägningsnorm ska den oberoende instansen tillämpa?

10.4.1 Etikprövningsmyndigheten och Överklagandenämnden för etikprövning ska tillämpa nuvarande regelverk på motsvarande sätt

Utredningens förslag: Vid prövning och godkännande av analys-

projekt som bedrivs av Myndigheten för vård- och omsorgsanalys ska bestämmelserna om forskning i 6–11 §§ etikprövningslagen tillämpas på motsvarande sätt. I fråga om handläggning och överklagande ska bestämmelserna i 24–33 samt 36 och 37 §§ etikprövningslagen gälla.

Ansökan om etikprövning ska göras hos Etikprövningsmyndighetens verksamhetsregion i Stockholm.

Forskning som omfattas av etikprövningslagens tillämpningsområde får enligt 6 § etikprövningslagen utföras bara om den godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser bara om behandlingen har godkänts vid etikprövningen. Ett godkännande upphör att gälla, om inte forskningen har börjat utföras senast två år efter det att beslutet om godkännande vann laga kraft. Ett godkännande enligt etikprövningslagen medför inte att forskningen får utföras om den strider mot någon annan författning.

Utgångspunkterna för vad som ska beaktas vid etikprövningen av forskningsprojekt framgår av 7–11 §§ etikprövningslagen. Forskning får enligt 7 § godkännas bara om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska enligt 8 § alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov. Forskning får enligt 9 § godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Med forskningsperson avses enligt 2 § en levande människa som forskningen avser.

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

188

Av 10 § följer att forskning inte får godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Vidare anges att behandling av känsliga personuppgifter och uppgifter om lagöverträdelser får godkännas bara om den är nödvändig för att forskningen ska kunna utföras. Forskning får enligt 11 § godkännas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs. Något krav på viss examen eller kompetens har inte uppställts. Enligt lagmotiven får kompetensen i stället sättas i relation till den forskning som är aktuell i varje enskilt fall och de etiska frågeställningar som den kan antas ge upphov till.15 Enligt de tidigare etikprövningsnämndernas rutiner är huvudregeln dock att den ansvarige forskaren ska vara disputerad.16

Vid etikprövningen ska, enligt uttalanden i förarbetena, en helhetsbedömning av samtliga omständigheter göras. Vid bedömningen bör beaktas bl.a. forskningsprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen och omständigheter vid ett eventuellt samtycke. Vid intresseavvägningen bör också beaktas om information i någon form lämnas till de berörda. Även frågan i vilken utsträckning den som begär det ska ha rätt att bli struken bör beaktas vid intresseavvägningen. I viss mån bör också kunna beaktas hur pass svårt det är att på grund av de behandlade uppgifterna identifiera enskilda personer.17

Om det är tänkt att forskaren ska inhämta personuppgifter genom direkt kontakt med personer med en viss diagnos eller hälsostatus, är praxis att kontakten bör tas genom den klinik där patienterna behandlats eller fortfarande behandlas. Det har vanligtvis inte accepterats att forskaren kontaktar patienterna direkt innan samtycke har lämnats.18

Etikprövningsorganen har, som utredningen konstaterat i avsnitt 10.3.2, en lämplig sammansättning och organisation för att hantera prövningen av projekt som bedrivs av Myndigheten för vård- och omsorgsanalys. Även systemet med etikprövning enligt etikprövningslagen förefaller passa väl för bedömningen av de aktuella projekten. Eftersom myndigheten har en stor andel forskarutbildad personal,

15Prop. 2002/03:50 s. 100. 16 Ansökan om etikprövning, http://www.epn.se/start/ 17Prop. 2002/03:50 s. 172. 18 Se t.ex. beslut från Centrala Etikprövningsnämnden, Dnr Ö 12-2014.

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

189

har myndigheten förutsättningar att uppfylla kravet i 11 § etikprövningslagen på att forskningen ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs. Verksamheten vid myndigheten bedrivs vidare i projektform. Det arbetssättet passar väl ihop med kravet i 6 § etikprövningslagen på att ett godkännande ska avse ett visst projekt, del av ett projekt eller en på liknande sätt bestämd forskning.

Tillvägagångssättet vid etikprövning styrs genom klara och tydliga regler i etikprövningslagen. Prövningen inkluderar, förutom en prövning av själva forskningsprojektet, en prövning av behandlingen av personuppgifter enligt gällande dataskyddslagstiftning. Den helhetsbedömning som ska göras enligt etikprövningslagens bestämmelser motsvarar den bedömning som, när personuppgiftslagen gällde, skulle göras vid behandling för statistikändamål enligt 19 § andra stycket personuppgiftslagen och som tidigare gällde även för behandling för forskningsändamål enligt 19 § första stycket personuppgiftslagen.19 Enligt nuvarande lagstiftning får känsliga personuppgifter behandlas för statistiska ändamål med stöd av artikel 9.2 j i dataskyddsförordningen, om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära (3 kap. 7 § dataskyddslagen).

Utredningen bedömer därför att det är lämpligt att Etikprövningsmyndighetens och Överklagandenämnden för etikprövnings prövning av myndighetens projekt sker enligt samma bedömningsgrunder som vid prövningen av forskningsprojekt.

Utredningen föreslår därför en lagregel om att bestämmelserna om forskning i 6–11 §§ etikprövningslagen ska tillämpas på motsvarande sätt vid prövning och godkännande av projekt som bedrivs av Myndigheten för vård- och omsorgsanalys. I det följande redogörs för hur det är avsett att bestämmelserna ska tillämpas på motsvarande sätt. En sådan reglering får anses tillräckligt tydlig med hänsyn till att det inte är allmänheten utan bara expertmyndigheter som ska tillämpa bestämmelserna. I förordning bör det tydliggöras att ansökan om etikprövning ska göras hos Etikprövningsmyndighetens verksamhetsregion i Stockholm.

19 Se t.ex. beslut från Centrala Etikprövningsnämnden, Dnr Ö 12-2014.

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

190

Etikprövningsmyndighetens och Överklagandenämndens bedömningar av de analysprojekt som bedrivs av Myndigheten för vård- och omsorgsanalys ska alltså göras på motsvarande sätt och utifrån samma kriterier som vid bedömningen av projekt som avser forskning. Etikprövningslagens bestämmelser utgår från att det är forskningsprojekt som prövas, medan myndighetens projekt som ska prövas inte avser forskning men ska etikprövas på motsvarande sätt.

Hänvisningen till 6 § etikprövningslagen innebär att ett etikgodkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd analys eller uppföljning. Det är alltså inte aktuellt med ett generellt godkännande att under oöverskådlig framtid få utföra vissa analyser. Ett godkännande upphör att gälla om inte analysen har påbörjats inom två år.

Om ett projekt innefattar flera klart avgränsade delprojekt, varav bara något innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, behöver bara det delprojektet godkännas för att behandlingen av personuppgifter ska vara tillåten. Detta förutsätter att själva delprojektet uppfyller de krav som följer av 7–11 §§ etikprövningslagen. Det innebär bl.a. att delprojektet får godkännas bara om integritetsriskerna för de personer som omfattas av behandlingen uppvägs av det samhälleliga intresset av den kunskap som redan delprojektet kan förväntas leda till. Om inte delprojektet i sig uppfyller de krav som följer av 7–11 §§, kan hela projektet behöva prövas i ett sammanhang.

Ett godkännande medför inte att projektet får utföras om det strider mot någon annan författning. Efter det att Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning har godkänt ett projekt måste alltså Myndigheten för vård- och omsorgsanalys följa den reglering som finns i dataskyddsförordningen, dataskyddslagen och den föreslagna lagen om behandling av personuppgifter i myndighetens verksamhet. Däremot innebär den föreslagna bestämmelsen, enligt 2 kap. 20 § regeringsformen, att det etikgodkända projektet får genomföras även om det skulle innebära ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. Ett godkännande kan också förenas med villkor som myndigheten är skyldig att följa för att få behandla personuppgifterna, t.ex. beträffande formerna för urvalet av deltagare i studier, inhämtande av samtycke eller lämnande av information.

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

191

Bestämmelserna i 7–11 §§ etikprövningslagen reglerar utgångspunkterna för vad som ska beaktas vid etikprövningen. Myndighetens projekt får bara godkännas om det kan utföras med respekt för människovärdet. Vid prövningen ska mänskliga rättigheter och grundläggande friheter beaktas. Samtidigt ska hänsyn tas till intresset av att utveckla ny kunskap genom den aktuella studien. Människors välfärd ska ges företräde framför samhällsbehovet av att analysen genomförs. Integritetsriskerna för de personer som medverkar i studien måste vägas upp av studiens värde för samhället. I stället för att väga riskerna mot det vetenskapliga värdet, som ska göras när det är fråga om forskning, får alltså Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning, på motsvarande sätt som gäller enligt den avvägningsnorm som tillämpas vid behandling av känsliga personuppgifter för statistikändamål enligt 3 kap. 7 § dataskyddslagen, väga riskerna mot det samhälleliga intresset av den kunskap som projektet kan förväntas resultera i. Om det förväntade resultatet kan uppnås på ett annat sätt som medför mindre integritetsrisker för de personer som ingår i studien, får projektet inte godkännas. Behandling av känsliga personuppgifter och uppgifter om lagöverträdelser får godkännas bara om den är nödvändig för att analysen ska kunna utföras. Det krävs också att projektet utförs av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs för det aktuella projektet och de etiska frågeställningar som kan aktualiseras.

Den helhetsbedömning som har redogjorts för ovan ska alltså göras även beträffande myndighetens projekt. Vid bedömningen bör beaktas bl.a. hur pass viktig den kunskap som projektet kan ge är och om den kunskapen kan erhållas utan att personuppgifter behandlas eller om integritetsintrånget kan begränsas på något sätt. Även säkerheten vid behandlingen och omständigheter vid ett eventuellt samtycke kan få betydelse. Vid intresseavvägningen bör också beaktas om information i någon form lämnas till de berörda och i vilken utsträckning den som begär det ska ha rätt att bli struken. I viss mån bör också kunna beaktas hur pass svårt det är att på grund av de behandlade uppgifterna identifiera enskilda personer.20

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

192

Även bestämmelserna om handläggningsordningen för prövning och godkännande samt överklagande i 24–33, 36 och 37 §§ etikprövningslagen bör tillämpas i fråga om projekt som bedrivs av Myndigheten för vård- och omsorgsanalys. I 24 och 31 §§ etikprövningslagen behöver dock Etikprövningsmyndighetens och Överklagandenämndens nya arbetsuppgift att pröva myndighetens projekt läggas till. Eftersom etikprövningsorganens arbetsuppgifter föreslås utvidgas i förhållande till vad som gäller i dag, kan ändringar komma att krävas i kommande instruktioner för Etikprövningsmyndigheten och Överklagandenämnden för etikprövning.

10.4.2 Väljs en annan instans ska den göra en kvalificerad intresseavvägning som fastställs i lag

Utredningens alternativa förslag: Ett projekt får godkännas bara

om behandlingen av personuppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Ett godkännande får förenas med villkor.

För Etikprövningsmyndigheten och Överklagandenämnden för etikprövning finns det som framgått (avsnitt 10.4.1) redan ett beprövat regelverk om vad som krävs för ett godkännande som kan användas också vid prövningen av Myndigheten för vård- och omsorgsanalys analysprojekt. Om någon annan instans än Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning ska göra prövningen av myndighetens projekt, behövs det en ny norm att göra prövningen mot. Ett alternativ vore förstås att föreskriva att instansen vid prövning och godkännande ska tillämpa etikprövningsorganens regelverk för forskning (6–11 §§ etikprövningslagen) på motsvarande sätt. Utredningen har emellertid ansett att den, för den händelse den etablerade etikprövningsorganisationen inte skulle anses vara aktuell, bör lämna ett alternativt förslag till en egen materiell bestämmelse som en alternativ instans kan tillämpa vid prövning och godkännande av myndighetens projekt.

Som utredningen redogjort för i avsnitt 10.4.1, var behandling av känsliga personuppgifter för forskningsändamål enligt den ursprungliga lydelsen av 19 § första stycket personuppgiftslagen tillåten om

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

193

behandlingen var nödvändig och samhällsintresset av det forskningsprojekt där behandlingen ingick klart vägde över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kunde innebära. I förarbetena betonades att det behövde göras en prövning i varje enskilt fall och att den som regel skulle göras av någon oberoende instans. Avvägningsnormen gav uttryck för en restriktiv tillämpning och betonade att behandlingen måste vara nödvändig samtidigt som en intresseavvägning skulle göras. Regeringen ansåg att det inte var nödvändigt att i lagtexten ytterligare precisera normen utan det kunde överlåtas åt rättstillämpningen att med användande av normen och allt efter rådande värderingar och utvecklingen i samhället avgöra vilka behandlingar som kunde tillåtas.21

När möjligheten för den personuppgiftsansvarige att själv göra en avvägning enligt 19 § första stycket personuppgiftslagen togs bort, infördes i etikprövningslagen ett krav på att behandlingen ska vara nödvändig för att forskning ska kunna utföras samt att risken för intrång i forskningspersonernas personliga integritet ska vägas upp av forskningens vetenskapliga värde. Regeringen konstaterade att detta innebar att den avvägningsnorm som dittills funnits i 19 § första stycket personuppgiftslagen i stället fördes in i etikprövningslagen.22 Etikprövningslagens bestämmelser är således en utveckling av personuppgiftslagens tidigare krav på intresseavvägning vid behandling av känsliga personuppgifter för forskningsändamål.

I 19 § andra stycket personuppgiftslagen fanns motsvarande avvägningsnorm, som tidigare fanns för behandling för forskningsändamål, kvar för statistikändamål. Känsliga personuppgifter fick behandlas för statistikändamål, om behandlingen var nödvändig och om samhällsintresset av det statistikprojekt där behandlingen ingick klart vägde över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kunde innebära.

Enligt artikel 9.2 j i dataskyddsförordningen får känsliga personuppgifter behandlas för statistiska ändamål på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades

Krav på extern prövning vid riskfyllda behandlingar utan samtycke SOU 2018:52

194

grundläggande rättigheter och intressen. I förarbetena till dataskyddslagen anges att det inte heller nu är lämpligt att genom lagstiftning på förhand avgöra exakt i vilka fall behandling av känsliga personuppgifter ska få ske för statistiska ändamål.23 I dataskyddslagen infördes i stället en avvägningsnorm motsvarande den som fanns i 19 § andra stycket personuppgiftslagen. Behandling av känsliga personuppgifter för statistiska ändamål får således ske om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära (3 kap. 7 § dataskyddslagen). En motsvarande bestämmelse infördes för statistikansvariga myndigheters framställning av annan statistik än officiell statistik i 15 § statistiklagen.24

Som redan framhållits utgör eller påminner myndighetens verksamhet i flera avseenden om statistisk verksamhet och den påminner också om forskningsverksamhet (se vidare avsnitt 7.1.3, 7.2.5 och 17.3). En motsvarande avvägningsnorm som enligt 3 kap. 7 § dataskyddslagen bör därför passa bra vid prövning och godkännande av myndighetens projekt. Utredningen föreslår att myndighetens projekt ska få godkännas bara om behandlingen av personuppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Motsvarande omständigheter som enligt förarbetsuttalanden tidigare skulle beaktas vid tillämpningen av bestämmelsen om behandling för statistikändamål i 19 § andra stycket personuppgiftslagen och som fortfarande gäller vid behandling för statistikändamål enligt 3 kap. 7 § dataskyddslagen bör beaktas vid den helhetsbedömning som ska göras vid prövningen av den externa instansen.25 Det är således aktuellt att bedöma bl.a. vikten av det aktuella projektet, behovet av personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att hämta in samtycke, i vad mån den enskilde skulle kunna skadas om man begärde samtycke och om en kontakt med den enskilde skulle kunna förrycka undersökningsresultatet. Vid intresseavvägningen bör också beaktas

SOU 2018:52 Krav på extern prövning vid riskfyllda behandlingar utan samtycke

195

om information i någon form lämnas till de berörda. Även frågan om i vilken utsträckning den som begär det ska ha rätt att bli struken kan beaktas vid intresseavvägningen.26

Prövningen och godkännandet ska avse ett visst projekt. Om ett projekt innefattar flera klart avgränsade delprojekt, varav bara något innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, behöver emellertid bara det delprojektet prövas och godkännas för att behandlingen av personuppgifter ska vara tillåten. Detta förutsätter att samhällsintresset av redan delprojektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Om inte delprojektet i sig uppfyller detta, kan hela projektet behöva prövas i ett sammanhang.

Ett beslut om att godkänna myndighetens projekt bör kunna förenas med villkor som ska uppfyllas för att behandlingen av personuppgifter ska få ske. Sådana villkor kan behövas t.ex. beträffande formerna för urvalet av deltagare i en studie, inhämtande av samtycke eller lämnande av information.

197

11 Känsliga personuppgifter

11.1 Inledande bedömning

Behandling av känsliga personuppgifter utan samtycke kan anses särskilt riskfylld. Sådan behandling är särreglerad i dataskyddsförordningen och brukar ofta regleras särskilt i registerförfattningar.

Myndigheten för vård- och omsorgsanalys har i dag möjlighet att utan samtycke behandla känsliga personuppgifter med stöd av artikel 9.2 h i dataskyddsförordningen och 3 kap. 5 § dataskyddslagen (avsnitt 7.2.4). Myndigheten har i dag också möjlighet att i vissa fall behandla känsliga personuppgifter för statistiska ändamål med stöd av artikel 9.2 j i dataskyddsförordningen och 3 kap. 7 § dataskyddslagen (avsnitt 7.2.5).

När det nu föreslås en särskild lagreglering för sådan behandling av personuppgifter i verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv bör myndigheten förstås inte tillåtas att – utan samtycke – behandla andra typer av känsliga personuppgifter än som myndigheten har behov av i den verksamheten. Därför granskas först myndighetens behov av att kunna behandla känsliga personuppgifter utan samtycke (avsnitt 11.2).

Av de skäl som framgår av avsnitt 10.2 behövs det inte några särskilda restriktioner när myndigheten kan stödja behandlingen av känsliga personuppgifter på de registrerades uttryckliga samtycken (artikel 9.2 a i dataskyddsförordningen).

Även fast myndigheten redan i dag har rättsligt stöd i artikel 9.2 h i dataskyddsförordningen och 3 kap. 5 § dataskyddslagen, jämte bestämmelserna om tystnadsplikt, för att utan samtycke behandla känsliga personuppgifter i verksamheten, har utredningen ansett att det bör undersökas om de krav på skyddsåtgärder, nödvändighet och

Känsliga personuppgifter SOU 2018:52

198

proportionalitet som uppställs för behandling av känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen är uppfyllda. Dessa krav bör nämligen enligt utredningens mening anses utgöra en måttstock för vad en registerförfattning som tillåter behandling av känsliga personuppgifter bör uppfylla. Att myndighetens verksamhet utgör ett viktigt allmänt intresse har redan konstaterats (avsnitt 7.2.3). Undersökningen av om kraven är uppfyllda görs i avsnitt 11.3.

En förutsättning för att myndigheten utan samtycke ska få behandla de känsliga personuppgifter som myndigheten behöver bör vara att det aktuella projektet har godkänts vid en etisk prövning, eftersom behandlingen får anses särskilt riskfylld (se kapitel 10).

Myndigheten bör således få behandla känsliga personuppgifter bara med uttryckligt samtycke, då alla typer av känsliga personuppgifter får behandlas, eller efter godkännande vid en etisk prövning, då bara sådana typer av känsliga personuppgifter som myndigheten har ett särskilt behov av får behandlas. Ett undantag från kravet på etikgodkännande görs dock för behandling som är av sådan mindre omfattning att den inte kan anses särskilt riskfylld. I andra fall bör myndigheten alltså enligt den föreslagna lagen inte få behandla känsliga personuppgifter. Utredningens förslag sammanfattas i avsnitt 11.4.

11.2 Behovet av att behandla känsliga personuppgifter

Utredningens bedömning: Myndigheten för vård- och omsorgs-

analys har behov av att utan samtycke kunna behandla uppgifter om hälsa och personuppgifter som avslöjar etniskt ursprung. Övriga typer av känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen bör myndigheten inte få behandla utan samtycke.

I avsnitt 4.4 har utredningen beskrivit de behov myndigheten har av att behandla känsliga personuppgifter utan samtycke. Som anges i det avsnittet behöver myndigheten kunna samla in och på olika sätt använda sig av känsliga personuppgifter som finns hos andra aktörer för att kunna fullgöra sina arbetsuppgifter enligt myndighetsinstruk-

SOU 2018:52 Känsliga personuppgifter

199

tionen. Att tillåta myndigheten att behandla känsliga personuppgifter utan samtycke innebär ett intrång i den personliga integriteten. Myndigheten bör därför inte få behandla fler kategorier av känsliga personuppgifter än vad myndigheten faktiskt har behov av. Eftersom myndigheten har i uppdrag att följa upp och analysera bl.a. hälso- och sjukvården, är det framför allt uppgifter om hälsa som myndigheten behöver kunna behandla utan samtycke. I vissa projekt kan det vidare finnas behov av att utan samtycke kunna behandla uppgifter om medborgarskap eller ursprungsland. En isolerad uppgift om exempelvis medborgarskap anses normalt inte avslöja etniskt ursprung. En sådan uppgift skulle dock i ett enskilt fall kunna avslöja etniskt ursprung.1 Det har inte framkommit att myndigheten har ett påtagligt behov av att utan samtycke kunna behandla andra typer av känsliga personuppgifter än uppgifter om hälsa och personuppgifter som avslöjar etniskt ursprung.

Som utredningen angett i det första betänkandet2 skulle skrivningen i artikel 9.4 i dataskyddsförordningen kunna tolkas som att möjligheten att göra undantag från förbudet att behandla känsliga personuppgifter måste utnyttjas fullt ut för att kunna användas, i fråga om andra kategorier av uppgifter än de som anges i artikeln. I bestämmelsen anges nämligen att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, endast för behandling av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Att tolka bestämmelsen som att det inte är tillåtet att behålla ytterligare villkor för övriga kategorier av känsliga personuppgifter synes dock inte rimligt, eftersom huvudregeln om förbud mot behandling av känsliga personuppgifter har tillkommit av det skälet att dessa uppgifter anses vara särskilt skyddsvärda. Att det då endast skulle vara möjligt att ha en nationell reglering som antingen helt förbjuder behandling av sådana uppgifter eller tillåter all behandling som kan tillåtas enligt någon av de undantagsmöjligheter som finns i artikel 9.2 i dataskyddsförordningen synes inte förenligt med intresset av att skydda den personliga integriteten. När det gäller behandling som sker med stöd av grunden utförande av en arbetsuppgift av allmänt intresse framgår det dessutom av artikel 6.2 och 6.3 i dataskyddsförordningen att medlemsstaterna får ha särskilda bestäm-

Känsliga personuppgifter SOU 2018:52

200

melser om bl.a. vilken typ av uppgifter som ska behandlas, se avsnitt 9.2. En myndighet kan vidare hur som helst förbjudas att behandla vissa kategorier av känsliga personuppgifter, se avsnitt 9.2. Utredningen har därför gjort bedömningen att det är möjligt att bara delvis tillåta behandling av känsliga personuppgifter som omfattas av något av undantagen som kräver nationell lagstiftning. Det innebär att det är möjligt att tillåta behandling av bara vissa kategorier av känsliga personuppgifter och förbjuda behandlingen av andra kategorier.

Utredningen konstaterar mot denna bakgrund att myndigheten har ett berättigat behov av att kunna behandla vissa känsliga personuppgifter utan att den registrerades samtycke inhämtas.

11.3 Förutsättningarna för att göra undantag från förbudet mot att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse är uppfyllda

Utredningens bedömning: Kraven på skyddsåtgärder, nödvän-

dighet och proportionalitet i artikel 9.2 g i dataskyddsförordningen uppfylls genom utredningens förslag. Det är därmed möjligt att tillåta behandling av känsliga personuppgifter med stöd av undantaget för viktiga allmänna intressen i artikel 9.2 g i dataskyddsförordningen.

11.3.1 Krav på skyddsåtgärder

Utredningen har i avsnitt 7.2.3 gjort bedömningen att analys- och uppföljningsarbetet vid Myndigheten för vård- och omsorgsanalys utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. En reglering av ett undantag med stöd av artikel 9.2 g i dataskyddsförordningen ska omfatta bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Någon exemplifiering av utformningen av sådana åtgärder, som säkerställer den registrerades grundläggande rättigheter och intressen, finns inte i dataskyddsförordningen.

SOU 2018:52 Känsliga personuppgifter

201

Viss vägledning om vilka faktorer som bör beaktas vid bedömningen av lämpliga skyddsåtgärder kan dock hämtas i artikel 32 i dataskyddsförordningen. Av den artikeln framgår att lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska vidtas. De åtgärder som kan vara aktuella att vidta kan bl.a. innefatta pseudonymisering, kryptering samt säkerställande av konfidentialitet, integritet, tillgänglighet och motståndskraft. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför. Hur sannolik och allvarlig risken är bör, enligt skäl 76 till dataskyddsförordningen, fastställas utifrån en objektiv bedömning med beaktande av behandlingens art, omfattning, sammanhang och ändamål.

I registerförfattningar finns det ofta bestämmelser om vad som kan betecknas som säkerhetsåtgärder eller skyddsåtgärder. Som exempel kan nämnas bestämmelser om en databas som reglerar vilka personuppgifter som får göras mera allmänt tillgängliga i den aktuella verksamheten, tilldelning och begränsning av behörighet, loggkontroll, hur och under vilka förutsättningar elektroniskt utlämnande får ske, sökbegränsningar, kryptering, pseudonymisering samt samtycke som krav för en viss åtgärd.

Det finns inte något som tyder på att kravet i artikel 9.2 g i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen skulle innebära något annat än kravet på lämpliga skyddsåtgärder enligt dataskyddsdirektivet. Vidare har Forskningsdatautredningen gjort bedömningen att etikprövning enligt etikprövningslagen utgör en sådan lämplig och särskild åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs vid behandling av känsliga personuppgifter för forskningsändamål enligt artikel 9.2 j i dataskyddsförordningen. I ett remitterat utkast till lagrådsremiss om behandling av personuppgifter för forskningsändamål görs samma bedömning.3 Undantaget för behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse enligt arti-

3 Utkast till lagrådsremiss dnr U2018/01639/F s. 68 ff.

Känsliga personuppgifter SOU 2018:52

202

kel 9.2 g i dataskyddsförordningen innehåller samma krav på skyddsåtgärder. En prövning enligt etikprövningslagen får mot denna bakgrund anses uppfylla även kravet på lämpliga och särskilda åtgärder enligt artikel 9.2 g i dataskyddsförordningen.

Utredningen har i avsnitt 10.3.3, som alternativ till en etikprövning av den redan etablerade etikprövningsorganisationen, föreslagit att ett annat särskilt organ för prövning av etiska frågor kan göra den prövning av myndighetens analysprojekt som utredningen föreslår. Organet ska vara en annan statlig myndighet eller vara knutet till en annan statlig myndighet än Myndigheten för vård- och omsorgsanalys och ha företrädare för såväl det allmänna som forskningen. Prövningen ska göras enligt en avvägningsnorm som utredningen redogör för i avsnitt 10.4.2. Avvägningsnormen innebär att det för godkännande krävs dels att behandlingen av personuppgifter i projektet är nödvändig, dels att samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Organet kan förena godkännandet med de villkor som behövs. Det är utredningens bedömning att även en sådan ordning uppfyller dataskyddsförordningens krav på skyddsåtgärder.

11.3.2 Krav på nödvändighet

För att behandling av känsliga personuppgifter ska vara tillåten enligt artikel 9.2 g i dataskyddsförordningen måste den också vara nödvändig av hänsyn till det viktiga allmänna intresset. Nödvändighetsbegreppet i artikel 9.2 g i dataskyddsförordningen får antas ha den unionsrättsliga innebörd som redovisas i avsnitt 7.1.3. Kravet på nödvändighet innebär inte att det måste vara omöjligt att utföra uppdraget om inte känsliga personuppgifter behandlas. Behandling av känsliga personuppgifter kan alltså anses nödvändig om den medför effektivitetsvinster, även om arbetsuppgiften skulle kunna utföras utan att personuppgifter behandlas på visst sätt. Om personuppgifter inte behövs för ett visst ändamål eller om ändamålet kan uppnås nästan lika enkelt och till nästan samma kostnad utan att personuppgifter behandlas, är nödvändighetskravet däremot inte uppfyllt och behandling av känsliga personuppgifter inte tillåten.

SOU 2018:52 Känsliga personuppgifter

203

I såväl avvägningsnormen i etikprövningslagen som den avvägningsnorm som utredningen föreslår i avsnitt 10.4.2, ingår ett krav på nödvändighet. Kravet på nödvändighet är avsett att ha samma innebörd som kravet på nödvändighet i dataskyddsförordningen.

11.3.3 Krav på proportionalitet

Nationell reglering som tillåter behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse måste vidare stå i proportion till det eftersträvade syftet och vara förenlig med det väsentliga innehållet i rätten till dataskydd. Syftet är i detta fall att Myndigheten för vård- och omsorgsanalys ska kunna utföra de analyser myndigheten har i uppdrag att göra. Behandling av känsliga personuppgifter bör därför endast vara tillåten när behovet av att behandla uppgifterna i detta syfte får anses väga över risken för intrång i den personliga integriteten. Myndigheten har som framgått behov av att kunna behandla vissa känsliga personuppgifter för att kunna utföra sitt uppdrag. Samtidigt innebär sådan behandling integritetsrisker. Dessa risker ska beaktas vid prövningen av den redan etablerade etikprövningsorganisationen eller av det särskilda organet för prövning av etiska frågor. Om riskerna väger över nyttan med analysen, kommer behandling således inte att få ske. Utredningen har därför i kapitel 16 gjort bedömningen att en reglering som innebär att myndigheten ges möjlighet till nödvändig behandling av känsliga personuppgifter efter en prövning av ett externt organ uppfyller regeringsformens krav proportionalitet. En sådan bestämmelse får därför även anses uppfylla proportionalitetskravet enligt artikel 9.2 g i dataskyddsförordningen. Regleringen bedöms också förenlig med det väsentliga innehållet i rätten till dataskydd.

Känsliga personuppgifter SOU 2018:52

204

11.4 Krav på etisk prövning för behandling av uppgifter om hälsa och personuppgifter som avslöjar etniskt ursprung utan samtycke

Utredningens förslag: Myndigheten för vård- och omsorgsanalys

får behandla känsliga personuppgifter bara

1. med de registrerades uttryckliga samtycken,

2. såvitt avser uppgifter om hälsa eller personuppgifter som av-

slöjar etniskt ursprung, om projektet har prövats och godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt av ett annat särskilt organ för prövning av etiska frågor.

Behandlingen enligt första punkten tillåts med stöd av artikel 9.2 a dataskyddsförordningen och behandlingen enligt andra punkten tillåts med stöd av artikel 9.2 g, h eller j i dataskyddsförordningen.

Projekt som innefattar behandling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung om färre än 100 personer behöver dock inte genomgå etisk prövning.

11.4.1 Behandling tillåts om det finns uttryckligt samtycke eller etikgodkännande

Som konstaterats i den inledande bedömningen (avsnitt 11.1) bör Myndigheten för vård- och omsorgsanalys få behandla känsliga personuppgifter bara med uttryckligt samtycke, då alla typer av känsliga personuppgifter får behandlas, eller efter godkännande vid en etisk prövning, då bara sådana typer av känsliga personuppgifter som myndigheten har ett särskilt behov av får behandlas. I andra fall bör myndigheten alltså i princip inte få behandla känsliga personuppgifter. Utredningen har i avsnitt 11.2 konstaterat att Myndigheten för vård- och omsorgsanalys har ett berättigat behov av att, utan stöd av samtycke, behandla bara uppgifter om hälsa och personuppgifter som avslöjar etniskt ursprung. Myndigheten bör alltså utan samtycke få behandla bara dessa typer av känsliga personuppgifter, under förutsättning att det projekt som behandlingen ingår i har godkänts vid en etisk prövning.

SOU 2018:52 Känsliga personuppgifter

205

Den föreslagna bestämmelsen förbjuder alltså för det första myndigheten att behandla känsliga personuppgifter i andra fall än som anges i bestämmelsen. Myndigheten får således, till följd av bestämmelsen, inte använda de möjligheter till behandling av känsliga personuppgifter som artikel 9 h och j i dataskyddsförordningen samt 3 kap. 5 och 7 §§ dataskyddslagen ger. Den föreslagna lagen gäller framför dataskyddslagen som är subsidiär (avsnitt 9.4.2). Dataskyddsförordningen hindrar, som anges i avsnitt 9.2, inte att medlemsstaterna i nationell rätt har mer restriktiva bestämmelser än enligt dataskyddsförordningen för sina egna myndigheters behandling av personuppgifter. Även artikel 6.2 och 6.3 i dataskyddsförordningen möjliggör som angetts i det avsnittet en precisering av vilka villkor som ska gälla för behandlingen. Det är därför möjligt att inskränka myndighetens möjligheter till behandling av känsliga personuppgifter i förhållande till vad som gäller i dag.

För det andra tillåter bestämmelsen myndigheten att behandla känsliga personuppgifter i de två fall som anges i bestämmelsen. Vid lagstiftning som kompletterar dataskyddsförordningen och utgör en uttrycklig tillåtelse att behandla känsliga personuppgifter är det vanligt att i lagtexten ange med stöd av vilken eller vilka bestämmelser i dataskyddsförordningen som tillåtelsen ges, dvs. var det ursprungliga rättsliga stödet för behandlingen finns. Utredningen anser att det som blivit vanligt bör följas, även om det tynger lagtexten, och har tagit med sådana hänvisningar till dataskyddsförordningen. Hänvisningarna är på det sätt som är brukligt av dynamisk karaktär, dvs. de avser vid var tid gällande lydelse av bestämmelsen, eftersom det rör sig om rena upplysningar.

För att definiera vilka kategorier av personuppgifter som är att anse som känsliga personuppgifter, bör det i bestämmelsen göras en hänvisning till artikel 9.1 i dataskyddsförordningen. En sådan hänvisning bör också vara av dynamisk karaktär, eftersom terminologin som används i nationell reglering som kompletterar dataskyddsförordningen lämpligen bör följa den begreppsutveckling som sker inom unionen, även vid en eventuell ändring av uttryckliga definitioner i dataskyddsförordningen. Om uttrycken etniskt ursprung eller hälsa i dataskyddsförordningen ändras eller tas bort, måste givetvis den föreslagna lagen ändras.

Känsliga personuppgifter SOU 2018:52

206

En bestämmelse om att myndigheten under vissa förutsättningar tillåts behandla känsliga personuppgifter utgör ett lagstöd enligt 2 kap. 20 § regeringsformen, vilket innebär att behandlingen får utföras även om den sker utan samtycke och innebär ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. Utredningen redovisar i kapitel 16 sin bedömning av tillåtligheten enligt 2 kap. 21 § regeringsformen av ett sådant lagstöd.

11.4.2 Undantag från kravet på etisk prövning

Behandling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung får alltså, enligt utredningens förslag, bara ske om behandlingen prövats och godkänts vid en etisk prövning. Den etiska prövningen innebär emellertid en sådan omgång och sådana kostnader att den bör reserveras för de fall av behandling av personuppgifter där det finns betydande integritetsrisker. Det är främst vid storskalig behandling som det finns sådana risker. Behandling som omfattar få registrerade innebär att risken för att det sker integritetsintrång generellt sett är mindre. Utredningen bedömer att det inte är nödvändigt med en extern etisk prövning om myndighetens projekt avser behandling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung om färre än 100 personer. Utredningen föreslår därför att kravet på etisk prövning inte ska gälla om behandlingen av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung i ett projekt avser färre än 100 personer. Behandlingen av känsliga personuppgifter får i sådana fall ske med stöd av bestämmelserna i dataskyddsförordningen och 3 kap. dataskyddslagen. Detta undantag från kravet på etisk prövning är inte ett sådant lagstöd som ger möjlighet till sådana betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

207

12 Lagöverträdelser

12.1 Behovet av att behandla uppgifter om lagöverträdelser

Behandling av uppgifter om lagöverträdelser (lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden) kan anses särskilt riskfylld. Sådan behandling är särreglerad i dataskyddsförordningen och brukar ofta regleras särskilt i registerförfattningar för myndigheter, trots att dessa utan särskilda restriktioner enligt dataskyddsförordningen får behandla sådana personuppgifter (jämför 3 kap. 8 § första stycket dataskyddslagen).

Myndigheten för vård- och omsorgsanalys bör således utan samtycke få behandla uppgifter om lagöverträdelser bara om myndigheten har ett behov av det och efter godkännande vid en etisk prövning (kapitel 10). Ett undantag från kravet på etikgodkännande bör dock göras för behandling som är av sådan mindre omfattning att den inte kan anses särskilt riskfylld. Av de skäl som framgår av avsnitt 10.2 behövs det inte några särskilda restriktioner när myndigheten kan stödja behandlingen av uppgifter om lagöverträdelser på de registrerades samtycken.

Myndigheten för vård- och omsorgsanalys har ett behov av att i vissa projekt behandla alla typer av uppgifter om lagöverträdelser. Sådana uppgifter är framför allt aktuella att behandla i samband med studier av socialtjänsten, men skulle också kunna förekomma i samband med undersökningar som rör hälso- och sjukvård. Behov kan exempelvis uppstå i studier avseende socialtjänstens arbete med unga lagöverträdare eller vårdpåföljder.

Lagöverträdelser SOU 2018:52

208

12.2 Krav på etisk prövning för behandling av uppgifter om lagöverträdelser utan samtycke

Utredningens förslag: Myndigheten för vård- och omsorgsana-

lys får behandla uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden i ett projekt bara

1. med de registrerades samtycken, eller

2. om projektet har prövats och godkänts av Etikprövnings-

myndigheten eller Överklagandenämnden för etikprövning alternativt av ett annat särskilt organ för prövning av etiska frågor.

Projekt som innefattar behandling av uppgifter om lagöverträdelser om färre än 100 personer behöver dock inte genomgå etisk prövning.

12.2.1 Behandling tillåts om det finns uttryckligt samtycke eller etikgodkännande

Som anges i avsnitt 7.3 får personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 10 i dataskyddsförordningen behandlas av en myndighet under förutsättning att det finns en rättslig grund för behandlingen. Detta framgår också av 3 kap. 8 § första stycket dataskyddslagen. Dataskyddsförordningen uppställer således inte, i likhet med den tidigare personuppgiftslagen, några särskilda krav för att sådana uppgifter ska få behandlas av en myndighet. Myndigheten för vård- och omsorgsanalys har alltså med stöd av dataskyddsförordningen och dataskyddslagen samma möjligheter att behandla uppgifter om lagöverträdelser som andra personuppgifter.

Uppgifter om lagöverträdelser är dock av så pass integritetskänsligt slag att det förekommer att även myndigheters behandling av sådana uppgifter begränsas i registerförfattningar.1 Uppgifterna har också ansetts så integritetskänsliga att etikprövning av forskning

1 Se t.ex. 114 kap. 12 § socialförsäkringsbalken och 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

SOU 2018:52 Lagöverträdelser

209

innefattande sådana uppgifter bör ske, oavsett om forskningen utförs av myndigheter eller enskilda. Utredningen anser därför, trots att det inte finns något krav på skyddsåtgärder enligt dataskyddsförordningen, att det är rimligt att även låta behandling av uppgifter om lagöverträdelser utan samtycke omfattas av det föreslagna kravet på godkännande vid en etisk prövning (kapitel 10). Därutöver bör myndigheten få behandla sådana personuppgifter med de registrerades samtycken.

Definitionen av vad som utgör uppgifter om lagöverträdelser är något snävare enligt dataskyddsförordningen än den som angavs i 21 § personuppgiftslagen. De huvudsakliga skillnaderna är att dataskyddsförordningens reglering inte omfattar uppgifter om friande brottmålsdomar och administrativa frihetsberövanden.2

Etikprövningslagen ska enligt 3 § tillämpas bl.a. på forskning som innefattar behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.3 Den vidare definitionen av personuppgifter om lagöverträdelser som gällde enligt personuppgiftslagen behölls således i etikprövningslagen när dataskyddsförordningen började tillämpas. För det fall Etikprövningsmyndigheten ska göra prövningen av projekt som bedrivs vid Myndigheten för vård- och omsorgsanalys bör den bestämmelse utredningen nu föreslår avseende behandling av uppgifter om lagöverträdelser stämma överens med etikprövningslagens reglering. Samma bedömning är relevant även om ett annat särskilt organ ska göra prövningen. Kravet på etisk prövning bör därför i fråga om uppgifter om lagöverträdelser omfatta samma personuppgifter som etikprövningslagen omfattar. Bestämmelsen bör således omfatta personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden.

Dataskyddsförordningen hindrar, som anges i avsnitt 9.2, inte att medlemsstaterna i nationell rätt har mer restriktiva bestämmelser än enligt dataskyddsförordningen för sina egna myndigheters behandling av personuppgifter. Även artikel 6.2 och 6.3 i dataskyddsförordningen möjliggör som angetts i det avsnittet en precisering av vilka villkor som ska gälla för behandlingen. Det är därför möjligt att låta

2 För en mer ingående analys av skillnaderna mellan bestämmelserna hänvisas till utredningens första betänkande, SOU 2017:66 s. 252 ff. 3 Utkast till lagrådsremiss dnr U2018/01639/F s. 11.

Lagöverträdelser SOU 2018:52

210

myndighetens behandling av uppgifter om lagöverträdelser utan samtycke omfattas av kravet på prövning av ett externt organ.

Den föreslagna bestämmelsen utgör ett lagstöd enligt 2 kap. 20 § regeringsformen vilket innebär att behandlingen får utföras även om den sker utan samtycke och innebär ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. I kapitel 16 redovisas utredningens bedömning av tillåtligheten enligt 2 kap. 21 § regeringsformen av ett sådant lagstöd.

12.2.2 Undantag från kravet på etisk prövning

Utredningen föreslår alltså att behandling av uppgifter om lagöverträdelser utan samtycke i ett projekt bara får ske om behandlingen prövats och godkänts vid en etisk prövning. Som utredningen konstaterat i avsnitt 11.4.1 bör den etiska prövningen reserveras för de fall av behandling av personuppgifter där det finns betydande integritetsrisker. Det är främst vid storskalig behandling som det finns sådana risker. Behandling som omfattar få registrerade innebär att risken för att det sker integritetsintrång generellt sett är mindre. Utredningen bedömer att det inte är nödvändigt med en extern etisk prövning om myndighetens projekt avser behandling av uppgifter om lagöverträdelser om färre än 100 personer. Utredningen föreslår därför att kravet på etisk prövning inte ska gälla om behandlingen av uppgifter om lagöverträdelser i ett projekt avser färre än 100 personer. Behandlingen av uppgifter om lagöverträdelser får i sådana fall ske med stöd av bestämmelserna i dataskyddsförordningen och 3 kap. dataskyddslagen. Detta undantag från kravet på etisk prövning är inte ett sådant lagstöd som ger möjlighet till sådana betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

211

13 Andra personuppgifter än känsliga personuppgifter och uppgifter om lagöverträdelser

13.1 Behovet av att behandla andra personuppgifter

I kapitel 11 och 12 föreslår utredningen att Myndigheten för vård- och omsorgsanalys ska få behandla vissa känsliga personuppgifter och uppgifter om lagöverträdelser utan samtycke i ett projekt om projektet har prövats och godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor. Mot bakgrund av myndighetens uppdrag inkluderar de flesta av myndighetens analys- och uppföljningsprojekt behandling av känsliga personuppgifter. Utöver känsliga personuppgifter och uppgifter om lagöverträdelser behöver dock även andra personuppgifter behandlas. Det kan röra sig om bl.a. socioekonomiska uppgifter om t.ex. utbildning, ekonomi, bidrag, sysselsättning och sysselsättningsgrad. Inom socialtjänsten behandlas exempelvis uppgifter om försörjningsstöd, som inte är känsliga enligt dataskyddsförordningens definition, även om de måste betraktas som integritetskänsliga ur ett mer allmänt perspektiv. Projekten kan även behöva inkludera demografiska uppgifter om t.ex. ålder, kön, bostadsuppgifter, civilstånd och familj, och socialförsäkringsuppgifter. Tillgång till en bred informationsbas kan i många fall utgöra en förutsättning för att myndigheten ska kunna genomföra projekt av god kvalitet och göra relevanta analyser.

Myndigheten kan, som utredningen konstaterar i avsnitt 7.1.4, behandla andra personuppgifter än känsliga personuppgifter direkt med stöd av dataskyddsförordningen. För behandling av sådana personuppgifter ställer dataskyddsförordningen inte upp något krav på stöd i nationell lag. Myndigheten måste dock, som framgår av

Andra personuppgifter än känsliga personuppgifter... SOU 2018:52

212

avsnitt 7.1.4, göra en bedömning av om behandlingen av personuppgifter är tillåten med hänsyn till 2 kap. 6 § andra stycket regeringsformen. Om myndigheten bedömer att personuppgifterna inte kan behandlas med stöd av samtycke och att en behandling skulle medföra ett betydande intrång i den personliga integriteten som innebär övervakning eller kartläggning av den enskildes personliga förhållanden, får personuppgifterna inte behandlas med stöd av dataskyddsförordningen. För att personuppgifterna ska kunna behandlas krävs då enligt 2 kap. 20 § regeringsformen stöd i (svensk) lag.

13.2 Behandling av andra personuppgifter i projekt som godkänts vid en etisk prövning

Utredningens förslag: När känsliga personuppgifter eller uppgif-

ter om lagöverträdelser, efter prövning och godkännande av en Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor, får behandlas i ett projekt får även andra personuppgifter behandlas utan de registrerades samtycken i det projektet.

Den prövning Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor ska göra ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd analys eller uppföljning. Undantag gäller om ett projekt innefattar flera klart avgränsade delprojekt, och bara något av dessa innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, se avsnitt 10.4.1 och 10.4.2. Huvudregeln är således att den prövande instansen ska göra en helhetsbedömning av Myndigheten för vård- och omsorgsanalys projekt. Den totala omfattningen av behandlingen av personuppgifter inom projektet kan ju få betydelse vid bedömningen av om behandlingen av personuppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. När det gäller de projekt som Myndigheten för vård- och omsorgsanalys bedriver är det dessutom ofta så att personuppgifterna behandlas integrerat med varandra, vilket innebär att det inte går att skilja ut den del som avser behandling av

SOU 2018:52 Andra personuppgifter än känsliga personuppgifter...

213

känsliga personuppgifter eller uppgifter om lagöverträdelser från behandlingen av övriga personuppgifter. Det är mot bakgrund av detta utredningens uppfattning att den etiska prövningen utgör en garanti för att samtlig behandling av personuppgifter, inte enbart behandlingen av känsliga personuppgifter och uppgifter om lagöverträdelser, inom ett godkänt projekt är välgrundad och proportionerlig. Har projektet vid den etiska prövningen ansetts så viktigt att det motiverar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, måste det rimligen vara befogat med hänsyn till projektets vikt att behandla även andra personuppgifter.

Utredningen föreslår därför en bestämmelse om att i de fall behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser i ett projekt har godkänts vid en prövning av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor får även andra personuppgifter behandlas i det projektet eller delprojektet. En sådan bestämmelse har stöd i artikel 6.1 e och 6.2 i dataskyddsförordningen.

Förslaget innebär att all behandling av personuppgifter i projekt eller delprojekt som godkänts vid en etisk prövning har ett lagstöd enligt 2 kap. 20 § regeringsformen som innebär att behandlingen får utföras även om den sker utan samtycke och innebär ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. I kapitel 16 redovisas utredningens bedömning av tillåtligheten enligt 2 kap. 21 § regeringsformen av ett sådant lagstöd.

Information om att myndigheten planerar att behandla andra personuppgifter ska naturligtvis ha ingått i det underlag som varit föremål för etisk prövning. Om det efter att godkännande lämnats uppstår ett behov av att behandla ytterligare personuppgifter får myndigheten, liksom vid andra förändringar av förutsättningarna för projektet, överväga om en ny prövning av projektet behöver göras. När det gäller etikprövning enligt etikprövningslagen behöver en ny ansökan enligt motivuttalanden göras om förändringarna av projektet är väsentliga.1 Motsvarande bör gälla vid prövning av ett annat särskilt organ för prövning av etiska frågor.

Andra personuppgifter än känsliga personuppgifter... SOU 2018:52

214

13.3 Utvidgad möjlighet till etisk prövning av projekt som endast innefattar andra uppgifter

Utredningens förslag: Om ett projekt endast ska innefatta be-

handling av andra personuppgifter än känsliga personuppgifter eller uppgifter om lagöverträdelser får personuppgifterna, om myndigheten bedömer att projektet inte kan genomföras på grund av 2 kap. 6 § andra stycket regeringsformen, behandlas om projektet har prövats och godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor.

Även om många projekt inkluderar behandling av känsliga personuppgifter, är det inte uteslutet att Myndigheten för vård- och omsorgsanalys även har projekt som innefattar behandling enbart av sådana personuppgifter som inte är känsliga eller uppgifter om lagöverträdelser. Det skulle t.ex. kunna röra sig om en undersökning som kartlägger privatekonomi och andra levnadsomständigheter för personer som beviljats ekonomiskt bistånd. Det är inte heller omöjligt att analysarbetet i ett enskilt projekt medför en så omfattande behandling av personuppgifter att det med hänsyn till den stora mängden personuppgifter, uppgifternas integritetskänsliga karaktär och ett behov av att koppla samman personuppgifterna, får anses innebära en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. Sådan behandling är inte tillåten utan samtycke eller lagstöd enligt 20 § i samma kapitel. Det kan också förutsättas att all behandling av personuppgifter i projekt, som medför så omfattande behandling av personuppgifter att den får anses innebära en kartläggning av enskildas personliga förhållanden och ett betydande intrång i den personliga integriteten, inte kan ske med stöd av samtycke. I ett sådant fall krävs lagstöd enligt 2 kap. 20 § regeringsformen för att behandlingen ska vara tillåten.

Utredningen gör bedömningen att behandling utan samtycke av personuppgifter som inte omfattas av dataskyddsförordningens definition av känsliga personuppgifter och inte heller utgör uppgifter av lagöverträdelser inte kan tillåtas generellt (se avsnitt 9.1 och 10.1). Det är inte möjligt att för myndighetens verksamhet fastställa tillräckligt

SOU 2018:52 Andra personuppgifter än känsliga personuppgifter...

215

avgränsade och förutsägbara ändamålsbestämmelser för att all behandling av personuppgifter utan samtycke för vissa angivna ändamål ska kunna tillåtas. I stället föreslår utredningen i avsnitt 14.2.5 att myndigheten för varje enskilt projekt ska fastställa ändamålet för behandlingen. I samband med detta måste myndigheten också avgöra omfattningen av behandlingen och utifrån detta bedöma om den är tillåten i förhållande till 2 kap. 6 § andra stycket regeringsformen. Följden av denna reglering är att om myndigheten bedömer att behandlingen av personuppgifter står i strid med 2 kap. 6 § andra stycket regeringsformen, krävs lagstöd för att behandlingen ska vara tillåten.

Utredningen föreslår, med hänsyn till svårigheterna att på förhand fastställa tillräckligt tydliga ändamål för myndighetens behandling av personuppgifter, att även projekt som endast medför behandling av personuppgifter som varken är känsliga eller uppgifter om lagöverträdelser ska kunna prövas av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor om behandlingen, enligt myndighetens bedömning, inte är tillåten enligt 2 kap. 6 § andra stycket regeringsformen. Om projektet godkänns vid prövningen, ska behandlingen enligt förslaget vara tillåten. Bestämmelsen har stöd i artikel 6.1 e och 6.2 i dataskyddsförordningen. Den föreslagna bestämmelsen utgör ett sådant lagstöd som avses i 2 kap. 20 § regeringsformen. I kapitel 16 redovisas utredningens bedömning av tillåtligheten enligt 2 kap. 21 § regeringsformen av ett sådant lagstöd.

Behovet av att i ett projekt utföra omfattande behandling av personuppgifter, som träffas av 2 kap. 6 § andra stycket regeringsformen, utan att projektet förutsätter behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, lär i praktiken dock uppstå ytterst sällan. Möjligheten att ansöka om prövning för dylika projekt skulle således vara aktuell enbart i fall där integritetsskyddsintresset tydligt står på spel.

I utkastet till lagrådsremiss om behandling av personuppgifter för forskningsändamål dras slutsatsen att kravet på etikprövning i etikprövningslagen inte bör utvidgas från att som i dag endast omfatta behandling av känsliga personuppgifter och uppgifter om lagöverträdelser till att gälla all behandling av personuppgifter för forskningsändamål.2 I utkastet togs dock endast ställning till en bred utvidgning

2 Se utkast till lagrådsremiss dnr U2018/01639/F s. 72. f.

Andra personuppgifter än känsliga personuppgifter... SOU 2018:52

216

omfattande all behandling av personuppgifter för forskningsändamål. Möjligheterna att göra en begränsad utvidgning till vissa särskilt angivna situationer där intresset av att skydda den personliga integriteten är särskilt tydligt övervägdes inte. I det här fallet skulle prövningen omfatta även behandling av personuppgifter som enligt legaldefinitionen visserligen inte är känsliga eller uppgifter om lagöverträdelser, men ändå så omfattande och gällande så integritetskänsliga personuppgifter att behandlingen bedöms medföra ett betydande intrång i den personliga integriteten. I det remitterade utkastet till lagrådsremiss om behandling av personuppgifter för forskningsändamål anförs att behandling av andra personuppgifter än känsliga personuppgifter eller personuppgifter om lagöverträdelser i tidigare lagstiftningssammanhang har bedömts inte vara av särskilt integritetskänslig karaktär. Det framhålls dock att en sådan uppfattning i viss mån kan vara subjektiv. Vad någon uppfattar som integritetskänsligt kan någon annan uppfatta som helt oproblematiskt. En större mängd uppgifter som var och en för sig är av mindre integritetskänslig karaktär kan samlade innebära en ökad integritetsrisk för den registrerade. Med en så vid definition av personuppgift som framgår av dataskyddsförordningen kan alla olika slags personuppgifter graderas på en skala från mycket integritetskänsliga till i det närmaste helt utan integritetsmässig risk att behandla. Dataskyddsförordningens kategoriseringar avseende känsliga personuppgifter och personuppgifter om lagöverträdelser är enligt utkastet rimliga och lämpliga avgränsningar för vad som generellt kan karaktäriseras som sådana integritetskänsliga personuppgifter som kräver ett ökat skydd.3

Den bestämmelse som utredningen här föreslår skulle omfatta behandling av personuppgifter som är närliggande sådan behandling av personuppgifter som enligt förslaget i övrigt ska omfattas av kravet på etisk prövning. Utredningen bedömer det därför motiverat att införa en möjlighet att ansöka om en etisk prövning för behandling av personuppgifter i ett projekt som inte innefattar känsliga personuppgifter eller uppgifter om lagöverträdelser om Myndigheten för vård- och omsorgsanalys bedömer att projektet inte kan genomföras på grund av 2 kap. 6 § andra stycket regeringsformen.

3SOU 2017:50 s. 348 och utkast till lagrådsremiss dnr U2018/01639/F s. 72 f.

217

14 Skyddsåtgärder

14.1 Krav på skydds- eller säkerhetsåtgärder

14.1.1 Regleringen i dataskyddsförordningen

Om personuppgifter hanteras felaktigt eller det inträffar driftstörningar, sabotage, obehörig åtkomst till personuppgifter eller liknande kan det få till följd att personuppgifterna förstörs, förändras eller sprids till obehöriga. Ju fler uppgifter som behandlas och ju känsligare uppgifterna är desto större är som regel riskerna. Dessa risker för de registrerade kan minskas genom att olika skydds- eller säkerhetsåtgärder vidtas.

I dataskyddsförordningen används begreppen skyddsåtgärd och säkerhetsåtgärd. Det är inte helt klart vad skillnaden kan vara mellan begreppen. Skyddsåtgärder verkar vara ett vidare begrepp som innefattar säkerhetsåtgärder, vilka beskrivs som tekniska och organisatoriska åtgärder, och dessutom vissa andra åtgärder. Av artikel 5.1 f i dataskyddsförordningen framgår att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (principen om integritet och konfidentialitet). Det är den personuppgiftsansvarige som ansvarar för säkerheten och som, enligt artikel 24 i dataskyddsförordningen, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Dessa åtgärder ska ses över och uppdateras vid behov. De tekniska och organisatoriska åtgärderna ska enligt artikel 25 i dataskyddsförordningen vara utformade för ett effektivt

Skyddsåtgärder SOU 2018:52

218

genomförande av dataskyddsprinciper, t.ex. principen om uppgiftsminimering i artikel 5, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen. Åtgärder ska vidtas både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen och genomföras med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. Som exempel på en åtgärd anges pseudonymisering. Med pseudonymisering avses enligt artikel 4 i dataskyddsförordningen behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

I artikel 32.1 i dataskyddsförordningen anges pseudonymisering återigen som eventuellt lämplig åtgärd att vidta. Därutöver anges kryptering av personuppgifter, förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident och ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet som eventuellt lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Åtgärderna ska vidtas med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. Vid bedömningen av lämplig säkerhetsnivå ska, enligt artikel 32.2 i dataskyddsförordningen särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

SOU 2018:52 Skyddsåtgärder

219

Den personuppgiftsansvarige är enligt artikel 32.4 i dataskyddsförordningen också skyldig att vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige. Undantag gäller dock om unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det. Att personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansvarige, alternativt med stöd av gällande rätt, framgår av artikel 29 i dataskyddsförordningen.

14.1.2 Reglering i den föreslagna lagen

Utredningens förslag: Lagens krav på skyddsåtgärder ska omfatta

all behandling av personuppgifter inom lagens tillämpningsområde.

Det är Myndigheten för vård- och omsorgsanalys som i egenskap av personuppgiftsansvarig ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen (artikel 24).1Myndigheten är också skyldig att vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under myndighetens överinseende behandlar personuppgifter endast på instruktion från myndigheten. Detsamma gäller om behandlingen av personuppgifter utförs av ett personuppgiftsbiträde. Undantag gäller dock om unionsrätten eller svensk rätt ålägger personen eller personuppgiftsbiträdet att behandla personuppgifterna (artikel 29 och 32.4 i dataskyddsförordningen).

Dataskyddsförordningens bestämmelser om krav på säkerhetsåtgärder är direkt tillämpliga. Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder enligt dataskyddsförord-

1 Utredningen gör i avsnitt 9.1 bedömningen att en särskild bestämmelse om att det är Myndigheten för vård- och omsorgsanalys som är personuppgiftsansvarig för den behandling myndigheten utför inte krävs.

Skyddsåtgärder SOU 2018:52

220

ningen upphör, kan dock mer specifika krav på skydds- eller säkerhetsåtgärder åläggas genom nationell lagstiftning (se avsnitt 9.2). I registerförfattningar finns det ofta bestämmelser med krav på olika former av åtgärder som kan betecknas som skydds- eller säkerhetsåtgärder. Som exempel kan nämnas bestämmelser om tilldelning och begränsningar av behörigheter, loggkontroller, sökbegränsningar, kryptering, pseudonymisering, samtycke som krav för en viss åtgärd samt bestämmelser om hur och under vilka förutsättningar personuppgifter får lämnas ut elektroniskt. Också bestämmelser på andra håll om sekretess och tystnadsplikt samt straff för den som bryter mot tystnadsplikten eller olovligen bereder sig tillgång till eller manipulerar personuppgifter kan betecknas som skydds- eller säkerhetsåtgärder.

Av avsnitt 6.5 framgår att personuppgifterna som behandlas i projekten hos Myndigheten för vård- och omsorgsanalys omfattas av stark s.k. statistiksekretess och tystnadsplikt.

Utredningen har redan i kapitel 10–12 föreslagit krav på prövning av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor som en förutsättning för att Myndigheten för vård- och omsorgsanalys ska få behandla bl.a. känsliga personuppgifter utan uttryckligt samtycke. Prövningen utgör, som anges i de kapitlen, en form av skyddsåtgärd som avser att utmynna i ett beslut som innebär att personuppgifterna får eller inte får behandlas utifrån vissa förutsättningar. Godkännandet kan också förenas med särskilda villkor som då måste följas. När ett projekt är godkänt och myndigheten kan inleda sin behandling av personuppgifter, måste myndigheten tillämpa den generella regleringen av skyddsåtgärder som finns i dataskyddsförordningen.

I följande avsnitt föreslår utredningen flera bestämmelser med krav på åtgärder som är avsedda att ytterligare minska de risker för den personliga integriteten som myndighetens behandling av personuppgifter medför. Skyddsåtgärderna bör gälla även sådan behandling som avser personuppgifter som inte är känsliga eller uppgifter om lagöverträdelser och inte heller bedöms strida mot grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen. Trots att myndigheten, i enlighet med vad utredningen har konstaterat i avsnitt 7.1.4, har stora möjligheter att behandla sådana personuppgifter med stöd av dataskyddsförordningen, får de föreslagna skyddsåtgärderna anses

SOU 2018:52 Skyddsåtgärder

221

lämpliga att tillämpa vid all behandling av personuppgifter som faller inom lagens tillämpningsområde. Skyddsåtgärderna bör därför gälla vid all behandling av personuppgifter i verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv.

14.2 Ändamålsbestämning för varje projekt

14.2.1 Krav på ändamålsbestämning

Personuppgifter ska enligt artikel 5.1 b i dataskyddsförordningen samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Av definitionen av begreppet personuppgiftsansvarig i artikel 4 i dataskyddsförordningen framgår att ändamålen och medlen för behandlingen ska bestämmas av den personuppgiftsansvarige. Det är också tillåtet att fastställa ändamål för behandling av personuppgifter i nationell rätt med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen. Enligt skäl 39 till dataskyddsförordningen bör de specifika ändamål som personuppgifterna behandlas för vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.

Ändamålsbestämningen är central vid behandling av personuppgifter. Exempelvis avgörs vilka personuppgifter som får behandlas utifrån fastställt ändamål – personuppgifter ska enligt artikel 5.1 c i dataskyddsförordningen vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Det register varje personuppgiftsansvarig ska föra över behandling som utförts under dess ansvar enligt artikel 30 i dataskyddsförordningen ska innehålla uppgift om ändamål med behandlingen. Samma sak gäller sådan information som ska lämnas till den registrerade enligt artikel 13–15 i dataskyddsförordningen. Även vid bedömning av rätt till rättelse, radering och begränsning av behandling enligt artikel 16–18 i dataskyddsförordningen görs avvägningar med beaktande av ändamålet med behandlingen. Behandlingens ändamål har också betydelse bl.a. för vad som är en lämplig säkerhetsnivå enligt artikel 32 i dataskyddsförordningen.

Skyddsåtgärder SOU 2018:52

222

Ändamålen i registerförfattningar delas ofta upp i primära och sekundära ändamål. De primära ändamålen reglerar behandlingen av de personuppgifter som behövs i den berörda myndighetens egen verksamhet medan de sekundära ändamålen reglerar i vilken utsträckning personuppgifter som behandlas för något av de primära ändamålen får behandlas för att lämnas ut till andra myndigheter eller till enskilda för att tillgodose mottagarnas behov.

Ändamål regleras oftast i lag och inte i förordning. Skälet till detta torde vara ändamålsbestämmelsernas centrala betydelse och överenskommelsen mellan riksdag och regering om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag, se avsnitt 3.5.3.

14.2.2 Generellt formulerade ändamål i registerförfattningar

Av artikel 5.1 b i dataskyddsförordningen framgår att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Motsvarande bestämmelser fanns tidigare i artikel 6.1 b i dataskyddsdirektivet och 9 § första stycket c personuppgiftslagen. Att ändamålen ska vara särskilda, dvs. inte alltför allmänt hållna, är således inget nytt utan det har man haft att förhålla sig till vid tillkomsten av de flesta registerförfattningarna. Trots detta är ändamålsbestämmelser i registerförfattningar ofta generellt formulerade. I många förarbeten anges att syftet med ändamålsbestämmelserna är att ange en yttersta ram inom vilken uppgifterna får behandlas.2

I syfte att begränsa den tillåtna ramen inom vilka personuppgifter får behandlas förekommer det att regeringen eller den myndighet som regeringen bestämmer ges möjlighet att föreskriva begränsningar i förhållande till lagens ändamålsbestämmelser. Exempel på detta är 6 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och 4 § tredje stycket studiestödsdatalagen (2009:287). I inget av fallen har delegationsbestämmelserna lett till några begränsningar av ändamålen.3 I förarbetena till lagen (2012:741) om behandling av personuppgifter vid Institutet

2 Se t.ex. prop. 1997/98:97 s. 121, prop. 2000/01:33 s. 99 och SOU 2006:82 s. 178. 3 Se 2 § förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, Arbetsmarknadsstyrelsens föreskrifter (AMSFS 2002:11) om tillämpningen av lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och studiestödsdataförordningen (2009:321).

SOU 2018:52 Skyddsåtgärder

223

för arbetsmarknads- och utbildningspolitisk utvärdering ansåg regeringen att ändamålen i den föreslagna lagen borde vara något mer allmänt hållna än uppdraget enligt myndighetens instruktion och att ändamålsbestämmelserna inte skulle vara knutna till de specifika ämnesområden som pekas ut i instruktionen. Lagen skulle annars behöva ändras vid varje justering i myndighetens uppdrag. Regeringen menade att det uppdrag som beskrivs i instruktionen i praktiken ändå kommer att snäva in ändamålen genom att det styr inom vilka ämnesområden institutet bedriver sina studier, uppföljningar och utvärderingar.4 Det förekommer också att det i förarbeten anges att det förutsätts eller krävs att den personuppgiftsansvariga myndigheten anger mer preciserade ändamål för specifika behandlingar inom den tillåtna ramen.5

Socialdatautredningen föreslog i det lagstiftningsarbete som föregick lagen (2001:454) om behandling av personuppgifter inom socialtjänsten att de närmare ändamålen skulle bestämmas av personuppgiftsansvarig myndighet.6 Regeringen ansåg dock att det var lämpligare att ange ett vidsträckt ändamål i lagen som innebär att personuppgifter får behandlas bara om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras.7 Ändamålen reglerades sedan närmare i förordning.

14.2.3 Registerförfattningar utan ändamålsbestämmelser

De vida ändamålen i registerförfattningar har enligt Informationshanteringsutredningen lett till en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilda bestämda ändamål respektive tillåtna rättsliga grunder för behandling. Informationshanteringsutredningen ansåg att det fanns en risk för att tillämparen godtog ett i författning bestämt allmänt ändamål som ett i och för sig särskilt och tillräckligt preciserat ändamål och därför drog den felaktiga slutsatsen att personuppgiftslagens krav var uppfyllda. Informationshanteringsutredningen menade därför att det kan ge ett i prak-

Skyddsåtgärder SOU 2018:52

224

tiken bättre integritetsskydd om den personuppgiftsansvarige är hänvisad enbart till att utifrån de då gällande grundläggande kraven i 9 § första stycket c personuppgiftslagen på eget ansvar formulera ändamål som är tillräckligt specifika för att ge ledning för vilka uppgifter som är adekvata och inte för många för den aktuella behandlingen.8

Förslaget har fått ett blandat mottagande. Datainspektionen framhöll i sitt remissvar att frågor om ändamålsreglering i omfattande myndighetsbaserade databaser är ett typexempel på sådant som omfattas av det förstärkta grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen. Att överlåta till regeringen och myndigheter att besluta om för vilka ändamål personuppgifter får hanteras i myndigheternas verksamheter anses av Datainspektionen strida mot grundlagsbestämmelsen. Andra remissinstanser ansåg att förslaget förenklade bedömningen av vilken behandling av personuppgifter som är tillåten.

Utredningen om 2016 års dataskyddsdirektiv har bedömt att det finns fog för Informationshanteringsutredningens uppfattning att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. En ändamålsbestämmelse bör enligt Utredningen om 2016 års dataskyddsdirektiv ge ledning för prövningen av vilka personuppgifter som är adekvata och relevanta för behandlingen. De primära ändamålsbestämmelserna i registerförfattningarna bedöms dock generellt sett inte ge någon egentlig ledning för prövningen av vilka personuppgifter som får behandlas. De utgör snarare den yttre ramen inom vilken de särskilda, uttryckliga och berättigade ändamålen med behandlingen i enskilda fall ska bestämmas. De primära ändamålsbestämmelserna anses dock i och för sig fylla en viktig funktion i och med att de sätter ramar för behandlingen av personuppgifter. De föreslås därför behållas samtidigt som det tydliggörs att bestämmelserna i fråga är en del av den rättsliga grunden. Den närmare innebörden av de tillåtna rättsliga grunderna i respektive myndighets registerförfattning måste uttolkas tillsammans med regleringen av arbetsuppgifterna.9 Vad gäller den föreslagna generella bestämmelsen om rättslig grund i brottsdatalagen

SOU 2018:52 Skyddsåtgärder

225

bedöms den, tillsammans med en bestämmelse om att personuppgifter ska behandlas för särskilda, uttryckligt angivna och berättigade ändamål, uppfylla kraven i 2016 års dataskyddsdirektiv10 på hur regleringen ska vara utformad.11

Enligt 14 § i den tidigare polisdatalagen (1998:622), som upphörde att gälla den 1 mars 2012, krävdes, för att personuppgifter skulle få behandlas i kriminalunderrättelseverksamhet, att en särskild undersökning hade inletts under ledning av Rikspolisstyrelsen eller en polismyndighet och att det fanns anledning att anta att allvarlig brottslighet hade utövats eller kunde komma att utövas. Enligt 15 § samma lag skulle polismyndighetens eller Rikspolisstyrelsens beslut om behandling av personuppgifter enligt 14 § innehålla uppgifter om ändamålet med behandlingen och de villkor i övrigt som behövdes för att förebygga otillbörligt intrång i de registrerades personliga integritet. Något ändamål för behandling av personuppgifter inom just kriminalunderrättelseverksamheten föreskrevs således inte i lagen utan ändamål för behandlingen av personuppgifter angavs i särskilda beslut. Begränsningen av polisens möjligheter att behandla personuppgifter i underrättelseverksamhet och kravet på särskilt beslut om ändamål och andra villkor för behandlingen motiverades med en oro för en utveckling som leder till otillbörliga intrång i den personliga integriteten.12

Förslaget till brottsdatalag innehåller i 2 kap. 3 § en ändamålsbestämmelse, som innebär att personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning.13 I likhet med utredningen om 2016 års dataskyddsdirektiv anser regeringen att det finns fog för Informationshanteringsutredningens uppfattning att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman.14 Det är därför

10 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 11SOU 2017:29 s. 244. 12SOU 1997:65 s. 221 f. och prop. 1997/98:97 s. 121. 13Prop. 2017/18:232 s. 16. Lagen föreslås träda i kraft den 1 augusti 2018. 14Prop. 2017/18:232 s. 115.

Skyddsåtgärder SOU 2018:52

226

lämpligt att det görs tydligare skillnad mellan bestämmelser om rättslig grund och ändamålsbestämmelser. I propositionen konstateras vidare att den omständigheten att viss behandling är rättsligt grundad inte innebär att vilka personuppgifter som helst får behandlas eller att det får göras på valfritt sätt.15 Den personuppgiftsansvarige måste också iaktta övriga krav som gäller för behandling av personuppgifter. I artikel 4.1 b i direktivet anges bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Liknande reglering finns i artikel 6.1 b i 1995 års dataskyddsdirektiv, som har genomförts genom 9 § första stycket c i personuppgiftslagen. En liknande bestämmelse bör, enligt propositionen, tas in i brottsdatalagen. Att ändamålen ska vara särskilda innebär att de måste vara tillräckligt specificerade för att ge ledning för bedömningen av vilka uppgifter som är adekvata och relevanta för den aktuella behandlingen och för att det ska kunna avgöras att inte för många uppgifter behandlas. Något hinder mot att ange flera parallella ändamål för behandlingen finns inte. Ändamålen ska anges uttryckligen redan när personuppgifterna samlas in. Att ändamålen ska vara berättigade innebär enligt regeringens mening en koppling till den rättsliga grunden. Personuppgifter får således inte behandlas för ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden. Kravet på att ändamålet för behandlingen ska vara berättigat kan också sägas innebära ett krav på att behandlingen ska vara förenlig med konstitutionella och andra rättsliga principer. Genom att det i stor utsträckning är reglerat vilken behandling av personuppgifter som kan aktualiseras på området för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet har lagstiftaren redan tagit ställning till att behandlingen av personuppgifter är berättigad i de fallen. Det är dock inte bara när personuppgifter samlas in som det ska finnas ett särskilt, uttryckligt angivet och berättigat ändamål för behandlingen. Varje åtgärd som vidtas med insamlade uppgifter ska naturligtvis också uppfylla de kraven. I brottsdatalagen bör det därför tydliggöras att all behandling ska utföras för särskilda, uttryckligt angivna och berättigade ändamål.

Vidare anförs i propositionen att det i artikel 8.2 i 2016 års dataskyddsdirektiv anges att nationell rätt åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas

SOU 2018:52 Skyddsåtgärder

227

och behandlingens ändamål. Uttrycken ”syftet med behandlingen” och ”behandlingens ändamål” används ofta synonymt när man diskuterar behandling av personuppgifter. Frågan är om det finns någon saklig skillnad mellan uttrycken. I den engelska språkversionen av direktivet används uttrycken ”objectives of processing” och ”purposes of the processing”. Orden objectives och purposes är också synonymer. Användningen av obestämd form i det första uttrycket men bestämd form i det senare kan tolkas som att det första uttrycket avser bestämmelser om rättslig grund (brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet), medan det andra avser ändamålen för behandlingen i det enskilda fallet. Om någon skillnad är avsedd, är det enligt regeringens mening den enda rimliga tolkningen. Regeringen anser därmed att den föreslagna generella bestämmelsen om rättslig grund i ramlagen, tillsammans med bestämmelsen om att personuppgifter ska behandlas för särskilda, uttryckligt angivna och berättigade ändamål, uppfyller kraven i 2016 års dataskyddsdirektiv på hur regleringen ska vara utformad.

I propositionen konstateras också att det oftast framgår av sammanhanget för vilket ändamål personuppgifter behandlas (t.ex. för förundersökningen om ett visst brott, handläggningen av ett visst mål eller ärende eller verkställigheten av ett visst straff). Behovet av att upplysa om för vilka ändamål personuppgifter behandlas gör sig framför allt gällande i den del av den brottsbekämpande verksamheten där det långtifrån alltid framgår av omständigheterna för vilket ändamål personuppgifter behandlas, t.ex. i underrättelseverksamheten. Det bör finnas möjlighet att kunna kontrollera för vilket eller vilka ändamål personuppgifter behandlas oavsett i vilken verksamhet det görs. Det underlättar både för den enskilde och för tillsynsmyndigheten om ändamålet är tydligt. Om det ändamål för vilket personuppgifter behandlas inte framgår av sammanhanget eller på annat sätt, bör det därför tydliggöras genom en särskild upplysning. En bestämmelse om det bör, enligt propositionen, tas in i brottsdatalagen.

Skyddsåtgärder SOU 2018:52

228

14.2.4 Finalitetsprincipen

Av artikel 5.1 b i dataskyddsförordningen framgår att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in, samt att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. Principen som kommer till uttryck i artikeln brukar kallas finalitetsprincipen.

I artikel 6.4 i dataskyddsförordningen anges vilken bedömning den personuppgiftsansvarige ska göra för att fastställa om en vidarebehandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. Den personuppgiftsansvarige ska beakta kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige, personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 i dataskyddsförordningen eller huruvida personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas i enlighet med artikel 10 i dataskyddsförordningen, eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen samt förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Av skäl 50 till dataskyddsförordningen framgår att vid behandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs.

14.2.5 Överväganden

Utredningens förslag: Myndighetschefen ska besluta om särskil-

da ändamål för behandlingen av personuppgifter i varje projekt. Utan ett sådant beslut får personuppgifter inte behandlas i uppföljnings- och analysverksamheten. Beslutet ska offentliggöras på lämpligt sätt.

SOU 2018:52 Skyddsåtgärder

229

För att personuppgifter som har samlats in för ett beslutat ändamål i ett projekt ska få behandlas för ett annat ändamål, krävs att myndighetschefen har beslutat om det.

Beslut om ändamålen

Utredningen konstaterar att ändamålsbestämningen är central vid all behandling av personuppgifter. Att fastställa vilka ändamål som är tillåtna – och därmed utesluta möjligheten att behandla personuppgifter för andra ändamål – hindrar den personuppgiftsansvarige från att behandla personuppgifter på ett sätt som inte är avsett och innebär därmed en begränsning av risken för intrång i den personliga integriteten. Ändamålen är också avgörande bl.a. för vilka personuppgifter som får behandlas.

För att det ska gå att bedöma vilka personuppgifter som är relevanta och adekvata att behandla för ett visst ändamål, måste dock ändamålet vara tillräckligt specifikt för att ge ledning för den bedömningen. Myndigheten för vård- och omsorgsanalys uppdrag, som avser uppföljningar och analyser av hälso- och sjukvård, tandvård och omsorg, är mycket brett. För att myndigheten ska kunna utföra sitt uppdrag krävs att den har möjlighet att behandla alla möjliga olika slags personuppgifter för vitt skilda ändamål. Det är väldigt svårt, eller omöjligt, att i författning konkretisera dessa ändamål utan att de blir för vida och oprecisa. Motsvarande svårigheter har funnits vid tidigare lagstiftningsarbeten.

Utredningen gör bedömningen att det inte är möjligt att för myndighetens verksamhet i lag fastställa tillräckligt avgränsade och förutsägbara ändamål för den behandling av personuppgifter som bör vara tillåten. Sådana bestämmelser skulle bli alltför oprecisa och därmed också innebära oproportionerliga undantag från rätten till skydd mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen.

I stället för att ange ändamål som utgör en ram för behandlingen och snarare är en del av den rättsliga grunden än ett preciserat ändamål, föreslår utredningen att myndigheten på egen hand ska ange särskilda ändamål för behandlingen av personuppgifter i varje projekt i uppföljnings- och analysverksamheten. Myndigheten har då möjlighet att bestämma ett väl avgränsat och preciserat ändamål för

Skyddsåtgärder SOU 2018:52

230

varje enskilt projekt. Ett ändamål kan för ett projekt vara att göra en koncentrerad analys av en viss problemställning med en tydlig avgränsning i tid och för ett annat projekt att följa vissa individer och göra en jämförelse över tid.

Utredningen föreslår också att ändamålsbestämningen ska ske i form av ett beslut. Det är lämpligt att beslutanderätten läggs på en så hög nivå som möjligt i myndigheten. Därför bör det vara den myndighetschef som ska finnas enligt myndighetens instruktion som ska fatta beslutet. Genom en formaliserad hantering och ett krav på ett särskilt beslut av myndighetschefen, skapas goda förutsättningar för att ändamålsbestämningen föregås av en noggrann behovs- och proportionalitetsanalys.

För att personuppgifter ska få behandlas i ett projekt i verksamheten med uppföljning och analys krävs således att det har fattats ett beslut om ändamål för behandlingen. Det beslutet ska också innehålla ett ställningstagande till vilka kategorier av personuppgifter som får behandlas om vilka kategorier av personer, se avsnitt 14.3. Även när behandlingen måste prövas av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor krävs ett sådant beslut.

Beslutet om ändamål m.m. bör vidare offentliggöras av myndigheten på lämpligt sätt, t.ex. genom att innehållet i beslutet publiceras på myndighetens webbsida. På så sätt kan allmänheten ta del av information om de behandlingar av personuppgifter som myndigheten företar. En registrerad bereds därmed också möjlighet att invända mot behandling av sådana personuppgifter som avser honom eller henne (se avsnitt 14.4). Dessutom kan andra intresserade få reda vilka analys- och uppföljningsändamål som myndigheten arbetar med. Bestämmelsen om offentliggörandet är dock bara av ordningskaraktär och ett åsidosättande av den innebär inte att behandlingen enligt beslutet strider mot den föreslagna lagen och kan föranleda skadestånd. Bestämmelsen kan med stöd av 8 kap. 7 § regeringsformen lämpligen tas in i en förordning i anslutning till den föreslagna lagen.

Det bör noteras att myndigheten, i samband med ändamålsbestämningen, även måste ta ställning till om en konsekvensbedömning avseende dataskydd behöver upprättas. Av artikel 35.1 i dataskyddsförordningen framgår att om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk

SOU 2018:52 Skyddsåtgärder

231

för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker. En konsekvensbedömning krävs enligt 35.3 i dataskyddsförordningen särskilt bl.a. vid behandling i stor omfattning av känsliga uppgifter eller uppgifter om lagöverträdelser. Om en konsekvensbedömning visar att behandlingen skulle leda till en hög risk om inte åtgärder vidtas för att minska risken, ska myndigheten enligt artikel 36 i dataskyddsförordningen dessutom samråda med tillsynsmyndigheten före behandling.

Beslut om återanvändning av personuppgifter

Personuppgifter som har samlats in för ett visst ändamål i ett projekt får användas i ett annat projekt bara om det är förenligt med tillämpliga regler. Det är långt ifrån självklart att personuppgifter som redan finns hos myndigheten i ett projekt kan användas i andra projekt. Behandlingen av personuppgifterna i det andra projektet måste t.ex. vara förenlig med det ursprungliga ändamålet i enlighet med finalitetsprincipen i artikel 5.1 b i dataskyddsförordningen. Bedömningen av förenligheten ska göras, i enlighet med vad som framgår av artikel 6.4 i dataskyddsförordningen, med beaktande av kopplingar mellan ändamålen, sammanhanget inom vilket personuppgifterna har samlats in och särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige, personuppgifternas art – om det rör sig om känsliga personuppgifter eller uppgifter om lagöverträdelser, eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen och förekomsten av lämpliga skyddsåtgärder.

Om det rör sig om känsliga personuppgifter, uppgifter om lagöverträdelser eller en så stor omfattning av personuppgifter att de tillsammans medför en kartläggning av de registrerade och ett betydande intrång i deras personliga integritet, kan behandlingen av personuppgifterna dessutom behöva prövas av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor innan personuppgifterna kan användas för nya ändamål i ett annat projekt, om det inte finns ett samtycke som omfattar det nya ändamålet.

Skyddsåtgärder SOU 2018:52

232

Det kan också finnas behov av att justera tidigare beslutade ändamål i ett befintligt projekt. För att personuppgifter som redan samlats in för ett visst ändamål ska få behandlas för ett nytt ändamål, krävs att behandlingen inte är oförenlig med det ursprungliga ändamålet. Även när ändamålet ändras i ett och samma projekt är alltså finalitetsprincipen tillämplig. Om justeringen av ändamålet är väsentlig, kan det dessutom krävas en ny prövning av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor.

Vid behandling av personuppgifter för ett nytt ändamål, ska behandlingen – på samma sätt som vad som föreslås gälla i fråga om den ursprungliga ändamålsbestämningen och av samma skäl – föregås av ett formaliserat beslut. För att personuppgifter som har samlats in för ett särskilt beslutat ändamål i ett projekt ska få behandlas i ett annat projekt eller för andra ändamål i övrigt, bör således krävas att myndighetschefen har beslutat om det. Om personuppgifterna ska behandlas i ett nytt projekt, måste myndighetschefen förstås också fatta ett sådant beslut om ändamål m.m. som tidigare nämnts för det nya projektet.

Enligt artikel 5.1 b i dataskyddsförordningen ska ytterligare behandling för bl.a. statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen inte anses vara oförenlig med de ursprungliga ändamålen. Med statistiska ändamål avses varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat (skäl 162). Ett statistiskt ändamål innebär, enligt samma skäl, att resultatet av behandlingen inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller personuppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person. Som utredningen konstaterar i avsnitt 7.2.5 och 17.3 kan stora delar av den analysverksamhet som Myndigheten för vård och omsorgsanalys ägnar sig åt anses motsvara statistisk verksamhet. Ytterligare behandling av personuppgifter i sådan verksamhet hos Myndigheten för vård- och omsorgsanalys ska således som huvudregel anses vara förenlig med de ändamål som personuppgifterna ursprungligen behandlades för. Det kan argumenteras för att det inte skulle krävas ett särskilt beslut av myndighetschefen i sådana fall. Utredningen bedömer dock att det är lämpligt med enhetliga regler och att det därför ska krävas ett

SOU 2018:52 Skyddsåtgärder

233

beslut av myndighetschefen för att personuppgifter som har samlats in för ett beslutat ändamål i ett projekt ska få behandlas för ett annat ändamål, även om den ytterligare behandlingen ska ske för statistiska ändamål.

14.3 Personuppgifter som får behandlas

Utredningens förslag: För varje projekt i uppföljnings- och

analysverksamheten ska myndighetschefen besluta om vilka kategorier av personuppgifter som får behandlas om vilka kategorier av personer. Utan ett sådant beslut får personuppgifter inte behandlas. Beslutet ska offentliggöras på lämpligt sätt.

Personuppgifter ska enligt artikel 5.1 c i dataskyddsförordningen vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Denna princip om uppgiftsminimering begränsar den tillåtna behandlingen av personuppgifter till att avse endast de personuppgifter som behövs för att uppnå ändamålet med behandlingen. Det är den personuppgiftsansvarige som ska se till att behandlingen av personuppgifter inte omfattar fler personuppgifter än nödvändigt.

Myndigheten för vård- och omsorgsanalys fastställer inför varje projekt ett projektdirektiv och en projektplan med en detaljerad beskrivning av bl.a. syfte, mål, frågeställningar, omfattning, avgränsningar, bakgrund, intressenter, samverkan och beroenden till andra projekt, metod och beskrivning av datainsamling, aktivitets- och tidsplan, juridiska och etiska aspekter samt riskanalys (se avsnitt 4.2.2). Redan tidigt i arbetet bör därför myndigheten kunna fastställa inte bara ändamålet för behandlingen av personuppgifter utan även vilka kategorier av personuppgifter om vilka kategorier av personer som är relevanta och adekvata att behandla. För att Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor ska kunna göra en prövning av projektet behöver myndigheten dessutom på ett tidigt stadium tydliggöra vilka personuppgifter som myndigheten ser behov av att kunna behandla.

Skyddsåtgärder SOU 2018:52

234

Utredningen har i avsnitt 14.2 föreslagit att Myndigheten för vård- och omsorgsanalys ska fatta ett formaliserat beslut om särskilda ändamål för behandlingen av personuppgifter i varje projekt i uppföljnings- och analysverksamheten. I syfte att skapa en tydlig ram för behandlingen av personuppgifter föreslår utredningen att myndigheten, utöver att fastställa ett ändamål för behandlingen av personuppgifter, även ska besluta om vilka personuppgifter som ska behandlas om vilka personer inom ramen för projektet. Det behöver inte framgå exakt vilka personuppgifter eller personer det rör sig om utan det räcker med en angivelse på kategorinivå, t.ex. uppgifter om födelseår, kön och utbildningsnivå rörande personer med en viss diagnos, bosatta inom ett visst län. Beslutet bör, i likhet med beslutet om ändamål, fattas av myndighetschefen. Lämpligen fattas ett enda beslut om ändamål och kategorier för varje projekt.

På samma sätt som föreslås gälla i fråga om beslutet om ändamål, bör beslutet om vilka kategorier av personuppgifter som behöver behandlas om vilka kategorier av personer offentliggöras, exempelvis genom att beslutets innehåll publiceras på myndighetens webbsida. Genom beslutet blir behandlingen av personuppgifter tydlig, begränsad och förutsebar och genom offentliggörandet skapas transparens.

14.4 Behandling som den registrerade invänder mot

Utredningens bedömning: Det finns inget behov av en särskild

bestämmelse som anger vad som ska gälla om den registrerade invänder mot behandling av personuppgifter.

Den registrerade ska, enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (allmänt intresse respektive myndighetsutövning) eller f (intresseavvägning) i dataskyddsförordningen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna om denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter eller friheter

SOU 2018:52 Skyddsåtgärder

235

eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

Myndigheten för vård- och omsorgsanalys behandlar som regel personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen (se avsnitt 7.1.3). Den registrerade har alltså enligt den direkt tillämpliga dataskyddsförordningen rätt att invända mot sådan behandling.

Flera författningar som styr behandlingen av personuppgifter vid myndigheter som utför analyser och utvärderingar, innehåller bestämmelser om att den enskilde inte ska kunna motsätta sig behandling av personuppgifter. Exempel på sådana bestämmelser är 2 a § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, 2 a § lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen och 3 § första stycket lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Av bestämmelserna framgår att artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen. Det gäller dock inte när personuppgifterna samlas in direkt från den enskilde. Undantagsbestämmelserna motiveras huvudsakligen med att en rätt att göra invändningar skulle innebära försämrade förutsättningar för myndigheterna, i det här fallet Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, att fullgöra sina uppgifter eftersom myndigheterna i enskilda fall skulle behöva påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter innan myndigheterna kan fortsätta behandla personuppgifterna (artikel 21.1 i dataskyddsförordningen).16 I fråga om de aktuella myndigheterna får det antas att intresset att främja en väl fungerande arbetsmarknad vid en prövning i det enskilda fallet regelmässigt kommer att anses väga tyngre än den registrerades intressen. Det kan dessutom, när det gäller Arbetsförmedlingens verksamhet, vara svårt från den enskildes perspektiv att överblicka konsekvenserna av att denne invänder mot behandlingen. Det kan t.ex. vara så att en arbetsmarknadspolitisk insats som den enskilde behöver inte kan ges, eftersom Arbetsförmedlingen inte kan behandla nödvändiga personuppgifter efter att den enskilde har invänt.

Skyddsåtgärder SOU 2018:52

236

En rätt för den registrerade att invända mot behandlingen av personuppgifter om honom eller henne kan alltså påverka effektiviteten i myndigheternas verksamhet negativt samtidigt som den kan få oförutsedda och oönskade effekter för den enskilde.

I ett remitterat utkast till lagrådsremiss om behandling av personuppgifter på forskningsområdet är bedömningen att rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen inte kan anses göra det omöjligt eller mycket svårare att uppfylla forskningsändamål, mot bakgrund av de begränsade situationer då rätten att invända är tillämplig. Rätten att invända mot behandling är en viktig rättighet för den registrerade och bör därför finnas i de få fall den möjliggörs vid behandling av personuppgifter för forskningsändamål. Något undantag från rätten att invända mot behandling av personuppgifter för forskningsändamål ska, enligt utkastet, inte införas i svensk rätt.17

En viktig del i rätten att göra invändningar är att den personuppgiftsansvarige ska informera den registrerade om att behandlingen äger rum. Utan vetskap om behandlingen av personuppgifter kan den registrerade inte tillvarata sin rätt att invända mot behandlingen. Av artikel 21.4 i dataskyddsförordningen framgår att rätten att invända mot behandling ska meddelas senast vid den första kommunikationen med den registrerade. I artiklarna 12–15 i dataskyddsförordningen anges på vilka sätt den enskilde ska informeras om sina rättigheter i samband med att personuppgifter behandlas. Därav framgår också att det finns vissa möjligheter till undantag från skyldigheten att informera. Den personuppgiftsansvarige behöver t.ex. inte, när uppgifterna erhållits från annan än den registrerade, informera den registrerade om det skulle visa sig vara omöjligt eller skulle medföra en oproportionerlig ansträngning (artikel 14.5 b i dataskyddsförordningen).

En del av de personuppgifter som Myndigheten för vård- och omsorgsanalys inhämtar är i sådan form att de inte är direkt hänförliga till enskilda. För att kunna informera en registrerad om att dennes personuppgifter behandlas hos myndigheten, skulle det i dessa fall vara nödvändigt att försöka härleda personuppgifterna till en enskild person. Myndigheten inhämtar också stora uppgiftsmängder rörande många personer. Det skulle sannolikt i båda fallen medföra en oproportionerlig ansträngning att informera samtliga

17 Utkast till lagrådsremiss dnr U2018/01639/F s. 113.

SOU 2018:52 Skyddsåtgärder

237

registrerade, vilket i sin tur innebär att undantaget från kravet på information i artikel 14.5 b i dataskyddsförordningen är tillämpligt.

Enligt utredningens förslag i avsnitt 14.2.5 och 14.3 ska beslut om ändamål för behandling av personuppgifter och begränsningar av vilka kategorier av personuppgifter om vilka kategorier av personer som får behandlas i ett visst projekt offentliggöras. Detta kan exempelvis ske genom publicering på myndighetens webbsida. På så sätt görs ändå viss, om än inte fullständig, information om behandlingen tillgänglig för allmänheten och därmed även de registrerade.

Myndigheten för vård- och omsorgsanalys lämnar följaktligen ofta ingen fullständig information om behandlingen av personuppgifter till de registrerade, förutom när behandlingen sker med stöd av samtycke. Utredningen bedömer att det i sig inte utgör ett skäl för att föreslå en bestämmelse som inskränker den registrerades rätt enligt dataskyddsförordningen att invända mot behandling av personuppgifter. Myndigheten har inte heller gjort anspråk på att kunna behandla personuppgifter även när den enskilde invänder mot behandlingen. Om en registrerad kontaktar myndigheten och invänder mot behandling av hans eller hennes personuppgifter, bör myndigheten därför så långt det är möjligt avbryta den behandling av personuppgifter som invändningen avser, såvida inte tvingande berättigade skäl som väger tyngre än den registrerades intressen kan påvisas.

Enligt artikel 11.1 i dataskyddsförordningen ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa dataskyddsförordningen, om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige. Om den omständigheten att uppgifterna är pseudonymiserade när de inkommer till myndigheten förhindrar en kontroll av om personuppgifter rörande en viss person behandlas av myndigheten, är myndigheten således inte skyldig att inhämta ytterligare personuppgifter enbart för att uppfylla rätten att göra invändningar. Med hänsyn till att rätten att göra invändningar inte förutsätter nationell reglering och att det med stöd av artikel 11 i dataskyddsförordningen finns möjlighet att avstå från att härleda pseudonymiserade personuppgifter till en enskild, bedömer utredningen att det inte behövs en särskild bestämmelse som anger vad som ska gälla

Skyddsåtgärder SOU 2018:52

238

om den registrerade invänder mot behandling av personuppgifter. Om en registrerad invänder mot behandling av personuppgifter, ska i stället den direkt tillämpliga dataskyddsförordningen tillämpas.

14.5 Pseudonymisering

Utredningens förslag: Personuppgifter som behandlas i ett pro-

jekt ska pseudonymiseras. Myndighetschefen får för ett särskilt fall besluta om undantag från kravet på pseudonymisering, i den utsträckning ändamålet med behandlingen inte kan uppnås med pseudonymiserade personuppgifter.

Myndighetschefen ska besluta om riktlinjer och villkor för när och hur pseudonymiserade personuppgifter får göras identifierbara och förbud mot att i andra fall sammanföra sådana personuppgifter med personuppgifter som är direkt hänförliga till individer.

Pseudonymisering nämns särskilt i artikel 25 och 32 i dataskyddsförordningen som ett exempel på en lämplig teknisk och organisatorisk åtgärd som den personuppgiftsansvarige ska vidta för att uppfylla kraven i dataskyddsförordningen, skydda den registrerades rättigheter och säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Med pseudonymisering avses enligt definitionen i artikel 4 punkt 5 i dataskyddsförordningen behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Detta gäller under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

Pseudonymiserade uppgifter är alltså uppgifter som inte direkt kan hänföras till en person. Ofta räcker det att ta bort uppgifter om namn och personnummer, men om olika variabler, t.ex. uppgifter om kön, bostadsort och diagnos, kan möjliggöra s.k. bakvägsidentifiering, kan det även krävas att några av dessa variabler tas bort.

Efter pseudonymisering rör det sig fortfarande om personuppgifter eftersom man behåller möjligheten att återidentifiera individerna med hjälp av kompletterande uppgifter som förvaras separat.

SOU 2018:52 Skyddsåtgärder

239

De kompletterande uppgifterna utgörs ofta av en kodnyckel som beskriver relationen mellan de pseudonymiserade uppgifterna, som exempelvis är kopplade till löpnummer, och direkta personuppgifter.

Pseudonymisering tillgodoser principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen, eftersom åtgärden innebär att den personuppgiftsansvarige inte behandlar fler direkt identifierande personuppgifter än vad som är nödvändigt för ändamålet med behandlingen. Krav på pseudonymisering är också i överensstämmelse med villkoren i principen om integritet och konfidentialitet i artikel 5.1 f i dataskyddsförordningen som anger att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna med användning av lämpliga tekniska och organisatoriska åtgärder.

Myndigheten har i sin uppföljnings- och analysverksamhet behov av att behandla ett stort antal känsliga personuppgifter. Det rör sig om personuppgifter från vården, kvalitetsregister och Socialstyrelsens hälsodataregister i form av bl.a. uppgifter om diagnos, hälsostatus och livslängd. Det handlar även om personuppgifter från socialtjänsten. Därutöver behöver myndigheten behandla bl.a. socioekonomiska uppgifter, t.ex. uppgifter om utbildning, ekonomi, bidrag, sysselsättning och sysselsättningsgrad, demografiska uppgifter, t.ex. ålder, kön, bostadsuppgifter, civilstånd och familj, och socialförsäkringsuppgifter, t.ex. uppgifter om sjukskrivning och innehav av privat sjukförsäkring. Beroende på behandlingens omfattning och personuppgifternas karaktär, kan det i vissa fall röra sig om kartläggning av individer. I syfte att minska det intrång i den personliga integriteten som behandlingen av personuppgifter medför, pseudonymiserar myndigheten redan i dag personuppgifter som behandlas i uppföljnings- och analysverksamheten. Den krypterade kodnyckeln förvaras inlåst och endast ett fåtal anställda har tillgång till den.

Utredningen anser att tillvägagångssättet med pseudonymisering bör införas som ett krav och att samtliga personuppgifter som huvudregel ska pseudonymiseras i anslutning till att de kommer in till myndigheten. Om ändamålet med behandlingen av personuppgifter i något fall inte kan uppnås med pseudonymiserade uppgifter, bör dock myndighetschefen ha möjlighet att i ett enskilt fall besluta om att personuppgifter inte ska pseudonymiseras. Ett exempel kan vara att personuppgifterna behövs för att kontakta de registrerade t.ex. för att sända dem ett frågeformulär. I sådana fall kan ett beslut

Skyddsåtgärder SOU 2018:52

240

om att de personuppgifter som behövs för kommunikationen inte ska pseudonymiseras lämpligen fattas i samband med att beslut om ändamålen m.m. fattas (se avsnitt 14.2.5).

Pseudonymiserade uppgifter bör, för att upprätthålla säkerheten, även fortsättningsvis behandlas i pseudonymiserad form. Utredningen anser därför att personuppgifterna ska göras identifierbara igen endast om det finns starka skäl för detta. Sådana skäl kan t.ex. vara att det av omständigheter hänförliga till arbetsmetodik, t.ex. behov av samkörning, finns tydliga behov av att hänföra uppgifterna till individer. Detta kan då eventuellt ske under begränsade och säkerställda former. För att tydliggöra hanteringen i de situationer då det är motiverat att frångå pseudonymiseringen bör myndighetschefen besluta om riktlinjer och villkor för när och hur pseudonymiserade personuppgifter får göras identifierbara. Riktlinjerna och villkoren måste förstås vara förenliga med gällande rätt. Av riktlinjerna och villkoren bör även framgå på vilket sätt myndigheten säkerställer pseudonymiseringen, t.ex. genom att en kodnyckel förvaras separat från övriga personuppgifter och med en begränsad åtkomst.

De pseudonymiserade uppgifterna bör inte i andra fall än de som noggrant övervägts och beslutats om av myndighetschefen få sammanföras med direkta personuppgifter. Utredningen föreslår därför att myndighetschefen ska införa ett förbud mot att, i andra fall än de som uttryckligen framgår av de av myndighetschefen beslutade riktlinjerna och villkoren, sammanföra pseudonymiserade personuppgifter med personuppgifter som är direkt hänförliga till individer.

14.6 Behörighetsstyrning

Utredningens förslag: Behörighet för åtkomst till personuppgif-

ter ska begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter. Myndighetschefen ska bestämma villkoren för tilldelning av behörighet för åtkomst till personuppgifter. Åtkomsten till personuppgifter ska registreras och det ska finnas en funktion vid myndigheten som regelbundet kontrollerar registreringarna i syfte att upptäcka och åtgärda obehörig åtkomst.

SOU 2018:52 Skyddsåtgärder

241

En grundläggande princip inom dataskydd är att personuppgifter ska behandlas endast av den som har berättigade skäl att göra det. Den som är anställd vid Myndigheten för vård- och omsorgsanalys får således inte medges obegränsad tillgång till alla personuppgifter som behandlas i samtliga projekt inom uppföljnings- och analysverksamheten. Behörigheten att ta del av personuppgifter ska alltid vara begränsad till den åtkomst till personuppgifter som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter. I vilken omfattning en enskild tjänsteman behöver ha tillgång till personuppgifter för att kunna fullgöra sina arbetsuppgifter och vilka enskilda personuppgifter som han eller hon ska få tillgång till får avgöras från fall till fall. Det krävs således att myndigheten aktivt tar ställning till vilket behov ett visst tjänsteåliggande eller uppdrag innebär och att tjänstemannen tilldelas behörigheter till olika uppgiftssamlingar utifrån detta. Det kan finnas skäl att förändra behörigheterna över tid, beroende på hur arbetet vid myndigheten är organiserat och beroende på vilka projekt som bedrivs.

För att det ska bli tydligt vad som gäller i fråga om behörighetstilldelning bör myndighetschefen bestämma villkoren för tilldelning av behörighet för åtkomst till personuppgifter.

De enskilda besluten om tilldelning av behörighet behöver inte fattas av myndighetschefen. Besluten bör dokumenteras på ett sådant sätt att det tydligt framgår vilken behörighet som tilldelats en viss tjänsteman, att den anställde faktiskt tagit del av och förstått innebörden av beslutet om tilldelning av behörighet och informationen om att åtkomsten loggas samt att loggarna kontrolleras regelbundet. Ett skäl till detta är att överträdelser av behörighetsbegränsningar aktualiserar straffansvar. Enligt 4 kap. 9 c § brottsbalken döms den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift. Från och med den 1 juli 2014 har dessutom införts en särskild straffskala och rubricering för grovt dataintrång. Bestämmelsen om dataintrång förutsätter inte att intrånget sker i ett visst syfte, t.ex. för att hämta information eller för att åstadkomma skada eller någon annan följd. Det är själva intrånget i

Skyddsåtgärder SOU 2018:52

242

sig som föranleder straff. Det krävs inte heller att någon säkerhetsåtgärd har överträtts för att det ska finnas straffansvar.18

Beslutet om tilldelning av behörighet bör kompletteras med tekniska begränsningar som förhindrar att tjänstemannen elektroniskt kommer åt personuppgifter som han eller hon inte har behov av i sitt arbete och följaktligen inte ska ha åtkomst till. Den tekniska lösning som väljs ska garantera att tillräcklig säkerhet uppnås utifrån de krav som artikel 32 i dataskyddsförordningen ställer.

För att kunna upptäcka och åtgärda obehörig åtkomst som inte förhindrats av tekniska begränsningar ska åtkomsten till personuppgifter registreras, lämpligen i en logg. Det ska också finnas en funktion vid myndigheten som regelbundet kontrollerar om någon obehörig åtkomst till personuppgifterna har förekommit. Det räcker alltså inte att loggarna kontrolleras bara när myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit utan kontroller ska ske systematiskt och återkommande. Det är i första hand upp till myndigheten att bedöma hur funktionen ska arbeta och hur kontrollerna ska genomföras. Att loggning sker och att loggarna kontrolleras regelbundet av myndigheten innebär inte bara att obehörig åtkomst kan upptäckas och åtgärdas i efterhand utan lär också ha en avhållande effekt.

18 Berggren m.fl., Brottsbalken – En kommentar (1 juli 2017, Zeteo), kommentaren till 4 kap. 9 c § under rubriken Intrånget.

243

15 Gallring och bevarande

15.1 Gällande rätt

Principen om lagringsminimering i artikel 5.1 e i dataskyddsförordningen innebär att personup