Post 1167 av 5066 träffar
Personuppgiftsbehandling för forskningsändamål, Dir. 2016:65
Departement: Utbildningsdepartementet
Beslut: 2016-07-07
Beslut vid regeringssammanträde den 7 juli 2016
Sammanfattning
Under våren 2016 beslutades inom EU en förordning som är en ny
generell reglering för personuppgiftsbehandling inom unionen.
Dataskyddsutredningen (Ju 2016:04) har i uppdrag att föreslå
anpassningar och kompletterande författningsbestämmelser på
generell svensk nivå. En särskild utredare får nu i uppdrag att
föreslå en kompletterande reglering av behandling av
personuppgifter för forskningsändamål. Syftet är att regleringen
ska möjliggöra en ändamålsenlig behandling av personuppgifter
för forskningsändamål samtidigt som den skyddar den enskildes
fri- och rättigheter.
Utredaren ska bl.a.
• analysera vilken reglering av personuppgiftsbehandling för
forskningsändamål som är möjlig och kan behövas utöver den
generella reglering som Dataskyddsutredningen kommer att
föreslå,
• analysera vilka anpassningar av lagen (2003:460) om
etikprövning av forskning som avser människor som behöver göras,
• i ett första skede analysera vilka anpassningar som behöver
göras av lagen (2013:794) om vissa register för forskning om vad
arv och miljö betyder för människors hälsa och lagen (1999:353)
om rättspsykiatriskt forskningsregister inför att
dataskyddsförordningen ska börja tillämpas och i ett andra skede
föreslå långsiktiga regleringar av forskningsdatabaser, och
• lämna de författningsförslag som behövs.
Uppdragen i de två första punkterna och uppdraget att analysera
vilka anpassningar som behöver göras av de i tredje punkten
nämnda lagarna inför att dataskyddsförordningen ska börja
tillämpas och förslag till behövliga författningsförslag i dessa
delar ska delredovisas senast den 1 juni 2017. Uppdraget i
övrigt ska slutredovisas senast den 8 december 2017.
Nuvarande regleringar av betydelse för behandling av
personuppgifter för forskningsändamål
EU:s dataskyddsdirektiv och personuppgiftslagen
Den allmänna regleringen om behandling av personuppgifter inom
EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG
av den 24 oktober 1995 om skydd för enskilda personer med
avseende på behandling av personuppgifter och om behandling av
det fria flödet av sådana uppgifter (dataskyddsdirektivet).
Direktivet syftar till att garantera en hög och i alla
medlemsstater likvärdig skyddsnivå när det gäller enskilda
personers fri- och rättigheter med avseende på behandling av
personuppgifter och att främja ett fritt flöde av
personuppgifter mellan medlemsstaterna i EU.
Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen
genom personuppgiftslagen (1998:204), förkortad PUL.
Bestämmelserna i PUL har till syfte att skydda människor mot att
deras personliga integritet kränks genom behandling av
personuppgifter.
PUL följer i princip dataskyddsdirektivets struktur och
innehåller i likhet med direktivet bestämmelser om bl.a.
personuppgiftsansvar, grundläggande krav för behandling av
personuppgifter, information till den registrerade, skadestånd
och straff. Ett av de grundläggande kraven för behandling av
personuppgifter är enligt 10 § d PUL att personuppgifter inte
får behandlas för något ändamål som är oförenligt med det för
vilket uppgifterna samlades in. En viktig princip som framgår av
andra stycket i denna paragraf är emellertid att behandling av
personuppgifter för historiska, statistiska eller vetenskapliga
ändamål inte ska anses oförenlig med de ändamål för vilka
uppgifterna samlades in.
PUL är tillämplig även utanför EU-rättens område och gäller både
för myndigheter och enskilda som behandlar personuppgifter.
Lagen är subsidiär, vilket innebär att dess bestämmelser inte
ska tillämpas om det finns avvikande bestämmelser i en annan lag
eller förordning.
Regeringsformen och kravet på lagreglering för viss
personuppgiftsbehandling
Enligt regeringsformen (RF) är var och en gentemot det allmänna
är skyddad mot betydande intrång i den personliga integriteten,
om det sker utan samtycke och innebär övervakning eller
kartläggning av den enskildes personliga förhållanden (2 kap.
6 §). Begränsningar av denna fri- och rättighet får enligt 2 kap.
20 § första stycket under vissa förutsättningar göras genom lag.
Etikprövningslagen och dess förhållande till personuppgiftslagen
För forskning som utförs i Sverige och som avser människor krävs
normalt etikprövning enligt lagen (2003:460) om etikprövning av
forskning som avser människor (etikprövningslagen). Lagen
innehåller bestämmelser om etikprövning av forskning som avser
människor och biologiskt material från människor och om samtycke
till sådan forskning. Syftet med lagen är att skydda den
enskilda människan och respekten för människovärdet vid
forskning (1§). Etikprövningslagen ska tillämpas på forskning
som innefattar behandling av känsliga personuppgifter enligt 13 §
PUL och personuppgifter om lagöverträdelser som innefattar
brott, domar i brottmål, straffprocessuella tvångsmedel eller
administrativa frihetsberövanden enligt 21 § PUL (3 §). Lagen
ska därutöver tillämpas bl.a. på forskning som avser studier på
biologiskt material som har tagits från en levande människa och
kan härledas till denna människa och forskning som innebär ett
fysiskt ingrepp på en avliden människa eller avser studier på
biologiskt material som har tagits för medicinskt ändamål från
en avliden människa och kan härledas till denna människa (4 §).
Den forskning som lagen omfattar får utföras bara om den har
godkänts vid en etikprövning. Forskning får godkännas bara om de
risker som den kan medföra för försökspersonernas hälsa,
säkerhet och personliga integritet uppvägs av dess vetenskapliga
värde (9 §). Forskningen får innefatta behandling av sådana
personuppgifter som avses i 3 § bara om behandlingen har
godkänts vid etikprövningen.
I samband med att etikprövningslagen trädde i kraft 1 januari
2004 anpassades regleringen av behandling av känsliga
personuppgifter för forskningsändamål i PUL till regleringen i
etikprövningslagen. Enligt 19 § PUL får känsliga
personuppgifter, t.ex. uppgifter som rör hälsa, behandlas för
forskningsändamål om behandlingen godkänts enligt
etikprövningslagen. Detsamma gäller enligt 21 § uppgifter om
lagöverträdelser och liknande uppgifter. En behandling av
personuppgifter som inte omfattas av nämnda bestämmelser kräver
således inte något godkännande enligt etikprövningslagen, men
bestämmelserna i PUL gäller för behandlingen.
EU:s dataskyddsförordning
Europaparlamentet och rådet har under våren 2016 antagit en ny
förordning, Europaparlamentets och rådets förordning (EU)
2016/679 av den 27 april 2016 om skydd för enskilda personer med
avseende på behandling av personuppgifter och om det fria flödet
av sådana uppgifter och om upphävande av direktiv 95/46/EG
(allmän dataskyddsförordning). Förordningen, nedan kallad
dataskyddsförordningen, ska tillämpas från och med den 25 maj
2018. Det huvudsakliga syftet med förordningen är att
ytterligare harmonisera och effektivisera skyddet för
personuppgifter för att förbättra den inre marknadens funktion
och öka enskildas kontroll över sina personuppgifter.
Dataskyddsförordningen är direkt tillämplig i medlemsstaterna.
Den både förutsätter och möjliggör kompletterande nationella
bestämmelser av olika slag. Det finns ett förhållandevis stort
utrymme att behålla eller införa särregleringar för sådan
personuppgiftsbehandling som är nödvändig för att den
personuppgiftsansvarige ska kunna uppfylla en rättslig
skyldighet, utföra en arbetsuppgift av allmänt intresse eller
behandla uppgifter i samband med myndighetsutövning.
Dataskyddsförordningen kommer att utgöra grunden för generell
personuppgiftsbehandling inom EU. Genom förordningen upphävs det
nu gällande dataskyddsdirektivet med verkan från den 25 maj
2018, vilket innebär bl.a. att PUL måste upphävas.
En särskild utredare fick den 25 februari 2016 regeringens
(Justitiedepartementets) uppdrag att bl.a. föreslå de
anpassningar och kompletterande författningsbestämmelser på
generell svensk nivå som dataskyddsförordningen ger anledning
till. I uppdraget ingår att lämna förslag till upphävande av den
nuvarande generella personuppgiftsregleringen (dir. 2016:15).
Utredningen har tagit sig namnet Dataskyddsutredningen (Ju
2016:04). I utredningens uppdrag ingår bl.a. att analysera om
det behövs kompletterande bestämmelser som ger ett generellt
stöd för myndigheters och andra organs behandling av
personuppgifter och överväga vilka kompletterande bestämmelser
om undantag från förbudet att behandla känsliga personuppgifter
som bör finnas i den generella regleringen. Det ingår också i
utredningens uppdrag att analysera vilka kompletterande
bestämmelser om myndigheters bevarande av allmänna handlingar,
användning av uppgifter i dessa och överlämnande av
arkivmaterial till en arkivmyndighet som behövs i den generella
regleringen samt analysera vilka övriga kompletterande
bestämmelser om behandling av personuppgifter för arkivering i
allmänhetens intresse samt för vetenskapliga eller historiska
forskningsändamål eller för statistiska ändamål som bör finnas i
den generella regleringen. I uppdraget ingår inte att se över
eller lämna förslag till förändringar av sådan sektorsspecifik
reglering om behandling av personuppgifter som bl.a. finns i de
särskilda registerförfattningarna.
Uppdraget att undersöka vilken nationell kompletterande
reglering av behandling av personuppgifter för forskningsändamål
som kan behövas
Vissa bestämmelser i dataskyddsförordningen berör särskilt
förutsättningarna för att behandla personuppgifter för bl.a.
vetenskapliga eller historiska forskningsändamål. Artikel 5 med
principer för behandling av personuppgifter, artikel 6 om när
behandling av personuppgifter är laglig, artikel 9 med reglering
av behandling av särskilda kategorier av personuppgifter,
artikel 12–20 om den registrerades rättigheter och artikel 89
med särskilda bestämmelser för behandling av personuppgifter för
bl.a. vetenskapliga eller historiska forskningsändamål är
särskilt viktiga.
Med behandling av personuppgifter för forskningsändamål avses
nedan behandling av personuppgifter för vetenskapliga eller
historiska forskningsändamål, vilka är de begrepp som används i
dataskyddsförordningen.
Vilken särskild rättslig reglering behövs för
personuppgiftsbehandling för forskningsändamål?
När dataskyddsförordningen träder i kraft kommer möjliga grunder
för behandling av personuppgifter för forskningsändamål
huvudsakligen att vara antingen att den registrerade har lämnat
sitt samtycke till att hans eller hennes personuppgifter
behandlas för ett eller flera specifika ändamål enligt artikel
6.1(a) eller att behandlingen är nödvändig för att utföra en
arbetsuppgift av allmänt intresse enligt artikel 6.1(e).
När det gäller samtycke kan det behöva analyseras vilka
slutsatser som bör dras av det som anges i beaktandesats 43 i
dataskyddsförordningen. Där anges att för att säkerställa att
ett samtycke lämnas frivilligt bör det inte utgöra giltig
rättslig grund för behandling av personuppgifter i ett särskilt
fall där det råder betydande ojämlikhet mellan den registrerade
och den personuppgiftsansvarige, särskilt om den
personuppgiftsansvarige är en offentlig myndighet och det därför
är osannolikt att samtycket lämnats frivilligt när det gäller
alla förhållanden som denna särskilda situation omfattar.
Artikel 6.2 ger medlemsländerna rätt att i nationell rätt
behålla eller införa specifika bestämmelser för att anpassa
tillämpningen av bestämmelserna för att efterleva bl.a. artikel
6.1(e), dvs. den bestämmelse som anger att personuppgifter får
behandlas om behandlingen är nödvändig för att utföra en
arbetsuppgift av allmänt intresse. Medlemsländerna får närmare
fastställa specifika krav för uppgiftsbehandlingen och andra
åtgärder för att säkerställa en laglig och rättvis behandling,
bl.a. för behandling av personuppgifter för forskningsändamål.
Enligt artikel 6.3 ska grunden för den behandling av
personuppgifter som avses i bl.a. artikel 6.1 (e) fastställas i
unionsrätten eller en medlemsstats nationella rätt. Denna
rättsliga grund kan innehålla särskilda bestämmelser för att
anpassa tillämpningen av bestämmelserna i
dataskyddsförordningen, bland annat de allmänna villkor som ska
gälla för den personuppgiftsansvariges behandling av uppgifter,
vilken typ av uppgifter som ska behandlas, berörda registrerade,
till vilka uppgifterna får lämnas ut och för vilka ändamål,
ändamålsbegränsningar, lagringstid samt typer av behandling och
förfaranden för behandling, inbegripet åtgärder för att
tillförsäkra en laglig och rättvis behandling, däribland för
behandling i andra särskilda situationer vid behandling enligt
kapitel IX (bl.a. forskningsändamål). Den nationella
lagstiftningen måste uppfylla ett mål av allmänt intresse och
vara proportionell mot det legitima mål som eftersträvas.
I dag sker behandling av personuppgifter för forskningsändamål
med stöd av bestämmelser i PUL. När personuppgifter behandlas
för forskningsändamål sker det normalt med stöd av samtycke av
den registrerade eller, när det sker utan samtycke, med stöd av
att forskningen anses vara en arbetsuppgift av allmänt intresse
och att behandlingen är nödvändig för att denna arbetsuppgift
ska kunna utföras enligt 10 § d i PUL. Denna paragraf i PUL
motsvaras av artikel 6.1(e) i dataskyddsförordningen. Artikel
6.3 anger att grunden för behandling av personuppgifter enligt
bl.a. 6.1(e) ska fastställs i unionsrätten eller en medlemsstats
nationella rätt. Dataskyddsutredningen ska analysera om det
behövs kompletterande bestämmelser som ger ett generellt stöd
för myndigheters och andra organs behandling av personuppgifter
och lämna behövliga och lämpliga författningsförslag. När det
gäller behandling av personuppgifter för forskningsändamål
behövs det en analys av vilken reglering på nationell nivå som
är möjlig och kan behövas utöver den generella reglering som
Dataskyddsutredningen kommer att föreslå för att säkerställa att
behandling av personuppgifter för forskningsändamål ska kunna
ske på ett ändamålsenligt sätt samtidigt som den registrerades
fri- och rättigheter skyddas.
Utredaren ska därför
• undersöka vilken reglering av personuppgiftsbehandling för
forskningsändamål som är möjlig och kan behövas utöver den
generella reglering som Dataskyddsutredningen kommer att
föreslå, och
• lämna de författningsförslag som behövs.
Vilket behov av skyddsåtgärder finns vid personbehandling för
forskningsändamål?
I och med att dataskyddsförordningen träder i kraft kommer ett
krav på att behandling av personuppgifter för bl.a.
forskningsändamål ska omfattas av lämpliga skyddsåtgärder för
den registrerades fri- och rättigheter att gälla enligt artikel
89.1. Skyddsåtgärderna ska garantera att tekniska och
organisatoriska åtgärder har införts för att se till att
särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder
får inbegripa pseudonymisering, dvs. behandling av
personuppgifter på ett sätt som innebär att personuppgifterna
inte längre kan tillskrivas en specifik registrerad utan att
kompletterande uppgifter används, under förutsättning att
ändamålen med behandlingen kan uppfyllas på det sättet. När
dessa ändamål kan uppfyllas genom vidarebehandling av uppgifter
som inte medger eller inte längre medger identifiering av de
registrerade ska dessa ändamål uppfyllas på det sättet. Det
krävs därför en analys av vilka skyddsåtgärder som bör gälla vid
behandling av personuppgifter för forskningsändamål och hur
åtgärderna bör vara utformade för att ge ändamålsenliga
möjligheter att använda personuppgifter för forskning. Tänkbara
skyddsåtgärder kan exempelvis vara etikprövning eller
organisatoriska eller tekniska åtgärder såsom pseudonymisering
eller användning av kodnycklar.
Det finns anledning att i detta sammanhang överväga om
etikprövning av forskning liksom i dag enbart ska tillämpas på
forskning som innefattar behandling av sådana personuppgifter
som omfattas av ett särskilt skydd i 19 och 21 §§ PUL eller om
ordningen med etikprövning bör utvidgas till att gälla all
behandling av personuppgifter för forskningsändamål. Om
etikprövning även fortsättningsvis ska göras enbart när
forskningen innefattar sådana personuppgifter som omfattas av
ett särskilda skyddsregler i förhållande till andra
personuppgifter i dataskyddsregleringen, behöver det övervägas
om andra lämpliga skyddsåtgärder ska tillämpas när det är fråga
om behandling av andra personuppgifter för forskningsändamål.
Utredarens ställningstagande i dessa frågor kan medföra behov av
ändringar i etikprövningslagen. Ett alternativ är att reglera
frågorna i en annan författning som kompletterar bestämmelserna
i dataskyddsförordningen och den nationella reglering på
nationell nivå som Dataskyddsutredningen ska föreslå.
Det behöver också analyseras vilka andra ändringar som behöver
göras i etikprövningslagen med anledning av
dataskyddsförordningen och den generella reglering som
Dataskyddsutredningen kommer att föreslå.
Utredaren ska därför
• lämna förslag på sådana lämpliga skyddsåtgärder för den
registrerades fri- och rättigheter som behandling av
personuppgifter för forskningsändamål ska omfattas av,
• överväga om kravet på etikprövning ska utvidgas till att gälla
all behandling av personuppgifter för forskningsändamål och
vilka skyddsåtgärder som annars bör gälla vid behandling för
forskningsändamål av sådana personuppgifter som inte omfattas av
etikprövningslagen,
• se över vilka anpassningar av etikprövningslagen i övrigt som
behövs med anledning av dataskyddsförordningen och den generella
reglering Dataskyddsutredningen ska föreslå, och
• lämna behövliga författningsförslag.
Närmare om känsliga personuppgifter och uppgifter om
lagöverträdelser
Liksom i det nu gällande dataskyddsdirektivet och 13 § PUL finns
det i artikel 9.1 i dataskyddsförordningen ett principiellt
förbud mot att behandla särskilda kategorier av personuppgifter.
I PUL används begreppet känsliga personuppgifter för sådana
uppgifter. Med särskilda kategorier av personuppgifter avses
personuppgifter som avslöjar ras eller etniskt ursprung,
politiska åsikter, religiös eller filosofisk övertygelse eller
medlemskap i fackförening liksom behandling av genetiska
uppgifter eller biometriska uppgifter för att entydigt
identifiera en person eller uppgifter som rör hälsa, sexualliv
eller sexuell läggning. Förbudet är förenat med en rad viktiga
undantag som fastställs i artikel 9.2–9.5. Enligt artikel 9.2
(j) i dataskyddsförordningen gäller inte förbudet mot behandling
av dessa särskilda kategorier av personuppgifter om behandlingen
är nödvändig för arkivändamål av allmänt intresse eller för
vetenskapliga och historiska forskningsändamål eller statistiska
ändamål i enlighet med artikel 89.1 på grundval av
unionslagstiftning eller en medlemsstats lagstiftning. Denna
lagstiftning ska stå i proportion till det eftersträvade syftet,
vara förenlig med det väsentliga innehållet i rätten till
dataskydd och innehålla bestämmelser om lämpliga och särskilda
åtgärder för att säkerställa den registrerades grundläggande
rättigheter och intressen.
Som nämnts tidigare finns det i PUL vissa undantagsbestämmelser
från förbudet mot att behandla känsliga personuppgifter. Enligt
13 § PUL får känsliga personuppgifter behandlas om den
registrerade har lämnat sitt samtycke och enligt 19 § andra
stycket PUL får känsliga personuppgifter behandlas för
forskningsändamål om behandlingen godkänts enligt
etikprövningslagen. I direktiven för Dataskyddsutredningen
konstateras att den möjlighet som finns enligt
dataskyddsförordningen att göra undantag för förbudet i stor
utsträckning kommer att utnyttjas genom sektorsspecifik
lagstiftning men att utgångspunkten bör vara att det även i
fortsättningen kommer att behövas vissa bestämmelser i den
generella regleringen om undantag från förbudet att behandla
känsliga personuppgifter av det slag som i dag finns i PUL.
Dataskyddsutredningen ska därför överväga vilka undantag från
förbudet som bör finnas i den generella regleringen.
Även behandling av personuppgifter om lagöverträdelser och
liknande uppgifter, som idag regleras i 21 § PUL, kommer enligt
art. 10 i dataskyddsförordningen att vara föremål för särskilda
begränsningar. Enligt den artikeln får behandling av
personuppgifter som rör fällande domar i brottmål och
överträdelser endast utföras under kontroll av myndighet eller
då behandling är tillåten enligt unionsrätten eller
medlemstaternas nationella rätt, där lämpliga skyddsåtgärder för
de registrerades rättigheter och friheter fastställs. Ett
fullständigt register över fällande domar i brottmål får endast
föras under kontroll av en myndighet. Dataskyddsutredningen har
i uppdrag att anlysera i vilken utsträckning det bör införas
regler i den kompletterande generella regleringen som tillåter
behandling av uppgifter om lagöverträdelser som inte sker under
kontroll av en officiell myndighet.
Det behöver analyseras om det utöver dataskyddsförordningen och
de bestämmelser Dataskyddsutredningen kommer att föreslå finns
ett behov av kompletterande bestämmelser om behandling av
känsliga personuppgifter och uppgifter om lagöverträdelser och
liknande uppgifter för forskningsändamål och vilka bestämmelser
om lämpliga och särskilda åtgärder för att säkerställa den
registrerades grundläggande rättigheter och intressen en sådan
reglering bör innehålla. Tänkbara sådana skyddsåtgärder kan
exempelvis vara etikprövning eller organisatoriska eller
tekniska åtgärder såsom pseudonymisering eller användning av
kodnycklar.
Utredaren ska därför
• analysera om det, utöver den generella reglering som
Dataskyddsutredningen kommer att föreslå och de förslag som
utredaren i övrigt kan komma att lämna, finns ett behov av
bestämmelser som reglerar behandling av känsliga personuppgifter
och uppgifter om lagöverträdelser och liknande uppgifter för
forskningsändamål och vilka bestämmelser om lämpliga och
särskilda åtgärder för att säkerställa den registrerades
grundläggande rättigheter och intressen en sådan reglering bör
innehålla, och
• lämna de författningsförslag som behövs.
Bör det göras undantag från huvudreglerna om den registrerades
rättigheter för personuppgiftsbehandling för forskningsändamål?
Om personuppgifter behandlas för vetenskapliga och historiska
forskningsändamål eller statistiska ändamål får det enligt
artikel 89.2 i dataskyddsförordningen i unionslagstiftningen
eller medlemsstaternas lagstiftning föreskrivas om undantag från
den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med
förbehåll för att sådana lämpliga skyddsåtgärder tillämpas som
behandling av personuppgifter för dessa ändamål ska omfattas av
enligt första punkten i artikeln. De nämnda artiklarna handlar
om den registrerades rätt till tillgång till uppgift om
personuppgifter som rör honom eller henne och som behandlas,
rätt till rättelse av personuppgifter, rätt till begränsning av
behandling av personuppgifter och rätt att göra invändning mot
behandling av personuppgifter. Undantag får bara göras i den
utsträckning det är sannolikt att de aktuella rättigheterna
skulle göra det omöjligt eller mycket svårare att uppfylla de
särskilda ändamålen med behandlingen och sådana undantag krävs
för att uppnå dessa ändamål.
I direktiven till Dataskyddsutredningen konstateras att behovet
av undantag med stöd av artikel 89.2 (vilken i ett utkast till
dataskyddsförordningen och i direktiven till
Dataskyddsutredningen numrerades 83.2) i stor utsträckning
aktualiseras i sektorsspecifik lagstiftning. Samtidigt framhålls
att en ändamålsenlig behandling av personuppgifter för bl.a.
vetenskapliga och historiska forskningsändamål behöver
garanteras, samtidigt som skyddet för den registrerades fri- och
rättigheter beaktas. Utgångspunkten bör enligt direktiven vara
att vissa grundläggande bestämmelser, liknande de som finns i
personuppgiftslagen, behöver tas in i den generella regleringen
som ska komplettera dataskyddsförordningen.
Dataskyddsutredningen ska därför analysera vilka övriga
kompletterande bestämmelser om behandling av personuppgifter för
bl.a. vetenskapliga eller historiska forskningsändamål som bör
finnas i den generella regleringen och lämna lämpliga
författningsförslag.
Det är av stor vikt att bestämmelserna som reglerar behandling
av personuppgifter för vetenskapliga eller historiska
forskningsändamål ger goda förutsättningar för behandling av
personuppgifter för dessa ändamål, samtidigt som behovet av
skydd för den registrerades fri- och rättigheter beaktas för att
upprätthålla förtroendet för integritetsskyddet i samband med
forskning bland dem som ställer upp och deltar i
forskningsprojekt. Det behöver mot denna bakgrund analyseras om
det utöver den generella reglering på nationell nivå som
Dataskyddsutredningen ska föreslå finns ett behov av undantag
från de bestämmelser i dataskyddsförordningen som reglerar den
registrerades rättigheter vid behandling av personuppgifter för
vetenskapliga eller historiska forskningsändamål och hur sådana
undantag i så fall bör utformas.
Utredaren ska därför
• analysera om det utöver den generella reglering som
Dataskyddsutredningen ska föreslå finns ett behov av undantag
från den registrerades rättigheter enligt artiklarna 15, 16, 18
och 21 vid behandling av personuppgifter för vetenskapliga och
historiska forskningsändamål och lämna förslag till hur sådana
undantag i så fall bör utformas, och
• lämna de författningsförslag som behövs.
Uppdraget att föreslå regleringar för forskningsdatabaser
Det behövs bättre förutsättningar för registerbaserad forskning
En särskild utredare fick i januari 2013 i uppdrag att undersöka
förutsättningarna för att bedriva registerbaserad forskning och
lämna förslag bl.a. i syfte att göra det möjligt att på ett
integritetssäkert sätt samla in personuppgifter till register
som förs för uttryckligt angivna forskningsändamål samt till
longitudinella studier som håller sig inom ramen för sådana
ändamål. Vid utformningen av förslagen skulle utredaren göra en
avvägning mellan forskningens behov av tillgång till uppgifter
och den enskildes rätt till personlig integritet. Utredningen
tog sig namnet Registerforskningsutredningen (U 2013:01).
I betänkandet Unik kunskap genom registerforskning (SOU 2014:45)
konstaterar utredaren att regering och riksdag i några fall har
stiftat särskilda lagar för att möjliggöra forskningsdatabaser.
Bland dessa kan nämnas lagen (1999:353) om rättspsykiatriskt
forskningsregister och lagen (2013:794) om vissa register för
forskning om vad arv och miljö betyder för människors hälsa.
Dessutom finns det inom vissa myndigheter, t.ex. Institutet för
arbetsmarknads- och utbildningspolitisk utvärdering och
Statistiska Centralbyrån, några databaser som helt eller delvis
används för forskning. Enligt en inventering som gjorts på
uppdrag av Vetenskapsrådet finns ytterligare ett femtiotal
forskningsdatabaser i Sverige.
I betänkandet lämnade utredaren ett förslag till lag om
forskningsdatabaser. Lagen ska ge stöd för statliga universitet
eller högskolor som omfattas av högskolelagen (1992:1434) och
andra statliga myndigheter som har i uppdrag att bedriva
forskning att utföra behandling av personuppgifter i
forskningsdatabaser. Med forskningsdatabas avses en
infrastruktur som ska kunna användas av flera olika forskare,
från olika universitet och högskolor och inom olika discipliner,
i framtida forskningsprojekt. I den föreslagna lagen finns det
vissa generella regler för forskningsdatabaser och för varje
databas ska det finnas en särskild förordning som reglerar t.ex.
ändamål och innehåll. Utredningens betänkande har remitterats.
Lagen om vissa register för forskning om vad arv och miljö
betyder för människors hälsa tillkom för att ge ett tydligt
rättsligt stöd för statliga universitet och högskolor att med
den enskildes uttryckliga samtycke behandla personuppgifter i
syfte att skapa underlag för olika forskningsprojekt om vad arv
och miljö betyder för uppkomsten och utvecklingen av olika typer
av sjukdomar och för människors hälsa i övrigt. Lagens giltighet
tidsbegränsades i avvaktan på beredningen av den översyn av
förutsättningarna för registerbaserad forskning som gjordes av
Registerforskningsutredningen. Efter förlängning gäller lagen
till och med den 31 december 2017. I och med att ny lagreglering
med anledning av förevarande utredningsarbete inte kommer att
kunna vara på plats till nämnda datum har regeringen för avsikt
att lämna förslag om ytterligare förlängning av lagens
giltighetstid.
En vidare beredning av Registerforskningsutredningens förslag
måste göras med beaktande av remissinstansernas synpunkter. Med
anledning av att dataskyddsförordningen blir direkt tillämplig i
medlemsstaterna krävs också en analys av om förslaget till lag
om forskningsdatabaser är förenligt med dataskyddsförordningen
och vilka anpassningar av förslaget som kan krävas till
förordningen och den generella reglering som
Dataskyddsutredningen ska föreslå.
När det gäller registerforskning är beaktandesats 33 i
dataskyddsförordningen av intresse. I denna beaktandesats, som
infördes med svenskt stöd, konstateras att det ofta inte är
möjligt att fullt ut identifiera syftet med en behandling av
personuppgifter för vetenskapliga forskningsändamål i samband
med insamlingen av uppgifter. Den registrerade bör därför kunna
ge sitt samtycke till vissa områden för vetenskaplig forskning,
när vedertagna etiska standarder för vetenskaplig forskning
iakttas. Registrerade bör ha möjlighet att endast lämna sitt
samtycke till vissa forskningsområden eller delar av
forskningsprojekt i den utsträckning det avsedda syftet medger
detta.
Då det är kort tid till dess att dataskyddsförordningen ska
börja tillämpas och någon generell reglering av
forskningsdatabaser inte kommer att kunna vara på plats då
dataskyddsförordningen börjar tillämpas, behöver det i ett
första skede analyseras vilka anpassningar till
dataskyddsförordningen och den generella reglering
Dataskyddsutredningen kommer att föreslå, som behöver göras i
lagen om vissa register för forskning om vad arv och miljö
betyder för människors hälsa till dess att
dataskyddsförordningen ska börja tillämpas.
Utredaren ska därför
• föreslå behövliga anpassningar i lagen om vissa register för
forskning om vad arv och miljö betyder för människors hälsa
inför att dataskyddsförordningen ska börja tillämpas, och
• föreslå långsiktiga regleringar av forskningsdatabaser.
Lagen om rättspsykiatriskt forskningsregister
Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett
rättspsykiatriskt forskningsregister. Registret får användas för
två ändamål, dels behandling av personuppgifter för forskning
inom rättspsykiatrin, om forskningen och behandlingen har
godkänts enligt etikprövningslagen, dels för RMV:s uppföljning,
utvärdering och kvalitetssäkring av sin verksamhet inom
rättpsykiatrin (utvecklingsarbete). Registret regleras i en
särskild lag, lagen (1999:353) om rättspsykiatriskt
forskningsregister. Enligt lagen får registret endast innehålla
uppgifter om en person för vilken ett rättspsykiatriskt
utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om
särskild personutredning i brottmål har utfärdats. Lagen
innehåller en uppräkning av vilka uppgifter om personerna som
får registreras.
Endast RMV får ha direktåtkomst till uppgifter i det
rättspsykiatriska forskningsregistret. Socialstyrelsen,
Kriminalvården respektive Statens institutionsstyrelse ska lämna
uppgifter till registret. I offentlighets- och sekretesslagen
(2009:400) finns bestämmelser om sekretess i verksamhet som
avser förande av eller uttag ur det rättspsykiatriska
forskningsregistret (24 kap. 2 §). I rapporten Ett nytt
författningsstöd för Rättsmedicinalverkets behandling av
personuppgifter, m.m. (Ju2013/08833/Å) redovisar RMV en översyn
av myndighetens behandling av personuppgifter. I rapporten
framhålls att lagen om rättspsykiatriskt forskningsregister inte
ger ett adekvat stöd för den rättspsykiatriska forskningen.
Anledningen är enligt RMV bl.a. att rättspsykiatrins nuvarande
frågeställningar inte låter sig besvaras med stöd av de
begränsade data som får registreras i registret. Det har därför
ifrågasatts om lagen bör vara kvar i sin nuvarande utformning.
I den proposition som ligger till grund för lagen om
rättspsykiatriskt forskningsregister uttalade regeringen att
behovet av forsknings- och utvecklingsarbete inom
rättspsykiatrin är stort. Regeringen konstaterade att det behövs
ökade kunskaper om bl.a. effekterna av vård och behandling av
psykiskt störda lagöverträdare. Många problemställningar är
outforskade och kräver grundläggande forskning (prop. 1998/99:72
s. 26 f.).
För att genomföra sådan angelägen forskning på området krävs
tillgång till databaser med systematiserade personuppgifter om
många individer. Samtidigt innehåller rättspsykiatriskt
forskningsregister uppgifter av mycket integritetskänslig natur
och forskningsbehoven måste hela tiden vägas mot respekten för
den enskildes personliga integritet. En utgångspunkt måste vara
att endast de uppgifter som är nödvändiga bör få förekomma i ett
sådant register och att de endast bör få användas i ett
sammanhang som har ett verkligt samhällsintresse.
Med anledning av att dataskyddsförordningen blir direkt
tillämplig i medlemsstaterna måste en sådan reglering som det
bedöms finnas behov av också vara anpassad till
dataskyddsförordningen och till den generella reglering som
Dataskyddsutredningen kommer att föreslå. Då det är kort tid
till dess att dataskyddsförordningen ska börja tillämpas och
någon generell reglering av forskningsdatabaser inte kommer att
kunna vara på plats då dataskyddsförordningen börjar tillämpas
behöver det i ett första skede analyseras vilka anpassningar
till dataskyddsförordningen och den generella reglering
Dataskyddsutredningen kommer att föreslå, som behöver göras av
lagen om rättspsykiatriskt forskningsregister till dess att
dataskyddsförordningen ska börja tillämpas.
Utredaren ska därför
• undersöka hur lagen om rättspsykiatriskt forskningsregister
används i dag,
• föreslå behövliga anpassningar av lagen om rättspsykiatriskt
forskningsregister inför att dataskyddsförordningen ska börja
tillämpas,
• analysera om det långsiktigt finns ett behov av en särskild
reglering av ett rättspsykiatriskt forskningsregister och, om så
bedöms vara fallet, hur en sådan reglering i så fall bör
utformas, och
• lämna behövliga författningsförslag.
En lag om Nationella biobanksregistret
Lagen (2002:297) om biobanker i hälso- och sjukvården m.m.
(biobankslagen) trädde i kraft 2003. Lagen tillkom för att, med
respekt för den enskilda människans integritet, reglera
hanteringen av humanbiologiskt material som tagits från
framförallt patienter inom hälso- och sjukvården.
Socialstyrelsen har påpekat att biobankslagen är svår att
tillämpa och att lagen har lett till ökad administration i den
kliniska hälso- och sjukvården. Regeringen har beslutat att
biobankslagen ska bli föremål för en genomgripande översyn.
Utredningen En ändamålsenlig reglering för biobanker (S 2016:04)
har bl.a. i uppdrag att se över biobankslagen och andra
angränsande författningar som har betydelse på området. Syftet
med utredningen är att anpassa lagstiftningen så att den
underlättar utvecklingen och förbättrar förutsättningarna för
användning av prover och uppgifter i svenska biobanker för
patientens, hälso- och sjukvårdens och forskningens behov.
Enligt biobankslagen är en biobank biologiskt material (s.k.
vävnadsprover) från en eller flera människor som samlas och
bevaras tills vidare eller för en bestämd tid och vars ursprung
kan härledas till den eller de människor från vilka materialet
härrör. De personuppgifter som är kopplade till vävnadsproverna
i en biobank ingår inte i begreppet biobank och omfattas som
huvudregel inte av lagen. Regleringen i denna del finns främst i
PUL och i patientdatalagen (2008:355).
Svenska biobanksregistret är landstingens gemensamma register
över sparade vävnadsprover tagna inom vården. Registret som
sedan 2009 förvaltas av ett landstingsägt bolag är fortfarande i
en uppbyggnadsfas. Syftet med registret är att underlätta
administration såsom hantering av provgivares samtycken och
spårbarhet av prover. För att skapa ett nationellt register som
kan nyttjas för de tänkta syftena krävs särskild rättslig
reglering.
I Registerforskningsutredningens betänkande föreslogs att
Socialstyrelsen ska vara personuppgiftsansvarig för Svenska
biobanksregistret och att det ska regleras i en särskild lag,
lagen om Nationella biobanksregistret. Lagförslaget innehåller
bl.a. bestämmelser om förhållandet till PUL, den registrerades
inställning till personuppgiftsbehandling, ändamålet med
behandlingen, vilka uppgifter registret får innehålla och vilken
information som ska lämnas till den registrerade. Enligt
förslaget ska det vara frivilligt för vårdgivare att lämna
uppgifter till registret, men ett krav på registrering bör
införas på sikt. Vidare föreslog utredaren att det bör finnas en
möjlighet för andra huvudmän än vårdgivare att registrera sina
uppgifter i det nationella registret.
Utredningen bedömde dock att frågan om hur ett krav på
uppgiftslämnande för vårdgivare och frågan om de närmare
förutsättningarna för att andra biobanker ska kunna registrera
uppgifter i registret behöver utredas närmare. Dessa frågor
ingår i uppdraget för utredningen En ändamålsenlig reglering för
biobanker (S 2016:04).
En vidare beredning av Registerforskningsutredningens förslag
måste göras med beaktande av remissinstansernas synpunkter. Med
anledning av att dataskyddsförordningen blir direkt tillämplig i
medlemsstaterna krävs också en analys av vilka anpassningar av
förslaget som kan krävas till dataskyddsförordningen och den
kompletterande generella reglering som Dataskyddsutredningen ska
föreslå.
Utredaren ska därför
• lämna förslag till en reglering av Nationella
biobanksregistret.
Uppdraget att analysera om det behövs ett förstärkt skydd för
uppgifter om avlidna i forensisk forskning
Etikprövningslagen blir i vissa fall tillämplig när forskningen
rör avlidna personer. Lagen är bl.a. tillämplig på forskning som
innebär ett fysiskt ingrepp på en avliden människa, eller avser
studier på biologiskt material som har tagits för medicinskt
ändamål från en avliden människa och kan härledas till denna
människa. Då uppgifter om avlidna personer behandlas för
forskningsändamål kan forskningen i vissa fall behöva prövas
enligt etikprövningslagen. Enligt 3 § PUL avses med
personuppgifter all slags information som direkt eller indirekt
kan hänföras till en fysisk person som är i livet. Uppgifter om
en avliden är alltså inte personuppgifter enligt PUL. Om sådana
uppgifter direkt eller indirekt kan hänföras till levande
personer är dock PUL tillämplig. Dataskyddsförordningen gäller
inte behandling av uppgifter om avlidna personer.
Medlemsstaterna får enligt förordningen fastställa bestämmelser
för behandlingen av uppgifter om avlidna personer.
I vissa registerförfattningar finns det ett uttryckligt skydd
för uppgifter om avlidna, exempelvis patientdatalagen (2008:355)
och lagen (2001:182) om behandling av personuppgifter i
Skatteverkets folkbokföringsverksamhet. I den tidigare nämnda
rapporten från RMV anser myndigheten att integritetsskyddet för
uppgifter om avlidna personer i forskning bör ses över. Det kan
därför vara lämpligt att närmare undersöka om vissa uppgifter om
avlidna behöver ett särskilt skydd när uppgifterna behandlas
inom ramen för forensisk forskning.
Utredaren ska
• kartlägga vilket skydd som finns för sådana uppgifter om
avlidna som hanteras inom forensisk forskning,
• analysera och ta ställning till om det finns behov av att
stärka skyddet för uppgifter om avlidna inom forensisk
forskning, och
• vid behov föreslå de författningsändringar som behövs.
Uppdraget att se över förfarandereglerna i etikprövningslagen
I Registerforskningsutredningens betänkande Unik kunskap genom
registerforskning (SOU 2014:45) föreslogs en möjlighet till
enklare förfarande vid etikprövning när det gäller forskning som
endast innefattar behandling av personuppgifter som hämtats från
myndighetsregister och som inte genom namn, annan
identitetsbeteckning eller liknande förhållande är direkt
hänförliga till den enskilde. Dessa skulle enligt förslaget
kunna behandlas betydligt enklare eftersom risken för intrång i
den enskildes integritet vid denna typ av
personuppgiftsbehandling är liten. Det föreslogs att sådana
ärendena skulle kunna avgöras av ordföranden ensam utan att
behandlas av hela avdelningen. En variant av förslaget skulle
kunna vara att ordföranden skulle kunna avgöra sådana ärendena
med s.k. pseudonymiserade personuppgifter i samråd med
vetenskaplig ledamot.
Som tidigare nämnts ska utredaren överväga om etikprövning av
forskning bör utvidgas till att gälla all forskning som
innefattar behandling av personuppgifter. Om utredaren föreslår
en utvidgning av etikprövningslagen ska det också beaktas att en
sådan utvidgning ökar antalet ärenden hos
etikprövningsnämnderna. Det behöver då övervägas hur
ärendehanteringen kan ske på ett effektivt sätt och om samma
krav på prövningen behöver gälla i alla ärenden. I samband med
ställningstagande till frågan om utökning av kravet på
etikprövning behöver det därför också analyseras om ändringar
behöver göras i bestämmelserna i etikprövningslagen som reglerar
handläggningen av ärendena.
Utredaren ska därför
• analysera vilka anpassningar som kan behöva göras i de
bestämmelser i etikprövningslagen som reglerar handläggningen av
ärendena,
• överväga om det bör införas ett enklare förfarande vid
etikprövning när det är fråga om en behandling av
personuppgifter som innebär en liten risk för intrång i den
enskildes integritet, och
• lämna de författningsförslag som behövs.
Konsekvensbeskrivningar
Utredaren ska redogöra för ekonomiska och andra konsekvenser av
sina förslag. Utöver vad som följer av 14–15 a §§
kommittéförordningen (1998:1474) ska utredaren redovisa
förslagens konsekvenser för den personliga integriteten.
Genomförandet av uppdraget
Vid anpassningen av svensk rätt till den nya EU-regleringen bör
en enhetlig tolkning eftersträvas. Det är viktigt att den
nationella regleringen är så enhetlig som möjligt i sin
utformning när det t.ex. gäller begrepp, uttryck och struktur
samt hänvisningar till dataskyddsförordningen. Utredaren ska
därför hålla sig informerad om och beakta arbetet i övriga
utredningar som har i uppdrag att anpassa svensk rätt till
reformen av EU:s dataskyddsregelverk, främst
Dataskyddsutredningen (Ju 2016:04) och Utredningen om
personuppgiftsbehandling inom utbildningsområdet (U 2016:03).
Utredaren ska vidare hålla sig informerad om utredningen En
ändamålsenlig reglering för biobanker (S 2016:04), Utredningen
om tillsynen över den personliga integriteten (Ju 2015:02) och
Utredningen om en översyn av regelverken för forskningsetik och
gränsområdet mellan klinisk forskning och hälso- och sjukvård (U
2016:45).
Under genomförandet av uppdraget ska utredaren, i den
utsträckning som bedöms lämplig, inhämta upplysningar från
Vetenskapsrådet, ett urval av universitet och högskolor,
representanter för etikprövningsorganisationerna, RMV,
Datainspektionen, SCB och andra relevanta myndigheter och
organisationer som kan vara berörda av aktuella frågor.
Redovisning av uppdraget
Uppdraget att analysera vilken reglering av
personuppgiftsbehandling för forskningsändamål som kan behövas
utöver den generella reglering som Dataskyddsutredningen kommer
att föreslå, att analysera vilka anpassningar av
etikprövningslagen som behöver göras och att lämna behövliga
författningsförslag i dessa delar ska delredovisas senast den 1
juni 2017. Detsamma gäller för uppdraget att föreslå behövliga
anpassningar av lagen om vissa register för forskning om vad arv
och miljö betyder för människors hälsa och lagen om
rättspsykiatriskt forskningsregister inför att
dataskyddsförordningen ska börja tillämpas. Uppdraget i övrigt
ska slutredovisas senast den 8 december 2017.
(Utbildningsdepartementet)