Regeringskansliets rättsdatabaser

/Träder i kraft I:2025-01-01/ Lagens tillämpningsområde 1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Förhållandet till annan dataskyddsreglering 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Uppgifter om avlidna personer 3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar: 1. denna lag och föreskrifter som har meddelats i anslutning till lagen, 2. EU:s dataskyddsförordning, och 3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen. Begränsning av rätten att göra invändningar 4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde. Personuppgiftsansvar 5 § Myndigheten för vård- och omsorgsanalys är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag. Ändamål för behandling av personuppgifter 6 § Myndigheten för vård- och omsorgsanalys får behandla personuppgifter om det är nödvändigt för 1. undersökningar om vårdens och omsorgens funktionssätt, 2. undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, 3. utvärderingar av information om vård och omsorg som lämnas till enskilda, eller 4. utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Inom ramen för sådana undersökningar eller utvärderingar får personuppgifter behandlas även för att framställa statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser. 7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Känsliga personuppgifter 8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen. 9 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa, sexualliv eller sexuell läggning, om sökningen sker för något av ändamålen i 6 §. Behandling av personuppgifter i projekt 10 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar. 11 § Behandling av personuppgifter enligt 6 § ska ske inom ramen för ett projekt. Personuppgifter som har samlats in för att behandlas inom ramen för ett projekt får inte behandlas i ett annat projekt. Personuppgifter får dock behandlas inom ramen för ett annat projekt än det som uppgifterna samlats in för, om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet. Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Myndigheten för vård- och omsorgsanalys verksamhet behöver inte ske inom ramen för ett projekt. 12 § Innan personuppgifter får behandlas inom ramen för ett projekt ska Myndigheten för vård- och omsorgsanalys fastställa 1. syftet med projektet, 2. vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden som ska analyseras i projektet, och 3. när projektet senast ska vara avslutat. Det fastställda syftet får inte ändras. Information om vad som har fastställts ska hållas tillgänglig på Myndigheten för vård- och omsorgsanalys webbplats. Medgivande till behandling av personuppgifter 13 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen. Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas. Om ett medgivande återkallas, får behandlingen dock fortsätta om Myndigheten för vård- och omsorgsanalys inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering. Begränsning av möjligheterna att identifiera den registrerade 14 § Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen. Det som sägs i första stycket hindrar inte att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning. Tillgång till personuppgifter 15 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Myndigheten för vård- och omsorgsanalys. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Övergångsbestämmelser 2024:1006 1. Denna lag träder i kraft den 1 januari 2025. 2. Bestämmelserna i 11-13 §§ tillämpas inte på projekt som har inletts före ikraftträdandet.