Post 36 av 7189 träffar
Långsiktig reglering av vissa forskningsdatabaser
Ansvarig myndighet: Utbildningsdepartementet
Dokument: Prop. 19
Regeringens proposition
2024/25:19
Långsiktig reglering av vissa forskningsdatabaser
Prop.
2024/25:19
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 26 september 2024
Ulf Kristersson
Johan Pehrson
(Utbildningsdepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås en ny lag om vissa forskningsdatabaser, som ska komplettera befintlig dataskyddsreglering. Regelverket ska göra det möjligt för universitet och högskolor att föra forskningsdatabaser som har ett särskilt vetenskapligt värde ur ett långsiktigt perspektiv i syfte att skapa underlag för olika forskningsprojekt. Insamlingen och behandlingen av personuppgifter i en sådan forskningsdatabas ska ske med de registrerades frivilliga medverkan. Ändringar i offentlighets- och sekretesslagen (2009:400) föreslås också, såväl för att skydda enskildas integritet som för att kompletterande uppgifter ska kunna inhämtas i en verksamhet med en forskningsdatabas från t.ex. registerhållande myndigheter. Syftet med förslagen är att förbättra förutsättningarna för registerbaserad forskning samtidigt som de registrerades personliga integritet skyddas.
Den nya lagen om vissa forskningsdatabaser ersätter den tidsbegränsade lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa, som upphör att gälla den 31 december 2024.
Slutligen föreslås att lagen (1999:353) om rättspsykiatriskt forsknings-register upphävs. Detta föranleder också en följdändring i lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter.
Den nya lagen och lagändringarna föreslås träda i kraft den 1 januari 2025.
Innehållsförteckning
1Förslag till riksdagsbeslut6
2Lagtext7
2.1Förslag till lag om vissa forskningsdatabaser7
2.2Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)13
2.3Förslag till lag om upphävande av lagen (1999:353) om rättspsykiatriskt forskningsregister16
2.4Förslag till lag om ändring i lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter17
3Ärendet och dess beredning18
4Databaser har stor betydelse för forskningen och det finns behov av ytterligare reglering20
5Nuvarande reglering23
5.1Reglering av relevans för behandling av personuppgifter i verksamhet med forskningsdatabaser23
5.2Skydd för den personliga integriteten finns i regeringsformen24
5.3EU-rättsliga och nationella bestämmelser om personuppgiftsbehandling25
5.4Övrig relevant reglering33
6En ny lag om vissa forskningsdatabaser ska införas38
6.1Den tidsbegränsade LifeGene-lagen behöver ersättas av en mer generell lag38
6.2Utgångspunkter för en reglering42
6.2.1Personuppgiftsbehandling i en forskningsdatabas sker för vetenskapliga forskningsändamål i dataskyddsförordningens mening42
6.2.2En ny lag är en tillåten komplettering till EU:s dataskyddsförordning44
6.3Den nya lagens omfattning45
6.3.1Den nya lagen ska vara en ramlag som kompletteras med bestämmelser i förordning45
6.3.2Lagens syfte56
6.3.3Lagens tillämpningsområde57
6.3.4Vilka ska kunna vara aktuella att få föra forskningsdatabaser enligt lagen?65
6.3.5Den rättsliga grunden för behandling av personuppgifter i en forskningsdatabas som omfattas av lagen72
6.3.6Förhållandet till annan dataskyddsreglering79
6.3.7Ändamålen med behandlingen av personuppgifter enligt lagen80
6.3.8Regeringen ska besluta om vilka forskningsdatabaser som får föras enligt lagen87
6.4Vad kommer att gälla för uppgiftssamlingar som inte omfattas av den nya lagen?95
7Det ska ställas krav på frivillig medverkan och integritetsskydd för den registrerade96
7.1Villkor för behandlingen av personuppgifter i en forskningsdatabas96
7.1.1Samtycke ska vara huvudregel96
7.1.2Information om och möjlighet till opt-out vid kompletterande insamling från andra källor104
7.1.3Information och möjlighet att motsätta sig fortsatt behandling för den som registrerats som underårig108
7.1.4Information som i övrigt ska lämnas till den registrerade116
7.1.5Rätten till rättelse119
7.1.6En rätt att återta lämnat samtycke120
7.2Personuppgifter som ska få behandlas i en forskningsdatabas125
7.2.1Uppgifter som ska få registreras i en forskningsdatabas125
7.2.2Känsliga personuppgifter och uppgifter om lagöverträdelser137
7.3Integritetsskydd inom verksamheten141
7.4Arkivering och gallring147
8Utlämnande av uppgifter från en forskningsdatabas153
8.1Villkor för utlämnande153
8.1.1Till vilka forskningshuvudmän ska uppgifter ur en forskningsdatabas få lämnas ut?153
8.1.2Uppgifter får lämnas ut till forskningsprojekt som har etikgodkännande157
8.1.3Uppgifter får lämnas ut om det behövs för att utreda oredlighet i forskning162
8.1.4Uppgifter får lämnas ut om det finns en uppgiftsskyldighet165
8.2Uppgifter som lämnas ut från en forskningsdatabas ska skyddas168
8.2.1Personuppgifter ska vara pseudonymiserade eller skyddade på likvärdigt sätt168
8.2.2Utlämnande av kodnycklar eller annan identifierande information171
8.2.3Förteckning för identifiering (kodnycklar)173
8.3Information till den registrerade om till vilka forskningsprojekt uppgifter har lämnats ut174
8.4Direktåtkomst176
9Lagen om rättspsykiatriskt forskningsregister ska upphävas180
9.1Lagens huvudsakliga innehåll180
9.2Lagen om rättspsykiatriskt forskningsregister ska upphävas och den till lagen anknytande bestämmelsen ska tas bort181
10Sekretess och tystnadsplikt182
10.1Sekretess- och tystnadspliktsregleringens betydelse för forskningsdatabaser182
10.2Den nuvarande regleringen182
10.3Sekretess i verksamhet med forskningsdatabaser188
10.4Tystnadsplikt hos enskilda mottagare för uppgifter från forskningsdatabaser197
10.5Ytterligare ett undantag från den absoluta statistiksekretessen202
10.6Sekretessbestämmelserna för det rättspsykiatriska forskningsregistret ska upphävas210
11Samlad integritets- och proportionalitetsanalys211
12Tillkännagivande om villkor för privata och offentliga forskningsutförare219
13Ikraftträdande- och övergångsbestämmelser222
13.1Lagen om vissa forskningsdatabaser222
13.2Lagen om ändring i offentlighets- och sekretesslagen224
13.3Lagen om rättspsykiatriskt forskningsregister226
14Konsekvenser227
14.1Ekonomiska konsekvenser227
14.1.1Lärosäten227
14.1.2Vetenskapsrådet228
14.2Konsekvenser för den personliga integriteten228
14.3Övriga konsekvenser229
15Författningskommentar230
15.1Förslaget till lag om vissa forskningsdatabaser230
15.2Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)257
15.3Förslaget till lag om ändring i lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter263
Sammanfattning av promemorian Långsiktig reglering av forskningsdatabaser (U2022/04089)264
Promemorians lagförslag270
Förteckning över remissinstanserna280
Lagrådsremissens lagförslag282
Lagrådets yttrande294
Utdrag ur protokoll vid regeringssammanträde den 26 september 2024296
Förslag till riksdagsbeslut
Regeringens förslag:
Riksdagen antar regeringens förslag till lag om vissa forskningsdatabaser.
Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).
Riksdagen antar regeringens förslag till lag om upphävande av lagen (1999:353) om rättspsykiatriskt forskningsregister.
Riksdagen antar regeringens förlag till lag om ändring i lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter.
Lagtext
Regeringen har följande förslag till lagtext.
Förslag till lag om vissa forskningsdatabaser
Härigenom föreskrivs följande.
1 kap. Inledande bestämmelser
Lagens syfte
1 § Syftet med denna lag är att
1. ge lärosäten möjlighet att i forskningsdatabaser skapa underlag för flera framtida forskningsprojekt som inte är definierade när databasen byggs upp eller när insamling av personuppgifter till denna annars görs, och
2. säkerställa att de registrerades personliga integritet skyddas vid den insamling och övriga behandling av personuppgifter som görs i verksamhet med dessa forskningsdatabaser.
Lagens tillämpningsområde
2 § Lagen gäller vid behandling av personuppgifter i verksamheter med sådana forskningsdatabaser
1. där insamlingen och registreringen av personuppgifter görs genom de registrerades frivilliga medverkan,
2. vars huvudsakliga syfte är att skapa underlag för flera framtida forskningsprojekt, och
3. som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv.
Bestämmelserna i 3 kap. 1 § första stycket, 2, 3, 5 och 7 §§ gäller även vid behandling av uppgifter om avlidna.
3 § Behandling av personuppgifter i en sådan forskningsdatabas som avses i 2 § får utföras i verksamhet som bedrivs vid ett lärosäte som är
1. ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller
2. en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) och bilagan till samma lag ska jämställas med myndigheter i sin verksamhet med forskningsdatabasen.
4 § Regeringen får meddela föreskrifter om
1. vilka forskningsdatabaser som får föras enligt lagen, och
2. vilket lärosäte som får föra forskningsdatabasen.
Förhållandet till annan dataskyddsreglering
5 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.
6 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
2 kap. Behandling av personuppgifter
Personuppgiftsansvar
1 § Det lärosäte som för en forskningsdatabas är personuppgiftsansvarigt för den behandling av personuppgifter som utförs i verksamheten med forskningsdatabasen.
Ändamål
2 § Personuppgifter får samlas in och i övrigt behandlas i verksamhet med en forskningsdatabas för de övergripande ändamålen att
1. skapa underlag för flera framtida forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen,
2. lämna ut uppgifter till sådana forskningsprojekt som anges i 1, och
3. lämna ut uppgifter till forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen även om projekten redan påbörjats innan forskningsdatabasen inrättats.
Regeringen får meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till.
3 § Personuppgifter som samlats in och behandlas enligt 2 § får där-utöver bara behandlas för
1. utlämnande som anges i 3 kap. 2, 3 och 5 §§, och
2. arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål när de inte längre behövs för ändamål som avses i 2 § första stycket.
Villkor för behandling av personuppgifter i forskningsdatabaser
4 § Personuppgifter får bara behandlas i en forskningsdatabas om den registrerade har samtyckt till det, om inte annat följer av denna lag.
5 § I verksamheten med en forskningsdatabas får det utan samtycke samlas in och behandlas sådana personuppgifter som är nödvändiga för att kunna identifiera och kontakta en person i en urvalsgrupp med förfrågan om medverkan i forskningsdatabasen. Sådan behandling får inte pågå under längre tid än vad som är nödvändigt.
6 § Kompletterande insamling av uppgifter från andra källor än de som angavs redan i samband med att samtycke till behandling i forskningsdatabasen lämnades får göras utan samtycke bara om den registrerade informerats om insamlingen och inte uttryckligen motsätter sig denna.
7 § Personuppgifter som samlats in med samtycke från den registrerades vårdnadshavare får bara fortsätta behandlas efter att den registrerade blivit myndig om den registrerade informerats om behandlingen och inte uttryckligen motsätter sig den.
Sådan information om uppgifter som samlats in med samtycke från den registrerades vårdnadshavare och om möjligheten att motsätta sig den ska vara direkt riktad till den registrerade och lämnas senast den 1 mars året efter det att den registrerade fyllt 18 år.
Informationen behöver inte lämnas om den personuppgiftsansvarige inte med rimliga ansträngningar kan nå den registrerade.
8 § Den registrerade har rätt att när som helst återta sitt samtycke till att hans eller hennes personuppgifter behandlas i en forskningsdatabas.
Om den registrerade återtar sitt samtycke får uppgifter om den registrerade därefter inte behandlas för att lämnas ut till forskningsprojekt.
Om den registrerade begär det ska den personuppgiftsansvarige underrätta de personuppgiftsansvariga för de forskningsprojekt som uppgifterna om den registrerade har lämnats ut till om att den registrerade har återtagit sitt samtycke till behandling av personuppgifter i forskningsdatabasen.
9 § Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska en person, innan han eller hon lämnar samtycke enligt 4 § eller i samband med att han eller hon får sådan information som avses i 7 §, även informeras om
1. att all registrering och medverkan i verksamheten vid forsknings-databasen är frivillig och att en registrerad när som helst kan avbryta sin medverkan helt eller delvis, och återta sitt samtycke samt om effekten av att samtycket återtas enligt 8 §,
2. vilka slags uppgifter som får registreras i forskningsdatabasen,
3. att en registrerad kommer att informeras om kompletterande insamling av uppgifter enligt 6 § blir aktuell och på vilket sätt sådan information kommer att lämnas,
4. de sekretess- och säkerhetsbestämmelser som gäller för forsknings-databasen,
5. sin rätt att begära att få information om vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut till,
6. vilken myndighet som har tillsyn över att behandlingen av person-uppgifter sker på ett lagenligt sätt, och
7. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § dataskyddslagen till skadestånd vid behandling av personuppgifter i strid med denna lag.
Tillåtet innehåll
10 § I en forskningsdatabas får det i fråga om personuppgifter bara finnas
1. uppgifter som den registrerade har lämnat i syfte att de ska ingå i forskningsdatabasen,
2. uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i forskningsdatabasen,
3. uppgifter om, och resultatet från, undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen,
4. kontaktinformation till den registrerade,
5. kompletterande uppgifter om den registrerade som har inhämtats från andra källor,
6. kategoriseringar av sådana uppgifter som avses i 1–5,
7. identitetsbeteckningar för de registrerade (kodnycklar eller motsvarande information för identifiering), och
8. uppgifter om utlämnande som har skett till forskning.
11 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g och j i EU:s dataskyddsförordning behandlas i verksamheten med en forskningsdatabas om det är nödvändigt för de ändamål som anges i 2, 3 och 5 §§.
Genetiska uppgifter och personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får dock bara behandlas i en forskningsdatabas om regeringen har meddelat föreskrifter om det.
Integritetsskydd inom verksamheten
12 § Den som arbetar vid ett lärosäte där det finns en verksamhet med en forskningsdatabas får ta del av personuppgifter i den verksamheten endast om han eller hon arbetar i verksamheten och behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter med forskningsdatabasen.
13 § Den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter om registrerade i verksamheten med en forskningsdatabas. Sådan åtkomst ska begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter i verksamheten med forskningsdatabasen.
14 § Den personuppgiftsansvarige ska se till att elektronisk åtkomst till personuppgifter dokumenteras och kan kontrolleras.
Den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av den i första stycket upprättade dokumentationen i syfte att kontrollera om någon obehörigen kommit åt personuppgifter i forskningsdatabasen.
Sekretess
15 § I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess för huvudmän för en forskningsdatabas och för anställda och uppdragstagare hos en sådan huvudman i verksamhet med forsknings-databasen.
3 kap. Utlämnande av uppgifter från en forskningsdatabas
Villkor för utlämnande
1 § Utlämnande av personuppgifter till ett forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 och utlämnande av uppgifter om avlidna till ett sådant projekt får bara ske till fysiska eller juridiska personer som ska tillämpa offentlighets- och sekretesslagen (2009:400) eller fysiska personer som omfattas av tystnadsplikt enligt 3 kap. 7 § denna lag.
Ytterligare en förutsättning för att personuppgifter ska få lämnas ut från en forskningsdatabas till forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 är att både forskningen och behandlingen av personuppgifter i forskningen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, om forskningen omfattas av den lagens krav på etikprövning.
2 § Personuppgifter och uppgifter om avlidna får också lämnas ut till en forskningshuvudman som fått uppgifter från en forskningsdatabas, om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed.
3 § Personuppgifter och uppgifter om avlidna får, utöver vad som följer av 2 och 5 §§ samt 2 kap. 2 § första stycket 2 eller 3, bara lämnas ut om det finns en skyldighet att göra det enligt lag eller förordning.
Formen för utlämnande
4 § Utlämnande enligt 2 § och 2 kap. 2 § första stycket 2 eller 3 får bara avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Personuppgifter får dock vara direkt identifierbara vid utlämnandet om det är nödvändigt för att uppfylla ändamålet med den forskning eller den utredning som uppgifterna ska lämnas ut till.
5 § Om personuppgifter som har lämnats ut till ett forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 eller uppgifter om avlidna som har lämnats ut till ett sådant projekt är pseudonymiserade eller skyddade på likvärdigt sätt, får kompletterande uppgifter för att identifiera en registrerad, inbegripet de registrerades personnummer eller motsvarande identitetsbeteckning, lämnas ut till en myndighet, om det är nödvändigt för att myndigheten ska kunna lämna ut uppgifter om samma personer till det forskningsprojekt som uppgifter har lämnats ut till.
6 § Den personuppgiftsansvarige ska bevara en förteckning över de kompletterande uppgifter som behövs för att identifiera en registrerad så länge som det är nödvändigt.
Tystnadsplikt för uppgifter som mottagits från en forskningsdatabas
7 § En enskild forskningshuvudman som är en fysisk person eller den som är eller har varit verksam hos en enskild forskningshuvudman som är en juridisk person som inte anges i bilagan till offentlighets- och sekretesslagen (2009:400) får inte obehörigen röja vad denne har fått veta om enskilds personliga förhållanden genom personuppgifter eller uppgifter om avlidna som mottagits från en forskningsdatabas.
I det allmännas verksamhet och för sådana organ som anges i bilagan till offentlighets- och sekretesslagen (2009:400) gäller den lagen.
Information om utlämnande till forskning
8 § Den registrerade har rätt att på begäran få information om vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut till.
Direktåtkomst
9 § Personuppgifter får inte lämnas ut genom direktåtkomst annat än till den registrerade själv.
4 kap. Ytterligare föreskrifter
1 § Regeringen får meddela ytterligare föreskrifter om
1. begränsningar av vilka personuppgifter som får behandlas i en forskningsdatabas, och
2. begränsningar i fråga om utlämnande från en forskningsdatabas.
1. Denna lag träder i kraft den 1 januari 2025.
2. Bestämmelserna i 2 kap. 4–11 §§ gäller inte för sådana uppgifter som registrerats i tiden innan verksamheten med en forskningsdatabas kommit att omfattas av denna lags tillämpningsområde. Bestämmelsen i 2 kap. 7 § ska dock tillämpas i fråga om den som blir myndig först därefter.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 24 kap. 2 § ska upphöra att gälla,
dels att rubriken närmast före 24 kap. 2 § ska utgå,
dels att 24 kap. 2 a, 2 b, 8 och 9 §§, 44 kap. 5 § och rubrikerna närmast före 24 kap. 2 a § ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
24 kap.
Vissa register för forskning om vad arv och miljö betyder för människors hälsa
Vissa forskningsdatabaser
Förande av och uttag ur register
Förande av och uttag ur forskningsdatabaser
2 a §
Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde.
Sekretess gäller i verksamhet som avser förande av eller uttag ur en forskningsdatabas som förs med stöd av lagen (2024:000) om vissa forskningsdatabaser för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde.
Sekretessen hindrar inte att uppgift lämnas ut i den utsträckning som framgår av den lag som avses i första stycket. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
Sekretessen hindrar inte att uppgift lämnas ut i den utsträckning som framgår av 2 kap. 2 § första stycket 2 och 3 samt 3 kap. 1–3 och 5 §§ den lag som avses i första stycket och i förordning som meddelats i anslutning till lagen. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
2 b §
Får en myndighet en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa, blir 2 a § tillämplig även hos den mottagande myndigheten.
Får en myndighet en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt lagen (2024:000) om vissa forskningsdatabaser, blir 2 a § tillämplig även hos den mottagande myndigheten.
8 §
Sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde.
Motsvarande sekretess gäller i annan jämförbar undersökning som utförs av Riksrevisionen, av riksdagsförvaltningen, av Statskontoret eller inom det statliga kommittéväsendet. Detsamma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det.
Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355).
Uppgift som behövs för forsknings- eller statistikändamål eller uppgift som behövs i en forskningsdatabas som förs med stöd av lagen (2024:000) om vissa forskningsdatabaser och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister en-ligt patientdatalagen (2008:355).
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år.
9 §
Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
44 kap.
5 §
Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer
1. av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,
2. av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,
3. av 4 kap. 16 § försäkringsrörelselagen (2010:2043),
4. av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige,
5. av 32 § lagen (2020:62) om hemlig dataavläsning, och
5. av 32 § lagen (2020:62) om hemlig dataavläsning,
6. av 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
6. av 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter, och
7. av 3 kap. 7 § lagen (2024:000) om vissa forskningsdatabaser.
1. Denna lag träder i kraft den 1 januari 2025.
2. Den upphävda bestämmelsen i 24 kap. 2 § gäller fortfarande i fråga om uppgifter i verksamhet som avsett förande av eller uttag ur register som förts enligt den upphävda lagen (1999:353) om rättspsykiatriskt forskningsregister.
3. Bestämmelsen i 24 kap. 2 a § i den äldre lydelsen ska vara fortsatt tillämplig på sådana uppgifter som före ikraftträdandet av lagen (2024:000) om vissa forskningsdatabaser har lämnats ut med överföring av sekretessen i 2 a § enligt bestämmelsen i 2 b § i den äldre lydelsen.
4. Den inskränkning i rätten att meddela och offentliggöra uppgifter enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen som följer av 24 kap. 9 § i den äldre lydelsen gäller fortfarande för uppgift i verksamhet som avsett förande av eller uttag ur register som förts enligt den upphävda lagen (1999:353) om rättspsykiatriskt forskningsregister.
Förslag till lag om upphävande av lagen (1999:353) om rättspsykiatriskt forskningsregister
Härigenom föreskrivs att lagen (1999:353) om rättspsykiatriskt forskningsregister ska upphöra att gälla vid utgången av 2024.
Förslag till lag om ändring i lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter
Härigenom föreskrivs att 1 kap. 5 § lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
5 §1
Denna lag gäller inte när personuppgifter behandlas med stöd av
1. lagen (1999:353) om rättspsykiatriskt forskningsregister,
2. lagen (2003:460) om etikprövning av forskning som avser människor,
1. lagen (2003:460) om etikprövning av forskning som avser människor,
3. patientdatalagen (2008:355), eller
2. patientdatalagen (2008:355), eller
4. lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
3. lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
Denna lag träder i kraft den 1 januari 2025.
Ärendet och dess beredning
Regeringen beslutade den 17 januari 2013 att ge en särskild utredare i uppdrag att göra en generell översyn av förutsättningarna för registerbaserad forskning (dir. 2013:8). Utredningen tog sig namnet Registerforskningsutredningen. Vid Karolinska institutet fanns vid denna tid, och finns fortfarande, projektet LifeGene, som syftar till att skapa underlag för att kunna studera hur våra gener, vår omgivning och vårt sätt att leva påverkar vår hälsa. Eftersom det hade uppstått en osäkerhet om det fanns rättsliga förutsättningar för att skapa sådana register som LifeGene utarbetades det inom Regeringskansliet (Utbildningsdepartementet) bl.a. en promemoria med utkast till lagrådsremiss Register för viss forskning (U2013/527/F). Promemorian remitterades i början av 2013. I avvaktan på Registerforskningsutredningens förslag beslutades i maj 2013 propositionen Vissa register för forskning om vad arv och miljö betyder för människors hälsa (prop. 2012/13:63). I propositionen föreslogs en tidsbegränsad lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Riksdagen beslutade i enlighet med förslaget (bet. 2013/14:UbU4, rskr. 2013/14:20) och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa trädde i kraft den 1 december 2013 och gällde enligt beslutet till och med den 31 december 2015.
Registerforskningsutredningen redovisade sina förslag den 24 juni 2014 i betänkandet Unik kunskap genom registerforskning (SOU 2014:45). I betänkandet föreslogs bl.a. att det skulle införas en särskild lag om forskningsdatabaser. Giltighetstiden för lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa förlängdes till och med den 31 december 2017 (prop. 2014/15:121, bet. 2015/16:UbU3, rskr. 2015/16:9) i avvaktan på beredningen av Registerforskningsutredningens förslag.
Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa innehöll flera hänvisningar till den numera upphävda personuppgiftslagen (1998:204). Med anledning av införandet av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd dataskyddsförordningen, som trädde i kraft 2016 och började tillämpas 2018, beslutade regeringen den 7 juli 2016 att ge en särskild utredare i uppdrag att i ett första skede analysera vilka anpassningar som behövde göras av bl.a. lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inför att dataskyddsförordningen skulle börja tillämpas, och att i ett andra skede föreslå långsiktiga regleringar av forskningsdatabaser med beaktande av det nya dataskyddsregelverket och remissinstansernas synpunkter på Registerforskningsutredningens förslag (dir. 2016:65). Giltighetstiden för lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa förlängdes till och med den 31 december 2020 i avvaktan på utredningens förslag (prop. 2016/17:204, bet. 2017/18:UbU4, rskr. 2017/18:32). Utredningen, som antog namnet Forskningsdatautredningen, redovisade sitt deluppdrag i maj 2017 i betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50) och lämnade en slutredovisning den 5 juni 2018 i betänkandet Rätt att forska – långsiktig reglering av forskningsdatabaser (SOU 2018:36). I betänkandet föreslogs en reglering av forskningsdatabaser med en annan utformning än Registerforskningsutredningens förslag. Efter förslag från regeringen i propositionen Behandling av personuppgifter för forskningsändamål (prop. 2017/18:298) beslutade riksdagen ändringar i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa i syfte att anpassa den till dataskyddsförordningen (bet. 2018/19:UbU5, rskr. 2018/19:44). Dessa ändringar trädde i kraft den 1januari 2019.
Både Registerforskningsutredningens och Forskningsdatautredningens förslag till långsiktig reglering av forskningsdatabaser fick viss remisskritik. Regeringskansliet beslutade den 27 mars 2020 att uppdra åt en utredare att biträda Utbildningsdepartementet med att analysera utredningarnas förslag och remissutfallen och lämna ett förslag på en långsiktig reglering för forskningsdatabaser (U2020/01944). I avvaktan på ett sådant förslag förlängdes giltighetstiden för lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa till och med den 31 december 2023 (prop. 2019/20:182, bet. 2020/21:UbU5, rskr. 2020/21:52). Utbildningsdepartementet remitterade den 23 december 2022 promemorian Långsiktig reglering av forskningsdatabaser (U2022/04089). I promemorian redovisas bl.a. utredarens förslag och bedömningar. En sammanfattning av promemorian finns i bilaga 1 och promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats och en förteckning över remissinstanserna finns i bilaga 3. En sammanställning av remissyttrandena finns tillgänglig i Utbildningsdepartementet (U2022/04089).
Giltighetstiden för lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa har därefter förlängts till utgången av 2024 i avvaktan på den lagstiftning som föreslås i denna proposition (prop. 2022/23:145, bet. 2023/24:UbU4, rskr. 2023/24:28).
I denna proposition behandlas de förslag som har lämnats i promemorian Långsiktig reglering av forskningsdatabaser. Under beredningen av ärendet har Integritetsskyddsmyndigheten, Karolinska institutet, Nämnden för prövning av oredlighet i forskning och Vetenskapsrådet fått tillfälle att yttra sig över ett utkast till lagrådsremiss. Nämnden för prövning av oredlighet i forskning har meddelat att de inte har några synpunkter. Integritetsskyddsmyndigheten, Karolinska institutet och Vetenskapsrådet har inkommit med synpunkter. Synpunkterna behandlas i avsnitt 6.3.8, 7.1.3 och 7.2.1. Inkomna yttranden finns tillgängliga i Utbildningsdepartementet (U2022/04089).
I den ovan nämnda propositionen Behandling av personuppgifter för forskningsändamål (prop. 2017/18:298) behandlades även övergripande frågor om anpassning av nationell lagstiftning till dataskyddsförordningen när det gäller behandling av personuppgifter för forskningsändamål. I propositionen gjorde regeringen bedömningen att myndigheter och enskilda forskare inte fullt ut kan åberopa samma rättsliga grunder i dataskyddsförordningen för behandling av personuppgifter för sådana ändamål. I samband med behandlingen av propositionen tillkännagav riksdagen för regeringen det som utskottet anför om att regeringen bör se över möjligheterna att återkomma med förslag på en lagstiftning som likställer villkoren för offentliga och privata forskningsutförare att bedriva forskning som inbegriper personuppgifter på rättslig grund (bet. 2018/19:UbU5 punkt 2, rskr. 2018/19:44). Tillkännagivandet behandlas i avsnitt 12. Tillkännagivandet är slutbehandlat.
Lagrådet
Regeringen beslutade den 15 augusti 2024 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådets synpunkter behandlas i avsnitt 6.3.3, 6.3.7, 8.1.1, 8.1.3, 8.1.4, 8.2.2, 10.4 och 15. Regeringen följer Lagrådets synpunkter. I förhållande till lagrådsremissens lagförslag görs dessutom vissa språkliga ändringar.
Databaser har stor betydelse för forskningen och det finns behov av ytterligare reglering
Registerbaserad forskning ger unika möjligheter att besvara angelägna forskningsfrågor
Inom många vetenskapsområden finns det behov av att samla in uppgifter om och från individer för att kunna besvara olika typer av forskningsfrågor. Begreppet registerbaserad forskning inkluderar olika företeelser. Något förenklat kan det sägas att registerbaserad forskning är forskning där man använder sig av data som finns i register som förs av myndigheter eller andra organisationer. Registerforskning kan vara prospektiv, dvs. framåtblickande, eller retrospektiv, dvs. tillbakablickande. En förutsättning för att kunna bedriva registerbaserad forskning är att forskare kan arbeta i databaser som innehåller stora mängder data som kombineras och sambearbetas på olika sätt. Inom vissa forskningsområden behövs tillgång till individdata, dvs. personuppgifter, för att kunna besvara forskningsfrågorna. De personuppgifter som behöver behandlas kan vara identifierande personuppgifter eller pseudonymiserade personuppgifter dvs. personuppgifter som avidentifierats på så sätt att de inte längre kan kopplas till en viss person utan kompletterande uppgifter. Databaser med personuppgifter kan rätt utnyttjade, och under kontrollerade former, bidra stort till ny kunskap om människors levnadsförhållanden såsom privatekonomi, hälsa, utbildning, bostadsförhållanden, kultur och mycket annat. Inom samhällsvetenskaplig forskning kan det vara frågor om vilken påverkan olika miljömässiga faktorer har för olika utfall eller vilka policyåtgärder från samhällets sida som ger bäst effekt. Det kan även handla om tvärvetenskapliga frågor kring sambanden mellan samhällsförhållanden, ekonomi och hälsa och att kunna följa hur samhället förändras och vilka positiva eller negativa trender som finns för hälsa och sociala förhållanden. Inom den medicinska forskningen kan betydelsen av t.ex. ärftlighet och miljöfaktorer såsom kost, livsstil, förebyggande åtgärder och behandling för sjukdomars uppkomst undersökas. Som exempel kan nämnas att det genom registerforskning har kunnat fastställas hur hormoner påverkar utveckling av bröst- och prostatacancer samt hjärt- och kärlsjukdom, och att det finns ett starkt samband mellan negativa händelser såsom övergrepp i barndomen och psykiatriska diagnoser senare i livet.
Projektdatabaser, forskningsdatabaser och etikprövningslagen
För att behandla känsliga personuppgifter eller uppgifter om lagöverträdelser i ett forskningsprojekt krävs tillstånd av Etikprövningsmyndigheten enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Med känsliga personuppgifter avses särskilda kategorier av personuppgifter som till sin natur är särskilt känsliga och som har ett starkt skydd enligt dataskyddsförordningen, t.ex. uppgifter om hälsa. Etikprövningen innefattar en bedömning av om de risker som forskningen kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Ett godkännande kan förenas med villkor.
Många forskningsfrågeställningar inom medicin, samhällsvetenskap eller humaniora kan besvaras genom att forskningen använder uppgifter som samlats in direkt från olika individer i form av exempelvis enkäter, tester, mätningar och upptagningar. Dessa uppgifter samlas in med samtycke från forskningspersonerna. Forskningsperson används här i betydelsen en levande människa som forskningen avser. Det kan också vara så att olika typer av uppgifter behöver kombineras. Då kan personnummerbaserade register hos myndigheter utgöra en viktig källa till data som kan kombineras med redan insamlade uppgifter för att skapa ny kunskap.
Inom ramen för ett forskningsprojekt sammanställer forskaren sina rådata på ett strukturerat sätt för att dessa ska kunna utgöra grunden för forskningen. Detta görs normalt i en databas som är specifik för det enskilda forskningsprojektet. Sådana databaser kallas här projektdatabaser. I dessa behandlas uppgifter fram tills dess att forskningsprojektet är avslutat, resultatet publicerats och data arkiverats. Det förekommer också att projektet utvidgas genom att nya frågeställningar tillkommer och ytterligare data kan då behöva tillföras projektdatabasen. I så fall krävs ett kompletterande godkännande enligt etikprövningslagen.
Ett godkännande enligt etikprövningslagen kan dock inte lämnas för en databas som enbart förs i syfte att lämna ut personuppgifter till andra forskningsprojekt. Sådana databaser kallas här forskningsdatabaser. Detta är bakgrunden till att den tidsbegränsade lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa infördes (LifeGene-lagen). Enligt den lagen får universitet och högskolor behandla personuppgifter för ändamålen att dels skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, dels lämna ut uppgifter för sådan forskning under vissa förutsättningar (1 och 5 §§). De grundläggande förutsättningarna för utlämnande av uppgifter från registret till ett forskningsprojekt är att projektet och behandlingen av personuppgifterna har godkänts enligt etikprövningslagen och att forskningen bedrivs vid en myndighet.
När blir en projektdatabas en forskningsdatabas och behovet av reglering
Forskningens natur är att förutsättningslöst undersöka och försöka finna evidens för vissa hypoteser som uppställs om hur olika variabler förhåller sig till varandra och vilka beroendeförhållanden som kan finnas. Till exempel kan en forskare i en studie variera en oberoende variabel, som behandling med ett prövningsläkemedel eller placebo, för att kunna studera hur det påverkar en beroende variabel, som blodtryck eller smärta. Som uttrycks i skäl 33 i EU:s dataskyddsförordning är det ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Detta beror på att forskningens resultat ofta leder till nya slutsatser och hypoteser som kan behöva besvaras i ett delvis nytt upplägg av forskningen och som ibland kräver att även ny information samlas in. Många gånger har forskningsprojekt som behandlar personuppgifter om ett urval av individer (en så kallad kohort) behövt utökas och utsträckas i tiden, då det visat sig värdefullt att kunna följa människor och populationer över längre tid. Detta har i sin tur medfört att intresset för en ursprungligen projektspecifik databas ökat bland forskare också utanför det specifika forskningsprojektet och den forskargrupp som byggt upp en viss projektdatabas. En sådan databas kan således bli en värdefull resurs för andra angränsande forskningsprojekt. Ibland ryms de nya forskningsfrågeställningarna inom det ursprungliga forskningsprojektet som har ett giltigt etikprövningstillstånd. I andra fall kan det nya forskningsprojektet behöva ett nytt etikprövningstillstånd och därefter begära att få tillgång till uppgifter från projektdatabasen av forskningshuvudmannen för det ursprungliga forskningsprojektet. Det nya forskningsprojektet kan även det behöva komplettera uppgifterna i projektdatabasen med nya uppgifter, antingen direkt från forskningspersonerna eller från andra källor.
När en serie sådana forskningsprojekt genomförts kan de samlade uppgifterna i projektdatabaserna med tiden utgöra en mycket värdefull resurs för forskningsfältet och borde kunna utnyttjas av fler forskare för att forskningsfältet ska kunna utvecklas vidare. Uppgifterna kan då komma att betraktas som ett slags infrastrukturliknande forskningsdatabas och inte som en serie av sammanhängande projektdatabaser. Resultatet av denna process kan bli att verksamhetens karaktär gradvis förskjuts från att vara ett begränsat forskningsprojekt som behandlar uppgifter om individer i en projektdatabas till att bli en forskningsdatabas som kan förse olika forskningsprojekt med uppgifter. Ett sådant exempel är Svenska tvillingregistret (Tvillingregistret) som är en populationsbaserad individdatabas med uppgifter om tvillingar som förs av Karolinska institutet (KI) sedan 1960-talet. Registret förs med stöd av ett etikprövningstillstånd. I ett ärende där KI har överklagat ett beslut av Socialstyrelsen till regeringen att inte lämna ut uppgifter till Tvillingregistret framgår att uppgifterna enbart begärts ut för att lämnas ut till andra forskningsprojekt. Socialstyrelsen avslog begäran under åberopande av att sekretessregleringen i offentlighets- och sekretesslagen (2009:400), förkortad OSL, lägger hinder i vägen för ett utlämnande av uppgifter från de av Socialstyrelsen förda och i ärendet aktuella registren till en forskningsdatabas. KI överklagade ärendet till regeringen, som avslog överklagandet utom i en mindre del som avsåg uppgifter om avlidna. I den delen lämnade regeringen tillbaka ärendet till Socialstyrelsen för en ny prövning (S2021/05208, se vidare avsnitt 6.1).
Det kan också vara så att en forskningsdatabas byggs upp från grunden utifrån uppgiftsinhämtning från enskilda som sedan med samtycke kompletteras med uppgifter från olika register. Ett sådant exempel är registret LifeGene. Även det registret förs av KI. Registret förs med stöd av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa (se 2 § i lagen och förordningen [2013:833] om vissa register för forskning om vad arv och miljö betyder för människors hälsa). Det finns en särskild sekretessreglering i OSL för forskningsdatabaser som förs med stöd av den lagen (24 kap. 2 a och 2 b §§ OSL, se vidare avsnitt 10.2).
Då lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa och den anslutande förordningen upphör att gälla vid utgången av december 2024 finns det behov av att införa en ny reglering. Eftersom forskningen ständigt utvecklas med nya inriktningar och nya forskningsfält behöver en långsiktig reglering täcka fler forskningsfält. Det finns också behov av att överväga en reglering för vissa äldre register som har kommit att utvecklas till att bli forskningsdatabaser. Även regleringen av sekretess och tystnadsplikt behöver ses över.
I denna proposition behandlas i avsnitt 6–8 ett förslag till en ny lag om vissa forskningsdatabaser, i avsnitt 9 behandlas förslag om att en obsolet lag ska upphävas och i avsnitt 10 behandlas förslag till ändringar i sekretessregleringen och en reglering om tystnadsplikt. Först ges dock i avsnitt 5 en närmare redogörelse för gällande rätt.
Nuvarande reglering
Reglering av relevans för behandling av personuppgifter i verksamhet med forskningsdatabaser
Viktiga bestämmelser till skydd för den personliga integriteten finns bl.a. i regeringsformen (RF) (se vidare avsnitt 5.2), den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som gäller som lag i Sverige, (se artikel 8 om att var och en har rätt till skydd för sitt privatliv), och EU:s stadga om de grundläggande rättigheterna (se artikel 7 samt artikel 8 där det anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne).
När det gäller behandling av personuppgifter finns den centrala regleringen i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd dataskyddsförordningen, och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen. I dataskyddsförordningen finns vissa bestämmelser som särskilt reglerar behandling av personuppgifter för forskningsändamål (se vidare avsnitt 5.3).
När det gäller forskning finns därutöver bl.a. den i avsnitt 4 nämnda etikprövningslagen och den där nämnda lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa (se vidare avsnitt 5.4).
Ytterligare en lag som innehåller bestämmelser till skydd för enskildas integritet som har särskild relevans när det gäller forskningsdatabaser är den i avsnitt 4 nämnda offentlighets- och sekretesslagen (OSL). Bestämmelserna i OSL får bl.a. betydelse för möjligheten att samla in uppgifter till en forskningsdatabas, nämligen när det är fråga om insamling av uppgifter från myndighetsregister, där registerförande myndigheter har att bedöma huruvida ett utlämnande är förenligt med den gällande sekretesslagstiftningen. Regleringen i OSL har också betydelse för möjligheten att skydda personuppgifter i en forskningsdatabas. En närmare redogörelse för relevanta bestämmelser om offentlighet och sekretess finns i avsnitt 10.2.
Skydd för den personliga integriteten finns i regeringsformen
I 1 kap. 2 § RF anges att den offentliga makten ska utövas med bland annat respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. I 2 kap. 6 § andra stycket RF anges att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Uttrycket ”personliga förhållanden” omfattar bl.a. uppgifter av vitt skilda slag om den enskildes person, t.ex. uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel (prop. 2009/10:80 s. 177). Skyddet för den personliga integriteten är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. Begränsningen måste dock ske genom lag (2 kap. 20 § första stycket 2 RF). Denna begränsning får vidare ske endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle, och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den, och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 21 § RF). Regleringen avser enligt förarbetena att understryka kravet på att lagstiftaren, när en fri- och rättighetsinskränkande lag beslutas, noga redovisar sina syften. Eftersom begränsningen inte får gå utöver vad som är nödvändigt med hänsyn till ändamålet, måste ett lagstiftningsarbete som påverkar skyddet av den personliga integriteten inkludera en integritetsanalys. Det intrång som sker i den enskildes personliga integritet måste vidare vara befogat och stå i rimlig proportion till de fördelar som intrånget bidrar med till det motstående intresset (prop. 1975/76:209 s. 53).
EU-rättsliga och nationella bestämmelser om personuppgiftsbehandling
EU:s dataskyddsförordning syftar till att skydda grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna. Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Dataskyddsförordningen gäller för helt eller delvis automatiserad behandling av personuppgifter. Bestämmelserna kan också under vissa förutsättningar gälla för helt manuell behandling av uppgifter. Behandling av personuppgifter om avlidna personer omfattas inte av dataskyddsförordningen.
EU:s dataskyddsförordning kompletteras i Sverige av bl.a. dataskyddslagen, som är subsidiär i förhållande till annan lag eller förordning. Det betyder att bestämmelser i annan lag eller förordning som rör behandling av personuppgifter har företräde framför dataskyddslagen. Ett sådant exempel är lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa.
Nedan lämnas en kort redogörelse för de i nu aktuellt sammanhang relevanta bestämmelserna i EU:s dataskyddsförordning.
Det krävs en rättslig grund för att behandling av personuppgifter ska vara laglig
Behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde får bara ske om det finns en tillämplig rättslig grund. De rättsliga grunderna regleras i artikel 6.1 i EU:s dataskyddsförordning och är
samtycke (artikel 6.1 a),
avtal (artikel 6.1 b),
rättslig förpliktelse (6.1 c),
skydd av vissa intressen (6.1 d),
uppgift av allmänt intresse och myndighetsutövning (artikel 6.1 e), och
intresseavvägning (artikel 6.1 f).
Om det inte finns någon rättslig grund är behandlingen inte laglig och får därmed inte utföras. Av den s.k. finalitetsprincipen (artikel 5.1 b) följer dock att personuppgifter kan vidarebehandlas för ändamål som är förenliga med de ändamål för vilka personuppgifterna ursprungligen samlades in. I så fall krävs inte någon annan separat rättslig grund än den som fanns för den ursprungliga insamlingen av personuppgifterna.
De olika rättsliga grunderna är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga för en och samma behandling. De rättsliga grunder som är relevanta när det gäller behandling av personuppgifter för forskningsändamål är främst samtycke enligt artikel 6.1 a, uppgift av allmänt intresse enligt artikel 6.1 e, och intresseavvägning enligt artikel 6.1 f (prop. 2017/18:298 s. 29–30).
Utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är begränsat (skäl 43 till dataskyddsförordningen). Det är vidare inte tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning. Medlemsstaterna får behålla eller införa mer specifik nationell reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller behandling som sker med stöd av de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning (artikel 6.2). De rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning ska vidare fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt (artikel 6.3). Den rättsliga grunden ska vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den (skäl 41 till EU:s dataskyddsförordning).
Den rättsliga grunden samtycke
Om en behandling grundar sig på samtycke ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (artiklarna 6.1 a och 7.1). Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11). Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32).
En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lättillgänglig form, med ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling personuppgifterna är avsedda för. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).
Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).
Europeiska dataskyddsstyrelsen har framhållit att det anges tydligt i skäl 43 att det är osannolikt att offentliga myndigheter kan hänvisa till samtycke till behandling, eftersom det ofta finns en tydlig maktobalans mellan den personuppgiftsansvarige och den registrerade när den personuppgiftsansvarige är en offentlig myndighet. Styrelsen anser också att det är tydligt i de flesta fall att den registrerade faktiskt inte kommer att ha något annat val än att godta den personuppgiftsansvariges behandling (behandlingsvillkor). Styrelsen anser att det finns andra lagliga grunder som i princip är mer lämpliga för offentliga myndigheters verksamhet (Riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679).
Det ska dock i detta sammanhang uppmärksammas att det internationellt är ovanligt att universitet har myndighetsstatus. I propositionen Behandling av personuppgifter för forskningsändamål (prop. 2017/18:298) har regeringen gjort bedömningen att när det gäller offentliga forskningsutförare kan det förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För statliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid en sådan inrättning. En myndighet kan således inte anses utöva påtryckning gentemot en individ enbart därför att det är fråga om en myndighet, om den inte har några verktyg för att direkt eller indirekt utöva påtryckningar. En undersökning där ett representativt urval av personer ur totalbefolkningen tillfrågas om de vill delta som en del av ett forskningsprojekt bör t.ex. kunna utföras med samtycke som rättslig grund även av ett universitet eller högskola med statlig huvudman. En sådan situation som avses i skäl 43 kan dock finnas exempelvis om lärosätet avser att forska med hjälp av personuppgifter som gäller studenter eller anställda vid universitetet. I en sådan situation kan det ifrågasättas om ett giltigt, frivilligt, samtycke kan inhämtas och om forskningsutföraren kan använda sig av denna rättsliga grund (prop. 2017/18:298 s. 41.)
Formuleringen i skäl 43 bör vidare normalt inte innebära hinder för privaträttsliga forskningsutförare, såsom enskilda utbildningsanordnare som har rätt att utfärda examina enligt lagen (1993:729) om tillstånd att utfärda vissa examina, att använda samtycke för personuppgiftsbehandling för forskningsändamål. Även privaträttsliga forskningsutförare behöver emellertid beakta om det kan finnas en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt och det därmed inte är möjligt att använda samtycke som rättslig grund för personuppgiftsbehandlingen i ett forskningsprojekt. Det ankommer på den personuppgiftsansvarige att för varje forskningsprojekt göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas (prop. 2017/18:298 s. 42).
För forskningens del är också vad som anges i skäl 33 i dataskyddsförordningen av betydelse. Där konstateras att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för forskningsändamål i samband med insamlingen av uppgifter. Därför bör den registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.
Frågan om hur dataskyddsförordningen bör tillämpas vid personuppgiftsbehandling i hälso- och sjukvårdsforskning har behandlats av Europeiska dataskyddsstyrelsen i ett yttrande den 2 februari 2021. Styrelsen påtalar att skäl 33 öppnar för en möjlighet att under vissa omständigheter sänka kraven på specifikation vid samtycke som rättslig grund. Det noteras att det finns viss flexibilitet i situationer där ändamålet för personuppgiftsbehandling i ett forskningsprojekt inte kan specificeras vid tidpunkten för insamling, utan då enbart kan beskrivas som kopplat till vissa frågeställningar eller ett visst forskningsområde. Det är, enligt styrelsen, nödvändigt att de forskningsområden som anges är så avgränsade som möjligt. Europeiska dataskyddsstyrelsen poängterar att det inte kan komma i fråga att, som rättslig grund, förlita sig på så pass breda samtycken att dessa avser vilka sorts ospecificerade ”framtida forskningsändamål” som helst. Vidare påpekas vikten av att en personuppgiftsansvarig, även när ändamålen inte kan specificeras fullt ut, på andra vis försöker säkerställa att förordningens krav på samtycke uppfylls, exempelvis genom att se till att den registrerade får så mycket information om projektet och behandlingen som kan ges vid tidpunkten.
Den rättsliga grunden uppgift av allmänt intresse
I propositionen Ny dataskyddslag (prop. 2017/18:105) framför regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse. Att den rättsliga grunden ska vara fastställd innebär att uppgiften av allmänt intresse måste ha stöd i rättsordningen. Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är enligt uttalanden i förarbetena av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. Detta måste även gälla i dataskyddsförordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse (prop. 2017/18:105 s. 56 och 57).
Enligt artikel 6.3 krävs enligt dataskyddsförordningen att den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e är fastställd i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Detta innebär inte att det krävs en reglering i den nationella rätten av själva personuppgiftsbehandlingen, utan det som måste ha stöd i rättsordningen är i stället uppgiften av allmänt intresse (prop. 2017/18:105 s. 48 och 49). Myndigheternas uppdrag och skyldigheter framgår av lagar, förordningar och andra regeringsbeslut. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa skyldigheter har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler (prop. 2017/18:105 s. 57).
Vidare ska unionsrätten eller medlemsstaternas nationella rätt uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 i dataskyddsförordningen). Behandlingen måste också enligt artikel 6.3 vara nödvändig för att utföra uppgiften av allmänt intresse. Annars är behandling enligt artikel 6.1.e inte tillåten. Detta ska enligt uttalanden i propositionen Ny dataskyddslag inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Kravet på att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse innebär i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (prop. 2017/18:105 s. 60).
Ovanstående ligger till grund för 2 kap. 2 § 1 dataskyddslagen, där det anges att personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
I propositionen Behandling av personuppgifter för forskningsändamål konstaterar regeringen att presumtionen bör vara att uppgiften att forska är en uppgift av allmänt intresse i dataskyddsförordningens mening (prop. 2017/18:298 s. 33). Regeringen gör också i fråga om den rättsliga grunden uppgift av allmänt intresse bedömningen att för universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt genom bestämmelser i högskolelagen (1992:1434), prop. 2017/18:298 s. 43–56.
För privata forskningsutförare är uppgiften att forska inte fastställd i nationell rätt på motsvarande sätt som för offentligrättsliga forskningsutförare. Här kan nämnas Chalmers Tekniska Högskola Aktiebolag och Stiftelsen Högskolan i Jönköping som tidigare var statliga högskolor men som numera drivs i form av stiftelser där uppgiften att forska är fastställd genom avtal. Dessa högskolor har tecknat långsiktiga ramavtal med staten. I en underbilaga till ramavtalen preciseras statens utbildnings- och forskningsuppdrag till respektive högskola. I underavtalet anges också den ersättning staten ska betala högskolan för den utbildning och forskning som högskolan ska bedriva. De två stiftelsehögskolorna ska vidare genom en reglering i OSL tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av handlingar hos myndighet och stiftelserna ska också vid tillämpningen av OSL jämställas med myndigheter (2 kap. 4 § OSL och bilagan till lagen). I propositionen Behandling av personuppgifter för forskningsändamål har regeringen konstaterat att de beslut om godkännande av avtalen, varigenom statens utbildnings- och forskningsuppdrag till Chalmers tekniska högskola och Högskolan i Jönköping preciseras, har fattats av regeringen efter bemyndigande av riksdagen med stöd i regeringsformen och anfört att enligt regeringens uppfattning utgör därmed Chalmers tekniska högskolas och Högskolans i Jönköping forskningsverksamhet en uppgift av allmänt intresse som är fastställd i enlighet med nationell rätt (prop. 2017/18:298 s. 56).
I övrigt har regeringen gjort bedömningen att en privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt bl.a. om det krävs tillstånd för forskningsprojektet enligt t.ex. etikprövningslagen och forskningsutföraren har fått de tillstånd som krävs (prop. 2017/18:298 s. 43).
I förarbetena till etikprövningslagen har regeringen bl.a. angivit att som utgångspunkt vid etikprövning av forskning där människor ska ingå, bör gälla att forskningen ska kunna innebära teoretisk och/eller praktisk nytta för samhället och mänskligheten i stort (prop. 2002/03:50 s. 98). I etikprövningslagen anges att mänskliga rättigheter alltid ska beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning samt att människors välfärd ska ges företräde framför samhällets och vetenskapens behov. Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde (8–9 §§). Ett beslut om godkännande av ett forskningsprojekt enligt etikprövningslagen innebär således att forskningen bedömts vara till nytta för samhället. Ett forskningsprojekt som godkänts enligt etikprövningslagen får därmed anses vara en uppgift av allmänt intresse.
Den rättsliga grunden intresseavvägning
Ytterligare en grund, som regeringen har bedömt relevant när det gäller behandling av personuppgifter för forskningsändamål, är den som benämns som intresseavvägning, och som i artikel 6.1 f i EU:s dataskyddsförordning anges innebära att behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd, särskilt när den registrerade är ett barn (prop. 2017/18:298 s. 29 och 30).
I artikel 6.1 andra stycket klargörs att den aktuella grunden inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Det motiveras i skäl 47 till EU:s dataskyddsförordning med att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter. Intresseavvägning som rättslig grund inom forskningen kan således bara åberopas när forskningshuvudmannen inte är ett statligt lärosäte eller annan myndighet.
Vissa grundläggande principer för behandling av personuppgifter måste följas
Det finns ett antal principer som ska tillämpas vid all behandling av personuppgifter. Principerna framgår av artikel 5 i EU:s dataskyddsförordning. Det är principerna om laglighet, korrekthet och öppenhet (5.1 a), ändamålsbegränsning (5.1 b), uppgiftsminimering (5.1 c), riktighet (5.1 d) lagringsminimering (5.1 e) och integritet och konfidentialitet (5.1 f).
Principen om ändamålsbegränsning i artikel 5.1 b innebär att uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. Principen att personuppgifter inte får behandlas för ändamål som är oförenliga med det ursprungliga ändamål som uppgifterna samlats in för benämns finalitetsprincipen.
I skäl 50 i EU:s dataskyddsförordning anges att behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast bör vara tillåten när detta är förenligt med de ändamål för vilka personuppgifterna samlades in från början. I skälen klargörs att i dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Det framgår också att om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig.
Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna i artikel 5 efterlevs. Med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 4.7).
Skyddsåtgärder
Det finns särskilda bestämmelser om säkerhet i samband med behandling av personuppgifter i artikel 32 i EU:s dataskyddsförordning. Enligt den artikeln ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de risker som behandlingen av personuppgifter medför, inbegripet, när det är lämpligt, vissa åtgärder som anges i artikeln. I det arbetet ska den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter beaktas. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till risk för oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas.
I artikel 89.1 anges vidare att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter i enlighet med dataskyddsförordningen. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När ändamålen med behandlingen av personuppgifterna kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska ändamålen uppfyllas på det sättet.
I skäl 156 anges också att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Den registrerades rättigheter
I dataskyddsförordningen finns ett antal bestämmelser om rättigheter för den registrerade som syftar till att ge den registrerade ökad kontroll över sina personuppgifter. De handlar bland annat om rätt till klar och tydlig information, rätt till tillgång, rätt till rättelse, rätt till radering, rätt till begränsning av behandling, rätt till dataportabilitet och rätt att göra invändningar (artiklarna 12–22). Genom dessa bestämmelser manifesteras den registrerades rätt till kännedom om och kontroll över behandlingen av hans eller hennes personuppgifter.
Det finns emellertid direkt tillämpliga undantag från vissa av dessa rättigheter för situationer då behandling av personuppgifter sker för forskningsändamål. Enligt artikel 17.3 d gäller inte rätten till radering i den utsträckning personuppgiftsbehandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som rätten till radering sannolikt omöjliggör eller avsevärt försvårar att syftet med den behandlingen uppnås. Vidare framgår av artikel 21.6 att den registrerades rätt att invända mot behandlingen av personuppgifter inte gäller när behandlingen sker för forskningsändamål och är nödvändig för att utföra en uppgift av allmänt intresse.
Det finns också möjligheter att i nationell rätt göra vissa undantag. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det enligt artikel 89.2 i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från rätten till tillgång, rätten till rättelse, rätten till begränsning av behandling och rätten att göra invändning (artiklarna15, 16, 18 och 21) med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i artikeln i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen med behandlingen, och sådana undantag krävs för att uppnå dessa ändamål.
I 4 kap. 3 § dataskyddslagen finns en skyddsåtgärd i form av en särskild bestämmelse om användningsbegränsning. Den bestämmelsen begränsar på visst sätt hur personuppgifter som behandlas enbart för forskningsändamål får användas. Enligt bestämmelsen får sådana uppgifter användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intresse. Bestämmelsen har sin grund i artiklarna 6.2, 9.2 j och 89.1 i dataskyddsförordningen. Det kan förekomma t.ex. när en forskare, som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling.
Behandling av vissa kategorier av uppgifter (känsliga personuppgifter)
Med särskilda kategorier av uppgifter i dataskyddssammanhang avses sådana personuppgifter som anges i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, liksom genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Sådana uppgifter benämns känsliga personuppgifter i dataskyddslagen (3 kap. 1 §).
Enligt artikel 9.1 är det som huvudregel förbjudet att behandla sådana uppgifter. Det finns dock undantag från förbudet i artikel 9.2 a–j. Relevanta är här undantagen i artikel 9.2 a, g och j.
Känsliga personuppgifter får, enligt artikel 9.2 a, behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandling för ett eller flera specifika ändamål. Även utan sådant samtycke ges också en explicit möjlighet till behandling av känsliga personuppgifter om behandlingen är nödvändig för bl.a. forskningsändamål och för behandling av personuppgifter som är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 j och g). Det är en förutsättning att behandlingen står i proportion till det eftersträvade syftet och sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, där föreskrifter om skyddsåtgärder ska finnas för att säkerställa den registrerades grundläggande rättigheter och intressen.
Den nämnda bestämmelsen i 4 kap. 3 § dataskyddslagen, som reglerar att personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen, är en sådan föreskrift om skyddsåtgärder som alltså måste finnas i nationell rätt för att en behandling av känsliga personuppgifter för forskningsändamål ska vara tillåten enligt artikel 9.2 j.
En annan kategori personuppgifter som i dataskyddsförordningen beläggs med särskilda restriktioner är uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsfrågor (personuppgifter om lagöverträdelser). Sådana uppgifter får bara behandlas under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt och lämpliga skyddsåtgärder har fastställts där (artikel 10). Enligt dataskyddslagen får personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning behandlas av myndigheter. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter (3 kap. 8 § första stycket och 9 § första stycket dataskyddslagen). Enligt 5 § förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning får personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning behandlas av andra än myndigheter om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Övrig relevant reglering
Bestämmelser om arkivering och gallring
Frågor kopplade till arkivering och gallring aktualiseras i samband med att uppgifter som använts i forskningssammanhang inte längre ska användas. Enligt 2 kap. 23 § tryckfrihetsförordningen (TF) får grundläggande föreskrifter om hur allmänna handlingar ska bevaras samt om gallring och annat avhändande av sådana handlingar meddelas i lag. Den centrala regleringen finns i arkivlagen (1990:782), men även dataskyddsförordningen och dataskyddslagen innehåller viss reglering av relevans.
Arkivlagens huvudprincip är bevarande i arkiv, men lagen medger under vissa förutsättningar undantag genom bestämmelser om gallring. Ett av syftena med att myndigheters arkiv ska bevaras, hållas ordnade och vårdas är att tillgodose forskningens behov (3 §). Vid gallring ska det alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose bl.a. forskningens behov. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser (10 §). När det gäller gallring av forskningsmaterial hos bland annat statliga universitet och högskolor har Riksarkivet meddelat föreskrifter och allmänna råd om gallring av handlingar i statliga myndigheters forskningsverksamhet (RA-FS 1999:1). Föreskrifterna anger under vilka förutsättningar handlingar i forskningsverksamhet får gallras.
Det som enligt arkivlagen gäller för statliga myndigheters arkiv gäller även för arkiv hos sådana organ som avses i 2 kap. 4 § första meningen OSL till den del arkivet härrör från den verksamhet som avses i bilagan till offentlighets- och sekretesslagen (2§). Detta gäller exempelvis vissa enskilda utbildningsanordnare.
Lagring av personuppgifter är enligt definitionen i EU:s dataskyddsförordning i artikel 4.2 en behandling av personuppgifter. I dataskyddsförordningen finns ett antal artiklar som särskilt rör personuppgiftsbehandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Av propositionen till dataskyddslagen framgår att regeringen har gjort bedömningen att myndigheter och andra som omfattas av föreskrifter om arkiv, såsom arkivlagen och anslutande föreskrifter, har rättslig grund i enlighet med artikel 6.1 e dataskyddsförordningen för behandling av personuppgifter för arkivändamål av allmänt intresse. Vidare har regeringen gjort bedömningen att den behandling av personuppgifter som myndigheter och andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör en vidarebehandling som görs för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då enligt skäl 50 inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (prop. 2017/18:105 s. 109–111). Det är dock inte fråga om sådan vidarebehandling när en arkivmyndighet, t.ex. Riksarkivet, övertar arkivmaterial från en annan myndighet. Då övergår enligt 9 § tredje stycket arkivlagen hela ansvaret för det övertagna materialet till arkivmyndigheten. Arkivmyndigheten bär personuppgiftsansvaret för de behandlingar som görs därefter. Den rättsliga grunden för dessa behandlingar är att de görs för att utföra en i arkivlagstiftningen fastställd uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen.
När en personuppgift inte längre behöver behandlas för det ursprungliga ändamålet ska den, enligt huvudregeln i artikel 5.1 e i dataskyddsförordningen, gallras eller anonymiseras. Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).
Gallringsbestämmelser förekommer också i särskilda registerförfattningar. Exempelvis föreskrivs i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa att personuppgifter som inte längre behövs för ändamålet med behandlingen enligt lagen ska gallras, om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om, eller i enskilt fall beslutat, att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (12 §).
I artikel 89.1 i dataskyddsförordningen ställs det krav på att behandling för bl.a. arkivändamål av allmänt intresse ska omfattas av lämpliga skyddsåtgärder. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att ändamålen kan uppfyllas på det sättet. När ändamålet kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska ändamålet uppfyllas på det sättet. Om personuppgifter behandlas för arkivändamål av allmänt intresse får det vidare i unionsrätten eller medlemsstaternas nationella rätt föreskrivas om undantag från rätten till tillgång, rätten till rättelse, rätten till begränsning av behandling, rätten till dataportabilitet och rätten att göra invändningar i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen och sådana undantag krävs för att uppnå dessa ändamål. Några generella undantag från registrerades rättigheter vid behandling av personuppgifter för arkivändamål av allmänt intresse har inte införts i svensk rätt.
Enligt artikel 9.2 j dataskyddsförordningen får känsliga personuppgifter behandlas om behandlingen är nödvändig för bl.a. arkivändamål av allmänt intresse i enlighet med artikel 89.1. Behandlingen ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
I artikel 10 föreskrivs om behandling av personuppgifter om lagöverträdelser och även enligt denna bestämmelse ställs krav på skyddsåtgärder.
I förarbetena till dataskyddslagen anges att de lämpliga och särskilda åtgärder som krävs enligt artikel 9.2. j motsvarar det krav på skyddsåtgärder som ställs enligt dataskyddsdirektivet och att det därmed inte innebär någon ny begränsning av möjligheten att behandla känsliga personuppgifter för arkivändamål av allmänt intresse. I förarbetena konstateras också att den nödvändiga behandlingen av personuppgifter som görs vid arkiv som omfattar allmänna handlingar har rättslig grund i arkivlagen och anslutande föreskrifter samt att svensk rätt innehåller lämpliga och särskilda åtgärder som skyddar enskildas integritet vid hantering av allmänna handlingar, i synnerhet i form av sekretess eftersom dessa har utformats noggrant efter en avvägning mellan behovet av skydd och intresset av insyn, men även genom rätt till partsinsyn och föreskrifter om informationssäkerhet och gallring (prop. 2017/18:105 s. 116).
I 3 kap. 6 § första stycket dataskyddslagen preciseras att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Under samma förutsättning får enligt 3 kap. 8 § samma lag personuppgifter om lagöverträdelser behandlas.
Etikprövningslagen
I etikprövningslagen finns bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor. Lagen omfattar bland annat forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 §). Med begreppet forskning avses i lagen vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå (2 §).
Forskning som omfattas av lagen får utföras bara om den godkänts vid etikprövning (6 § första stycket). Med att forskning utförs avses enligt förarbetena själva genomförandefasen, dvs. att forskningspersoner rekryteras och inhämtande av underlag påbörjas, försök genomförs samt att inhämtat underlag analyseras och bearbetas. Rent inledande planeringsarbete eller ordnande av finansiering exkluderas alltså. Det sagda har motiverats av att det är först i samband med forskningens utförande i angiven bemärkelse som risker för skada på forskningspersonens hälsa, säkerhet och personliga integritet anses kunna uppkomma (prop. 2002/03:50 s. 114).
Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning (6 § första stycket). Ett projekt är oftast avgränsat med avseende på den vetenskapliga frågeställningen, antalet forskningspersoner som ska delta, forskningsledningen, antalet forskare och annan personal som ska ingå i projektet, finansiering och budgetering osv. Den forskning som ska etikprövas måste följaktligen vara avgränsad i någon mening för att kunna godkännas vid etikprövningen (prop. 2002/03:50 s. 195). Som utgångspunkt vid etikprövningen gäller bl.a. att forskningen bara får godkännas om de risker den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde (9 §).
Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa
Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa gäller för behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen och som sker med den enskildes uttryckliga samtycke. Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 och 2 §§).
Personuppgifter får enligt lagen bara behandlas för ändamålen att
skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt,
lämna ut uppgifter till sådan forskning under förutsättning dels att såväl forskningen som behandlingen av uppgifterna har godkänts enligt etikprövningslagen, dels att forskningen bedrivs vid en myndighet,
lämna ut uppgifter till en utredning av oredlighet i sådan forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning,
lämna ut uppgifter till den registrerade själv,
lämna ut uppgifter om det finns en skyldighet enligt lag att göra det, och
bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål om regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat det.
När det är fråga om utlämnande av uppgifter till sådan forskning som avses ovan eller till en utredning av oredlighet i sådan forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning får endast personuppgifter som inte är direkt hänförliga till den enskilde lämnas ut. Uppgifterna får dock vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopplas till personnummer eller motsvarande identitetsbeteckning (s.k. löpnummer). Löpnummer och personnummer (s.k. kodnyckel) får lämnas ut till en annan myndighet om det är nödvändigt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till ett forskningsprojekt som godkänts enligt etikprövningslagen (5–8 §§).
Lagen är sedan den 1 januari 2019 anpassad till dataskyddsförordningen (prop. 2017/18:298, bet. 2018/19:UbU5, rskr. 2018/19:44) och det framgår av lagen att den kompletterar dataskyddsförordningen. Vid behandling av personuppgifter enligt lagen gäller dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till lagen (3 och 3 a §§). I anslutning till lagen har regeringen meddelat föreskrifter i förordningen (2013:833) om vissa register för forskning om vad arv och miljö betyder för människors hälsa med stöd av den s.k. restkompetensen (8 kap. 7 § 2 RF). Förordningen reglerar vilka register som får föras, vilka som får behandla personuppgifter och i vilken utsträckning uppgifter som gäller genetiska undersökningar får registreras. I en bilaga till förordningen anges att Karolinska institutet får föra registret LifeGene i enlighet med lagen. Registret omfattar drygt 50 000 registrerade. Då LifeGene-registret är det enda register som anges i förordningen benämns lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa i denna proposition LifeGene-lagen.
Ändamålet med lagen anges vara att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och skydda den enskildes personliga integritet i sådan verksamhet (1 §). I propositionen Behandling av personuppgifter för forskningsändamål har det bedömts att utformningen av ändamålsbestämmelserna i lagen är förenlig med dataskyddsförordningens princip om ändamålsbegränsning (prop. 2017/18:298 s. 172 och 173). Samma bedömning har gjorts i propositionen Fortsatt giltighet av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa (prop. 2019/20:182 s. 11). Lagen är tidsbegränsad och gäller till utgången av 2024.
En ny lag om vissa forskningsdatabaser ska införas
Den tidsbegränsade LifeGene-lagen behöver ersättas av en mer generell lag
Regeringens bedömning: Det behövs en ny lag som ersätter den tidsbegränsade lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Även den nya lagen bör utgå från enskildas frivilliga medverkan, men ha ett mer generellt tillämpningsområde.
Promemorians bedömning överensstämmer delvis med regeringens. I promemorian görs bedömningen att det behövs en långsiktig och generell reglering som kan omfatta både befintliga och framtida forskningsdatabaser samt att en sådan långsiktig reglering endast bör vara inriktad på sådana centrala uppgiftssamlingar som, i likhet med LifeGene, bygger på de registrerades frivilliga medverkan och som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv.
Remissinstanserna: Samtliga remissinstanser, däribland Integritetsskyddsmyndigheten, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), Karolinska institutet (KI), Mittuniversitetet, Mälardalens universitet, Socialstyrelsen, Umeå universitet, Uppsala universitet och Vetenskapsrådet, ställer sig generellt positiva till eller har inga synpunkter på promemorians bedömning om behovet av en reglering för forskningsdatabaser.
Samtliga remissinstanser som uttalar sig särskilt delar promemorians bedömning att det finns behov av en långsiktig och generell reglering för forskningsdatabaser. Göteborgs universitet framhåller att det finns ett angeläget behov av att möjliggöra insamling av personuppgifter för framtida forskningsändamål. Uppsala universitet delar promemorians bedömning om allmänna motiv till att föreslå en ny reglering. Region Halland anser att det är fördelaktigt om lagstiftningen tydliggör förutsättningarna för att behandla personuppgifter i forskningsdatabaser och framhåller att det är angeläget att det skapas möjligheter att långsiktigt bygga upp och förvalta forskningsdatabaser med personuppgifter som kan utgöra underlag för flera olika framtida forskningsprojekt. Region Kalmar län bedömer att en reglering av nuvarande och nya forskningsdatabaser bedöms ha potential för att förbättra förutsättningarna för registerforskning. Region Västmanland och Region Örebro län anför att det är av stor vikt att det tydligt regleras vad som kan utgöra en forskningsdatabas, vilka uppgifter som får samlas in till databasen och hur uppgifterna därefter får lämnas ut från databasen, då dessa kommer att innehålla en stor mängd personuppgifter samt känsliga personuppgifter.
Vetenskapsrådet instämmer i promemorians bedömning. Rådet bedömer att behovet av ett tydligare rättsligt stöd för den behandling av personuppgifter som utförs i forskningsdatabaser är stort för att kunna behålla, vidareutveckla och inrätta nya databaser där uppgifter om enskilda samlats in med samtycke och kombinerats med redan insamlade uppgifter i register. Rådet bedömer dock även att det finns ett stort behov av motsvarande stöd för individdatabaser bestående av uppgifter som samlats in även på annat sätt och utan samtycke. Rådet anser att även om dessa databaser fortsatt kan bedrivas med stöd av etiska tillstånd är det en osäker grund att stå på och att en tydlig reglering skulle ge såväl ett tydligare integritetsskydd och klarare rättsligt stöd än vad som nu är fallet. Riksarkivet konstaterar att rättsläget vid personuppgiftsbehandling för forskningsändamål trots det mångåriga utredningsarbetet i många delar är oklart och i andra mycket komplicerat. En sådan situation är enligt Riksarkivet otillfredsställande och riskerar att hindra och begränsa angelägen forskning utan att detta är motiverat av integritetsskäl. Riksarkivet betonar att det är angeläget att arbetet med en mer heltäckande och ändamålsenlig reglering av personuppgiftsbehandlingen för forskningsändamål slutförs.
Skälen för regeringens bedömning: Forskningsdatabaser kan som angivits i avsnitt 4 vara av mycket stort värde genom att möjliggöra olika forskningsstudier inom olika fält, vilka kan bidra till ny kunskap inom olika discipliner. Inom många vetenskapsområden finns det ett behov av att samla in uppgifter om och från individer för att kunna besvara olika typer av forskningsfrågor. Databaser med personuppgifter kan rätt utnyttjade under kontrollerade former, utgöra källor till ny kunskap om samhälle, hälsa och välfärd. Särskilda forskningsdatabaser kan underlätta hanteringen och göra den mer förutsägbar och tydlig och stärka integritetsskyddet för de registrerade. Regeringen anser, i likhet med bl.a. Göteborgs universitet och Region Halland att det är angeläget att det skapas möjligheter att långsiktigt bygga upp och förvalta forskningsdatabaser med personuppgifter som kan utgöra underlag för flera olika framtida forskningsprojekt. Med undantag för den tidsbegränsade LifeGene-lagen med tillhörande förordning (se avsnitt 5.4) finns det i dagsläget ingen särskild nationell reglering av behandling av personuppgifter i forskningsdatabaser i den mening som avses i avsnitt 4, dvs. en databas som endast förs i syfte att lämna ut personuppgifter till forskningsprojekt. För behandling av personuppgifter inom forskningsområdet är EU:s dataskyddsförordning och dataskyddslagen den primära reglering som gäller och ska följas. Dessutom är regleringen i etikprövningslagen av central betydelse. All behandling av personuppgifter som utförs i verksamheter inom forskningsområdet, däribland den som sker i verksamhet med olika typer av databaser, regleras alltså av bestämmelserna i dataskyddsförordningen liksom kompletterande nationell lagstiftning av betydelse för verksamheten. Den personuppgiftsbehandling som sker i andra register än LifeGene är alltså inte oreglerad utan sker inom ett rättsligt ramverk.
Syftet med LifeGene-lagen är att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Lagen gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som sker med den enskildes uttryckliga samtycke. Enligt 2 § tredje stycket LifeGene-lagen meddelar regeringen föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt lagen och vilka register som får föras enligt lagen. Det enda register som har förts in i bilagan till den kompletterande förordningen är emellertid LifeGene-registret vid Karolinska institutet med ändamålet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika sjukdomar och för människors hälsa i övrigt. LifeGene-lagen och den kompletterande förordningen är som nämnts i avsnitten 3 och 4 tidsbegränsade och gäller till utgången av 2024. Den tidsbegränsade regleringen behöver således ersättas med en permanent reglering. Då forskningen ständigt utvecklas med nya inriktningar och nya forskningsfält anser regeringen, i likhet med den bedömning som görs i promemorian, att den nya permanenta lagen även bör omfatta forskningsområden utanför forskningsområdet om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Det bedöms vara angeläget dels att legitimiteten i sådana forskningsdatabaser inte ifrågasätts, dels att personuppgiftsbehandlingen i verksamheter med sådana forskningsdatabaser kringgärdas av ett tillfredställande skydd för de registrerades integritet.
I promemorian görs bedömningen att en långsiktig reglering av forskningsdatabaser endast bör vara inriktad på sådana centrala uppgiftssamlingar som, i likhet med LifeGene, bygger på de registrerades frivilliga medverkan och som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. Såväl Vetenskapsrådet som Riksarkivet invänder mot denna bedömning. Vetenskapsrådet anför att även om databaser som innehåller personuppgifter som samlats in på annat sätt och utan samtycke fortsatt kan bedrivas med stöd av etiska tillstånd, så är det en osäker grund att stå på och att en tydlig reglering skulle ge såväl ett tydligare integritetsskydd och klarare rättsligt stöd än vad som nu är fallet. Riksarkivet betonar att det är angeläget att arbetet med en mer heltäckande och ändamålsenlig reglering av personuppgiftsbehandlingen för forskningsändamål slutförs. Regeringen konstaterar att de förslag som tidigare har lämnats med ett vidare tillämpningsområde än det förslag som lämnas i promemorian har fått så mycket remisskritik att det inte har bedömts möjligt att gå fram med de förslagen. Regeringen gör vidare bedömningen att det hittills endast finns ett konkret akut behov av en sådan reglering när det gäller forskningsdatabaser som samlar in uppgifter baserat på den enskildes frivilliga medverkan. Det är här centralt att regeringen i denna proposition, som framgår av avsnitt 4, gör en åtskillnad mellan projektdatabaser och forskningsdatabaser. Med projektdatabaser avses i denna proposition databaser som förs med stöd av godkännande enligt etikprövningslagen. Som framgår av avsnitt 4 kan forskare i ett annat forskningsprojekt begära att få tillgång till uppgifter från en projektdatabas av forskningshuvudmannen för det ursprungliga forskningsprojektet. Med forskningsdatabaser avses här databaser som endast förs i syfte att lämna ut personuppgifter till forskningsprojekt. Som framgår av avsnitt 4 kan ett godkännande enligt etikprövningslagen inte lämnas för en forskningsdatabas och det är bakgrunden till att den tidsbegränsade LifeGene-lagen med anslutande sekretessreglering (2 kap. 2 a och 2 b §§ OSL) har införts. Det är således uppenbart att det behövs en ny reglering för LifeGene-registret från och med den 1 januari 2025.
Det görs här bedömningen att det även behövs en reglering för det av KI förda Tvillingregistret. Det registret förs visserligen med stöd av ett etikgodkännande enligt etikprövningslagen. KI har dock i ett ärende där KI begärt att få uppgifter från vissa register som förs av Socialstyrelsen, i syfte att uppdatera Tvillingregistret, uppgett att det numera inte finns något annat syfte med Tvillingregistret än att skapa underlag för att lämna ut uppgifter till olika etikgodkända forskningsprojekt och att Tvillingregistret inte har för avsikt att bedriva egen forskning på de i ärendet begärda uppgifterna. Socialstyrelsen angav i sitt beslut att det då är fråga om en forskningsdatabas och avslog begäran under åberopande av att sekretessregleringen i offentlighets- och sekretesslagen (2009:400), förkortad OSL, lägger hinder i vägen för ett utlämnande av uppgifter från de av Socialstyrelsen förda och i ärendet aktuella registren till en forskningsdatabas. Socialstyrelsens beslut har överklagats till regeringen. Vid prövningen av överklagandet har även regeringen gjort bedömningen att den verksamhet som KI skulle ägna sig åt med de begärda uppgifterna närmast får vara att anse som en verksamhet med en forskningsdatabas. Regeringen har avslagit överklagandet utom i en mindre del som avser uppgifter om avlidna. I den delen lämnade regeringen tillbaka ärendet till Socialstyrelsen för en ny prövning (regeringsbeslut den 29 augusti 2024, S2021/05208).
Som regeringen närmare utvecklar i avsnitt 6.3.8 gör regeringen, i likhet med vad som föreslås i promemorian, bedömningen att både LifeGene-registret och Tvillingregistret bör omfattas av den nya lagen. Regeringen lämnar vidare förslag till ändringar i sekretessregleringen i OSL i avsnitt 10. Regeringen utesluter inte att det kan finnas andra forskningshuvudmän som är ansvariga för databaser som behandlas med stöd av etikprövningstillstånd som skulle vilja strukturera om verksamheten och göra om databaserna till forskningsdatabaser. Av detta skäl är det centralt, som regeringen återkommer till i avsnitt 13, att en ny lag förses med övergångsbestämmelser så att även äldre databaser, som t.ex. Tvillingregistret, kan omfattas av den nya regleringen.
Regeringen gör således bedömningen att det behöver införas en ny lag som ersätter den tidsbegränsade LifeGene-lagen och att även den nya lagen bör utgå från enskildas frivilliga medverkan, men att den bör ha ett mer generellt tillämpningsområde. Det behöver dock först göras en bedömning av vilket utrymme det finns för en nationell reglering av forskningsdatabaser enligt EU:s dataskyddsförordning.
Utgångspunkter för en reglering
Personuppgiftsbehandling i en forskningsdatabas sker för vetenskapliga forskningsändamål i dataskyddsförordningens mening
Regeringens bedömning: Personuppgiftsbehandling genom uppbyggnad och förande av en forskningsdatabas är en behandling för vetenskapliga forskningsändamål enligt EU:s dataskyddsförordning.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Remissinstanserna tillstyrker eller har inga invändningar mot bedömningen. Detta gäller bl.a. Integritetsskyddsmyndigheten (IMY) och Socialstyrelsen. Uppsala universitet, som är den enda remissinstans som yttrar sig särskilt över bedömningen, delar promemorians bedömning att personuppgiftsbehandling i en forskningsdatabas sker för vetenskapliga forskningsändamål enligt dataskyddsförordningen.
Skälen för regeringens bedömning: Som nämnts i avsnitt 5 får enligt EU:s dataskyddsförordning behandling av personuppgifter bara ske om det finns en rättslig grund för behandlingen enligt artikel 6.1 i förordningen. Det finns också ett antal principer som anges i artikel 5, vilka ska tillämpas vid all behandling av personuppgifter. Bland annat ska enligt principen om ändamålsbegränsning i artikel 5.1 b uppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
I dataskyddsförordningen förekommer upprepade gånger uttrycket ”vetenskapliga eller historiska forskningsändamål”. I vissa fall talas det enbart om forskningsändamål. Det ställs särskilda krav på skyddsåtgärder när en behandling utförs för forskningsändamål. Personuppgiftsbehandling för forskningsändamål är vidare särskilt gynnad i vissa avseenden enligt dataskyddsförordningen. Bland annat kan undantag föreskrivas från vissa bestämmelser som reglerar den registrerades rättigheter när behandlingen sker för just vetenskapliga eller historiska forskningsändamål. Det finns också ett särskilt undantag från förbudet att behandla känsliga personuppgifter om behandlingen är nödvändig för bl.a. vetenskapliga eller historiska forskningsändamål. Huruvida personuppgiftsbehandling i forskningsdatabaser omfattas av uttrycket forskningsändamål i dataskyddsförordningens mening är därför en central fråga när en analys ska göras av möjligheten att införa en reglering av behandling av personuppgifter i forskningsdatabaser och förutsättningarna för en sådan reglering.
Begreppet ”vetenskapliga eller historiska forskningsändamål” är ett EU-rättsligt begrepp. Dataskyddsförordningen innehåller emellertid inte någon definition av begreppet forskning eller forskningsändamål. Begreppet ”forskning” förekommer överhuvudtaget inte i artiklarna. Det saknas även vägledande avgöranden när det gäller tolkningen av begreppet.
Vägledning för tolkningen av begreppet forskningsändamål kan hämtas i dataskyddsförordningens skäl 159, som anger att behandling av personuppgifter för forskningsändamål bör ges en vid tolkning och omfatta t.ex. teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Vetenskapliga forskningsändamål bör vidare enligt skäl 159 omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i fördraget om Europeiska unionens funktionssätt angående åstadkommandet av ett europeiskt forskningsområde. I denna artikel anges bland annat att unionen ska ha som mål att stärka unionens vetenskapliga och tekniska grund genom att åstadkomma ett europeiskt forskningsområde med fri rörlighet för forskare, vetenskapliga rön och teknik samt underlätta alla forskningsinsatser som anses nödvändiga enligt andra kapitel i fördragen.
I skäl 157 i dataskyddsförordningen betonas att forskare kan få ny kunskap av stort värde genom att koppla samman information från olika register och att forskningsresultat som fåtts på grundval av register är en stabil, högkvalitativ kunskap som bl.a. kan läggas till grund för utformningen och genomförandet av kunskapsbaserad politik. Det anges också att personuppgifter får behandlas för vetenskapliga forskningsändamål för att underlätta vetenskaplig forskning, med förbehåll för lämpliga villkor och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt.
Vidare anges det i skäl 33 att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Registrerade bör därför kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Samtycke till personuppgiftsbehandling för forskningsändamål kan alltså omfatta avgränsade forskningsområden av bredare karaktär än enskilda projekt.
I skäl 159 anförs alltså att forskningsändamål bör ges en vid tolkning där teknisk utveckling omfattas och nödvändiga forskningsinsatser underlättas. Forskning med hjälp av register betonas som särskilt värdefullt.
Det framstår mot den bakgrunden som en rimlig slutsats att den personuppgiftsbehandling som sker i en forskningsdatabas, vilken endast syftar till att samla in uppgifter för att tillhandahålla dessa till olika framtida forskningsprojekt, får anses ske för forskningsändamål i den mening som avses med begreppet i dataskyddsförordningen.
I Europeiska dataskyddsstyrelsens riktlinjer 05/2020 om samtycke enligt förordning (EU) 2016/679 anges att styrelsen anser att begreppet forskningsändamål inte får utökas till att omfatta mer än dess allmänna betydelse och att styrelsen är medveten om att ”vetenskaplig forskning” i detta sammanhang innebär ett forskningsprojekt som inrättats i överensstämmelse med relevanta metodologiska och etiska standarder inom sektorn, i enlighet med god praxis. Dataskyddsstyrelsen uttalar sig dock inte om forskningsdatabaser och det enda mer preciserade uttalandet i yttrandet avser ”vetenskaplig forskning”. Sådana forskningsdatabaser som avses i denna proposition har till ändamål att samla in och lämna ut uppgifter till vetenskaplig forskning. Som regeringen närmare utvecklar i avsnitt 8.1.2 föreslås att ett krav för utlämnande av uppgifter från sådana forskningsdatabaser som omfattas av propositionens lagförslag ska vara att det forskningsprojekt som uppgifter lämnas ut till har ett godkännande enligt etikprövningslagen om forskningen omfattas av den lagens krav på etikprövning.
Vid införandet av den sekretessbrytande bestämmelsen i 24 kap. 8 b § OSL, enligt vilken statistiksekretessen inte hindrar att uppgifter lämnas till organisationen Luxembourg Income Study (LIS) enligt 18 § lagen (2001:99) om den officiella statistiken, bedömde regeringen att de två forskningsdatabaser som LIS tillhandahåller för olika forskningsprojekt om inkomstfördelning, fattigdom och förmögenhetsfördelning, är exempel på behandling för forskningsändamål eller statistiska ändamål (prop. 2021/22:92 s. 7 och 25). Organisationen har säte i Luxemburg, som också är ett EU-land.
Sammantaget gör regeringen, i likhet med promemorian och Uppsala universitet, bedömningen att personuppgiftsbehandling som utförs i verksamhet med att bygga upp och föra forskningsdatabaser omfattas av begreppet vetenskapliga eller historiska forskningsändamål i dataskyddsförordningens mening. Utgångspunkten är därför att de särskilda bestämmelser som gäller enligt dataskyddsförordningen när personuppgiftsbehandling sker för detta ändamål eller som tillåter undantag vid behandling för detta ändamål är tillämpliga på den behandling som utförs i sådana forskningsdatabaser som lagförslaget i denna proposition avser (se vidare avsnitt 6.3.3).
En ny lag är en tillåten komplettering till EU:s dataskyddsförordning
Regeringens bedömning: En särreglering för vissa forskningsdatabaser är en tillåten kompletterande nationell reglering till dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Remissinstanserna tillstyrker eller har inga invändningar mot bedömningen. Detta gäller bl.a. Integritetsskyddsmyndigheten (IMY) och Socialstyrelsen.
Uppsala universitet framhåller att utan ett tillägg i etikprövningslagen med en specifik skrivning om att forskningsdatabaser godkända av regeringen får samla in biologiskt material utifrån ett brett vetenskapligt syfte kommer det inte att vara möjligt att bygga upp nya forskningsdatabaser med biologiskt material som inte faller under biobankslagens bestämmelser.
Skälen för regeringens bedömning: EU:s dataskyddsförordning är direkt tillämplig i medlemsstaterna. Kompletterande nationell reglering av personuppgiftsbehandling kan endast införas i den mån dataskyddsförordningen medger det och då inom de ramar förordningen sätter. Enligt artikel 6.2 får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som utförs med stöd av någon av de rättsliga grunderna rättslig förpliktelse (6.1 c) eller uppgift av allmänt intresse eller myndighetsutövning (6.1 e) genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas enligt kapitel IX i förordningen, där bl.a. behandling för vetenskapliga eller historiska forskningsändamål nämns. Den rättsliga grunden som avses i artikel 6.1 c och 6.1 e ska enligt artikel 6.3 fastställas i unionsrätten eller medlemsstaternas nationella rätt. Den rättsliga grunden kan innehålla bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX, där bl.a. behandling för vetenskapliga eller historiska forskningsändamål tas upp. Den nationella regleringen ska vidare uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Som närmare utvecklas i avsnitt 6.3.5 gör regeringen bedömningen att den behandling av personuppgifter som är nödvändig vid förandet av en forskningsdatabas kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen. Regeringen be-dömer därför att en kompletterande nationell reglering som syftar till att precisera bl.a. ändamålet med behandlingen av personuppgifter i en forskningsdatabas, vilka typer av uppgifter som får samlas in till och behandlas i forskningsdatabasen samt vilka ytterligare skyddsåtgärder som är nödvändiga för att säkerställa att behandlingen utförs på ett integritetssäkert sätt är en tillåten kompletterande nationell reglering till EU:s dataskyddsförordning. I avsnitt 11 utvecklas bedömningen i frågan om förslaget till reglering av forskningsdatabaser också uppfyller ett mål av allmänt intresse och är proportionellt mot det legitima mål som eftersträvas. Den fråga som Uppsala universitet tar upp, dvs. möjligheten att knyta biobanker till sådana forskningsdatabaser som omfattas av den föreslagna regleringen, behandlas i avsnitt 7.2.1.
Den nya lagens omfattning
Den nya lagen ska vara en ramlag som kompletteras med bestämmelser i förordning
Regeringens förslag: En ny lag som reglerar villkoren för behandling av personuppgifter i vissa forskningsdatabaser ska införas. Lagens namn ska vara lag om vissa forskningsdatabaser.
Den nya lagen ska vara en ramlag som kompletteras av föreskrifter i förordning, i vilka regeringen föreskriver bland annat vilka forskningsdatabaser som ska få föras med stöd av lagen.
Regeringens bedömning: Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen utgör inte ett hinder mot närmare reglering i förordning.
Promemorians förslag och bedömning överensstämmer med regeringens.
Remissinstanserna: En majoritet av remissinstanserna, däribland Integritetsskyddsmyndigheten (IMY), Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), Karolinska institutet (KI), Mittuniversitetet, Mälardalens universitet, Region Kalmar län, Socialstyrelsen, Umeå universitet, Statens medicinsk-etiska råd (Smer), Uppsala universitet och Vetenskapsrådet, tillstyrker eller har inga invändningar mot promemorians förslag och bedömning.
Mälardalens universitet framför bl.a. att Tvillingregistret och LifeGene-registret behöver bättre och ändamålsenlig reglering, och anser att en ramlag som reglerar dessa är av stor vikt.
Lunds universitet anför att formuleringen ”vissa” forskningsdatabaser är vag eftersom den inte indikerar vad som särskiljer databaser som omfattas av lagstiftningen och att det därför kan finnas anledning att hitta en mer lämplig benämning som exempelvis ”breda” eller ”generella” forskningsdatabaser.
Region Östergötland ställer sig positiv till en ramlag men ser en risk att förslaget i dess nuvarande utformning kan komma att begränsa möjligheten att starta en forskningsdatabas i stället för att stödja inrättandet av nya. Regionen anser att vilken typ av forskningsdatabas som kan omfattas av lagen, men framför allt vilken typ som inte kan/bör innefattas, behöver tydliggöras. Stockholms universitet befarar att den lagtekniska konstruktionen skulle kunna leda till ökade grader av komplexitet inom det redan svåröverskådliga regelkomplex som registerlagstiftningen är. Etikprövningsmyndigheten anser att det skulle behöva belysas närmare i de fortsatta övervägandena om tillräckligt mycket är reglerat i lag och om regeringens normgivningskompetens kan utnyttjas i den omfattning som föreslås i promemorian.
Sveriges Kommuner och Regioner (SKR) anser att den personuppgiftsbehandling som kommer att ske med stöd av en ramlag inte innebär ett så betydande intrång i den personliga integriteten att det skulle krävas en särskild författning för varje forskningsdatabas.
Justitiekanslern påpekar att myndigheten i tidigare remissyttranden, bl.a. när det gäller SOU 2018:36, framhållit att det är tveksamt om det är förenligt med 2 kap. 6 § andra stycket regeringsformen att på annat sätt än i lag reglera varje forskningsdatabas särskilda ändamål. Justitiekanslern instämmer i att samtycke kan vara en tillräcklig grund för hanteringen men anför att det finns situationer där det kan vara tveksamt. Justitiekanslern anser att det i promemorian inte på ett övertygande sätt har angetts hur giltiga samtycken kan inhämtas enligt 2 kap. 6 andra stycket regeringsformen i sådana situationer, särskilt i ljuset av de tveksamheter som uttryckts kring att använda samtycke som rättslig grund enligt EU:s dataskyddsförordning. Osäkerheten i samtyckesfrågan och de därtill kopplade riskerna för en grundlagsstridig hantering talar enligt Justitiekanslern för den alternativa lösningen med en lagreglering av varje enskild forskningsdatabas. När det gäller frågan om tillämpningen av 2 kap. 6 § regeringsformen framhåller Stockholms universitet att databaserna direkt eller indirekt kan innehålla genetisk information, som omfattas av artikel 9 i dataskyddsförordningen, vilket innebär att även andra än den registrerade härigenom kan komma att bli indirekt registrerade eftersom de delar gener med den registrerade. Universitetet hänvisar till att det framgår av EU-domstolens dom i mål C-184/20, OT, Vyriausioji tarnybineés etikos komisija, av den 1 augusti 2022 att även indirekta personuppgifter omfattas av skyddet i artikel 9. Universitetet anför vidare att ett stort antal äldre personuppgifter som redan finns i de aktuella databaserna inte kommer att omfattas av kraven på information och samtycke enligt de övergångsbestämmelser som föreslås. Med tanke på att betydande mängder uppgifter kan ha samlats in under lång tid anser inte universitetet att det framstår som en rimlig tolkning av 2 kap. 6 § regeringsformen att sådana databaser regleras i förordningsform.
Några remissinstanser, bland andra Västra Götalandsregionen, SKR, Stockholms universitet och Läkemedelsverket, har framhållit att lagstiftningsarbete inom EU och i Sverige, som kommer att innebära att vidareutnyttjande av bl.a. forskningsdata kommer att möjliggöras i större utsträckning, inte har beaktats. Remissinstanserna hänvisar bl.a. till Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (EU:s dataförvaltningsförordning), förslaget till Europaparlaments och rådets förordning om ett europiskt hälsodataområde (COM(2022)197) och utredningen om sekundäranvändning av hälsodata (S 2022:04). Stockholms universitet påpekar att även om forskningsorganisationer inte själva omfattas av dataförvaltningsförordningen innebär den att forskningsorganisationer kan komma att få del av särskilda kategorier av data i form av t.ex. personuppgifter i tilltagande omfattning. Universitetet anser att det hade varit värdefullt om det hade ingått i bedömningen av behovet av forskningsdatabaser. Läkemedelsverket uppmärksammar att dataförvaltningsförordningen ger s.k. dataaltruismorganisationer möjlighet att behandla data och personuppgifter, bl.a. inom hälsoområdet. Läkemedelsverket anser att det finns oklarheter gällande det europeiska regelverkets förhållande till den nu föreslagna lagen och betonar vikten av att denna fråga behandlas i det kommande lagstiftningsarbetet.
Skälen för regeringens förslag och bedömning
Den nya lagens namn
Som regeringen närmare utvecklar i avsnitt 6.3.3 och 6.3.4 ska endast vissa forskningsdatabaser som bygger på de registrerades frivilliga medverkan och bedöms vara av särskilt vetenskapligt värde och som förs av lärosäten som har rätt att utfärda examina på forskarnivå kunna omfattas av det föreslagna ramverket. Det bör framgå redan av lagens namn att inte alla forskningsdatabaser omfattas. Enligt regeringens uppfattning indikerar ”vissa” att det inte handlar om alla forskningsdatabaser och regeringen anser till skillnad från Lunds universitet inte att det ordvalet är för vagt. Den närmare avgränsningen av lagens tillämpningsområde kommer att framgå av lagtexten. Regeringen föreslår därför att lagens namn ska vara lagen om vissa forskningsdatabaser.
Starka skäl talar för att lagen ska vara en ramlag som kompletteras med bestämmelser i förordning
Utgångspunkten för en långsiktig reglering av forskningsdatabaser som grundas på den enskildes frivilliga medverkan bör enligt regeringens uppfattning vara att en reglering som kompletterar den generella dataskyddsregleringen ska omfatta forskningsdatabaser av en viss dignitet. Det handlar om ett antal forskningsdatabaser med för forskningen centrala uppgiftssamlingar, vars uppgift att skapa underlag för flera olika framtida forskningsprojekt bedöms vara av särskilt vetenskapligt värde för ett eller flera forskningsområden i ett långsiktigt perspektiv. I detta ligger bland annat att databasen inte ska vara inriktad på att tillgodose behoven hos endast en eller ett fåtal forskningshuvudmän.
Regeringen anser att det ska vara de vetenskapliga behoven som avgör om en forskningsdatabas ska kunna omfattas av lagen. Det bör därför vara möjligt att exempelvis bygga upp flera forskningsdatabaser inom ett angeläget forskningsområde eller att föra forskningsdatabaser som ska skapa underlag för tvärvetenskaplig forskning. Det finns enligt regeringens uppfattning inte skäl att låsa sig fast vid en lösning som innebär att antalet reglerade forskningsdatabaser begränsas till en per forskningsfält.
Enligt principen om ändamålsbegränsning i artikel 5.1 b i dataskyddsförordningen ska uppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Med beaktande av denna grundläggande princip är det svårt att i en generell reglering detaljreglera frågor som vilken behandling av personuppgifter som får ske och för vilka närmare ändamål när det gäller varje enskild forskningsdatabas. En generell reglering av forskningsdatabaser kan endast innehålla bestämmelser som är gemensamma för samtliga forskningsdatabaser som är avsedda att omfattas av regleringen. Lagen blir därför som Mälardalens universitet anför begränsad när det gäller detaljer, utan närmare specificering av ändamål eller villkor för respektive forskningsdatabas.
Ett alternativ skulle kunna vara ett system med en lag för varje enskild forskningsdatabas. Ett sådant system kan dock lätt bli stelbent och innebära svårigheter att anpassa bestämmelserna efter det verkliga behovet hos de som ska använda uppgifterna för forskning. Arbetet med att föra en forskningsdatabas kan förutsättas vara förhållandevis föränderligt. Krav på ändring i lag vid varje ändring i verksamhet, exempelvis till följd av teknisk utveckling eller vetenskapliga landvinningar, eller krav på en ny lag då behov av att skapa en ny forskningsdatabas inom ett nytt område framkommer, framstår som onödigt svårhanterligt och administrativt tungt. Det finns inte någon klar bild av hur många forskningsdatabaser som finns och hur många av dessa som kan tänkas vara i behov av en särreglering. Konsekvenserna av en lösning med en lag för varje forskningsdatabas skulle därför också bli svåra att överblicka.
Mot denna bakgrund anser regeringen att en modell med en gemensam övergripande ramlag i vilken regeringen bemyndigas att genom kompletterande förordningsbestämmelser föreskriva vilka forskningsdatabaser som ska omfattas av regleringen, framstår som lämpligast. Med en sådan modell undviks den osäkerhet kring tillämpningsområdet som enbart en generell reglering skulle kunna medföra. Det innebär också att en ordentlig behovsprövning och integritetsbedömning görs innan en forskningsdatabas kan komma att omfattas av särreglering.
Region Östergötland ställer sig positiv till en ramlag men ser en risk att förslaget i dess nuvarande utformning kan komma att begränsa möjligheten att starta en forskningsdatabas i stället för att stödja inrättandet av nya. Regionen anser att vilken typ av forskningsdatabas som kan omfattas av lagen, men framför allt vilken typ som inte kan/bör innefattas, behöver tydliggöras. Regeringen bedömer att förslaget stödjer införandet av nya forskningsdatabaser som uppfyller kraven i den föreslagna lagen. Införandet av lagen begränsar inte möjligheten att införa andra typer av forskningsdatabaser så länge de kan inrättas med stöd av EU:s dataskyddsförordning och kompletterande nationell lagstiftning. Vilka forskningsdatabaser som kan föras med stöd av den nya lagen avses anges i förordning, vilket skapar den efterfrågade tydligheten. En ny lag med villkor för behandling av personuppgifter i vissa forskningsdatabaser innebär att det tillkommer en reglering som forskningshuvudmän och forskningsutförare kommer att behöva förhålla sig till. Regeringen bedömer dock att en sådan lag skapar en tydlighet för forskningshuvudmännen när det gäller forskningsdatabaser som baseras på de registrerades frivilliga medverkan och inte, som Stockholms universitet anför, en ökad komplexitet.
Regeringen anser således att starka skäl talar för att den nya lagen ska vara en ramlag med grundläggande bestämmelser som kompletteras med reglering i förordning (en eller flera) där de forskningsdatabaser som får föras av lagen anges och mer specifika bestämmelser för respektive forskningsdatabas kan föreskrivas. Genom föreskrifter i förordning bör regeringen i viss utsträckning kunna begränsa utrymmet efter en närmare analys av vilka behoven och integritetsriskerna är beträffande olika forskningsdatabaser. En sådan reglering ger även ett tydligare rättsligt stöd för behandling av personuppgifter i redan befintliga forskningsdatabaser som bedöms bör omfattas av regleringen i den nya ramlagen.
Krävs det lagform för regleringen av varje forskningsdatabas enligt regeringsformen?
SKR anser att den personuppgiftsbehandling som kommer att ske med stöd av en ramlag inte innebär ett så betydande intrång i den personliga integriteten att det skulle krävas en särskild författning för varje forskningsdatabas. Justitiekanslern anser dock tvärtom att osäkerheter i förhållande till regleringen i 2 kap. 6 § andra stycket RF talar för en reglering i lag av varje enskild forskningsdatabas. Enligt bestämmelsen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta skydd får enligt 2 kap. 20 § RF endast begränsas genom lag och begränsningen får inte heller, enligt 2 kap. 21 § RF, gå utöver vad som är nödvändigt med hänsyn till det ändamål som föranlett den. Stockholms universitet anser att det inte är en rimlig tolkning av grundlagsbestämmelsen att den närmare regleringen av de enskilda forskningsdatabaserna tas in i förordning med hänsyn till att ett stort antal äldre personuppgifter som redan finns i forskningsdatabaserna enligt föreslagna övergångsbestämmelser inte kommer att omfattas av kraven på information och samtycke. Forskningsdatabaserna kan också enligt universitetet, direkt eller indirekt, innehålla genetisk information, som omfattas av artikel 9 i dataskyddsförordningen, vilket innebär att även andra än den registrerade kan komma att bli indirekt registrerade eftersom de delar gener med den registrerade. Härvid måste enligt universitetet en bedömning göras i förhållande till såväl proportionalitetsprincipen som principen om uppgiftsminimering.
I motiven till 2 kap. 6 § andra stycket RF anges att integritetsskyddet i bestämmelsen bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande. Om åtgärderna däremot förutsätter den enskildes godkännande kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig art att det bör omfattas av ett stärkt grundlagsskydd (prop. 2009/10:80 s. 178–179).
Den reglering som föreslås i denna proposition träffar bara sådana forskningsdatabaser som bygger på frivillig medverkan från de enskilda vars personuppgifter behandlas i respektive forskningsdatabas. När det gäller uppgifter som samlas in från enskilda individer, kommer det att vara fråga om personuppgiftsbehandling med ett uttryckligt samtycke. Den registrerade ska få information i enlighet med artiklarna 13 och 14 i dataskyddsförordningen och regleringen föreslås innehålla en bestämmelse om information som ska lämnas utöver vad som följer av artiklarna i dataskyddsförordningen. Som närmare utvecklas i avsnitt 7.1.4 ska den registrerade få information om bl.a. ändamålen med personuppgiftsbehandlingen och vilka uppgifter som får registreras i forskningsdatabasen samt på begäran få uppgift om vilka forskningsprojekt som uppgifter om honom eller henne har lämnats ut till. Som framgår av avsnitt 7.2.1 innebär förslaget också att det ska vara möjligt med kompletterande insamling av uppgifter från andra källor, och då i första hand myndighetsregister. Det föreslås att ett uttryckligt samtycke som huvudregel ska inhämtas från registrerade även till insamling från andra källor än den registrerade. I vart fall ska ingen insamling från andra källor kunna ske utan information till registrerade och möjlighet för dem att motsätta sig insamlingen, s.k. opt-out. Det föreslås också att den registrerade ska ha rätt att när som helst återta sitt samtycke till att dennes personuppgifter behandlas i en forskningsdatabas. Som utvecklas i avsnitt 7.1.1 föreslås bara ett undantag från principen att behandlingen av personuppgifter i verksamhet med forskningsdatabaser som omfattas av lagen bygger på frivillig medverkan från enskilda, nämligen att det ska vara möjligt att i verksamheten med en forskningsdatabas behandla vissa personuppgifter i ett tidigt skede när det är nödvändigt för att kunna välja ut och kontakta enskilda med information och förfrågan om att medverka i en forskningsdatabas. Dessa uppgifter kommer inte vara av den omfattningen att det kan sägas vara fråga om betydande intrång i den personliga integriteten eller övervakning eller kartläggning av den enskildes personliga förhållanden.
När det gäller Stockholms universitets synpunkter på att de i avsnitt 13 föreslagna övergångsbestämmelserna innebär att uppgifter som registrerats i tiden innan verksamheten med forskningsdatabasen omfattas av den föreslagna lagens tillämpningsområde, inte ska omfattas av kraven på information och samtycke, så finns det skäl att framhålla följande. Bestämmelserna i den föreslagna lagen innebär bl.a. att den i lagen angivna informationen ska lämnas innan personuppgifter samlas in. Detta krav kan inte ha uppfyllts i alla delar för uppgifter som har samlats in tidigare då det krav som tidigare ställts på vilken information som skulle lämnas inte helt motsvarar det krav som ställs enligt den nu föreslagna lagen. De register som är tänkta att omfattas av regleringen bygger dock redan idag på frivillig medverkan då krav på samtycke regleras i LifeGene-lagen och då exempelvis Tvillingregistret inhämtar samtycke för såväl insamling direkt från de registrerade som för inhämtande av uppgifter genom s.k. registerlänkning.
När det gäller befintliga databaser som innehåller uppgifter som endast delvis bygger på den enskildes samtycke, och där personuppgifter i övrigt har samlats in med stöd av ett godkännande enligt etikprövningslagen, så gör regeringen följande överväganden. Det finns register där uppgifter har samlats in sedan 1960-talet, dvs. innan Sverige antog världens första nationella datalag, datalagen (1973:289). Detta gäller bl.a. Tvillingregistret. 1981 antogs Europarådets dataskyddskonvention (konvention 108) och Sverige ratificerade konventionen 1982. Dataskyddsdirektivet (95/46/EG) antogs inom EG 1995 och genomfördes i Sverige genom personuppgiftslagen (1998:2014), förkortad PUL. Etikprövningslagen infördes 2004. Genom den lagen infördes ett krav på etikgodkännande om forskningen skulle innefatta behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL och forskningspersonen inte hade lämnat sitt uttryckliga samtycke till behandlingen. Detta ändrades senare och numera krävs ett beslut om etikgodkännande med stöd av etikprövningslagen vid behandling av sådana uppgifter oavsett om samtycke lämnats eller inte. Därefter har dataskyddsdirektivet och PUL ersatts av bl.a. EU:s dataskyddsförordning och dataskyddslagen och bl.a. etikprövningslagen har uppdaterats. Det kan således konstateras att personuppgifter i vissa fall har samlats in under mycket lång tid samtidigt som personuppgiftsreglering har tillkommit och ändrats över tid. I denna proposition lämnas t.ex. förslag med krav på frivillig medverkan som i vissa delar skiljer sig från LifeGene-lagen som beslutades 2013. De insamlade personuppgifterna kan ha mycket stort värde från forskningssynpunkt samtidigt som det inte går att i efterhand ställa krav på att personuppgifterna borde ha samlats in på ett visst sätt. Det kan i vissa fall vara så att sådana personuppgifter som samlats in med samtycke tillsammans med uppgifter som samlats in utan samtycke kan innebära en sådan kartläggning av den enskildes personliga förhållanden som enligt 2 kap. 6 § andra stycket, 20 och 21 §§ RF kräver lagstöd. Regeringen anser därför, i likhet med promemorian, att sådant lagstöd bör ges i form av en övergångsbestämmelse. Av övergångsbestämmelsen bör det framgå att de föreslagna bestämmelserna kring samtycke, information och tillåtet innehåll inte ska gälla för sådana uppgifter som samlats in och behandlats i tiden före att regeringen med stöd av lagen meddelat föreskrifter om att forskningsdatabasen får föras enligt lagen. Då det är fråga om uppgifter som redan har samlats in kan det inte uteslutas att vissa personer som uppgifterna avser har avlidit. I sådana fall är det dock enligt EU:s dataskyddsförordning inte längre fråga om personuppgifter eftersom dataskyddsförordningen inte gäller behandling av personuppgifter om avlidna personer (skäl 27).
När det gäller frågan om insamling av nya personuppgifter med stöd av lagen kan konstateras att grundlagsskyddet i 2 kap. 6 § andra stycket RF endast omfattar sådana åtgärder som innebär betydande intrång i den personliga integriteten. Den behandling av eventuella kompletterande uppgifter från i huvudsak myndighetsregister som kan komma att ske i reglerade forskningsdatabaser utan inhämtat uttryckligt samtycke – men där de registrerade är medvetna om att sådan behandling pågår eller kan pågå och har möjlighet att motsätta sig den (opt-out) – medför enligt regeringens bedömning inte att behandlingen i forskningsdatabaser sammantaget kan anses utgöra ett så betydande intrång i registrerades personliga integritet att det av den anledningen krävs en reglering i lag av varje enskild forskningsdatabas.
När det gäller personer som delar gener med en registrerad, vilket Stockholms universitet tar upp, är en första fråga om genetiska uppgifter om en registrerad också kan ses som personuppgifter om en person som delar gener med den registrerade. Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (artikel 4.1). Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. När det bedöms om en fysisk person är identifierbar bör man beakta alla hjälpmedel som med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas bör man beakta faktorer som kostnader och tidsåtgång för identifiering, tillgänglig teknik och teknisk utveckling (skäl 26). För att genetiska uppgifter om en registrerad ska kunna knytas till en annan person som är biologisk släkting med den registrerade så att den andre personen kan identifieras och det blir fråga om en behandling av personuppgifter även om den andre personen krävs det att uppgifterna kompletteras med andra uppgifter. Forskningsdatabaserna som omfattas av den föreslagna lagen ska, som utvecklas i avsnitt 7.1.1, få innehålla uppgifter om personer som har samtyckt till att ingå i och lämna uppgifter till forskningsdatabasen. Även kompletterande uppgifter som inhämtas från andra källor än den registrerade själv får endast avse den registrerade. Enligt regeringens bedömning innebär detta att även om en forskningsdatabas får innehålla genetiska uppgifter om en registrerad så får inte sådana andra uppgifter som också krävs för att en person som är biologisk släkting med den registrerade ska kunna identifieras registreras. Det kommer att vara möjligt att inhämta samtycke från en person som är biologisk släkting med en registrerad att ingå i forskningsdatabasen. I så fall blir även den personen registrerad. Att genetiska uppgifter om en person registreras i en forskningsdatabas kommer därför enligt regeringens uppfattning inte, som Stockholms universitet gör gällande, att innebära en behandling av personuppgifter om personer som delar gener med den registrerade men som inte har samtyckt till personuppgiftsbehandlingen.
Regeringen gör sammantaget bedömningen att RF inte uppställer några hinder för införandet av en ramlag om vissa forskningsdatabaser som baseras på de registrerades frivilliga medverkan med kompletterande bestämmelser i förordning.
Hur förhåller sig den nya lagen till pågående lagstiftningsarbete inom EU och nationellt?
Västra Götalandsregionen, Sveriges Kommuner och Regioner, Stockholms universitet och Läkemedelsverket framhåller att när förslaget till ny lag om vissa forskningsdatabaser tagits fram så har inte lagstiftningsarbete inom EU och i Sverige som kommer att innebära att vidareutnyttjande av bl.a. forskningsdata kommer att möjliggöras i större utsträckning, beaktats. De hänvisar bl.a. till Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (EU:s dataförvaltningsförordning), förslaget till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde (COM[2022]197) och utredningen om sekundäranvändning av hälsodata (S 2022:04).
Syftet med EU:s dataförvaltningsförordning är att främja tillgängligheten och användbarheten för data från den offentliga sektorn genom att öka förtroendet mellan aktörer som hanterar data samt att stärka mekanismer för datadelning inom EU. Centrala skäl för förordningen är att det behövs åtgärder för att öka förtroendet för datadelning (skäl 5). Dataförvaltningsförordningen ska också främja tillgången till data och skapa en tillförlitlig miljö för att underlätta användningen av data för forskningsändamål samt för skapandet av nya innovativa tjänster och produkter (jmf. skäl 16). Dataförvaltningsförordningen omfattar villkor för vidareutnyttjande av vissa typer av skyddade data från offentliga myndigheter, en ram för anmälan av och tillsyn över tillhandahållande av dataförmedlartjänster, ett ramverk för frivillig registrering av och tillsyn över enheter som samlar in och behandlar data som tillhandahållits för altruistiska ändamål (dataaltruismorganisationer) samt ett inrättande av en europeisk datainnovationsstyrelse (artikel 1). Dataförvaltningsförordningen är en del av genomförandet av EU:s datastrategi. Dataförvaltningsförordningen skapar inte några nya möjligheter till datadelning eller vidareutnyttjande utan reglerar snarare hur ett sådant tillgängliggörande får se ut i de fall sådana data kan tillgängliggöras för vidareutnyttjande enligt befintliga regler och dataförvaltningsförordningen är tillämplig på den aktuella situationen. I kapitel II i dataförvaltningsförordningen regleras vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter. Kapitlet ger inte en ny dataskyddsrättslig grund för att dela skyddade data. Inte heller innebär det skyldigheter att tillgängliggöra sådana data. I stället innehåller kapitlet villkor för hur ett sådant tillgängliggörande får se ut i de fall sådana data kan tillgängliggöras för vidareutnyttjande enligt befintliga regler. Dataförvaltningsförordningen påverkar inte heller nationella bestämmelser om sekretess. Det innebär att bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL, ska tillämpas som vanligt även om datahållaren är en sådan aktör som kan omfattas av reglerna i dataförvaltningsförordningen.
Reglerna om tillgängliggörande av skyddade data för vidareutnyttjande i dataförvaltningsförordningen har en stark koppling till det tidigare genomförda öppna data-direktivet (Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn). Öppna data-direktivet har primärt införlivats i svensk rätt genom inrättandet av lagen (2022:818) om den offentliga sektorns tillgängliggörande av data, som trädde i kraft den 1 augusti 2022.
Riksdagen har, efter förslag i propositionen Kompletterande bestämmelser till EU:s dataförvaltningsförordning (prop. 2023/24:73) beslutat en ny lag med kompletterande bestämmelser till EU:s dataförvaltningsförordning (bet.2023/24:TU16, rskr. 2023/24:239). Lagen innehåller bl.a. bestämmelser om tillsyn av företag som förmedlar data och av fysiska och juridiska personer som vidareutnyttjar skyddade data enligt EU:s dataförvaltningsförordning. Även i lagen om den offentliga sektorns tillgängliggörande av data har det införts kompletterande bestämmelser om tillgängliggörande av skyddade data för vidareutnyttjande i enlighet med EU:s dataförvaltningsförordning. Lagarna trädde i kraft den 2 augusti 2024.
I lagen om den offentliga sektorns tillgängliggörande av data anges att lagen inte påverkar tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller som begränsar en sådan rätt. Bestämmelser som begränsar rätten till tillgång, exempelvis bestämmelser om sekretess, ska alltså tillämpas utan påverkan av den lagen. I denna proposition föreslås att det ska införas en bestämmelse om sekretess i verksamhet som avser förande av eller uttag ur en forskningsdatabas enligt den föreslagna lagen om vissa forskningsdatabaser, vilken de som är verksamma i verksamheten med en forskningsdatabas kommer att ha att tillämpa. Av andra stycket i 1 kap. 2 § lagen om den offentliga sektorns tillgängliggörande av data framgår vidare att lagen inte påverkar tillämpningen av bestämmelser i någon annan lag eller förordning om skyddet av personuppgifter. Sådana bestämmelser finns bl.a. i EU:s dataskyddsförordning och i kompletterande nationell reglering, som den föreslagna lagen om vissa forskningsdatabaser är avsedd att vara. Samtliga bestämmelser i sådan reglering som rör skyddet av personuppgifter ska tillämpas utan påverkan av lagen om den offentliga sektorns tillgängliggörande av data. Universitet och högskolor under statligt huvudmannaskap ska tillämpa lagen om den offentliga sektorns tillgängliggörande av data bara i fråga om forskningsdata. Detsamma gäller för en myndighet som inte är ett universitet eller en högskola i den del av myndighetens verksamhet som består i att bedriva eller finansiera forskning eller att göra forskningsdata direkt tillgängliga (1 kap. 6 §). Forskningsdata definieras i lagen som data som till någon del är offentligt finansierade, som samlas in eller framställs inom ramen för vetenskaplig forskningsverksamhet och som görs direkt tillgängliga för vidareutnyttjande genom en dataplattform som är allmänt åtkomlig (1 kap. 4 §). En dataplattform är en digital infrastruktur där forskningsdata kan organiseras och sammanställas för tillgängliggörande. Med ”direkt tillgängliga för vidareutnyttjande genom en dataplattform som är allmänt åtkomlig” menas att forskningsdata är åtkomliga för vem som helst att vidareutnyttja direkt via internet. Forskningsdata som tillhandahålls efter en sedvanlig begäran om tillgång från en enskild omfattas inte av lagens definition av forskningsdata (prop. 2021/22:225 s. 74). De uppgifter som samlas in till en forskningsdatabas som omfattas av den föreslagna lagen kommer att lämnas ut till olika etikgodkända forskningsprojekt efter begäran om att få tillgång till uppgifterna. Det kommer inte att vara fråga om uppgifter som görs åtkomliga för vem som helst att vidareutnyttja direkt via internet. Enligt regeringens bedömning kommer således de uppgifter som kommer att finnas i forskningsdatabaser som omfattas av den i denna proposition föreslagna lagen inte att utgöra sådana forskningsdata, för vilka universitet och högskolor är skyldiga att tillämpa lagen om den offentliga sektorns tillgängliggörande av data.
Genom dataförvaltningsförordningen ska det bli lättare för enskilda och företag att frivilligt göra data tillgängliga för allmänna intressen. Förordningen innehåller en ram för frivillig registrering av enheter som samlar in och behandlar data som tillhandahålls för altruistiska ändamål, som bl.a. kan vara vetenskaplig forskning av allmänt intresse. De som vill samla in data för ändamål av allmänt intresse kan begära att tas upp i ett nationellt register över erkända dataaltruismorganisationer. Som Läkemedelsverket anför kommer det vid sådan dataaltruism också att vara fråga om frivillig delning av data på grundval av de registrerades samtycke till behandling av personuppgifter som rör dem (artikel 2.16). Förordningen och lagen om den offentliga sektorns tillgängliggörande av data påverkar dock som angetts inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller som begränsar en sådan rätt och inte heller tillämpningen av bestämmelser i någon annan lag eller förordning om skyddet av personuppgifter. Regelverket ger inte sådana organisationer någon ny rätt till tillgång till uppgifter. Uppgifter från en forskningsdatabas som omfattas av den i denna proposition föreslagna lagen om vissa forskningsdatabaser ska kunna lämnas ut för att användas i etikprövade forskningsprojekt och inte till en dataaltruismorganisation, som tillgängliggör data och inte själva bedriver forskning. Sammantaget bedömer regeringen att förslagen i denna proposition inte påverkas av EU:s dataförvaltningsförordning och lagen om den offentliga sektorns tillgängliggörande av data.
När det gäller förslaget till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde är syftet dels att ge enskilda inom EU en ökad kontroll över sina hälsodata, dels att göra det lättare att dela och få tillgång till olika typer av hälsodata. Detta gäller både inom vården (primäranvändning) och för bland annat forskning, innovation och beslutsfattande (sekundäranvändning). Förslaget syftar däremot inte till att möjliggöra uppbyggnad av forskningsdatabaser för att kunna skapa underlag för flera olika forskningsprojekt inom ett eller flera forskningsområden. I kapitel IV i förordningen, som innehåller bestämmelser som syftar till att underlätta sekundäranvändning av hälsodata för vissa ändamål, däribland forskning, anges en uppsättning datatyper som ska tillgängliggöras för sekundäranvändning, både nationellt och genom gränsöverskridande datadelning. I kapitlet anges vidare att medlemsstaterna ska inrätta organ (health data access bodies) som ska ansvara för att hälsodata görs tillgängliga för sekundäranvändning, antingen genom att utse en eller flera nya myndigheter eller inom ramen för en eller flera befintliga myndigheter. Organet ska bland annat ansvara för att besluta om ansökningar om sekundäranvändning av hälsodata, bearbeta sådan data inför sekundäranvändning i säkra miljöer och underlätta gränsöverskridande datadelning inom EU för sekundäranvändning. Kapitlet innehåller även regleringar om skyldigheter och krav för datadelningsorganet, för datainnehavare och för dataanvändare. Datainnehavare kommer exempelvis att behöva samarbeta med datadelningsorganet för att försäkra tillgång till elektroniska hälsodata för dataanvändare. Förordningen om ett europeiskt hälsodataområde väntas bli antagen under hösten 2024. Den träder i kraft 20 dagar efter att den publicerats i Europeiska unionens officiella tidning. Förordningen ska börja tillämpas två år efter att den trätt i kraft och i vissa delar fyra, sex eller tio år efter att den trätt i kraft. Medlemsstaterna ska inom två år från ikraftträdande anta nationell lagstiftning som krävs enligt förordningen. Förordningen har således ännu inte trätt i kraft eller börjat tillämpas och det förutsätts nationell lagstiftning för att implementera förordningen. Regeringen bedömer att det inte i detta skede är möjligt att mer konkret bedöma hur den föreslagna lagen om vissa forskningsdatabaser kan komma att förhålla sig till förordningen och kommande nationell lagstiftning.
Utöver ovan redovisad EU-rättslig reglering tas även inhemska initiativ till ökad dataanvändning. Regeringen gav den 12 maj 2022 en särskild utredare i uppdrag att analysera befintliga möjligheter till sekundäranvändning av hälsodata och lämna förslag på utökade sådana möjligheter. Syftet med uppdraget var att utveckla möjligheterna till sekundäranvändning av hälsodata för att direkt eller indirekt stärka hälso- och sjukvården (dir. 2022:41). Utredningen som tog sig namnet Utredningen om sekundäranvändning av hälsodata, lämnade den 21 november 2023 sina förslag i betänkandet Vidareanvändning av hälsodata för vård och klinisk forskning (SOU 2023:76). När det gäller vidareanvändning av hälsodata för forskning har utredningen föreslagit en ny lag om viss vidareanvändning av personuppgifter för klinisk forskning. Bestämmelserna i lagen får tillämpas när personuppgifter, vilka behandlas av en regional myndighet som bedriver hälso- och sjukvård för något av de ändamål som anges i 2 kap. 4 § första stycket 1–6 patientdatalagen (2008:355), vidareanvänds av en regional myndighet eller ett lärosäte som bedriver klinisk forskning. En regional myndighet eller ett lärosäte som bedriver klinisk forskning får enligt lagen under vissa förutsättningar ges tillgång, genom begränsad direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av en regional myndighet som bedriver hälso- och sjukvård. Tillgängliggörande av personuppgifter får endast ske om uppgifterna ska användas i bl.a. forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt etikprövningslagen eller i en klinisk läkemedelsprövning och den registrerade har samtyckt till att delta i forskningen. Förslagen har remissbehandlats. Den föreslagna lagen underlättar för etikgodkända forskningsprojekt, men kommer inte i konflikt med den lag om vissa forskningsdatabaser som föreslås i denna proposition då forskningsdatabaser enligt lagen inte kommer att få föras av regionala myndigheter som bedriver hälso- och sjukvård utan endast av lärosäten som har rätt att utfärda examen på forskarnivå (se vidare avsnitt 6.3.4). Betänkandet bereds inom Regeringskansliet.
Det kan således konstateras att pågående lagstiftningsarbete inom EU och nationellt inte heller utgör något potentiellt hinder mot att en ny lag som reglerar villkoren för behandling av personuppgifter i vissa forskningsdatabaser införs. Regeringen föreslår därför att det ska införas en ny ramlag som reglerar villkoren för behandling av personuppgifter i vissa forskningsdatabaser och att regeringen i lagen bemyndigas att föreskriva bland annat vilka forskningsdatabaser som ska få föras med stöd av lagen.
Lagens syfte
Regeringens förslag: Syftet med lagen ska vara dels att ge lärosäten möjlighet att i forskningsdatabaser skapa underlag för flera framtida forskningsprojekt som inte är definierade när databasen byggs upp eller när insamling av personuppgifter till den annars görs, dels att säkerställa att de registrerades personliga integritet skyddas vid den insamling och övriga behandling av personuppgifter som görs i verksamhet med dessa forskningsdatabaser.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inga invändningar mot förslaget. Det gäller bl.a. Integritetsskyddsmyndigheten (IMY), Socialstyrelsen och Uppsala universitet.
Även Statens medicinsk-etiska råd (Smer) tillstyrker förslaget, men anser att syftet med lagen även bör anges vara att säkerställa de registrerades självbestämmande vid sidan om den personliga integriteten och framhåller att den föreslagna regleringen om samtycke och information tjänar detta syfte. Etikprövningsmyndigheten anför att lagens syfte rimligen är att reglera forskningsdatabaser och inte att ”ge lärosäten möjlighet” att skapa underlag för framtida forskningsprojekt. Myndigheten anför vidare att ett annat syfte är att möjliggöra att informationen i en forskningsdatabas används för forskning. Myndigheten anser inte att det är lika tydligt att lagens syfte omfattar det som anges i den andra punkten i bestämmelsen, att säkerställa att den enskildes integritet skyddas.
Skälen för regeringens förslag: Syftet med den nya lagen bör framgå i en av lagens inledande bestämmelser. Syftet med lagen bör för det första vara att skapa möjlighet för lärosäten att i forskningsdatabaser samla underlag för olika kommande, framtida forskningsprojekt, dvs. projekt som inte är definierade när databasen byggs upp eller när insamling av personuppgifter annars görs. Syftet är inte enbart, som Etikprövningsmyndigheten anför, att reglera forskningsdatabaser. Regeringen delar dock myndighetens uppfattning att anledningen till att uppgifter samlas in i forskningsdatabaser är att uppgifterna ska kunna användas för forskning. Detta får dock anses ingå i formuleringen ”att skapa underlag för flera framtida forskningsprojekt”.
Som regeringen återkommer till i avsnitt 7 föreslås det att lagen ska innehålla ett antal bestämmelser som syftar till att skydda den enskildes integritet vid behandling av personuppgifter i forskningsdatabaserna. Regeringen anser därför, till skillnad från Etikprövningsmyndigheten, att det andra syftet med lagen bör vara att säkerställa att registrerades personliga integritet skyddas vid den insamling och övriga behandling av personuppgifter som sker i verksamhet med dessa forskningsdatabaser. Regeringen delar vidare Smers uppfattning att bestämmelserna om krav på samtycke och information syftar till att säkerställa de registrerades självbestämmande. Enligt regeringens uppfattning får dock kraven på självbestämmande anses vara en del i att de registrerades personliga integritet skyddas. Regeringen bedömer därför till skillnad från Smer inte att självbestämmande behöver anges särskilt.
Lagens tillämpningsområde
Regeringens förslag: Lagen ska gälla vid behandling av personuppgifter i verksamheter med sådana forskningsdatabaser
där insamlingen och registreringen av personuppgifter görs genom de registrerades frivilliga medverkan,
vars huvudsakliga syfte är att skapa underlag för flera framtida forskningsprojekt, och
som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv.
Det ska anges i paragrafen om lagens tillämpningsområde att vissa av lagens bestämmelser även gäller vid behandling av uppgifter om avlidna.
Promemorians förslag överensstämmer delvis med regeringens förslag. I promemorian föreslås inte att det ska anges i paragrafen om lagens tillämpningsområde att vissa av lagens bestämmelser även gäller vid behandling av uppgifter om avlidna. I promemorian föreslås också en delvis annorlunda språklig och redaktionell utformning av bestämmelsen.
Remissinstanserna: Majoriteten av remissinstanserna har tillstyrkt eller inte haft några invändningar mot förslaget. Det gäller bl.a. Integritets-skyddsmyndigheten (IMY), Socialstyrelsen, Statistiska centralbyrån (SCB), Statens medicinsk-etiska råd (Smer), Uppsala universitet, Cancerfonden och Läkemedelsindustriföreningen.
Läkemedelsindustriföreningen anför att den föreslagna avgränsningen gör att lagen är tydligt avgränsad mot regleringen för hälsodataregister och kvalitetsregister.
Smer tillstyrker förslaget, men förordar att det i den fortsatta beredningen övervägs om det under vissa förutsättningar ska kunna gå att samla in uppgifter till forskningsdatabaser från personer som saknar tillräcklig beslutsförmåga på grund av sjukdom, psykisk störning eller liknande. När det gäller att regleringen ska gälla databaser som är av vetenskapligt värde för forskningen i ett långsiktigt perspektiv anser Smer att det är önskvärt med ytterligare vägledning kring hur dessa kriterier ska bedömas. Även Karolinska institutet (KI) framhåller att någon definition av vad särskilt vetenskapligt värde inbegriper inte finns angiven.
Uppsala universitet tillstyrker, med viss reservation, promemorians förslag. Universitetet framhåller att utan ett tillägg även i etikprövningslagen om att forskningsdatabaser godkända av regeringen får samla in biologiskt material utifrån ett brett vetenskapligt syfte kommer det inte att vara möjligt att få ett etiskt godkännande för att bygga upp nya forskningsdatabaser som inkluderar provtagning eftersom etikprövningslagen reglerar insamling av biologiskt material.
Region Östergötland anser att kravet att de registrerade ska ha kännedom om och gett sitt samtycke till registreringen är förståeligt men kan bli problematiskt för många forskningsprojekt där en stor mängd data behövs, med följden att angelägna projekt inte går att genomföra. Regionen anser att det är viktigt att ramlagen inte får en tolkning som omöjliggör retrospektiva analyser av patientgenererade data och att nuvarande formulering riskerar att försvåra denna typ av analyser avsevärt.
KI anser att det är olyckligt att möjligheten att skapa forskningsdatabaser föreslås begränsas till sådana databaser som i huvudsak är tänkta att innehålla data som de registrerade själva har lämnat eller bidragit till i syfte att de samlas in till och behandlas i en forskningsdatabas. KI framhåller att det skulle innebära en möjlighet till ökad användning av registerdata att i större omfattning få behandla data från andra källor i forskningsdatabaserna, då dessa efter bearbetning kan lämnas ut till enskilda forskningsprojekt i aggregerat, lättolkat och framför allt kvalitetssäkrat format, vilket även bidrar till att minska risken för integritetsintrång. Forte anför att det är av stor vikt att forskningsdatabaser också kan utgöras av länkade myndighetsdata och att de forskningsregister baserade på länkade myndighetsregister som finns idag har ett påtagligt mervärde för såväl forskning som samhälle. Forte, Svenska läkaresällskapet, KI och Vetenskapsrådet framhåller att det inte är korrekt att databaser som kombinerar data från olika myndigheters register enbart reproducerar dessa data och att det ofta krävs omfattande bearbetningar av informationen särskilt när det gäller användning av data från flera olika myndigheter. Vetenskapsrådet anför att sådana forskningsdatabaser som innehåller uppgifter från både den registrerade själv och från andra datakällor består av förfinade informationssamlingar som antingen genom kvalitetssäkring av informationen, sammanförande av olika delinformationsmängder, förseende med tillkommande meta-data och/eller genomtänkt struktur utgör viktiga och unika datakällor som inte kan replikeras genom att begära ut data från dess ursprungskälla.
Lunds universitet anser att en bredare uppsättning av forskningsdatabaser ska kunna prövas och regleras om de finnes vara av särskilt vetenskapligt värde för forskningen ur ett långsiktigt perspektiv, framför allt forskningsdatabaser som baseras på insamlade personuppgifter från register som inte finns digitaliserade hos någon myndighet, forskningsdatabaser med direkt insamlade uppgifter endast för ett urval av forskningspersoner samt sådana databaser som bygger på personuppgifter som huvudsakligen inhämtas från andra myndigheters register. Även Forte lyfter att det finns forskningsregister som baseras på insamlade personuppgifter som inte finns digitaliserade hos någon myndighet, t.ex. historiska befolkningsregister och inkomst- och taxeringsregister, framför allt för perioden före 1968. Denna typ av forskningsmaterial saknar samtycke från forskningspersonerna och bygger i stället på nödvändiga tillstånd i enlighet med rådande lagstiftning. Även Stockholms universitet, Göteborgs universitet och Region Kronoberg framhåller att det finns fler forskningsdatabaser än de som nämns i promemorian som skulle behöva omfattas av särregleringen men som inte inkluderas då de endast har data som bygger på information inhämtad från andra register.
Enligt Kammarrätten i Stockholm är personuppgiftsbehandling som omfattas av EU:s dataskyddsförordning tillåten om den utförs i enlighet med förordningen och domstolen anför att förordningen saknar bestämmelser om att personuppgiftsbehandling av nu aktuellt slag förutsätter en reglering i nationell rätt. Enligt kammarrätten torde den föreslagna lagen därför i praktiken inte begränsa möjligheten att behandla personuppgifter i en andra forskningsdatabaser som är tillåtna enligt dataskyddsförordningen. Vidare bör enligt kammarrätten en bestämmelse om lagens tillämpningsområde renodlas så att bestämmelsen inte innefattar syftet med och förutsättningarna för behandlingen.
Flera remissinstanser framhåller behovet av en definition av begreppet ”forskningsdatabas” som används i lagen. Malmö universitet anser att lagen bör tydliggöra vad som avses dels med uttrycket ”forskningsdatabas”, dels ”vissa forskningsdatabaser”. Region Dalarna önskar att det klargörs vad som menas med databas respektive register, särskilt eftersom uttrycken förekommer synonymt. Svenska läkaresällskapet noterar att uttrycken ”forskningsdatabas” och ”forskningsregister” används på ett annat sätt än det som är praxis i Sverige eller inom den internationella litteraturen och anser att detta riskerar att leda till förvirring. Läkaresällskapet föreslår att det som i promemorian kallas för ”forskningsdatabaser” definieras i lagtexten och föreslår att dessa kallas för ”särskilda forskningsregister utsedda av regeringen”. För tydlighetens skull borde det också enligt Läkaresällskapet förtydligas i bestämmelsen att lagen inte är tillämpbar på forskningsdatabaser/forskningsregister med en avgränsad vetenskaplig frågeställning, då nästan alla databaser/register kan vara ”underlag till flera framtida forskningsprojekt” och vara av ”särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv”. Kungl. Vetenskapsakademien anser att valet av termen ”forskningsdatabas” försvårar förståelsen av innebörden och kanske därmed införandet av lagen och att man kan fundera över om det hade varit bättre att införa ett mer specifikt, nytt uttryck för att undvika sammanblandning med andra typer av databaser för forskning som faller under andra regelverk och lagar. För att specificera vilka databaser som ska regleras vore det enligt Vetenskapsakademien av värde att ännu tydligare lista vilka databaser som lagen inte avser, såsom definierade forskningsprojekt med etikgodkännande, kvalitetsregister, vårdregister, myndighetsregister, elektroniska journaldata, etc. Region Kronoberg anser att termen forskningsdatabas inte är inte tillräckligt specifik och framför att alternativa termer hade kunnat vara forskningsdatabaser med personuppgifter eller forskningsregister med personuppgifter.
Skälen för regeringens förslag
Uttrycket forskningsdatabas är lämpligt att använda i lagen
Utredningen har föreslagit att det i en bestämmelse om lagens tillämpningsområde ska anges att lagen gäller behandling av personuppgifter i verksamhet med sådana forskningsdatabaser där insamling och registrering av personuppgifter görs i register eller annan samling med personuppgifter genom registrerades frivilliga medverkan och där forskningsdatabasernas syfte att skapa underlag för flera framtida forskningsprojekt är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. Flera remissinstanser har framhållit behovet av ett förtydligande av vad som avses med uttrycket forskningsdatabas och att uttrycket används på ett annat sätt än det som är praxis i Sverige eller inom den internationella litteraturen. Svenska läkaresällskapet och Kungl. Vetenskapsakademien anser att det vore bättre att använda ett annat uttryck än forskningsdatabaser. Regeringen anser att för att kunna bestämma vilka ”register”, ”infrastrukturer” eller ”resurser” för framtida forskning som ska bli föremål för en reglering behöver en avgränsning ske. Det är därvid av vikt att skilja sådana uppgiftssamlingar som skapats för ett specifikt forskningsprojekt från sådana där det primära ändamålet är att de ska kunna användas för flera framtida forskningsprojekt som inte är definierade när uppgifter samlas in och registret byggs upp. Termen databas är väl etablerad i både juridiskt och allmänt språkbruk. Exempelvis definieras databas i yttrandefrihetsgrundlagen som en samling av information lagrad för automatiserad behandling (1 kap. 2 §). Som framgår av avsnitt 4 och 6.1 använder regeringen i denna proposition uttrycket forskningsdatabas för databaser där det primära ändamålet är att de ska kunna användas för flera framtida forskningsprojekt som inte är definierade när uppgifter samlas in och registret byggs upp. Utanför lagens tillämpningsområde ska således falla uppgiftssamlingar som skapats eller avses skapas för ett visst projekt, del av ett projekt eller en på liknande sätt bestämd forskning som har fått eller kan bli föremål för ett etikgodkännande. Som framgår av avsnitt 4 och avsnitt 6.1 benämns sådana uppgiftssamlingar i denna proposition projektdatabaser. Andra uppgiftssamlingar som också ska falla utanför den föreslagna lagen är t.ex. nationella och regionala kvalitetsregister enligt patientdatalagen som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, elektroniska journaldata, etc.
Regeringen anser därför till skillnad från Svenska läkaresällskapet, Kungl. Vetenskapsakademien och Region Kronoberg att uttrycket forskningsdatabas ska användas i den föreslagna lagen och bedömer inte att något annat uttryck är lämpligare att använda.
Ett problem kan dock, som Svenska Läkaresällskapet och Kungl. Vetenskapsakademien framhåller, vara att användningen av uttrycket forskningsdatabas i denna bemärkelse kan skapa oklarhet genom att det finns flera typer av databaser som anses utgöra forskningsdatabaser enligt en i forskarvärlden utbredd användning av uttrycket, men som inte avses omfattas av den föreslagna lagen. För att undvika missförstånd om lagens tillämpningsområde måste det i lagen finnas en tydlig distinktion mellan de forskningsdatabaser som omfattas av lagen och andra uppgiftssamlingar som används i forskningssammanhang och som avses falla utanför regleringen. I den bestämmelse som reglerar lagens tillämpningsområde bör därför benämningen forskningsdatabas kombineras med en beskrivning som tydliggör vilken typ av forskningsdatabas som ska kunna omfattas av regleringen. I linje med den synpunkt som framförts av Region Dalarna anser regeringen att det bör undvikas att i den beskrivningen använda både orden forskningsdatabas och register. Som Svenska läkaresällskapet framför kan vidare nästan alla databaser/register vara underlag till flera framtida forskningsprojekt. Regeringen anser därför att det är av vikt att betona att det huvudsakliga syftet med de forskningsdatabaser som lagen föreslås omfatta ska vara att skapa underlag för flera framtida forskningsprojekt. Att ordet huvudsakligen har valts beror på, som regeringen närmare utvecklar i avsnitt 6.3.7, att regeringen anser att uppgifter från sådana forskningsdatabaser även ska kunna lämnas ut till forskningsprojekt som har inletts före det att en forskningsdatabas har inrättats så länge forskningsprojektet faller inom de forskningsområden som forskningsdatabasen omfattar. Lagen avses dock inte omfatta sådana forskningsdatabaser där syftet med insamlingen av uppgifter är ett visst forskningsprojekt som omfattas av ett etikgodkännande, men där uppgifter också lämnas ut till andra forskningsprojekt. Sammantaget anser regeringen att det i lagen bör anges att lagen ska gälla vid behandling av personuppgifter i verksamheter med sådana forskningsdatabaser där insamlingen och registreringen av personuppgifter görs genom de registrerades frivilliga medverkan, vars huvudsakliga syfte är att skapa underlag för flera framtida forskningsprojekt, och som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. Skälen för den första och sista punkten utvecklas nedan.
Som angetts i avsnitt 6.3.2 föreslås det också att det i den inledande bestämmelsen om lagens syfte ska framgå att syftet är att möjliggöra att i forskningsdatabaser skapa underlag för flera framtida forskningsprojekt som inte är definierade när databasen byggs upp eller när insamling av personuppgifter till den annars görs. Detta utesluter forskningsdatabaser för forskningsprojekt med en avgränsad vetenskaplig frågeställning och etikgodkännande.
Genom att det i bestämmelsen om lagens tillämpningsområde anges att det ska vara fråga om sådana forskningsdatabaser där insamling och registrering av personuppgifter sker genom registrerades frivilliga medverkan, framgår det att lagen inte är tillämplig på t.ex. nationella och regionala kvalitetsregister eller på databaser som enbart bygger på registerdata från t.ex. myndigheter.
Enligt regeringens uppfattning framgår det därmed på ett tillräckligt tydligt sätt vilka forskningsdatabaser som ska kunna omfattas av lagen. Enbart uttrycket forskningsdatabas kommer alltså inte att vara styrande för lagens tillämpningsområde. I motsats till Malmö universitet och Region Dalarna anser därför regeringen inte att det finns ett behov av en definition av uttrycket forskningsdatabas i lagen.
Närmare om avgränsningen till forskningsdatabaser som bygger på den registrerades frivilliga medverkan
Som regeringen har utvecklat i avsnitt 6.1 bör den nya lagen ta sikte på och möjliggöra uppbyggnaden av forskningsdatabaser med uppgifter om enskilda som frivilligt vill bidra med sina uppgifter till framtida forskning. Det ska primärt vara fråga om en personuppgiftsbehandling som bygger på frivilligt deltagande från den registrerade, där det är fråga om insamling av uppgifter direkt från den enskilde eller annars insamling med dennes medverkan. Den lag som föreslås i denna proposition bör således inte ha ett så vidsträckt tillämpningsområde att den omfattar forskningsdatabaser som enbart byggts upp av uppgifter från olika register utan den registrerades frivilliga medverkan. Det bör dock med stöd av lagen vara möjligt att bygga upp forskningsdatabaser som baseras på de registrerades frivilliga medverkan även utanför forskningsområdet om vad arv och miljö betyder för människors hälsa som den tillfälliga LifeGene-lagen idag möjliggör.
Att det ska vara fråga om sådana forskningsdatabaser där insamling och registrering av personuppgifter sker genom registrerades frivilliga medverkan blir ett kriterium som avgränsar vilka forskningsdatabaser som kommer att kunna omfattas av lagens tillämpningsområde. Ett antal remissinstanser, bl.a. Forte, Göteborgs universitet, Lunds universitet, Stiftelsen Institutet för framtidsstudier, Stockholms universitet, Svenska läkaresällskapet, Umeå universitet och Vetenskapsrådet, anser att denna avgränsning gör att tillämpningsområdet blir alltför snävt. Några närmare skäl till det behov av reglering för sådana forskningsdatabaser som bl.a. Lunds universitet och Stockholms universitet anser finns har inte angivits. I linje med synpunkter framförda av Kammarrätten i Stockholm hindrar inte den här föreslagna lagen att andra typer av forskningsdatabaser än sådana som kan omfattas av lagen inrättas, så länge denna behandling utförs i enlighet med befintlig reglering.
Även andra bestämmelser i lagen kommer att ha betydelse för vilka forskningsdatabaser som kommer att kunna omfattas av lagen. Som KI framhåller skulle det innebära en möjlighet till ökad användning av registerdata att i större omfattning få behandla data från andra källor än den enskilde själv i forskningsdatabaserna. Sådana forskningsdatabaser som kombinerar uppgifter från den registrerade själv och uppgifter från olika andra datakällor som t.ex. myndighetsregister är viktiga och unika datakällor som har stor betydelse för forskningen. Enligt regeringens uppfattning finns det därför skäl att, utöver insamling direkt från enskilda individer, också tillåta kompletterande insamling från andra källor i forskningsdatabaser som omfattas av lagen, och då i första hand från myndighetsregister. Den frågan behandlas vidare i avsnitt 7.2.1.
Till frågan om tillåtet innehåll i en forskningsdatabas hör också frågorna om insamling av uppgifter till forskningsdatabaser från personer som saknar tillräcklig beslutsförmåga och biologiskt material, som väckts av Smer och Uppsala universitet. Även dessa frågor behandlas i avsnitt 7.2.1.
Lagen ska tillämpas på sådana forskningsdatabaser som är av särskilt vetenskapligt värde ur ett långsiktigt perspektiv
Enligt regeringens uppfattning bör utgångspunkten för en långsiktig reglering av forskningsdatabaser vara att en till den generella dataskyddsregleringen kompletterande särreglering ska omfatta forskningsdatabaser av en viss dignitet. De forskningsdatabaser som åsyftas är ett antal för forskningen centrala uppgiftssamlingar, vars uppgift att skapa underlag för flera olika forskningsprojekt bedöms vara av särskilt vetenskapligt värde för ett eller flera forskningsområden i ett långsiktigt perspektiv. I detta ligger bland annat att databasen inte ska vara inriktad på att endast tillgodose en eller ett fåtal forskningshuvudmäns behov. Detta bör framgå som en del i bestämningen av lagens tillämpningsområde. Avsikten är således att uppgifter i en forskningsdatabas ska ha potential att komma till användning i många olika forskningsprojekt.
Det finns vidare enligt regeringens bedömning inte skäl att låsa sig fast vid en lösning som innebär att antalet reglerade forskningsdatabaser begränsas till en per forskningsfält. Det kan dels vara svårt att tydligt definiera och avgränsa ett visst forskningsfält och vissa forskningsdatabaser kan dessutom vara tvärvetenskapliga, dels kan det inom ett forskningsfält finnas flera forskningsdatabaser inom ett forskningsområde som är så pass centrala att samtliga bör omfattas av regleringen.
Som angetts är forskningsdatabas en lämplig benämning på uppgiftssamlingar där insamling av personuppgifter görs för att skapa underlag som kan tillhandahållas för flera olika forskningsprojekt som inte är definierade när databasen byggs upp eller när insamling annars görs. Inriktningen på en forskningsdatabas är alltså att vara en resurs som framtida forskningsprojekt kan komma att använda sig av. I en databas kan det möjligen ha funnits ett annat syfte med att samla in uppgifter än att enbart utgöra en sådan resurs, men där det huvudsakliga syftet med tiden har kommit att vara att tillhandahålla uppgifterna för flera olika forskningsprojekt. Det kan exempelvis ha varit så att den ursprungliga insamlingen har skett inom ramen för ett visst redan definierat forskningsprojekt. För att en sådan verksamhet senare ska kunna falla in under definitionen av forskningsdatabas bör det vara fråga om fortsatt uppbyggnad av databasen med det då uttalade ändamålet att tillhandahålla insamlade uppgifter för flera olika forskningsprojekt som ännu inte är definierade.
Den nya lagen ska också kunna användas för att inrätta nya forskningsdatabaser som har potential att vara av särskilt vetenskapligt värde ur ett långsiktigt perspektiv.
Lagen blir inte automatiskt tillämplig på forskningsdatabaser som omfattas av kriterierna
Initiativet till att reglera en viss forskningsdatabas bör enligt regeringens uppfattning komma från det lärosäte som för eller önskar föra forskningsdatabasen. Den föreslagna lagen ska inte automatiskt bli tillämplig och reglera sådana forskningsdatabaser som uppfyller kriterierna i bestämmelsen om lagens tillämpningsområde. Som utvecklas i avsnitt 6.3.8 föreslås att regeringen ska bemyndigas att meddela föreskrifter om vilka forskningsdatabaser som får föras och vilket lärosäte som får föra forskningsdatabasen. Detta ska ske efter att ett lärosäte tagit initiativet till ett prövningsförfarande där det prövas om en forskningsdatabas uppfyller kriterierna för att omfattas av lagen. Om prövningen resulterar i bedömningen att forskningsdatabasen uppfyller kriterierna för att omfattas av lagen kommer föreskrifter om att lärosätet får föra forskningsdatabasen att föras in i en till lagen anslutande förordning som regeringen beslutar. Därmed blir bestämmelserna i den föreslagna lagen tillämpliga på personuppgiftsbehandlingen i forskningsdatabasen. När det gäller forskningsdatabaser som förs in i förordningen och omfattas av lagen kommer det att finnas en rättslig grund för personuppgiftsbehandlingen i forskningsdatabasen genom att uppgiften för lärosätet att föra forskningsdatabasen blir fastställd i nationell rätt (se avsnitt 6.3.5). Som framförts av Kammarrätten i Stockholm kommer den föreslagna lagen inte att begränsa möjligheten att föra andra forskningsdatabaser som inte omfattas av lagens tillämpningsområde. De som är personuppgiftsansvariga för sådana forskningsdatabaser ansvarar för att det finns en rättslig grund för den personuppgiftsbehandling som sker i dessa forskningsdatabaser. Detta utvecklas i avsnitt 6.4.
Lagens tillämpningsområde ska till viss del även omfatta uppgifter om avlidna
Den nya lag som föreslås i denna proposition avser i första hand behandling av sådana uppgifter i forskningsdatabaser som är personuppgifter. Uppgifter om avlidna är inte personuppgifter i dataskyddsförordningens mening (skäl 27). Som regeringen närmare utvecklar i avsnitt 8.1.1, 8.1.3, 8.1.4 och 10.4 föreslås dock att några av bestämmelserna i lagen även ska gälla för behandling av uppgifter om avlidna, nämligen de bestämmelser som rör villkor för utlämnande av uppgifter från forskningsdatabaser och bestämmelsen om tystnadsplikt för uppgifter som mottagits från en forskningsdatabas. Detta bör i enlighet med synpunkter från Lagrådet framgå dels av en bestämmelse om lagens tillämpningsområde (1 kap. 2 §), dels av de aktuella bestämmelserna (3 kap. 1 § första stycket, 2, 3, 5 och 7 §§).
Vilka ska kunna vara aktuella att få föra forskningsdatabaser enligt lagen?
Regeringens förslag: Behandling av personuppgifter i en forsknings-databas ska få utföras i verksamhet som bedrivs vid ett lärosäte som är
ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller
en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen om tillstånd att utfärda vissa examina och som enligt offentlighets- och sekretesslagen och bilagan till den lagen ska jämställas med myndigheter i sin verksamhet med forskningsdatabasen.
Det lärosäte som för en forskningsdatabas ska vara personuppgifts-ansvarigt för den behandling av personuppgifter som utförs i verk-samheten med forskningsdatabasen.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Majoriteten av remissinstanserna har tillstyrkt eller inte haft några invändningar mot förslaget att behandling av personuppgifter i en forskningsdatabas ska få utföras i verksamhet som bedrivs av ett lärosäte som är ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå. Detta gäller bl.a. Integritetsskyddsmyndigheten (IMY), Socialstyrelsen, Statens medicinsk-etiska råd (Smer), Region Värmland och Region Västernorrland.
Chalmers tekniska högskola AB välkomnar att enskilda utbildningsanordnare som bedriver forskningsverksamhet och har rätt att utfärda examen på forskarnivå ges möjlighet att ansvara för forskningsdatabaser. Högskolan framhåller att det måste beaktas på vilket sätt reglering ska ske för stiftelsehögskolorna då de inte omfattas av regeringens normgivningsmakt.
Etikprövningsmyndigheten och Läkemedelsindustriföreningen anser att en kompletterande utredning bör göras för att undersöka om även regioner ska kunna vara huvudmän för forskningsdatabaser som omfattas av lagen. Läkemedelsindustriföreningen anser att en sådan utredning också bör utreda möjligheterna i hur en breddning av regleringen av forskningsdatabaser skulle kunna fungera som ytterligare ett verktyg vid prioritering och inrättande av hälso- och sjukvårdsnära infrastrukturer av nationellt intresse.
Flertalet regioner (Blekinge, Dalarna, Halland, Jönköping, Kronoberg, Stockholm, Sörmland, Västmanland, Västernorrland, Västra Götaland, Örebro, Östergötland), Biobank Sverige, Cancerfonden, Hjärt-Lungfonden, Lunds, Umeå och Örebro universitet och Svenska Läkaresällskapet anser att även regioner ska kunna ansvara för forskningsdatabaser enligt lagen. Region Västerbotten, liksom Region Örebro län och Region Blekinge, anser att klinisk forskning är en del av regionernas kärnverksamhet och framhåller att regionerna är högst aktiva som forskningshuvudmän och har såväl kompetens som kapacitet att agera som huvudmän för forskningsdatabaser. Biobank Sverige anför att vårdgivare har en omfattande infrastruktur där man hanterar en stor mängd känsliga data och anser också att regioner har den kapacitet som krävs för att inrätta och hålla forskningsdatabaser. Flera av remissinstanserna, bl.a. Biobank Sverige, Region Stockholm och Region Örebro län, påpekar att den kliniska forskningen ofta bedrivs i samverkansprojekt mellan region och lärosäten. Region Blekinge, Region Dalarna, Region Västernorrland och Region Västerbotten anser att det riskerar att begränsa möjligheterna till klinisk forskning i regionerna om forskningsdatabaser enbart får skapas på lärosäten med forskarexamensrätt. Region Blekinge tillägger att risken är att promemorians förslag gör regionerna helt beroende av hur universitet och högskolor prioriterar sina resurser och sin forskningsinriktning. Region Östergötland anser att exkludera regionerna skulle ha en negativ påverkan på och försvåra ett idag mycket nära och utvecklat samarbete kring forskning mellan region och lärosäte.
Lunds universitet anser att det bör vara upp till tillståndsgivaren att bedöma om en ansökande region har en självständig forskningsstödjande kärnverksamhet av det slag som bör krävas för att ansvara för att bygga upp och förvalta forskningsdatabaser. Universitetet framhåller att redan idag har ett flertal av de ledande regionerna inom det nationella samarbetet Kliniska Studier Sverige omfattande forskningsstödjande kärnverksamhet som bör kunna ges möjlighet att utveckla och förvalta forskningsdatabaser som omfattas av regleringen.
Sveriges Kommuner och Regioner (SKR) avstyrker förslaget i dess nuvarande form och anser att den föreslagna lagen måste omfatta även förbundets medlemmar, kommuner och regioner. SKR avvisar bedömningen i promemorian att hälso- och sjukvårdens kärnuppdrag inte omfattar forskning. SKR framhåller vidare att regioner och kommuner är forskningshuvudmän och att flera stora och viktiga forskningsdatabaser finns inom ramen för i synnerhet regionernas verksamheter.
Rättsmedicinalverket anser att det hade varit positivt om förslagen även hade möjliggjort inrättande av forskningsdatabaser hos andra myndigheter, också när det gäller sådana mycket integritetskänsliga uppgifter som hanteras av Rättsmedicinalverket. Även Uppsala universitet framhåller att andra forskningshuvudmän än statliga och enskilda lärosäten, vilka bedriver forskning, kan driva och upprätta forskningsdatabaser som har långsiktig betydelse och därför borde kunna ansvara för forskningsdatabaser.
Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) uppfattar att myndighetens tillämpning av den egna registerförfattningen inte bör påverkas alls och framhåller att det är en premiss för att tillstyrka förslaget att förutsättningarna för myndighetens egen verksamhet inte försämras.
Kungl. biblioteket (KB) framhåller att biblioteket enligt sin instruktion bl.a. ska vara en nationell forskningsinfrastruktur och anser att det är beklagligt att utredningen inte lämnar förslag som omfattar bibliotekets verksamhet. KB understryker behovet av ett reformerat regelverk för att biblioteket ska kunna skapa och utveckla forskningsdatabaser och anför att om regeringen inte anser att förslaget till lag bör omfatta KB med hänsyn till myndighetens särställning som nationalbibliotek och nationell forskningsinfrastruktur välkomnar KB att frågan om tydligare rättsligt stöd för KB:s personuppgiftsbehandling bereds färdigt och att det sker skyndsamt.
Malmö universitet anser att det behövs ett förtydligande kring ansvarsfördelningen då forskningen bedrivs av ett annat lärosäte än det vid vilket forskningsdatabasen upprättats och ställer frågan vem som är ansvarig om forskare vid ett lärosäte använder uppgifter från en databas vid ett annat lärosäte.
Skälen för regeringens förslag
Statliga och enskilda lärosäten som bedriver forskning och har rätt att utfärda examen på forskarnivå ska kunna få föra forskningsdatabaser enligt lagen
Forskning bedrivs av många aktörer. Det bedrivs såväl vid statliga universitet och högskolor som hos enskilda utbildningsanordnare. Det finns också flera statliga myndigheter, utöver universitet och högskolor, där forskning ingår i myndighetsuppdraget. Regionala och primärkommunala sjukvårdshuvudmän ska enligt 18 kap. 2 § hälso- och sjukvårdslagen (2017:30) medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. I den delen ska de bland annat samverka med berörda universitet och högskolor. Forskning bedrivs också av enskilda, t.ex. läkemedelsbolag. Enligt 13 a kap. 1 § samma lag ska regioner och kommuner också inom ramen för verksamhet som utgör primärvård bl.a. särskilt möjliggöra medverkan vid genomförande av forskningsarbete.
Den föreslagna regleringen är avsedd att kunna tillämpas på sådana forskningsdatabaser som har ett särskilt vetenskapligt värde för forskningen ur ett långsiktigt perspektiv. Regeringen gör som nämnts i avsnitt 6.2.1 bedömningen att behandlingen av personuppgifter i en forskningsdatabas enligt den föreslagna lagen sker för vetenskapliga forskningsändamål i den mening som avses i EU:s dataskyddsförordning.
När det gäller sådana centrala forskningsdatabaser som den föreslagna regleringen är inriktad på, vilka ska vara av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv, bör det ställas höga krav på organisationen hos huvudmannen för forskningsdatabasen. Hos sådana statliga eller enskilda lärosäten som själva bedriver vetenskaplig forskning på en hög nivå kan det antas att den kompetens och långsiktighet och de resurser finns som krävs för att bedriva verksamheten med att bygga upp och förvalta en forskningsdatabas som ska vara av långsiktigt värde för vetenskapen och som kan ge god service till de forskare som vill använda personuppgifter från databasen i sin forskning. Sådana lärosäten, vid vilka forskning är en kärnverksamhet, kan vidare antas ha såväl den kunskap som de praktiska förutsättningarna som krävs för att föra en forskningsdatabas i enlighet med de krav på kontinuitet och effektivitet i integritetsskyddet som bör uppställas. De bedöms dessutom ha starka incitament att bevaka de integritetsfrågor som är förknippade med personuppgiftsbehandling i en forskningsdatabas och uppfylla kraven på kvalitet och säkerhet i integritetsskyddet.
Då de forskningsdatabaser som ska kunna omfattas av regleringen ska vara av särskilt vetenskapligt värde för forskningen kan samtliga lärosäten inte omfattas av den föreslagna regleringen. Det ska vara fråga om lärosäten där forskning redan bedrivs, och då på en sådan hög nivå att en forskningsdatabas som finns eller byggs upp i verksamheten kan antas uppnå en sådan kvalitet att den har ett högt vetenskapligt värde för forskningen. Av dessa skäl delar regeringen uppfattningen i promemorian att sådana forskningsdatabaser som omfattas av regleringen bör få föras av statliga universitet och högskolor som har rätt att utfärda examina på forskarnivå.
Regeringen delar också uppfattningen att även en enskild utbildningsanordnare som fått tillstånd av regeringen att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina, och som dessutom enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, och bilagan till den lagen jämställs med myndighet i sin verksamhet med forskningsdatabasen bör kunna komma i fråga som ansvarig för en forskningsdatabas som omfattas av regleringen. Av bilagan till OSL framgår inte bara vilka enskilda utbildningsanordnare som är jämställda med myndigheter enligt 2 kap. 4 § OSL utan också vilken del av deras verksamhet som detta gäller. Enligt bilagan omfattas exempelvis all verksamhet vid Stiftelsen Chalmers tekniska högskola och Stiftelsen Högskolan i Jönköping och dess dotterbolag, som ingår i koncernen Jönköping University, av offentlighetsprincipen. Båda har examenstillstånd för forskarnivån. Handelshögskolan i Stockholm har examenstillstånd för utbildning på forskarnivå men för att reglera en forskningsdatabas enligt den föreslagna lagen hos detta lärosäte skulle det krävas en komplettering i bilagan till OSL.
I promemorian föreslås att det i lagen om vissa forskningsdatabaser ska införas en upplysningsbestämmelse om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om vilka forskningsdatabaser som får föras enligt lagen och om vilket lärosäte som får föra forskningsdatabasen. När det gäller enskilda utbildningsanordnare framhåller Chalmers Tekniska högskola AB att det måste beaktas på vilket sätt reglering ska ske för stiftelsehögskolorna då de inte omfattas av regeringens normgivningsmakt.
För enskilda utbildningsanordnare gäller inte högskolelagen och högskoleförordningen (1993:100) där det bl.a. finns bestämmelser om lärosätets organisation, utbildningen och utfärdande av examina. En enskild utbildningsanordnare får enligt lagen om tillstånd att utfärda vissa examina endast efter tillstånd utfärda sådana examina som regeringen enligt vad som anges i högskolelagen meddelat föreskrifter om. För att tillstånd ska meddelas krävs det att utbildningen vilar på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivs så att den i övrigt uppfyller de krav som uppställs på utbildning i 1 kap. högskolelagen. För varje examen som tillståndet avser, ska utbildningen också svara mot de särskilda krav som enligt förordningsbestämmelser gäller för denna examen vid de universitet och högskolor som omfattas av högskolelagen (1 § andra stycket och 2 § lagen om tillstånd att utfärda vissa examina). Vilka examina som får avläggas och vilka krav som ska uppfyllas framgår av bilaga 2 till högskoleförordningen. Den föreslagna regleringen för forskningsdatabaser innebär ett förslag till en ramlag, lag om vissa forskningsdatabaser, som innehåller en till EU:s dataskyddsförordning och dataskyddslagen kompletterande reglering av personuppgiftsbehandlingen i sådana forskningsdatabaser som omfattas av lagens tillämpningsområde. Lagen föreslås innehålla generella bestämmelser om behandlingen av personuppgifter i forskningsdatabaserna. Ingen forskningsdatabas kommer per automatik att omfattas av lagen. Initiativet till att göra en framställning om att en forskningsdatabas ska omfattas av lagen ska komma från forskningshuvudmannen. Enligt 8 kap. 2 § första stycket 2 regeringsformen ska föreskrifter meddelas genom lag om de avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden. De aktuella föreskrifterna som föreslås är offentligrättsliga. Om regeringen beslutar att en forskningsdatabas ska tas in i förordningen som ska komplettera lagen och därmed omfattas av lagen kommer lagens bestämmelser om personuppgiftsbehandlingen i forskningsdatabasen att gälla och forskningshuvudmannen vara skyldig att följa dessa bestämmelser. Som helhet måste lagen betraktas som betungande i förhållande till de personuppgiftsansvariga och personuppgiftsbiträden som träffas av den. Lagen om vissa forskningsdatabaser kommer att kunna gälla inte bara statliga lärosäten utan också enskilda utbildningsanordnare som ska tillämpa offentlighetsprincipen och som har tillstånd att utfärda examen på forskarnivå enligt lagen om tillstånd att utfärda vissa examina. För att regeringen ska kunna meddela föreskrifter om vilka forskningsdatabaser som ska få föras enligt lagen och vilka lärosäten som ska få föra dem behöver det därför införas bemyndiganden i lagen (8 kap. 2 § första stycket 2 regeringsformen). Bemyndiganden för regeringen att meddela sådana föreskrifter föreslås därför i avsnitt 6.3.8.
Regioner, kommuner och andra statliga myndigheter ska inte kunna föra forskningsdatabaser som omfattas av lagen
Regioner och kommuner ska enligt hälso- och sjukvårdslagen (2017:30) medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Regionerna och kommunerna ska i dessa frågor, i den omfattning som behövs, samverka med varandra och med berörda universitet och högskolor (18 kap. 2 §). Ofta är regionernas verksamhet inom forskning inriktad på klinisk medicinsk forskning och folkhälsostudier eller näraliggande områden. Det finns ett flertal centrumbildningar i landet för viss forskningsverksamhet i samverkan mellan regioner och lärosäten. Många aktiva forskningsledare har kombinationstjänster på universitetssjukhus som innebär att de tjänstgör både på ett universitet och i regionens hälso- och sjukvård. Regeringen delar dock, i motsats till SKR, Region Västerbotten, Region Örebro län och Region Blekinge, bedömningen i promemorian att det, med hänsyn till att det handlar om medverkan, är tveksamt om regionernas forskningsverksamhet kan beskrivas som en sådan utpräglad och självbärande kärnverksamhet i regionerna som bör vara en förutsättning för att ansvara för att bygga upp och förvalta uppgiftssamlingar som syftar till att på långsiktig basis vara en resurs för forskare och forskningsprojekt inom alla discipliner. Det har inte tydligt framkommit att det finns ett behov hos regionerna att, utöver den möjlighet de redan har att behandla personuppgifter i kvalitetsregister för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, också inrätta och förvalta forskningsdatabaser vars primära syfte är att skapa underlag för och lämna ut uppgifter till framtida forskningsprojekt. De forskningsdatabaser som kommer att kunna omfattas av regleringen kommer inte att kunna användas för andra ändamål inom regionernas kärnuppdrag utan enbart för att lämna ut uppgifter till framtida forskningsprojekt inom alla discipliner. Regionerna kan redan i dag lämna ut personuppgifter som behandlas i kvalitetsregister för forskningsändamål inom hälso- och sjukvården. Det framgår inte heller klart hur, som Biobank Sverige och flera regioner gör gällande, klinisk forskning skulle hämmas av att huvudmannen för en forskningsdatabas är ett lärosäte eller att, som Region Blekinge framhåller, förslaget skulle bidra till att viktig registerforskning i regionernas regi inte kan genomföras då universitet och högskolor får prioritera och driva forskningsdatabaser. Regionerna är idag inom ramen för sina uppdrag redan ansvariga för olika datasamlingar samt deltar i forskningssamarbeten i samverkan med universitet och högskolor. Lärosätena bedriver också självständigt olika långsiktiga registerbaserade forskningsprojekt. Dessa verksamheter kommer inte att påverkas av förslaget. Förslaget innebär inte heller något hinder mot att verksamhet med en forskningsdatabas bedrivs inom ramen för ett samarbete mellan ett statligt eller enskilt lärosäte och en regional sjukvårdshuvudman. Ansvaret för verksamhet kan därvid ligga hos lärosätet. Regeringen bedömer inte att förslaget försvårar sådana samarbeten, tvärtom bör förslaget underlätta samarbetet. Regeringen delar därför bedömningen i promemorian att regioner inte ska ingå bland dem som ska kunna föra en sådan forskningsdatabas som omfattas av den nu föreslagna regleringen.
I motsats till SKR anser regeringen inte heller att det har framkommit att det finns ett behov hos kommunerna av att inrätta och förvalta sådana forskningsdatabaser som syftar till att skapa underlag för flera framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden och lämna ut uppgifter till sådana projekt.
Det finns, och kommer att byggas upp, uppgiftssamlingar som kan liknas vid forskningsdatabaser men som är projektdatabaser och där huvudmannaskapet för projektdatabasen ligger hos en forskningshuvudman som är en statlig myndighet, men inte är ett lärosäte, eller hos en regional sjukvårdshuvudman. Sådana databaser ingår också som flera remissinstanser framhåller i samarbeten mellan ett statligt eller enskilt lärosäte och en regional sjukvårdshuvudman. Andra statliga myndigheter med särskilt uppdrag att forska torde emellertid inte samla in personuppgifter i uppgiftssamlingar med det enda syftet att de ska vara allmänt tillgängliga för framtida forskningsprojekt, exempelvis externa forskningshuvudmäns forskningsprojekt, och torde därför inte ha samma behov av reglering som lärosätena. Det kan också finnas registerförfattningar som lämpligen inte bör inkorporeras i den nu föreslagna regleringen då den har ett annat syfte än den här föreslagna lagen. Ett sådant exempel är lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU). Regeringen anser därför, i motsats till Rättsmedicinalverket och Uppsala universitet, inte att regleringen bör omfatta andra statliga myndigheter än lärosäten.
Den föreslagna lagen omfattar sådana forskningsdatabaser som byggs upp hos forskningshuvudmän genom att enskilda forskningspersoner lämnar uppgifter i syfte att de ska ingå i forskningsdatabasen. Kungl. Bibliotekets behov av rättsligt stöd för den personuppgiftsbehandling som är nödvändig vid bl.a. fullgörandet av myndighetens uppgift att vara en nationell forskningsinfrastruktur, arbetet med digitalisering och leveranser av elektroniskt pliktmaterial enligt lagen om elektronisk pliktleverans kräver särskilda överväganden och kan inte omfattas av detta lagstiftningsprojekt.
Det lärosäte som för en forskningsdatabas ska vara personuppgiftsansvarigt
I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. I artikeln anges vidare att om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Det är alltså tillåtet att i nationell lagstiftning peka ut vem som är personuppgiftsansvarig och att det sker är vanligt förekommande i registerförfattningar.
Regeringen delar bedömningen i promemorian att det är lämpligt att i lagen om vissa forskningsdatabaser precisera vem som är personuppgiftsansvarig för sådan behandling av personuppgifter som utförs i de forskningsdatabaser som förs med stöd av lagen. Därigenom blir det tydligt för de individer vars personuppgifter behandlas i en viss forskningsdatabas vem som är skyldig att tillvarata deras rättigheter enligt dataskyddsförordningen och övrig kompletterande reglering och som alltså ska hållas ansvarig för behandlingen.
Lagen bör innehålla en bestämmelse om att det är det lärosäte som för en forskningsdatabas, och alltså utför behandlingen av personuppgifter, som är personuppgiftsansvarig för personuppgiftsbehandlingen i verksamheten med forskningsdatabasen. Det är den personuppgiftsansvarige, dvs. det aktuella lärosätet, som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som kan och ska ske i verksamheten med en viss forskningsdatabas.
Som utvecklas i avsnitt 6.3.8 innebär förslagen i denna proposition att regeringen i förordning kommer att ange vilket lärosäte som får föra en viss forskningsdatabas. I praktiken blir det därmed regeringen som utser den personuppgiftsansvarige.
Det formella personuppgiftsansvaret för personuppgiftsbehandlingen i en forskningsdatabas bör bara ligga hos ett enda lärosäte. Därmed undviks att frågor om ansvar sammanblandas eller faller mellan stolarna. Att personuppgiftsansvaret knyts till ett lärosäte medför också att exempelvis arkivbildning och sekretesskydd hanteras inom ett och samma lärosäte. Visserligen kan en forskningsdatabas vara ett resultat av ett samarbete mellan två olika lärosäten där båda deltar i den faktiska verksamheten och till följd därav behandlar personuppgifter. De angivna skälen talar dock enligt regeringens bedömning mot ett delat ansvar. Det bör därför framgå av lagen att bara ett enda lärosäte kan utses som ansvarigt för en databas. Detta innebär att det andra lärosätet i exemplet blir ett personuppgiftsbiträde.
Eftersom regeringen i förordning kommer att ange vilket lärosäte som får föra en viss forskningsdatabas enligt den föreslagna lagen kommer det som Malmö universitet efterlyser tydligt att framgå vem som har personuppgiftsansvaret för forskningsdatabasen. När uppgifter lämnats ut till exempelvis ett annat lärosäte för att användas där i ett forskningsprojekt är det därefter inte fråga om en behandling av uppgifterna i verksamhet med forskningsdatabasen utan i forskningsprojektet. Vem som är personuppgiftsansvarig för den behandlingen får avgöras med tillämpning av bestämmelsen i artikel 4.7 i dataskyddsförordningen.
Den rättsliga grunden för behandling av personuppgifter i en forskningsdatabas som omfattas av lagen
Regeringens bedömning: Personuppgiftsbehandlingen i en forskningsdatabas ska basera sig på de registrerades frivilliga medverkan för att omfattas av lagens tillämpningsområde. Samtycke ska dock inte vara den rättsliga grund som åberopas för personuppgiftsbehandlingen.
Den behandling av personuppgifter som är nödvändig vid förandet av en forskningsdatabas kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1.e i EU:s dataskyddsförordning.
Nödvändig behandling av känsliga personuppgifter i de forskningsdatabaser som omfattas av lagen kan i och för sig ske med stöd av undantagen för viktigt allmänt intresse respektive vetenskapliga forskningsändamål i artikel 9.2 g och j i dataskyddsförordningen. Den föreslagna lagen bör ändå reglera behandling av sådana uppgifter.
Promemorians bedömning överensstämmer med regeringens utom när det gäller frågan om det finns skäl att särreglera behandling av känsliga personuppgifter i den föreslagna lagen. I promemorian görs bedömningen att det inte finns skäl att utöver en begränsning i fråga om genetiska uppgifter särreglera behandling av känsliga personuppgifter för att det ska vara tillåtet att behandla sådana uppgifter i en forskningsdatabas.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot bedömningen. Detta gäller bl.a. Integritetsskyddsmyndigheten och Socialstyrelsen. De flesta som uttalar sig särskilt i frågan om den rättsliga grunden, bl.a. Karlstads universitet, Uppsala universitet, Verket för innovationssystem (Vinnova) och Region Örebro län, delar eller ser positivt på promemorians bedömning att den behandling av personuppgifter som är nödvändig vid förandet av en forskningsdatabas kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse. Vinnova anser att om samtycke hade använts som rättslig grund skulle det potentiellt hindra en ändamålsenlig användning av uppgifterna.
Flera remissinstanser, bl.a. Karlstads universitet, Uppsala universitet, Kammarrätten i Stockholm och Mälardalens universitet, framhåller emellertid att det kan innebära en otydlighet när det gäller vilken som är den rättsliga grunden för behandlingen av personuppgifterna i forskningsdatabasen att ange att samtycke ska vara en integritetshöjande skyddsåtgärd.
Skälen för regeringens bedömning
Behandlingen av personuppgifter ska bygga på frivillig medverkan men samtycke bör inte vara den rättsliga grunden för behandlingen
För att en behandling av personuppgifter ska vara laglig måste behandlingen ha stöd i någon av de rättsliga grunder som anges i artikel 6.1 i EU:s dataskyddsförordning (se avsnitt 5.3). De rättsliga grunder som är relevanta när det gäller behandling av personuppgifter för forskningsändamål är främst samtycke enligt artikel 6.1 a, uppgift av allmänt intresse enligt artikel 6.1 e och intresseavvägning enligt artikel 6.1 f (prop. 2017/18:298 s. 29–30).
I och med att den föreslagna lagen ska baseras på de registrerades medverkan (se avsnitt 6.1 och 6.3.3) skulle en möjlig rättslig grund för behandlingen kunna vara samtycke enligt artikel 6.1 a.
Samtycke definieras i artikel 4.11 i EU:s dataskyddsförordning som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Enligt skäl 32 bör samtycke lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerade om att denne godkänner den aktuella personuppgiftsbehandlingen, tex. genom en skriftlig eller muntlig förklaring. Det ska vara fråga om en förklaring eller annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda personuppgiftsbehandlingen. Tystnad eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör, enligt samma skäl, gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke därför ges för samtliga av dessa.
En redogörelse för när den rättliga grunden samtycke kan användas finns i avsnitt 5.3. Där framgår bl.a. att det i skäl 33 till dataskyddsförordningen anges att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter och att registrerade därför bör kunna ge sitt samtycke till vissa områden för vetenskaplig forskning när vedertagna etiska standarder för sådan forskning iakttas. Frågan om tolkningen av skäl 33 har behandlats av Europeiska dataskyddsstyrelsen i ett yttrande, som har lämnats på begäran av EU-kommissionen och som omfattar förtydliganden av hur dataskyddsförordningen bör tillämpas vid personuppgiftsbehandling i hälso- och sjukvårdsforskning (EDPB Dokument den 2 februari 2021 som svar på Europeiska kommissionens begäran om förtydligande av hur den allmänna dataskyddsförordningen tillämpas konsekvent, med fokus på hälsoforskning). Europeiska dataskyddsstyrelsen anger i yttrandet att styrelsen för närvarande utarbetar riktlinjer för tillämpningen av dataskyddsförordningen vid personuppgiftsbehandling för forskningsändamål. Det påtalas att skäl 33 öppnar upp för en möjlighet att under vissa omständigheter sänka kraven på specifikation vid samtycke som rättslig grund. Det noteras att viss flexibilitet föreligger i situationer där ändamålet för personuppgiftsbehandling i ett forskningsprojekt inte kan specificeras vid tidpunkten för insamling, utan då enbart kan beskrivas som kopplat till vissa frågeställningar eller ett visst forskningsområde. Det är, enligt styrelsen, nödvändigt att forskningsområdena som anges är så avgränsade som möjligt. Europeiska dataskyddsstyrelsen poängterar att det inte kan komma i fråga att, som rättslig grund, förlita sig på så pass breda samtycken att dessa avser vilka sorts ospecificerade ”framtida forskningsändamål” som helst. Vidare påpekas vikten av att en personuppgiftsansvarig, även när ändamålen inte kan specificeras fullt ut, på andra sätt försöker säkerställa att förordningens krav på samtycke uppfylls, exempelvis genom att tillse att den registrerade erhåller så mycket information om projektet och behandlingen som kan ges vid tidpunkten. Europeiska dataskyddsstyrelsen har dock ännu inte presenterat några riktlinjer för tillämpningen av dataskyddsförordningen vid personuppgiftsbehandling för forskningsändamål. Framtagandet av sådana riktlinjer för tillämpningen av dataskyddsförordningen vid personuppgiftsbehandling för medicinska och forskningsändamål finns med i styrelsens agenda för arbetet under 2023 och 2024. Det finns inte heller något vägledande avgörande när det gäller användningen av s.k. breda samtycken vid insamling av personuppgifter till en forskningsdatabas för framtida och obestämda forskningsprojekt.
I propositionen Vissa register för forskning om vad arv och miljö betyder för människors hälsa (prop. 2012/13:163), som ligger till grund för LifeGene-lagen, anförs att samtycke, uppgift av allmänt intresse och viktigt allmänt intresse utgör rättsliga grunder för personuppgiftsbehandling i de register som omfattas av lagen. Den lag som föreslås i denna proposition skiljer sig dock från LifeGene-lagen på så vis att det enligt Life-Gene-lagen krävs ett uttryckligt samtycke för behandling av alla personuppgifter som förekommer i ett register enligt lagen. Så är inte fallet enligt den lag som föreslås i denna proposition. Som nämnts i avsnitt 6.3.1 och som närmare utvecklas i avsnitt 7.1.1 och 7.1.2 föreslås dels vissa uppgifter kunna inhämtas utan samtycke, dels vissa uppgifter kunna inhämtas med s.k. opt-out. Det första fallet avser att det ska vara möjligt att i verksamheten med en forskningsdatabas behandla vissa personuppgifter i ett tidigt skede när det är nödvändigt för att kunna välja ut och kontakta enskilda med information och förfrågan om att medverka i en forskningsdatabas. Det andra fallet avser att det ska vara möjligt med kompletterande insamling av uppgifter från andra källor än de som den registrerade uttryckligen samtyckt till, och då i första hand myndighetsregister. Det föreslås visserligen att ett uttryckligt samtycke som huvudregel ska inhämtas från registrerade även till insamling från andra källor än den registrerade, men det ska också vara möjligt att informera den registrerade om att sådan insamling avses göras och den registrerade har i ett sådant fall möjlighet att motsätta sig insamlingen. Det föreslås också att den registrerade ska ha rätt att när som helst återta sitt samtycke till att dennes personuppgifter behandlas i en forskningsdatabas. Mot denna bakgrund kan samtycke, i den mening som avses i EU:s dataskyddsförordning, oavsett vad Europeiska dataskyddsstyrelsen kan komma att uttala framöver, inte utgöra rättslig grund för all personuppgiftsbehandling som avses kunna göras i en forskningsdatabas enligt den i denna proposition föreslagna nya lagen. Som närmare utvecklas nedan bör i stället den rättsliga grunden för personuppgiftsbehandlingen vara uppgift av allmänt intresse. Som framgår ovan ska det dock vara en grundläggande förutsättning för behandling av personuppgifter i en forskningsdatabas som omfattas av lagen, med undantag för sådan personuppgiftsbehandling som krävs för att komma i kontakt med personer som ska erbjudas att ingå i forskningsdatabasen, att behandlingen inte sker utan de registrerades kännedom och frivilliga medverkan. Detta är viktigt dels för att säkerställa ett skydd för de registrerades integritet, dels för att stärka allmänhetens förtroende för verksamheten med forskningsdatabaser och därmed viljan att medverka. De bestämmelser som föreslås i lagen till skydd för de registrerades integritet, bl.a. bestämmelser om information, samtycke och opt-out, ska därför i stället anses vara sådana lämpliga skyddsåtgärder som krävs vid behandling av personuppgifter för forskningsändamål enligt artikel 89 i EU:s dataskyddsförordning. Att samtycke kan vara en skyddsåtgärd framgår av Europeiska dataskyddsstyrelsens riktlinjer 5/2020 om samtycke enligt förordning (EU) 2016/679. Där har Europeiska dataskyddsstyrelsen uttalat att när samtycke utgör den rättsliga grunden för att bedriva forskning enligt allmänna dataskyddsförordningen bör sådant samtycke till användning av personuppgifter särskiljas från andra samtyckeskrav som fungerar som en etisk standard eller processuell skyldighet. Styrelsen nämner som ett exempel på en sådan processuell skyldighet, där behandlingen inte baseras på samtycke utan på någon annan rättslig grund, det krav på att försökspersonen lämnar ett informerat samtycke som anges i Europaparlamentets och rådets förordning (EU) nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. Styrelsen anför att inom ramen för dataskyddslagstiftningen skulle den sistnämnda formen av samtycke kunna betraktas som en ytterligare skyddsåtgärd. Regeringen anser såldes till skillnad från bl.a. Karlstads universitet, Uppsala universitet, Kammarrätten i Stockholm och Mälardalens universitet, inte att det blir otydligt att betrakta bl.a. kraven på de registrerades frivilliga medverkan genom såväl uttryckliga samtycken som information och opt-out som integritetshöjande skyddsåtgärder. Som regeringen närmare utvecklar i avsnitt 7.1.1 föreslår regeringen att samtyckets och opt-out-möjlighetens karaktär av skyddsåtgärder ska tydliggöras genom rubriksättningen i den föreslagna lagen.
Behandlingen av personuppgifter i forskningsdatabaserna kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse
En rättslig grund som bedöms vara aktuell att kunna tillämpa som stöd för behandling av personuppgifter i en forskningsdatabas är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.1 e i dataskyddsförordningen. Denna rättsliga grund ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt (artikel 6.3).
I propositionen Ny dataskyddslag (prop. 2017/18:105) framför regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse. Att den rättsliga grunden ska vara fastställd innebär att uppgiften av allmänt intresse måste ha stöd i rättsordningen. Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är enligt uttalanden i förarbetena av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. Detta måste även gälla i dataskyddsförordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse (prop. 2017/18:105 s. 56 och 57). Begreppet uppgift av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i dataskyddsförordningen (den rättsliga grunden rättslig förpliktelse) behöver den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig. Även verksamhet som en statlig eller kommunal myndighet bedriver inom ramen för sin befogenhet är av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer. Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör (prop. 2017/18:258 s. 32 och 33).
Av ordalydelsen i artikel 6.3 första stycket framgår att det som ska fastställas i unionsrätten eller i nationell rätt är den grund för behandlingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet (se prop. 2017/18:105 s. 49 och exempelvis propositionen Resursskolor och tilläggsbelopp för särskilt stöd, prop. 2021/22:156 s. 104–110). Som framgår ovan är verksamhet som en statlig myndighet bedriver inom ramen för sin befogenhet en uppgift av allmänt intresse. Enligt 1 kap. 2 § högskolelagen ska staten som huvudman anordna högskolor för bl.a. forskning och konstnärlig forskning samt utvecklingsarbete. Enligt 6 § samma kapitel ska som allmänna principer för forskningen gälla att forskningsproblem fritt får väljas, att forskningsmetoder fritt får utvecklas, och att forskningsresultat fritt får publiceras. Det råder ingen tvekan om att det ligger inom statliga universitets och högskolor befogenhet att vidta sådana åtgärder som krävs för att kunna forska eller öka effektiviteten i forskning. Sådana åtgärder behöver dock även vara förenliga med annan reglering som exempelvis 2 kap. 6 § andra stycket RF och EU:s dataskyddsförordning. Enligt artikel 6.3 i EU:s dataskyddsförordning kan den rättsliga grunden innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Regeringen föreslår i denna proposition att generella bestämmelser som reglerar behandlingen av personuppgifter i forskningsdatabaser och som är gemensamma för samtliga forskningsdatabaser som är avsedda att omfattas av regleringen ska tas in i en ramlag. Det föreslås att regeringen ska meddela föreskrifter om vilka forskningsdatabaser som får föras enligt lagen och om vilka lärosäten som får föra forskningsdatabasen. Ramlagen ska kompletteras med bestämmelser i förordning där dessa föreskrifter tas in (se avsnitt 6.3.8). Om den prövning som ska ske resulterar i att det bedöms att en forskningsdatabas är av särskilt vetenskapligt värde ur ett långsiktigt perspektiv och därmed kan omfattas av lagen kommer det av föreskrifter som regeringen meddelar i förordning framgå att lärosätet får föra den aktuella forskningsdatabasen. Det kommer också att framgå vilket eller vilka forskningsområden som forskningsdatabasen ska skapa underlag för och lämna ut uppgifter till. Detta är en sådan typ av reglering som är tillåten enligt artikel 6.3 i EU:s dataskyddsförordning och som kan utgöra en precisering av den rättsliga grunden.
Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns det en rättslig grund för nödvändig behandling enligt artikel 6.1 e (prop. 2017/18:105 s. 58). Att en uppgift är av allmänt intresse kan framgå på olika sätt i den nationella regleringen. Exempelvis kan enskilda utbildningsanordnare få examenstillstånd enligt lagen om tillstånd att utfärda vissa examina och det framgår av bilagan till OSL att vissa enskilda verksamheter ska tillämpa offentlighetsprincipen och jämställas med myndigheter vid tillämpning av OSL. Detta gäller t.ex. i all verksamhet vid Stiftelsen Chalmers tekniska högskola och i all verksamhet i Stiftelsen Högskolan i Jönköping och dess dotterbolag, som ingår i koncernen Jönköping University. Båda har också examenstillstånd för forskarnivån och regeringen har i avsnitt 6.3.4 föreslagit att det i den nya lagen ska regleras att, förutom statliga universitet eller högskolor som har rätt att utfärda examen på forskarnivå, så ska även enskilda organ som har examenstillstånd på forskarnivå och som jämställs med myndigheter vid tillämpning av OSL omfattas av den nya lagens tillämpningsområde, om regeringen meddelar föreskrifter om det. Som anges ovan är detta en sådan typ av reglering som är tillåten enligt artikel 6.3 i EU:s dataskyddsförordning och som kan utgöra en precisering av den rättsliga grunden.
Sammanfattningsvis bedömer regeringen att behandling av personuppgifter i forskningsdatabaser som enligt föreskrifter av regeringen får föras med stöd av lagen, kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning.
Det finns stöd i dataskyddsförordningen för behandling av känsliga personuppgifter men lagen bör ändå reglera behandling av sådana uppgifter
Den föreslagna ramlagen är avsedd att kunna tillämpas på forskningsdatabaser inom hela spektrumet av den vetenskapliga forskningen om forskningsdatabasernas syfte är att skapa underlag för flera framtida forskningsprojekt och är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. Det kommer ofta att bli aktuellt att behandla sådana särskilda kategorier av personuppgifter som avses i artikel 9 i EU:s dataskyddsförordning (känsliga personuppgifter), t.ex. uppgifter om hälsa, i forskningsdatabaserna.
Enligt dataskyddsförordningen gäller ett principiellt förbud mot behandling av känsliga personuppgifter. För att en behandling av sådana uppgifter ska vara tillåten måste behandlingen ha stöd i något av de undantag från förbudet som räknas upp i artikel 9.2.
Känsliga personuppgifter får, enligt artikel 9.2 a, behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandling för ett eller flera specifika ändamål. Regeringen anser att behandling av personuppgifter i forskningsdatabaser enligt den föreslagna lagen inte i alla delar kan baseras på den rättsliga grunden samtycke. En behandling av känsliga personuppgifter kan således endast delvis baseras på samtycke enligt undantaget i denna punkt.
I artikel 9.2 j finns ett undantag från förbudet att behandla känsliga personuppgifter om behandlingen är nödvändig för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I avsnitt 6.2.1 har regeringen gjort bedömningen att behandling av personuppgifter i forskningsdatabaser innefattas i uttrycket vetenskapliga eller historiska forskningsändamål i dataskyddsförordningens mening. Undantaget i artikel 9.2 j är därmed tillämpligt vid behandling av känsliga personuppgifter i verksamhet med forskningsdatabaser som kommer att omfattas av den nya ramlagen. Behandlingen kommer att ske på grundval av nationell rätt. Som närmare utvecklas i bl.a. avsnitt 7.3 föreslås också att lagen ska innehålla bestämmelser om sådana åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs enligt artikel 9.2 j. Nödvändig behandling av känsliga personuppgifter i forskningsdatabaserna bedöms därför kunna ske med stöd av undantaget i artikel 9.2 j i dataskyddsförordningen.
I artikel 9.2 g finns det ytterligare ett undantag från förbudet att behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Det viktiga allmänna intresset ska vara på grundval av unionsrätten eller en medlemsstats nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga skyddsåtgärder och säkerställa den registrerades grundläggande rättigheter och intressen. Det föreslås att den nya lagen ska vara tillämplig på forskningsdatabaser som har till syfte att skapa underlag för framtida forskningsprojekt som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. Regeringen har ovan gjort bedömningen att uppbyggnaden och handhavandet av sådana forskningsdatabaser som lagen ska kunna tillämpas på för att skapa underlag för framtida forskningsprojekt inom för forskningsdatabasen angivna områden och lämna ut uppgifter till sådana forskningsprojekt är en uppgift av allmänt intresse. Regeringen har också i propositionen Vissa register för forskning om vad arv och miljö betyder för människors hälsa (prop. 2012/13:163) gjort bedömningen att ett uppbyggande på frivillig grund av databaser hos statliga universitet och högskolor med basmaterial som kan lämnas ut till specifika och etikgodkända forskningsprojekt är ett sådant viktigt allmänt intresse som avsågs i artikel 8.4 i dåvarande dataskyddsdirektivet (Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter). När det rör sig om sådana forskningsdatabaser som kommer att kunna omfattas av den föreslagna ramlagen, dvs. sådana forskningsdatabaser som har ett särskilt vetenskapligt värde ur ett långsiktigt perspektiv, är det enligt regeringens bedömning på motsvarande sätt fråga om ett viktigt allmänt intresse. Som angivits föreslås det också att lagen med anslutande förordningar ska innehålla bestämmelser om åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Behandling av känsliga personuppgifter i verksamhet med forskningsdatabaser enligt den nya lagen bedöms därför kunna ske även med stöd av undantaget i artikel 9.2 g i dataskyddsförordningen.
Även om en behandling av känsliga personuppgifter i forskningsdatabaser som omfattas av den föreslagna lagen således i och för sig bedöms kunna ske med stöd av undantagen i artikel 9.2 j och 9.2 g i dataskyddsförordningen gör regeringen bedömningen att det rättsliga stödet för behandlingen av sådana uppgifter blir än tydligare om lagen innehåller bestämmelser som reglerar behandling av sådana uppgifter. Regeringen bedömer därför, till skillnad från promemorian, att det finns skäl att, utöver en begränsning i fråga om genetiska uppgifter, särreglera behandling av känsliga personuppgifter och anser att lagen bör innehålla en bestämmelse som reglerar behandlingen av känsliga personuppgifter i verksamheten med forskningsdatabaserna. Detta utvecklas i avsnitt 7.2.2.
Förhållandet till annan dataskyddsreglering
Regeringens förslag: Det ska införas en upplysningsbestämmelse i lagen om vissa forskningsdatabaser som tydliggör att lagen kompletterar EU:s dataskyddsförordning.
I lagen ska det också införas en upplysningsbestämmelse som anger att vid behandling av personuppgifter enligt lagen gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte annat följer av lagen om vissa forskningsdatabaser eller föreskrifter som meddelats i anslutning till den lagen.
Termer och uttryck i lagen ska ha samma betydelse som i dataskyddsförordningen.
Promemorians förslag överensstämmer i sak med regeringens.
Remissinstanserna: Remissinstanserna tillstyrker eller har inget att invända mot förslaget. Det gäller bl.a. Integritetsskyddsmyndigheten (IMY) och Socialstyrelsen. Ingen remissinstans uttalar sig särskilt om förslaget.
Skälen för regeringens förslag: Grundläggande bestämmelser som gäller för behandling av personuppgifter finns, som påtalats i avsnitt 4, i EU:s dataskyddsförordning och dataskyddslagen. I dessa bestämmelser finns den huvudsakliga dataskyddsrättsliga regleringen som ska följas vid behandling av personuppgifter i forskningsdatabaser. Lagen om vissa forskningsdatabaser ska endast innehålla sådana kompletterande bestämmelser som dataskyddsförordningen ger utrymme för och som behövs för att utgöra ett tydligt rättsligt stöd för behandling av personuppgifter i verksamhet med sådana forskningsdatabaser som ska omfattas av lagen. Regeringen anser, i likhet med utredningen, att det bör införas en bestämmelse i lagen om vissa forskningsdatabaser som tydliggör att den innehåller kompletterande bestämmelser till dataskyddsförordningen. Hänvisningen till dataskyddsförordningen bör vara dynamisk, det vill säga avse förordningen i den vid varje tidpunkt gällande lydelsen. En sådan bestämmelse tydliggör lagens förhållande till dataskyddsförordningen och det blir tydligt att lagen inte utgör en uttömmande reglering. Bestämmelsen syftar alltså till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar lagen och de registrerade.
Dataskyddslagen är, som nämnts i avsnitt 4, en lag som på generell nivå kompletterar EU:s dataskyddsförordning i Sverige. Utöver de direkt tillämpliga bestämmelserna i dataskyddsförordningen finns det i dataskyddslagen generella bestämmelser som är tillåtna specificeringar och undantag till dataskyddsförordningen. I 1 kap. 6 § dataskyddslagen anges att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från den lagen, tillämpas den bestämmelsen, dvs. lagen är subsidiär till annan reglering på lag- eller förordningsnivå. Bestämmelserna i den nu föreslagna lagen kommer, till skillnad från dataskyddslagens bestämmelser, att vara specifikt avgränsade till vissa uppgiftssamlingar inom forskningssektorn. Dataskyddslagen kommer således att vara subsidiär i förhållande till den nu föreslagna lagen. För att underlätta för den som ska tillämpa regelverket och för andra att hitta relevanta lagrum föreslår regeringen att det ska införas en upplysningsbestämmelse i den nya lagen som anger att vid behandling av personuppgifter enligt lagen gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte annat följer av lagen om vissa forskningsdatabaser eller föreskrifter som har meddelats i anslutning till lagen om vissa forskningsdatabaser.
För att ytterligare förtydliga relationen mellan dessa regleringar, och minska risken för att de separata regelverken missförstås och tillämpas felaktigt föreslår regeringen att det i en bestämmelse i lagen anges att termer och uttryck i lagen ska ha samma betydelse som i dataskyddsförordningen.
Ändamålen med behandlingen av personuppgifter enligt lagen
Regeringens förslag: Personuppgifter ska få samlas in och i övrigt behandlas i verksamhet med en sådan forskningsdatabas som förs med stöd av lagen om vissa forskningsdatabaser för de övergripande ända-målen att
skapa underlag för flera framtida forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen,
lämna ut uppgifter till sådana forskningsprojekt, och
lämna ut uppgifter till forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen även om projekten redan påbörjats innan forskningsdatabasen inrättats.
Personuppgifter som samlats in och behandlas för de övergripande ändamålen enligt ovan ska därutöver bara få behandlas för ändamålen att lämnas ut enligt bestämmelser om utlämnande i ramlagen samt, när de inte längre behövs ovan nämnda ändamål, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Uppräkningen i lagen av ändamålen ska vara uttömmande.
Regeringen ska få meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till.
Regeringens bedömning: Den föreslagna modellen, där övergripande ändamål med personuppgiftsbehandlingen i forskningsdatabaser anges i ramlagen i förening med att det närmare ändamålet för varje forskningsdatabas anges i förordning för respektive forskningsdatabas, uppfyller kravet på ändamålsbegränsning i EU:s dataskyddsförordning.
Promemorians förslag överensstämmer huvudsakligen med regeringens. I promorian föreslås inte att ytterligare ett övergripande ändamål ska vara att lämna ut uppgifter till forskningsprojekt inom för forskningsdatabasen angivna forskningsområden även om projekten redan påbörjats innan forskningsdatabasen inrättats. I promemorian anges att personuppgifter som samlats in och behandlas för de övergripande ändamålen därefter får behandlas bara för utlämnande som anges i ramlagen samt bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I promemorian föreslås inte ett bemyndigande för regeringen att meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till utan i stället föreslås en upplysningsbestämmelse om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela sådana föreskrifter.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: En stor majoritet av remissinstanserna tillstyrker eller har inga invändningar mot förslaget om en reglering som möjliggör att uppgifter samlas in i forskningsdatabaser för att skapa underlag för framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden och lämna ut uppgifter till sådana projekt. Detta gäller bl.a. Integritetsskyddsmyndigheten (IMY) och Socialstyrelsen. Endast ett fåtal av remissinstanserna uttalar sig särskilt när det gäller förslaget till ändamål med behandlingen av personuppgifter i forskningsdatabaser som förs med stöd av lagen.
Uppsala universitet delar promemorians bedömning om ändamålsbestämning. Statens medicinsk-etiska råd (Smer) tillstyrker förslaget. Enligt rådets bedömning är det positivt för de registrerades integritet och självbestämmande att ändamålen förtydligas och begränsas på det föreslagna sättet. Hjärt- och lungfonden välkomnar förslaget och anser att det ger en tydlig grund för att bygga upp forskningsdatabaser för framtida forskning och att ändamålsbeskrivningen hålls på en rimlig nivå. Stockholms universitet instämmer i att forskningsdatabasernas övergripande ändamål ska vara att skapa underlag för flera framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden. Universitetet ifrågasätter avgränsningen som innebär att tvärvetenskapliga forskningsprojekt och forskningsprojekt från andra forskningsområden inte kommer att kunna få data utlämnad från forskningsdatabaser och anser att detta synsätt inte är förenligt med målsättningarna med ”öppen vetenskap”. Universitetet ser positivt på att personuppgifter i en forskningsdatabas även ska kunna bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål även efter det att de av någon anledning inte längre behövs som underlag för framtida forskningsprojekt.
Region Västerbotten anser att promemorians förslag till bestämmelse om att regeringen kan meddela föreskrifter om vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till är otydlig eftersom regeringen inte kan veta i förhand vem uppgifterna ska utlämnas till då man inte vet vilken forskare som kommer att göra uttag från forskningsdatabasen.
IMY delar bedömningen i promemorian att regeringen med stöd av den s.k. restkompetensen bör meddela förskrifter om vilka forskningsdatabaser som ska få föras samt vilka lärosäten som ska få behandla personuppgifter i sådana databaser. IMY delar också bedömningen att regeringen i dessa föreskrifter även bör precisera ändamålen med behandlingen till ett eller flera forskningsområden. Enligt IMY kommer sådana föreskrifter att vara nödvändiga för att, tillsammans med de föreslagna skyddsåtgärderna, skapa en rättslig grund som är tydlig, precis och proportionerlig i enlighet med kraven i artikel 6.3 och skäl 41 i dataskyddsförordningen.
Luleå tekniska universitet framhåller att det i promemorian angivits att ett aktuellt forskningsområde för en forskningsdatabas ingalunda behöver vara ämnesmässigt avgränsat utan också kan beskrivas tvärvetenskapligt och understryker att forskningsdatabaserna måste kunna användas av forskare verksamma vid lärosäten utan medicinsk fakultet.
Linnéuniversitetet ställer sig tveksamt till om de framtida möjliga forskningsområden som databaserna eventuellt kan bli relevanta för måste specificeras på förhand. Universitetet anser att om en sådan specificering måste ske bör det göras på ett sådant sätt att det i så hög utsträckning som möjligt håller dörren öppen också för forskningsfrågor som ännu inte formulerats, eller forskningsområden som ännu inte etablerats.
Skälen för regeringens förslag och bedömning
Primära ändamål med behandlingen av personuppgifter i forskningsdatabaser som omfattas av lagen
Enligt artikel 5.1 b i EU:s dataskyddsförordning ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ursprungliga ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning). Att en ändamålsbestämning är tillräckligt särskilt och uttryckligt angiven har en avgörande betydelse för att det ska kunna gå att bedöma om en senare behandling för nya ändamål är förenlig eller oförenlig med ett ursprungligt ändamål. Ett tydligt angivet ändamål är som regel också en förutsättning för att man ska kunna bedöma om en viss behandling är laglig, dvs. om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b-f (prop. 2017/18:105 s. 47 f). Ändamålsbestämmelser har vidare betydelse för tillämpningen av de övriga grundläggande principerna för personuppgiftsbehandling i artikel 5. Otillräckligt specifika ändamålsbeskrivningar kan exempelvis leda till att principen om uppgiftsminimering i artikel 5.1 c inte kan iakttas. Ändamålsbestämningen har även betydelse för statistikansvariga myndigheters bedömningar i samband med begäran om utlämnande av uppgifter.
Som framgår av avsnitt 6.3.5 åberopas i denna proposition inte samtycke som rättslig grund för den nya lagen utan den rättsliga grund som åberopas är uppgift av allmänt intresse. När det gäller frågan om ändamålsbegränsning kan man ändå till viss del ta ledning av vad som gäller för ändamålsbegränsningar i förhållande till samtycken. I skäl 33 till dataskyddsförordningen anges att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter och att registrerade därför bör kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Europeiska dataskyddsstyrelsen har i ett dokument från den 2 februari 2021 som svar på Europeiska kommissionens begäran om förtydligande av hur den allmänna dataskyddsförordningen tillämpas konsekvent, med fokus på hälsoforskning, framhållit att även om skäl 33 möjliggör att ändamålet kan beskrivas på en mer allmän nivå så måste de allmänna principerna för behandling av personuppgifter i artikel 5 följas. Europeiska dataskyddsstyrelsen anförde att när forskningsändamålet inte fullt kan preciseras måste den personuppgiftsansvarige på andra sätt tillgodose principen om att det ändamål med personuppgiftsbehandlingen som samtycke begärs för ska vara specificerat, som t.ex. att forskningspersoner lämnar samtycke till ett visst forskningsområde eller vissa specifika frågeställningar. Det sistnämnda ligger i linje med hur ändamålet har preciserats i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen). Där har ändamålen med personuppgiftsbehandlingen i register enligt lagen angetts vara
att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt, och
att lämna ut uppgifter för sådan forskning.
Som nämnts i avsnitt 6.3.5 uppställs i LifeGene-lagen krav på uttryckliga samtycken för behandling av personuppgifter. När det gäller den föreslagna nya lagen är den rättsliga grund som åberopas för behandling av personuppgifter uppgift av allmänt intresse. Visserligen föreslås huvudregeln vara krav på uttryckliga samtycken som en skyddsåtgärd, men uppgifter föreslås också i viss utsträckning kunna behandlas utan samtycke och med rätt till opt-out för den registrerade.
I samband med tillkomsten och förlängningar av LifeGene-lagen ifrågasattes om ändamålsbestämmelsen i lagen var förenlig med det tidigare dataskyddsdirektivets och den nu gällande dataskyddsförordningens krav på att ändamål ska vara särskilda och uttryckligt angivna. I lagstiftningsprojekten såväl vid den ursprungliga propositionen med förslag till lagen som vid förlängningarna av lagen har dock ändamålsbestämmelsen i LifeGene-lagen ansetts vara förenlig med kraven på att ändamålen ska vara särskilda och uttryckligt angivna (prop. 2012/13:163 s. 26–27, prop. 2014/15:121 s. 11–12, prop. 2016/17:204 s. 10–13 och prop. 2019/20:182 s. 10–11). En bestämning av ändamålet med personuppgiftsbehandlingen i sådana forskningsdatabaser som omfattas av den här föreslagna lagen bör därför enligt regeringens bedömning kunna göras på ett motsvarande sätt som gjorts i LifeGene-lagen.
De övergripande ändamål för vilka en sådan forskningsdatabas som förs med stöd av lagen får behandla personuppgifter bör, till följd av lagens karaktär av en ramlag, vara relativt generella och breda. Varje enskild forskningsdatabas bör sedan ha särskilt angivna ändamål som närmare specificeras i förordning för varje enskild forskningsdatabas.
När det gäller de övergripande ändamålen bör dessa vara så pass generella att de blir tillämpliga för samtliga de forskningsdatabaser som kan komma att omfattas av regleringen. De bör mot den bakgrunden utformas på ett sätt som anknyter till och uppfyller ett av syftena med den föreslagna lagen, dvs. att ge lärosäten möjlighet att i en forskningsdatabas skapa underlag för olika forskningsprojekt. Regeringen anser därför att ändamålen med behandlingen ska preciseras i en grundläggande primär ändamålsbestämmelse som innebär att insamling och övrig behandling i verksamhet med en forskningsdatabas ska få ske för de övergripande ändamålen att dels skapa underlag för flera framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden, dels lämna ut uppgifter till sådana forskningsprojekt. Genom det föreslagna ändamålet tydliggörs att det handlar om en framåtsyftande insamling och behandling, dvs. inte om att samla in uppgifter enbart för ett visst, redan definierat projekt, utan om att bygga en forskningsdatabas som utgör en resurs för flera olika framtida forskningsprojekt som inte är definierade när databasen byggs upp eller när insamling till databasen annars görs. Med uttrycket ”skapa underlag” avses olika former av behandlingar som krävs för att kunna föra en fungerande forskningsdatabas, såsom att samla in, registrera, bevara och uppdatera personuppgifter i databasen. Dessa steg är grundläggande för att forskningsdatabaserna ska kunna få det vetenskapliga värdet för forskningen som är grunden för lärosätenas verksamhet med databaserna. Det är genom att kunna tillhandahålla innehållet i forskningsdatabaserna till olika forskningsprojekt som databaserna blir en viktig resurs för forskningen.
Som regeringen återkommer till nedan bör det även anges vissa s.k. sekundära ändamål för behandling av personuppgifterna i ramlagen.
Utredningen föreslår att uppräkningen i lagen av primära och sekundära ändamål för behandling av personuppgifter som en skyddsåtgärd ska göras uttömmande. Detta innebär, som Lagrådet påpekar, en begränsning av det s.k. forskningsundantaget i artikel 5.1 b andra meningen dataskyddsförordningen. Enligt artikel 5.1 b första meningen, som ger uttryck för den s.k. finalitetsprincipen, får uppgifter som samlats in för ett ändamål inte senare behandlas på ett sätt som är oförenligt med det ursprungliga ändamålet. Av andra meningen framgår att ytterligare behandling för bland annat vetenskapliga eller historiska forskningsändamål inte ska anses oförenlig med de ursprungliga ändamålen. Regeringen delar utredningens uppfattning att det är en lämplig skyddsåtgärd att göra uppräkningen av ändamålen i lagen uttömmande, dvs. att det s.k. forskningsundantaget ska begränsas. Annars riskerar de samtycken till behandling av personuppgifter enligt lagen och den anslutande förordningen, där de forskningsområden som avses i lagen preciseras, att bli en chimär. Människors förtroende för forskningen och därmed vilja att delta i forskning och att lämna uppgifter är av stor betydelse för forskningen. Motsvarande begränsning finns i dag i 8 § andra stycket LifeGene-lagen.
Regeringen anser dock att ytterligare ett primärt ändamål behöver läggas till utöver de som utredningen föreslår, nämligen ändamålet att lämna ut uppgifter till forskningsprojekt inom för forskningsdatabasen angivna forskningsområden även om projekten redan har påbörjats innan forskningsdatabasen inrättats. Forskningsprojekt kan pågå under mycket lång tid och om en forskningsdatabas byggs upp under den tiden och den sedan visar sig innehålla uppgifter som skulle vara mycket värdefulla i ett pågående forskningsprojekt inom de forskningsområden som forskningsdatabasen omfattar anser regeringen att det vore stötande om forskningshuvudmannen skulle vara exkluderad från att begära att få del av uppgifterna bara för att forskningsprojektet startades innan forskningsdatabasen byggdes upp. Forskningshuvudmannen kan dock behöva begära ett kompletterande etikprövningstillstånd enligt etikprövningslagen för en sådan kompletterande insamling.
För personuppgifter som lämnas ut till forskningsprojekt inom för forskningsdatabasen angivna forskningsområden regleras den fortsatta behandlingen hos mottagaren inte av ramlagen med anslutande förordning utan av den dataskyddsreglering som gäller hos mottagaren.
Den föreslagna författningstekniska modellen uppfyller dataskyddsförordningens krav på ändamålsbegränsning
Som regeringen närmare utvecklar i avsnitt 6.3.8 föreslås där att regeringen i den nya lagen ska bemyndigas att meddela föreskrifter i förordning om vilka forskningsdatabaser som får föras enligt lagen och vilket lärosäte som får föra forskningsdatabasen. Därutöver bör, som nämnts ovan, varje enskild forskningsdatabas ha särskilt angivna ändamål som närmare specificeras i förordning. Regeringen föreslår därför att regeringen bemyndigas att meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till. Ett preciserat ändamål bör kunna utformas på liknande sätt som i LifeGene-lagen. Regeringen bedömer att genom denna modell är kravet på särskilda, uttryckligt angivna och berättigade ändamål i artikel 5.1 b i dataskyddsförordningen uppfyllt.
Linnéuniversitetet ställer sig tveksamt till om de framtida möjliga forskningsområden som databaserna eventuellt kan bli relevanta för måste specificeras på förhand. Universitetet anser att om en sådan specificering måste ske bör det göras på ett sådant sätt att den i så hög utsträckning som möjligt håller dörren öppen också för forskningsfrågor som ännu inte formulerats, eller forskningsområden som ännu inte etablerats. Regeringen bedömer att en avgränsning av de forskningsområden som en forskningsdatabas omfattar är nödvändig för att uppfylla dataskyddsförordningens krav på särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 89 i dataskyddsförordningen ska vidare behandling för forskningsändamål omfattas av lämpliga skyddsåtgärder. Som framgår av avsnitt 6.3.5 är de krav som föreslås tas in i lagen på den enskildes frivilliga medverkan en skyddsåtgärd. En sådan skyddsåtgärd bedöms vara lämplig med hänsyn till att de uppgifter som kommer att kunna samlas in kan vara känsliga personuppgifter, inklusive t.ex. genetiska uppgifter. Då den föreslagna regleringen baseras på enskildas frivilliga medverkan föreslås ovan att det s.k. forskningsundantaget i artikel 5.1 b andra meningen data-skyddsförordningen inte ska gälla eftersom det samtycke som enskilda lämnar till behandling av personuppgifter och de enskildas rätt till opt-out annars riskerar att bli en chimär. Det s.k. forskningsundantaget i artikel 5.1 b andra meningen är en generell bestämmelse som gäller i alla situationer oavsett vad den rättsliga grunden för behandling av personuppgifter är och oavsett om det ursprungliga ändamålet är forskning eller inte. Bestämmelsen bör därför inte läsas isolerad för sig utan tillsammans med bl.a. skäl 33 i dataskyddsförordningen. Där anges att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter och att registrerade därför bör kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Som nämnts i avsnitt 6.3.5 har Europeiska dataskyddsstyrelsen i ett svar på Europeiska kommissionens begäran om förtydligande av hur den allmänna dataskyddsförordningen tillämpas konsekvent, med fokus på hälsoforskning, påtalat att skäl 33 öppnar upp för en möjlighet att under vissa omständigheter sänka kraven på specifikation vid samtycke som rättslig grund. Det är dock enligt Europeiska dataskyddsstyrelsen nödvändigt att de forskningsområden som anges är så avgränsade som möjligt. Styrelsen poängterar att det inte kan komma i fråga att, som rättslig grund, förlita sig på så pass breda samtycken att dessa avser vilka sorts ospecificerade ”framtida forskningsändamål” som helst. Regeringen bedömer därför att en nationell reglering som bygger på den enskildes frivilliga medverkan utifrån information om angivna primära ändamål som avser vissa forskningsområden, men som i praktiken innebär att de personuppgifter som samlas in om den enskilde sedan kan användas inom vilket forskningsområde som helst, riskerar att bedömas strida mot dataskyddsförordningen.
Stockholms universitet uppfattar att förslaget innebär att tvärvetenskapliga forskningsprojekt och forskningsprojekt från andra forskningsområden inte kommer att kunna få data utlämnad från forskningsdatabaser och anser att detta synsätt inte är förenligt med målsättningarna för ”öppen vetenskap”. Som Luleå tekniska universitet framhåller behöver inte forskningsområdet för en forskningsdatabas vara ämnesmässigt avgränsat utan det kan också beskrivas tvärvetenskapligt. Däremot är det korrekt att förslaget innebär att uppgifter från en forskningsdatabas inte kommer att kunna lämnas ut till forskningsprojekt som faller utanför de forskningsområden som forskningsdatabasen omfattar. Regeringen vill dock i detta sammanhang betona att den nya lag som föreslås i denna proposition öppnar nya möjligheter, dels därför att det inte är möjligt att få ett etikgodkännande enligt etikprövningslagen för forskningsdatabaser som upprättas endast i syfte att lämna ut uppgifter till forskningsprojekt, dels då den föreslagna lagen möjliggör forskningsdatabaser inom många fler forskningsområden än LifeGene-lagen.
Sekundära ändamål med behandlingen
Enligt regeringens uppfattning behöver uppgifter som primärt samlats in för att skapa underlag för flera framtida forskningsprojekt inom för forskningsdatabasens angivna forskningsområden och lämna ut uppgifter till sådana forskningsprojekt också kunna behandlas för vissa sekundära ändamål, dvs. för att tillgodose ytterligare behov utöver att skapa underlag för och lämna ut till forskningsprojekt inom berörda områden.
Ett sådant sekundärt ändamål bör vara att lämna ut uppgifter om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed i ett forskningsprojekt som fått uppgifter från forskningsdatabasen. Detta behandlas närmare i avsnitt 8.1.3.
Ett annat tillåtet sekundärt ändamål bör, när uppgifter har lämnats till forskningsprojektet från forskningsdatabasen, vara att lämna ut en kodnyckel eller motsvarande till en annan myndighet för att den myndigheten ska kunna lämna ut uppgifter om samma personer till forskningsprojektet. Detta behandlas närmare i avsnitt 8.2.2.
I avsnitt 8.1.4 föreslås att utlämnande därutöver endast ska få ske om det finns en skyldighet enligt lag eller förordning att göra det. Med lag avses bl.a. EU-förordningar, t.ex. EU:s dataskyddsförordning. Av den följer att den registrerade har rätt att få ut vissa uppgifter.
I avsnitt 7.4 görs slutligen bedömningen att arkivlagstiftningens principer om bevarande bör vara utgångspunkten för uppgifter i en forskningsdatabas.
Regeringen anser att det bör framgå av en uttrycklig bestämmelse i ramlagen att utlämnande av uppgifter från en forskningsdatabas i ovan angivna syften är tillåtna sekundära ändamål. Det bör också framgå att när personuppgifter i en forskningsdatabas inte längre behövs för de primära ändamålen, så får de behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Regeringen föreslår således att bestämmelser med sådant innehåll införs i ramlagen.
Regeringen ska besluta om vilka forskningsdatabaser som får föras enligt lagen
Regeringens förslag: Regeringen ska få meddela föreskrifter om vilka forskningsdatabaser som får föras och om vilka lärosäten som får behandla personuppgifter enligt lagen.
Regeringens bedömning: Vetenskapsrådet bör ges uppgiften att bereda framställningar om att få föra en forskningsdatabas enligt lagen om vissa forskningsdatabaser.
Promemorians förslag överensstämmer delvis med regeringens förslag. I promemorian föreslås inget bemyndigande för regeringen att meddela föreskrifter om vilka forskningsdatabaser som får föras och om vilka lärosäten som får behandla personuppgifter enligt lagen. I promemorian föreslås i stället att det ska framgå i lagen om vissa forskningsdatabaser att det är regeringen som med stöd av den s.k. restkompetensen enligt regeringsformen meddelar sådana föreskrifter. I promemorian görs bedömningen att beredningar av framställningar om att få föra en databas ska utföras av Regeringskansliet.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker eller har inga invändningar mot promemorians förslag. Detta gäller bl.a. Integritetsskyddsmyndigheten (IMY), Forskningsrådet för miljö, areella näringar och samhällsbyggande, Forskningsrådet för hälsa, arbetsliv och välfärd, Inspektionen för socialförsäkringen, Stiftelsen Högskolan i Jönköping, Luleå tekniska universitet, Myndigheten för digital förvaltning, Region Västernorrland, Socialstyrelsen och Totalförsvarets forskningsinstitut.
Uppsala universitet föreslår att Vetenskapsrådet ska få i uppdrag att bereda förslag om nya initiativ till forskningsdatabaser. Läkemedelsverket rekommenderar att en oberoende myndighet med vetenskaplig kompetens deltar i beredningen för att bedöma vetenskapligt värde. Kungl. Vetenskapsakademien föreslår, delvis som en skyddsåtgärd mot möjlig politisering av forskning, men främst som en kvalitetssäkring av bedömningen, att Vetenskapsrådet ges i uppdrag att bistå regeringen i bedömningen av det förväntade vetenskapliga värdet av forskningsdatabasen och att IMY ges i uppdrag att bedöma lärosätets förutsättningar för att kunna utföra personuppgiftsbehandlingen på ett sätt som är förenligt med dataskyddsförordningens och den kompletterande nationella lagstiftningens bestämmelser. Myndigheten för samhällsskydd och beredskap (MSB) anser att regeringen bör överväga att inkludera en bedömning av lärosätets faktiska informationssäkerhet när den prövar inrättandet av en ny forskningsdatabas. Etikprövningsmyndigheten understryker vikten av att regeringens prövning säkerställer skyddet av de registrerade personerna och att den som ansvarar för en forskningsdatabas har nödvändiga resurser och hög kompetens inom bl.a. juridik, IT, arkiv, informationssäkerhet och forskningsetik. Biobank Sverige, Linnéuniversitetet, Region Kalmar län, Stockholms universitet och Sveriges Kommuner och Regioner (SKR) betonar när det gäller beredningsprocessen att det måste finnas adekvat kompetens för att göra lämpliga bedömningar. Etikprövningsmyndigheten, Region Jönköpings län och Region Västerbotten anser att det bör förtydligas hur regeringens prövning i praktiken ska gå till. Cancerfonden påpekar att det behöver förtydligas hur beredningen inom Regeringskansliet ska kunna ersätta en prövning av Etikprövningsmyndigheten.
Karolinska institutet ställer sig tveksamt till att Regeringskansliet ska bereda ansökningar från lärosäten om att få inrätta en forskningsdatabas och anser i stället att Etikprövningsmyndigheten är lämplig att ha hand om beredningen av ansökningar. Statens medicinsk-etiska råd (Smer) förordar att uppgiften att pröva inrättandet av forskningsdatabaser läggs på Etikprövningsmyndigheten och inte på regeringen. Örebro universitet bedömer att beredning hos Regeringskansliet inte är tillräckligt utan att etikprövning bör läggas till som ett självständigt steg i processen.
Vidare anser vissa remissinstanser att forskningens frihet hotas och att det finns en risk för ökad politisk styrning om regeringen ges beslutsmandatet. Detta gäller Chalmers tekniska högskola AB, Göteborgs universitet, Linköpings universitet, Linnéuniversitetet, Lunds universitet, Region Halland, Stockholms universitet, Svenska Läkaresällskapet och SKR. Göteborgs universitet och Linköpings universitet ställer sig frågande till vad som händer om en databas skulle få avslag av regeringen eftersom det då saknas möjlighet att överklaga beslutet, en möjlighet som annars finns för att säkerställa rättssäkerheten. Ett bättre alternativ till att låta regeringen avgöra skulle enligt Stockholms universitet vara att lägga uppgiften på Etikprövningsmyndigheten, med möjlighet att överklaga till Överklagandenämnden för etikprövning (ÖNEP), eller möjligen på ÖNEP med möjlighet att överklaga till regeringen. Institutet för framtidsstudier anser att regeringen bör hållas på armlängds avstånd från att besluta om praktiska detaljer i frågor om forskningsdatabaser och anger Vetenskapsrådet och Etikprövningsmyndigheten som alternativ till regeringen. Även Mälardalens universitet bedömer det som olämpligt att en ansökan om att få inrätta en forskningsdatabas ska ges in till regeringen som också ska fatta beslut. En annan första instans skulle medföra att ett beslut om inrättande skulle kunna överklagas till regeringen. Alternativt föreslår universitetet att en myndighet ges i uppdrag att bereda ärendet och lämna en rekommendation till regeringen som beslutar om inrättandet av en forskningsdatabas. SKR föreslår att en myndighetsnämnd enligt myndighetsförordningen med kansli vid Etikprövningsmyndigheten ska fatta beslut om forskningsdatabaser och inte Regeringskansliet. Västra Götalandsregionen påpekar att det rimliga är att Regeringskansliet som en del i sin beredning samråder eller på annat sätt inhämtar synpunkter från berörda myndigheter och andra aktörer eftersom det i beredningen ingår den centrala frågan om forskningsdatabasen är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. Om regeringen ensam fattar dessa beslut anser regionen att man inte kan undgå en risk för politisering. Regionen bedömer vidare att Socialstyrelsen bör inkluderas i beredningsprocessen när det gäller medicinsk forskning eller hälso- och sjukvård.
Som framgår av avsnitt 3 har vissa myndigheter, bl.a. IMY och Vetenskapsrådet, fått tillfälle att under hand yttra sig över ett utkast till lagrådsremiss, som bl.a. innefattade en bedömning som överensstämmer med den i rutan med den skillnaden att det i utkastet även gjordes bedömningen att Vetenskapsrådet under beredningen skulle vara skyldigt att inhämta synpunkter från IMY. IMY ifrågasätter om det är en lämplig ordning att IMY involveras i beredningsprocessen bl.a. med hänsyn till IMY:s roll som tillsynsmyndighet. Vetenskapsrådet har inget att invända mot att vara beredande myndighet, men anför bl.a. följande. Myndigheten instämmer i att det bör vara det ansökande lärosätets ansvar att se till att underlaget är komplett men ser också att det kan vara svårt för lärosätet att ta ställning till vad som behövs, särskilt initialt. Vetenskapsrådet föreslår därför att det tydliggörs genom föreskrifter eller på annat sätt vilket underlag som ska lämnas in, i likhet med exempelvis den blankett som ska fyllas i inför ansökan till Etikprövningsmyndigheten. Vetenskapsrådet ser också att det är viktigt att beredningsprocessen och myndighetens uppdrag regleras på ett tydligt sätt. Vetenskapsrådet påpekar vidare att man bör se över om det behövs tillkommande sekretessbestämmelser för att rådet ska kunna skydda uppgifter som kommer in till myndigheten inom ramen för uppdraget, till exempel uppgifter som rör hur ett ansökande lärosäte arbetar inom ramen för sitt informationssäkerhetsarbete. Myndigheten föreslår att bedömningen av om informationssäkerheten vid ett ansökande lärosäte är tillräcklig bör göras av MSB som är den myndighet som har expertkunskap inom detta område. Slutligen anger rådet att det inte delar regeringens uppfattning att kostnaderna för beredningsuppgiften ryms inom befintliga prognostiserade ekonomiska ramar för myndigheten (se avsnitt 14.1.2).
Skälen för regeringens förslag och bedömning
Vem ska besluta om vilka forskningsdatabaser som får föras?
I promemorian föreslås att lärosäten direkt hos regeringen, via Regeringskansliet, ska väcka frågan om en reglering och att frågan därefter ska bli föremål för beredning i Regeringskansliet. Initiativet till att reglera en viss forskningsdatabas bör enligt promemorian komma från lärosätena. Regeringskansliet har i den mån det bedöms finnas behov därav, enligt promemorian, möjlighet att samråda med eller på annat sätt inhämta synpunkter från berörda myndigheter, såsom exempelvis Vetenskapsrådet, men också från andra aktörer med värdefull insikt i och information om exempelvis ett aktuellt forskningsområde.
Regeringen delar uppfattningen att initiativet till att det ska göras ett ställningstagande till om en viss forskningsdatabas ska få föras ska komma från lärosätena. Därefter ska det ske en prövning av om de grundläggande förutsättningarna för förandet av en viss forskningsdatabas är uppfyllda. Det handlar då om att pröva huruvida den aktuella databasen är en sådan forskningsdatabas som avses i lagens beskrivning av vad en forskningsdatabas är. Däri ingår den centrala frågan om forskningsdatabasen kan sägas vara av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv.
I bedömningen av om en forskningsdatabas bör inrättas ligger att väga nyttan av att en viss forskningsdatabas tillhandahåller uppgifter till forskningsprojekt inom ett specificerat forskningsområde, dvs. forskningsdatabasens vetenskapliga värde, mot de integritetsrisker som personuppgiftsbehandlingen i en sådan forskningsdatabas kan komma att innebära för de registrerade. Integritetsrisken måste vara proportionerlig i förhållande till databasens nyttopotential. I avvägningen ligger också frågan om det ansvariga lärosätet uppfyller kraven på kvalitet och säkerhet i integritetsskyddet. Det bör, i linje med vad Etikprövningsmyndigheten har anfört, vara fråga om ett lärosäte med tillräckliga finansiella och organisatoriska förutsättningar för att kunna tillgodose ett kvalitativt och långsiktigt integritetsskydd för den personuppgiftsbehandling som kommer att äga rum i verksamheten med en viss forskningsdatabas. Bedömningen ska då fokusera på lärosätets förutsättningar för att kunna utföra personuppgiftsbehandlingen på ett sätt som är förenligt med dataskyddsförordningens och den kompletterande nationella lagstiftningens bestämmelser inklusive den föreslagna lagen om vissa forskningsdatabaser.
Det framförs av vissa av remissinstanserna synpunkter om att om regeringen ska besluta om inrättandet av forskningsdatabaser så hotas forskningens frihet och att det finns en risk för ökad politisk styrning. Detta gäller Chalmers tekniska högskola AB, Linköpings universitet, Linnéuniversitetet, Lunds universitet, Region Halland, Stockholms universitet, Svenska Läkaresällskapet och SKR. Flera remissinstanser, bl.a. Smer, Stiftelsen Institutet för framtidsstudier och SKR, föreslår att någon annan myndighet ska pröva frågan, exempelvis Etikprövningsmyndigheten eller Vetenskapsrådet. Vidare framför flera remissinstanser, bl.a. Göteborgs universitet, Stockholms universitet och Mälardalens universitet, synpunkter om att det bör vara en myndighet som prövar frågan som första instans och att den myndighetens beslut bör kunna överklagas.
Med anledning av dessa synpunkter har regeringen övervägt att låta en myndighet fatta beslut i det enskilda fallet om vilka forskningsdatabaser som får föras enligt den föreslagna lagen och om vilka lärosäten som får behandla personuppgifter enligt lagen. I bedömningen av om en forskningsdatabas bör inrättas ligger att väga nyttan av forskningsdatabasens vetenskapliga värde mot de integritetsrisker som personuppgiftsbehandlingen i en sådan forskningsdatabas kan komma att innebära för de registrerade. Enligt regeringens bedömning finns det inte någon myndighet som i dag har all den specifika kunskap som behövs för att fullt ut svara mot de krav på sakkunskap som en sådan bedömning kräver. Regeringen vill vidare betona att, såsom anges i promemorian, initiativet till att reglera en viss forskningsdatabas ska komma från lärosätena och inte från regeringen. Vidare kommer regleringen av vissa forskningsdatabaser att utgöra endast en kompletterande särreglering av en form av infrastruktur för forskning. Den kommer inte att påverka möjligheten att initiera forskningsstudier. Den föreslagna regleringen utgör heller inte något hinder mot att bygga upp ett register för forskningsändamål, så länge detta görs i enlighet med annan befintlig dataskyddsreglering. Med hänsyn tagen till detta bör regeringen, i likhet med vad som sägs i promemorian, besluta om vilka forskningsdatabaser som får föras enligt den föreslagna lagen. Om regeringen finner att en forskningsdatabas som ett lärosäte för eller avser att föra uppfyller kriterierna för att få omfattas av lagen och föras med stöd av den kommer det att resultera i att regeringen meddelar föreskrifter i förordning där det anges att lärosätet får föra forskningsdatabasen. Till skillnad från den bedömning som görs i promemorian anser dock regeringen, av skäl som har redovisats i avsnitt 6.3.4, inte att sådana föreskrifter kan meddelas i förordning med stöd av regeringens s.k. restkompetens enligt 8 kap. 7 § första stycket 2 RF, utan att regeringen i den nya lagen bör bemyndigas att meddela sådana föreskrifter. Regeringens beslut bör vidare inte kunna överklagas eftersom beslutet enligt regeringens bedömning inte rör enskildas civila rättigheter eller skyldigheter i den mening som avses i artikel 6.1 i den europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (jfr lagen [2006:304] om rättsprövning av vissa regeringsbeslut). Regeringen delar dock den uppfattning som framförts av flera remissinstanser, bl.a. Uppsala universitet, Läkemedelsverket och Kungl. Vetenskapsakademien, nämligen att en myndighet bör ges i uppdrag att bereda ett ärende om en forskningsdatabas ska få föras med stöd av den nya lagen. Regeringen bedömer att det lärosäte som önskar inrätta en forskningsdatabas visserligen bör göra en framställning om detta till regeringen, men att regeringen därefter bör skicka framställningen till en myndighet som bereder framställningen, bl.a. genom att inhämta yttranden från andra berörda myndigheter och organ. Därefter bör myndigheten lämna ett yttrande till regeringen i ärendet, varefter regeringen fattar beslut.
Därmed inställer sig frågan vilken myndighet som lämpligast kan ha hand om beredningsprocessen. Kungl. Vetenskapsakademien föreslår att Vetenskapsrådet ges i uppdrag att bistå regeringen i bedömningen av det förväntade vetenskapliga värdet av forskningsdatabasen och att IMY ges i uppdrag att bedöma lärosätets förutsättningar för att kunna utföra personuppgiftsbehandlingen på ett sätt som är förenligt med dataskyddsförordningens och den kompletterande nationella lagstiftningens bestämmelser. Karolinska institutet anger att Etikprövningsmyndigheten är lämplig att hantera beredningen. SKR föreslår en myndighetsnämnd med kansli vid Etikprövningsmyndigheten. Linköpings universitet föreslår att en eller flera myndigheter sköter beredningen, exempelvis Etikprövningsmyndigheten, IMY och/eller Vetenskapsrådet.
I lagen (2000:662) om Vetenskapsrådet föreskrivs att det ska finnas ett forskningsråd, Vetenskapsrådet, för att ge stöd till grundläggande forskning av högsta vetenskapliga kvalitet inom samtliga vetenskapsområden (1 §). Av propositionen som föregick lagen (Forskning för framtiden - en ny organisation för forskningsfinansiering, prop. 1999/2000:81, s. 18 och 19) framfördes att Vetenskapsrådets främsta uppgift ska vara att stödja grundläggande, nyfikenhetsbaserad forskning av högsta vetenskapliga kvalitet inom samtliga vetenskapsområden. Det anfördes att Vetenskapsrådet gavs denna renodlat kvalitetsfrämjande uppgift eftersom den fria, nyfikenhetsbaserade forskningen har en central roll som grund för annan forskning. Det anfördes vidare att det är svårt att förutse vilken forskning som på lång sikt kommer att vara till stor nytta för samhället – oavsett om med nytta avses direkta problemlösningar eller en allmän kunskapsuppbyggnad och att det därför är nödvändigt att främja en stark och högkvalitativ nyfikenhetsbaserad forskning. Det påpekades att myndigheter under regeringen som huvudprincip inte bör inrättas med stöd av lag. Regeringen ansåg dock att ett undantag borde göras för Vetenskapsrådet. Regeringen bedömde i propositionen att det var av yttersta vikt att den nya forskningsfinansierande myndigheten, som är inriktad mot den fria, nyfikenhetsbaserade grundforskningen inom främst universitet och högskolor, gavs en fast grundstruktur. För denna forskning och forskningsfinansiering, som är av unik och nationell betydelse, ansågs det likaså vara av yttersta vikt att arbetets integritet ska kunna värnas i ett långsiktigt perspektiv. Av dessa skäl ansåg regeringen att riksdagen borde besluta om att inrätta Vetenskapsrådet vilket också skedde (bet.1999/2000:UbU17, rskr. 1999/2000:257).
Enligt förordningen (2009:975) med instruktion för Vetenskapsrådet är myndighetens huvuduppgift att ge stöd till grundläggande forskning av högsta vetenskapliga kvalitet inom samtliga vetenskapsområden.
Enligt regeringens uppfattning är Vetenskapsrådet den myndighet som är lämpligast för att hantera beredningsprocessen. Vetenskapsrådet är Sveriges största statliga forskningsfinansiär och finansierar forskning och forskningsinfrastruktur inom alla vetenskapsområden. Utöver rollen som finansiär ger myndigheten råd till regeringen i forskningspolitiska frågor och arbetar för att öka förståelsen för forskningens samhällsnytta. Vetenskapsrådet bedriver också en omfattande verksamhet vid sidan av finansiering och rådgivning. Myndigheten ansvarar för flera webbplatser för forskningskommunikation som till exempel forskning.se och expertsvar.se. Vidare driver myndigheten infrastrukturen registerforskning.se. och tillhandahåller en guide för registerbaserad forskning. Myndigheten har vidare enligt sin instruktion många forskningsrelaterade uppgifter, bland andra att myndigheten ska främja den svenska grundforskningens kvalitet och förnyelse, stödja forskarinitierad forskning, initiera och stödja ämnesövergripande satsningar på forskning och utvärdera forskning och bedöma forskningen och dess vetenskapliga kvalitet och betydelse (1 §). Myndigheten ska vidare förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och bistå forskare med information om relevanta bestämmelser om register (2 § 18).
Vetenskapsrådet har i dag vissa främjandeuppgifter, t.ex. att besluta om finansiering av enskilda projekt. Regeringen noterar att det principiellt kan finnas en rollkonflikt mellan att vara beredningsinstans i ärenden om forskningsdatabaser och finansieringen av projekt. Det är därför viktigt att myndigheten ser till att uppgiften att bereda ärenden om forskningsdatabaser och främjandeuppgifterna organisatoriskt skiljs åt inom myndigheten, så att dess opartiskhet inte ifrågasätts. Enligt regeringens bedömning kommer det dock att vara fråga om relativt få ärenden om forskningsdatabaser varför Vetenskapsrådet ändock framstår som det klart lämpligaste valet av beredningsmyndighet.
Beredningen ska ge underlag för en helhetsbedömning
Att Vetenskapsrådet ska bereda framställningar om att få inrätta en forskningsdatabas innebär att Vetenskapsrådet, efter att en framställning från ett lärosäte har ställts till regeringen och därifrån överlämnats till Vetenskapsrådet för beredning, ska bedöma om de grundläggande förutsättningarna för en reglering av en viss forskningsdatabas är uppfyllda. Regeringen har övervägt att i förordning införa en skyldighet för Vetenskapsrådet att inhämta synpunkter från IMY för att säkerställa att det finns förutsättningar för att ifrågavarande lärosäte ska kunna utföra personuppgiftsbehandlingen på ett sätt som är förenligt med dataskyddsförordningens och den kompletterande nationella lagstiftningen inklusive den föreslagna lagen om vissa forskningsdatabaser. IMY, som beretts tillfälle att yttra sig under hand, ställer sig dock frågande till om en sådan uppgift är lämplig och ifrågasätter hur en sådan uppgift förhåller sig dels till IMY:s roll som oberoende tillsynsmyndighet, dels till den personuppgiftsansvarigas egen uttryckliga skyldighet att se till att den aktuella personuppgiftsbehandlingen är i enlighet med kraven i dataskyddsförordningen och kompletterande lagstiftning. IMY pekar även på att det finns en skyldighet i dataskyddsförordningen för personuppgiftsansvariga att göra en konsekvensbedömning (artikel 35) och i vissa fall också förhandssamråda (artikel 36) med IMY i vissa fall när det gäller riskfyllda personuppgiftsbehandlingar. Regeringen konstaterar att detta innebär att Vetenskapsrådet vid sin beredning av en ansökan från ett lärosäte om att få föra en forskningsdatabas enligt lagen har möjlighet att efterfråga resultatet av ett sådant samråd. Regeringen bedömer därför i likhet med IMY att någon skyldighet för Vetenskapsrådet att hämta in yttrande från IMY inte bör införas. Däremot ska Vetenskapsrådet när det behövs samråda med andra myndigheter, experter eller organ.
Även om det är Vetenskapsrådet som ska sköta beredningen av en framställning om att få inrätta en forskningsdatabas enligt den nya lagen, kan det enligt regeringens uppfattning inte nog understrykas att det är det aktuella lärosätet som ska presentera det underlag som behövs för ändamålet. Det ligger rimligen i lärosätets intresse att argumentera för varför den aktuella forskningsdatabasen bör omfattas av regleringen och visa att förutsättningarna för detta är uppfyllda. Det får exempelvis förutsättas att lärosätet bifogar en adekvat utredning som styrker påståendet om den tilltänkta databasens vetenskapliga värde för forskningen i ett längre perspektiv likväl som att ett gott skydd för personuppgifterna kommer att prägla verksamheten med databasen. Vetenskapsrådet, som också har beretts tillfälle att yttra sig under hand, har inget att invända mot att vara beredande myndighet, men efterlyser ett tydliggörande, exempelvis genom föreskrifter, vilket underlag som ska lämnas in av lärosätet och hur beredningsprocessen ska gå till. Regeringen delar uppfattningen att det behöver regleras hur ansöknings- och beredningsprocessen ska gå till och avser att meddela föreskrifter i förordning. I samband därmed kan även ett bemyndigande för Vetenskapsrådet att meddela kompletterande föreskrifter övervägas. För regeringens handläggning av normbeslut gäller ytterst bestämmelsen om beredningskravet i 7 kap. 2 § regeringsformen.
MSB anser att regeringen bör överväga att inkludera en bedömning av lärosätets faktiska informationssäkerhet när den prövar inrättandet av en ny forskningsdatabas. Regeringen delar uppfattningen att en sådan bedömning bör göras vid beredningen. Med informationssäkerhet avses här bevarande av konfidentialitet, dvs. endast behöriga får ta del av informationen, riktighet, dvs. att informationen inte är manipulerad, och tillgänglighet, dvs. att informationen finns när behörig efterfrågar den (jfr 3 § MSB:s föreskrifter om informationssäkerhet för statliga myndigheter [MSBFS 2020:6]). Såsom MSB understryker är en hög informationssäkerhet av särskild vikt när det handlar om den typ av långsiktig lagring av personuppgifter, ofta känsliga sådana, som det rör sig om i fallet med forskningsdatabaser. Det ankommer på lärosätet att redogöra för hur kravet på informationssäkerhet ska uppfyllas och för lärosätets status när det gäller faktisk informationssäkerhet i allmänhet. Vetenskapsrådet har föreslagit att bedömningen av informationssäkerheten ska göras av MSB och inte av Vetenskapsrådet. Regeringen bedömer dock att en lämpligare ordning är att Vetenskapsrådet hämtar in synpunkter från MSB när det behövs.
Vetenskapsrådet har påtalat att man bör se över om det behövs tillkommande sekretessbestämmelser för att rådet ska kunna skydda uppgifter som kommer in till myndigheten inom ramen för uppdraget, till exempel uppgifter som rör hur ett ansökande lärosäte arbetar inom ramen för sitt informationssäkerhetsarbete. Regeringen vill här peka på bestämmelsen i 18 kap. 8 § 3 i OSL som föreskriver att sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.
När beredningen hos Vetenskapsrådet av lärosätets framställning har slutförts hos Vetenskapsrådet, och Vetenskapsrådet lämnat sitt yttrande till regeringen, vidtar i Regeringskansliet beredning av regeringsärendet om eventuellt upptagande av forskningsdatabasen i ramverket genom förordningsbestämmelser. Det finns då inget som hindrar att Regeringskansliet hämtar in ytterligare underlag från myndigheter och andra aktörer.
Det finns redan tillräckligt beredningsunderlag för LifeGene-registret och Tvillingregistret
När det gäller två forskningsdatabaser bedömer regeringen att det redan i dag finns tillräckligt beredningsunderlag för att regeringen ska kunna fatta beslut att dessa ska få föras med stöd av den nya lagen. Det gäller LifeGene-registret, som idag är reglerat i LifeGene-lagen, och Tvillingregistret. Båda förs av Karolinska institutet. I promemorian görs det bedömningen att dessa två register uppfyller kraven för att omfattas av den nya lagens tillämpningsområde, bl.a. när det gäller särskilt vetenskapligt värde ur ett långsiktigt perspektiv. I promemorian lämnas därför ett förslag till förordningsreglering som innebär att dessa två forskningsdatabaser ska få föras med stöd av lagen. Remissinstanserna har inga synpunkter på förslaget. Med hänsyn till det och till att LifeGene-lagen upphör att gälla vid utgången av 2024 bedömer regeringen att det skulle vara en onödig omgång att låta Vetenskapsrådet bereda frågan om just dessa två forskningsdatabaser ska få föras med stöd av den nya lagen. Regeringen har således för avsikt att meddela föreskrifter som innebär att de ska få föras med stöd av lagen. Vad regeringen har anfört ovan om att det bör införas en ordning som innebär att Vetenskapsrådet ska bereda förslag om att forskningsdatabaser ska få föras med stöd av den nya lagen bör således gälla nya förslag som lärosäten härefter lämnar till regeringen.
Vad kommer att gälla för uppgiftssamlingar som inte omfattas av den nya lagen?
Regeringens bedömning: Personuppgiftsbehandling i forskningsdatabaser som inte omfattas av lagen kan ske under förutsättning att den utförs i enlighet med den befintliga dataskyddsregleringen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Endast ett fåtal av de remissinstanser som yttrar sig uttalar sig särskilt om bedömningen. Uppsala universitet delar promemorians bedömning om vad som gäller för forskningsdatabaser som inte omfattas av den föreslagna särregleringen. Kammarrätten i Stockholm konstaterar att personuppgiftsbehandling som omfattas av EU:s dataskyddsförordning är tillåten om den utförs i enlighet med förordningen och att förordningen saknar bestämmelser om att personuppgiftsbehandling av aktuellt slag förutsätter en reglering i nationell rätt. Enligt kammarrätten torde därför den föreslagna lagen i praktiken inte begränsa möjligheten att behandla personuppgifter i annan slags forskningsdatabaser som är tillåtna enligt dataskyddsförordningen.
Skälen för regeringens bedömning: Den föreslagna lagen kommer inte omfatta alla olika typer av uppgiftssamlingar som idag finns och används för forskning. De uppgiftssamlingar som inte kommer att omfattas av lagen kommer dock inte att vara oreglerade. För personuppgiftsbehandlingen i sådana uppgiftssamlingar kommer EU:s dataskyddsförordning, dataskyddslagen och annan EU:s rättslig och nationell reglering där villkor för forskning anges, t.ex. etikprövningslagen, att vara den reglering som gäller och behöver följas. Om personuppgiftsbehandlingen utförs i enlighet med denna reglering är den tillåten och får ske. Som Uppsala universitet och Kammarrätten i Stockholm konstaterar kommer alltså införandet av en kompletterande särreglering för vissa forskningsdatabaser enligt regeringens uppfattning inte att innebära något förbud mot personuppgiftsbehandling i andra typer av forskningsdatabaser, så länge denna behandling utförs i enlighet med befintlig reglering.
Det ska ställas krav på frivillig medverkan och integritetsskydd för den registrerade
Villkor för behandlingen av personuppgifter i en forskningsdatabas
Samtycke ska vara huvudregel
Regeringens förslag: Personuppgifter ska som huvudregel få behandlas i en forskningsdatabas endast om den registrerade har samtyckt till det. Detta gäller oaktat om uppgifterna inhämtats direkt från den enskilde eller genom kompletterande insamling från andra källor. Undantag från huvudregeln ska uttömmande anges i lagen.
I verksamheten med en forskningsdatabas ska dock utan samtycke sådana personuppgifter få samlas in och behandlas som är nödvändiga för att kunna identifiera och kontakta en person i en urvalsgrupp med förfrågan om medverkan i forskningsdatabasen. Sådan behandling ska inte få pågå under längre tid än vad som är nödvändigt.
Promemorians förslag överensstämmer med regeringens förslag. I regeringens förslag har mindre språkliga justeringar gjorts.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker eller har inga invändningar mot förslaget att personuppgifter som huvudregel endast ska få behandlas i en forskningsdatabas om den registrerade samtyckt till det. Detta gäller bl.a. Integritetsskyddsmyndigheten (IMY), Socialstyrelsen, Statens medicinsk-etiska råd (Smer), Region Kalmar län, Västra Götalandsregionen och Sveriges Kommuner och Regioner (SKR).
Karlstads universitet anser att formuleringen av bestämmelsen om samtycke, i kombination med bestämmelsen som anger att termer och uttryck har samma betydelse som i EU:s dataskyddsförordning riskerar att feltolkas till att behandlingen av personuppgifter i en forskningsdatabas kommer att grunda sig på samtycke som rättslig grund. Uppsala universitet anför att förslaget att samtycke ska vara en skyddsåtgärd riskerar att leda till begreppsförvirring då det sedan tidigare finns tre samtyckesbegrepp inom personuppgiftslagstiftningen, samtycke som laglig grund (artikel 6.1 a dataskyddsförordningen), samtycke som undantagsgrund från det allmänna förbudet mot att behandla känsliga personuppgifter (artikel 9.2 a) och därtill informerat samtycke enligt etikprövningslagen, vilket är det som forskare och forskningspersoner oftast möter. Universitetet anser att det är olämpligt att utforma kravet på samtycke utifrån de krav som ställs vid samtycke som laglig grund enligt dataskyddsförordningen när samtycke inte ska vara den lagliga grunden för personuppgiftsbehandlingen. Kammarrätten i Stockholm anför att förslaget vilar på två rättsliga huvudgrunder för behandlingen, samtycke och uppgift av allmänt intresse vilka sinsemellan är oförenliga och att det skapar otydlighet vid tillämpningen. Kammarrätten anser att det i stället bör regleras på ett tydligare sätt i vilka fall samtycke ska krävas som en särskild skyddsåtgärd. Region Örebro län framhåller att allmänt intresse och samtycke är två olika rättsliga grunder enligt EU:s dataskyddsförordning och att om de registrerade vill göra sina rättigheter enligt förordningen gällande är det av vikt att veta med stöd av vilken rättslig grund en personuppgiftsbehandling sker då det i sin tur avgör vilka rättigheter som enligt dataskyddsförordningen kan göras gällande. Ett samtycke kan exempelvis återkallas och då ska den registrerades personuppgifter kunna tas bort. Även Mälardalens universitet anser att det finns en otydlighet i användningen av samtycke. Universitetet anser att ett integritetshöjande samtycke är bra men att det samtidigt kommer försvåra framtida registerforskning.
Smer tillstyrker förslaget i fråga om samtycke men förordar samtidigt att det i den fortsatta beredningen övervägs om det under vissa förutsättningar ska kunna gå att samla in uppgifter till forskningsdatabaser från personer som saknar tillräcklig beslutsförmåga på grund av sjukdom, psykisk störning eller liknande.
Västra Götalandsregionen instämmer i att samtycke till personuppgiftsbehandling i forskningsdatabaserna bör vara huvudregel men anför att det kan finnas särskilda skäl att frångå huvudregeln och att det då kan förtydligas i tillståndsgivningen för forskningsdatabasen. Regionen påtalar i sammanhanget risken för sjunkande kvalitet om uppgifter inhämtas och lagras parallellt i primärkällor och forskningsdatabaser.
Uppsala universitet konstaterar att lagen bara ska gälla de registrerade och anser att promemorian inte tillräckligt problematiserar kring risken att biologiska släktingar, som inte lämnat samtycke, kan identifieras genom anhörigas medverkan i forskningsdatabasen. Stockholms universitet framför liknande synpunkter. Universitetet anför att det framgår av EU-domstolens dom i mål C-184-20 av den 1 augusti 2022 att även indirekta personuppgifter om särskilda kategorier omfattas av skyddet i artikel 9.
Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget att sådana personuppgifter som är nödvändiga för att kunna välja ut och kontakta en person i en urvalsgrupp ska få samlas in och behandlas utan samtycke och att sådan behandling inte ska få pågå under längre tid än vad som är nödvändigt.
Läkemedelsindustriföreningen (Lif) anför att möjligheten att kontakta individer i en urvalsgrupp kommer att bidra till ökad kvalitet i forskningen genom mer träffsäkra och effektiva processer för urval. Även Vinnova anser att detta möjliggör högre kvalitet i framtida forskning genom att rätt personer väljer att samtycka till deltagande i forskningsdatabasen.
Biobank Sverige anser att förslaget att sådana personuppgifter som är nödvändiga för att kunna välja ut och kontakta en person i en urvalsgrupp får samlas in och behandlas utan samtycke är bra men framhåller att det behövs mer vägledning när det gäller lagstödet för att söka fram uppgifterna och för att lämna ut dem samt när det gäller vad som avses med ”inte längre tid än vad som är nödvändigt”. Region Jämtland Härjedalen och Region Västerbotten anser att det bör förtydligas vilken sekretessbrytande bestämmelse som ett utlämnande av sådana uppgifter till forskningsdatabasen kan stödja sig på. Statistiska Centralbyrån (SCB) vill framhålla att när det gäller insamling av personuppgifter som är nödvändiga för att kunna välja ut och kontakta personer anses det vid en prövning enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400) inte alltid stå klart att sådana uppgifter kan lämnas ut utan risk för men. Det kan t.ex. uppfattas som känsligt att tillfrågas om att ingå i forskning som avser vissa sjukdomstillstånd.
Stockholms universitet anför att forskning som baseras på frivillig medverkan kan medföra en snedvridning av resultatet då valet att medverka inte är slumpmässigt samt att då de som undersöks inte är representativa för den avsedda populationen krävs det bortfallsanalyser. Mer avancerade analyser av komplexa bortfallsmekanismer underlättas om man har tillgång till data specifikt om dem som avböjer deltagande. Om promemorians förslag realiseras skulle sådana data dock inte få sparas längre än tills deltagarna kontaktats med förfrågan om deltagande, vilket skulle omöjliggöra sådana bortfallsanalyser. Om de som inte fortsätter sin medverkan (utan att explicit begära att bli raderade ur forskningsdatabasen) kan följas upp med data från myndighetsregister kan vidare resultaten bli väsentligt mer korrekta. Med den föreslagna lagstiftningen riskerar de reglerade forskningsdatabaserna att få problem av nu nämnt slag vilket kraftigt skulle begränsa deras vetenskapliga värde. Stiftelsen Institutet för framtidsstudier anser att det tydligt bör framgå att användandet av uppgifter som ska få samlas in och behandlas utan samtycke inte enbart gäller urval. Stiftelsen framhåller att det är helt centralt för upprättandet av forskningsdatabaser att dessa uppgifter också kan användas för konstruktion av vikter (poststratifiering), dvs. strukturera urvalet, liksom för bortfallsanalys. Riskerna för integritetsintrång med sådant användande är enligt stiftelsen i stort sett obefintliga, men vinsterna för forskningsdatabasers kvalitet påtagliga.
Etikprövningsmyndigheten anför att i den mån den bestämmelse som reglerar möjligheten att utan samtycke samla in och behandla personuppgifter för att kunna välja ut och kontakta lämpliga personer för medverkan i en forskningsdatabas är avsedd att möjliggöra behandling av känsliga personuppgifter i detta skede bör detta klargöras och en analys göras kring tillåtligheten av en sådan behandling.
Skälen för regeringens förslag
Att den registrerade lämnat samtycke ska vara ett villkor för att personuppgifter om denne ska få behandlas i en forskningsdatabas
I avsnitt 6.3.5 har regeringen gjort bedömningen att personuppgiftsbehandlingen i en forskningsdatabas som kan omfattas av den föreslagna lagen ska basera sig på de registrerades frivilliga medverkan men att samtycke inte ska vara den rättsliga grund som åberopas för personuppgiftsbehandlingen. Som angetts där kan samtycke inte vara rättslig grund i den del personuppgiftsbehandlingen gäller personuppgifter avseende individer som ska kontaktas med förfrågan om att ingå i forskningsdatabasen eller i de delar personuppgiftsbehandlingen baseras på en rätt till opt-out för de registrerade. Regeringen bedömer att den behandling av personuppgifter som är nödvändig vid förandet av en forskningsdatabas i stället kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1. e i EU:s dataskyddsförordning. Det ska dock som anförts vara en grundläggande förutsättning för behandling av personuppgifter i en forskningsdatabas som omfattas av lagen att behandlingen inte sker utan de registrerades kännedom och frivilliga medverkan. Detta är viktigt dels för att säkerställa ett skydd för den registrerades integritet, dels för att stärka allmänhetens förtroende för den verksamhet och behandling av personuppgifter som pågår i de forskningsdatabaser som omfattas av regleringen och därmed viljan att medverka. Detta bör enligt regeringens uppfattning komma till uttryck genom bestämmelser i lagen om de registrerades rättigheter och skydd för deras integritet.
Det ska framgå av lagen att huvudregeln är att personuppgifter får behandlas i en forskningsdatabas bara om den registrerade har samtyckt till det. Den föreslagna lagen innehåller ett antal bestämmelser som anger bl.a. ändamålet, vilka uppgifter som får finnas i forskningsdatabaserna och andra villkor som gäller för behandling av uppgifter i forskningsdatabaserna. Att behandling av personuppgifter i forskningsdatabasen får ske under förutsättning att den registrerade har samtyckt till det eller har en rätt till information och opt-out är enligt regeringens uppfattning ett sådant villkor för behandlingen som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är möjligt att ha i nationell rätt när grunden för behandlingen är att den är nödvändig för att utföra en uppgift av allmänt intresse. Det kan nämnas att regeringen har gjort samma bedömning när det gäller motsvarande krav på samtycke i 14 § i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (prop. 2017/18:298 s. 180). Villkoret är att se som en skyddsåtgärd. Behandlingen av personuppgifter i forskningsdatabaserna kommer därmed inte som Kammarrätten i Stockholm anför att vila på två olika rättsliga grunder. Det framgår vidare av den föreslagna bestämmelsen att det samtycket ska avse är behandlingen av personuppgifter i forskningsdatabasen. För att tydliggöra att kravet på samtycke enligt bestämmelsen är ett villkor för behandlingen av personuppgifter i forskningsdatabasen och inte den rättsliga grunden, vilket Karlstads universitet, Region Örebro län och Mälardalens universitet anser är otydligt, bör rubriken till andra kapitlet i den föreslagna lagen där bestämmelsen finns ges en annan lydelse än i promemorians förslag. Den i promemorian föreslagna rubriken är ”Samtycke och information vid behandling av personuppgifter”. Då det aktuella kapitlet i den föreslagna lagen innehåller även andra sådana villkor för behandlingen som avses i artikel 6.3 i dataskyddsförordningen föreslår regeringen att rubriken i stället ska vara ”Villkor för behandlingen av personuppgifter i forskningsdatabaser”.
Villkoret att personuppgifter bara får behandlas i en forskningsdatabas om den registrerade har samtyckt till det bör gälla generellt för alla forskningsdatabaser som omfattas av lagen. Regeringen ser till skillnad från Västra Götalandsregionen inte att det finns anledning att möjliggöra ett undantag från denna huvudregel för en forskningsdatabas om det föreligger särskilda skäl. Den möjlighet att behandla uppgifter i forskningsdatabaserna utan den registrerades samtycke som kan behöva finnas bör framgå av lagen. Detta behandlas nedan.
Uppsala universitet anser att det är olämpligt att utforma samtycket utifrån de krav som ställs vid samtycke som laglig grund när samtycke inte ska vara den lagliga grunden för personuppgiftsbehandlingen. Som nämnts i avsnitt 6.3.5 har Europeiska dataskyddsstyrelsen i riktlinjer 5/2020 om samtycke enligt förordning (EU) 2016/679 uttalat att när samtycke utgör den rättsliga grunden för att bedriva forskning enligt allmänna dataskyddsförordningen bör sådant samtycke till användning av personuppgifter särskiljas från andra samtyckeskrav som fungerar som en etisk standard eller processuell skyldighet. Styrelsen nämner som ett exempel på en sådan processuell skyldighet, där behandlingen inte baseras på samtycke utan på någon annan rättslig grund, det krav på att försökspersonen lämnar ett informerat samtycke som anges i Europaparlamentets och rådets förordning (EU) nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. Styrelsen anför att inom ramen för dataskyddslagstiftningen skulle den sistnämnda formen av samtycke kunna betraktas som en ytterligare skyddsåtgärd. Som regeringen har nämnt ovan föreslår regeringen att det ska tydliggöras genom rubriksättningen i den föreslagna lagen att samtyckeskravet i lagen är en skyddsåtgärd.
Som angetts i avsnitt 6.3.6 ska det i en bestämmelse i lagen framgå att termer och uttryck i lagen ska ha samma betydelse som i EU:s dataskyddsförordning. I artikel 4.11 i dataskyddsförordningen definieras samtycke av den registrerade som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Utöver att samtycket ska vara en frivillig och otvetydig viljeyttring ska det också vara specifikt och informerat. Eftersom samtycket enligt den föreslagna lagen avser behandlingen av personuppgifter i en forskningsdatabas, där uppgifter samlas in för att vara underlag till olika framtida forskningsprojekt där det mer specifika ändamålet ännu inte är känt och inte för ett särskilt forskningsprojekt, behöver det enligt regeringens bedömning göras tydligt i lagen vilken information som det krävs att den enskilde får för att samtycket ska anses vara informerat. Detta utvecklas i avsnitt 7.1.4. Den registrerade bör, i enlighet med dataskyddsförordningens artikel 13.1 c, få klar och tydlig information om såväl de övergripande som de särskilt angivna ändamålen för behandlingen. Därigenom kommer samtycket endast att omfatta skapande av underlag för och utlämning av uppgifter till de forskningsprojekt vars forskningsområden omfattas av de för forskningsdatabasen särskilt angivna ändamålen, dvs. de som framgår av den förordning som reglerar den aktuella forskningsdatabasen. En sådan lösning bedöms som angivits i avsnitt 6.2.1 vara förenlig med principerna om ändamålsbegränsning i artikel 5.1 b, och kommer också säkerställa att samtycket är frivilligt, otvetydigt, specifikt och informerat. Som anges ovan åberopas dock inte samtycket som en rättslig grund (jfr artikel 7 i dataskyddsförordningen) utan det tydliggörs genom rubriken till bestämmelsen att det är fråga om villkor för behandlingen.
Som utgångspunkt kommer de forskningsdatabaser som regleras genom lagen att utgå från en grupp individer som aktivt medverkat till att deras personuppgifter får ingå i databasen. Initialt kommer den personuppgiftsansvarige att kontakta en enskild, som ingår i en för forskningsdatabasen bestämd urvalsgrupp, och tillfråga denne om deltagande i databasen. Om den enskilde förklarar sig villig att delta kommer det först därefter att ske en insamling av uppgifter från denne. En annan slags insamling som också kräver den enskildes aktiva medverkan kan också vara aktuell, nämligen undersökningar eller tester som den enskilde frivilligt medverkar i för syftet att resultaten ska registreras i forskningsdatabasen.
När det gäller uppgifter om biologiska släktingar som delar gener med en registrerad och frågan om samtycke från sådana släktingar, vilket Stockholms och Uppsala universitet problematiserar kring, föreslås i avsnitt 7.2.2 att genetiska uppgifter ska få finnas i en forskningsdatabas bara om regeringen meddelat föreskrifter om det. Samtycke ska krävas för att personuppgifter om en individ ska få registreras i forskningsdatabasen. I sådana fall blir en första fråga om genetiska uppgifter om en registrerad också kan ses som personuppgifter om en biologisk släkting till den registrerade. En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som bl.a. en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1 i dataskyddsförordningen). Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Detta villkor är enligt EU-domstolen uppfyllt när upplysningen på grund av sitt innehåll, syfte eller verkan är knuten till en bestämd person (dom av den 20 december 2017, Nowak, C-434/16, EU:C:2017:994, punkt 34 och 35, se om dataskyddsförordningen dom av den 4 maj 2023, CRIF, C-487/21, EU:C:2023:369, punkt 23 och 24). För att avgöra om en fysisk person är identifierbar bör man enligt skäl 26 beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Genetiska uppgifter är bara med olika grad av sannolikhet kopplade till andra individer än de registrerade, alltså är det inte fråga om bestämda personer, och den föreslagna lagen tillåter inte att kompletterande uppgifter, t.ex. uppgifter om släktskap, namn och personnummer, som skulle kunna medföra att det blir fråga om en bestämd person, inhämtas i verksamheten med databasen annat än i samband med rekrytering till databasen (se nedan i detta avsnitt och avsnitt 7.2.1). Om en släkting tillfrågas om den vill ingå databasen och denna tackar nej, ska alltså de uppgifter som i verksamheten har inhämtats för att kunna ställa den frågan raderas. Om släktingen tackar ja till att ingå i forskningsdatabasen kan uppgifterna föras in i forskningsdatabasen.
Smer förordar att det övervägs om det under vissa förutsättningar ska kunna samlas in uppgifter till forskningsdatabaser från personer som saknar tillräcklig beslutsförmåga. Som utvecklas i avsnitt 7.2.1 är det regeringens uppfattning att frågan om beslutsoförmögnas ställning i forskning och möjligheten att använda uppgifter om dessa personer för forskning bör hanteras i ett större sammanhang och mer generellt när det gäller forskningen och inte enbart i ett lagstiftningsprojekt som rör långsiktig reglering av vissa forskningsdatabaser. Det finns inte heller ett beredningsunderlag för att hantera frågan inom ramen för detta lagstiftningsprojekt.
Samtycke kan inhämtas även för avsedd insamling av uppgifter från andra källor än den registrerade
Det kan enligt regeringens uppfattning finnas ett behov av att inhämta uppgifter från andra källor än den registrerade för att öka kvaliteten i och det vetenskapliga värdet av en forskningsdatabas. Som anförts i avsnitt 7.1.2 anser regeringen därför att det bör vara möjligt att i forskningsdatabaserna behandla kompletterande uppgifter om den registrerade som inhämtats från andra källor än den registrerade. Utgångspunkten bör vara att sådan insamling ska handla om ett behov som är kopplat till att öka kvaliteten i och det vetenskapliga värdet av forskningsdatabasen i syfte att forskningsdatabasen ska bli ett användbart och komplett underlag för forskning. Den personuppgiftsansvarige bör, om sådan kompletterande insamling är tänkt att göras, redan i samband med den inledande kontakten med den enskilde kunna definiera vilka dessa källor är. Då blir det också möjligt för den personuppgiftsansvarige att förse den registrerade med den information som följer av artikel 14 i dataskyddsförordningen. I samband med denna inledande kontakt kan den personuppgiftsansvarige också inhämta samtycke från den vars uppgifter ska registreras i forskningsdatabasen, dels till de uppgifter som denne själv lämnar eller annars medverkar till att de registreras, dels till den eventuella kompletterande insamling från de andra källor som den personuppgiftsansvarige redan i detta skede kan definiera. Det kan dock vara så att ett behov av att inhämta kompletterande uppgifter kan upptäckas vid ett senare tillfälle. Hur detta ska hanteras behandlas i avsnitt 7.1.2.
Personuppgifter som är nödvändiga för att kunna identifiera och kontakta en person i en urvalsgrupp om medverkan behöver få behandlas utan samtycke
För att det i verksamheten med en forskningsdatabas överhuvudtaget ska kunna göras ett urval av vilka personer som ska kontaktas och tillfrågas om medverkan, måste vissa personuppgifter, som är nödvändiga för att upprätta sådan kontakt, få behandlas också innan varken information eller samtycke kan lämnas. Lagen bör därför innehålla en bestämmelse som gör det möjligt att i verksamheten utan samtycke samla in och behandla uppgifter som är nödvändiga för att kunna identifiera och kontakta en person i en urvalsgrupp med förfrågan om medverkan i en forskningsdatabas. Kravet på att dessa uppgifter ska vara nödvändiga markerar att principen om uppgiftsminimering ska iakttas. Av samma skäl bör bestämmelsen innehålla ett krav på att behandlingen inte få pågå under längre tid än vad som är nödvändigt.
I promemorians lagförslag används formuleringen ”välja ut”. Regeringen anser i likhet med Vetenskapsrådet att ”identifiera” är ett bättre ordval för att tydliggöra vad som avses och bör användas i lagtexten.
Beroende på vilket eller vilka forskningsområden som en forskningsdatabas är avsedd att skapa underlag för framtida forskning inom kan det som Etikprövningsmyndigheten anför vara nödvändigt att behandla känsliga personuppgifter i samband med arbetet med att identifiera och kontakta personer i en urvalsgrupp med förfrågan om att medverka i forskningsdatabasen. I avsnitt 7.2.2 föreslår regeringen att lagen ska innehålla en bestämmelse som anger att behandling av känsliga personuppgifter i verksamheten med en forskningsdatabas får ske om behandlingen är nödvändig för de primära och sekundära ändamålen för behandlingen av personuppgifter enligt lagen. Behandling av känsliga personuppgifter som mot bakgrund av det avsedda forskningsområdet eller forskningsområdena för en forskningsdatabas är nödvändig för att identifiera och kontakta personer i en urvalsgrupp kommer därmed att vara tillåten enligt den angivna bestämmelsen.
En särskild problematik gäller som Stiftelsen Institutet för framtidsstudier och Stockholms universitet framhåller vid så kallade bortfallsanalyser. Vid urvalsundersökningar är det regelmässigt en grupp som inte önskar delta. Vid såväl statistiska undersökningar som forskning är det angeläget att kunna analysera bortfallet, det vill säga att kunna jämföra dem som samtyckt och deltagit med dem som inte gjort det, för att få en uppfattning om hur representativ den grupp är som har svarat eller samtyckt att delta. Det finns ett behov av att göra bortfallsanalyser för att åstadkomma forskning av hög kvalitet. Dåvarande Datainspektionen (numera Integritetsskyddsmyndigheten) har bedömt att om en undersökning har gjorts efter samtycke, till exempel om forskningspersonerna har svarat på frågor från en forskare, så förutsätter en bortfallsanalys att de som inte velat delta samtycker till den. I en sådan situation är det dock enligt myndigheten möjligt för den personuppgiftsansvarige att efterfråga samtycke till att behandla vissa personuppgifter för bortfallsanalys. Vägrar den enskilde, får bortfallsanalysen inte omfatta hans eller hennes personuppgifter (Datainspektionen informerar 11 Samtycke enligt personuppgiftslagen, 2003).
Det kan vara aktuellt att göra bortfallsanalyser i olika situationer, dels när det gäller personer som inledningsvis tillfrågas om medverkan i en forskningsdatabas och inte svarar eller tackar nej, dels beträffande registrerade som tidigare samtyckt till att medverka i forskningsdatabasen men i ett senare skede inte medverkar t.ex. genom att inte svara på en utskickad uppföljande enkät. I den första situationen är det enligt vad som ovan sagts möjligt att efterfråga samtycke till att behandla vissa personuppgifter för bortfallsanalys. Finns inget samtycke får personuppgifter om personen inte behandlas för bortfallsanalys i en forskningsdatabas som omfattas av den föreslagna lagen. I den senare situationen skulle det enligt regeringens bedömning kunna vara möjligt att behandla kompletterande uppgifter om den registrerade som inhämtas från andra källor än den registrerade för bortfallsanalys med stöd av den bestämmelse som föreslås i avsnitt 7.1.2 om den registrerade informeras och ges möjlighet att motsätta sig behandlingen på det sätt som anges där.
När det gäller lagstöd och ett behov av sekretessbrytande bestämmelse för att kunna söka fram uppgifter om lämpliga personer i en urvalsgrupp att kunna kontakta med förfrågan om medverkan i en forskningsdatabas, vilket bl.a. Region Jämtland Härjedalen och Region Västerbotten efterfrågar, är det enligt regeringens uppfattning en fråga som inte bara rör möjligheten att kontakta personer med förfrågan om att ingå i en forskningsdatabas som omfattas av den föreslagna lagen utan möjligheten att hitta lämpliga personer att kunna kontakta med förfrågan om medverkan i forskningsprojekt rent generellt. Det är en fråga som ligger utanför detta lagstiftningsprojekt. Det föreslås inte någon sådan sekretessbrytande bestämmelse i denna proposition. Regeringen bedömer att kontaktinformation till potentiella uppgiftslämnare får inhämtas via de kanaler som redan finns såsom Navet (Skatteverkets system för distribution av folkbokföringsuppgifter till samhället) eller Spar (Statens personadressregister). En annan möjlighet som används i dag är att annonsera efter intressenter eller fråga vid besök inom hälso- och sjukvården.
Information om och möjlighet till opt-out vid kompletterande insamling från andra källor
Regeringens förslag: Kompletterande insamling av uppgifter från andra källor än de som kunnat definieras redan i samband med att samtycke till behandling i forskningsdatabasen lämnas, får göras utan samtycke bara om den registrerade informerats om insamlingen och inte uttryckligen motsätter sig denna.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker eller har inte något att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten (IMY) och Socialstyrelsen.
Läkemedelsindustriföreningen (Lif) framhåller att förslaget ger forskningsdatabaserna förutsättningar att vara en trovärdig och uppdaterad datakälla och därmed en viktig strategisk resurs för forskning och utveckling. Statens medicinsk-etiska råd (Smer) delar promemorians bedömning att det i en situation där det finns behov av kompletterande insamling knappast är praktiskt görbart från den personuppgiftsansvariges synpunkt, och kanske inte heller önskvärt för registrerade personer, att ha en reglering som kräver förnyade kontakter med varje person som är registrerad i forskningsdatabasen. Smer framhåller vikten av att tydlig information om att sådan kompletterande insamling kan komma att ske och om möjligheten till opt-out ges till dem som lämnar samtycke till att medverka i databasen. Verket för innovationssystem (Vinnova) anför att behov av att komplettera datainsamlingen under pågående vetenskaplig studie är vanligt.
Region Västerbotten anför att för de berörda personer som ingår i register och som missar informationen om kompletterande insamling innebär det ett avsteg från samtycke vilket kan påverka regionen indirekt vid komplettering av datauttag.
Statistiska Centralbyrån (SCB) ser en risk i att ansvariga för databaserna i stor utsträckning kommer bedöma att det finns behov av kompletterande insamling och att databaserna därmed ändå väsentligen kommer att bestå av kopior av myndighetsregister. SCB ifrågasätter att skyldigheten att informera om insamlingen skulle leda till någon större hämmande effekt.
Malmö universitet anser att bestämmelsen inte är förenlig med kraven för samtycke i dataskyddsförordningen som föreskriver en aktiv viljeyttring. Universitetet anför vidare att frågan om grund för behandlingen av dessa tillkommande uppgifter lämnas öppen och det är lätt att få uppfattningen att den ryms inom det ursprungliga samtycket samt att det inte är möjligt att använda s.k. opt-out i förhållande till samtycken enligt promemorians förslag.
Göteborgs universitet anser att rekvisitet ”kompletterande” i 2 kap. 6 § i den föreslagna lagen innebär en onödig och otydlig begränsning eftersom integritetsintresset skyddas tillräckligt av informationen som ska lämnas till den registrerade och möjligheten att motsätta sig behandlingen. Bestämmelsen riskerar enligt universitetet att bli svårtillämpad för de lärosäten som ska föra forskningsdatabaser då många projekt som kan bli aktuella för att inkorporeras i en forskningsdatabas samlar in data direkt från den registrerade och därefter fortsätter att behandla uppgifterna genom uppföljande uttag på samma individer med viss tidsintervall. Detta innebär att en databas inledningsvis uppnår kraven på att endast samla in kompletterande uppgifter, men efterhand i takt med att uppgifterna från andra register ökar, inte längre kan anses motsvara ”kompletterande” insamling. Med hänsyn till att den registrerade trots allt informeras om behandlingen vid något skede och har möjlighet att motsätta sig behandlingen anser universitetet att ”kompletterande” därför kan utgå.
Kungl. Vetenskapsakademien anser att det, för att underlätta användningen av forskningsdatabaser i framtida forskningsprojekt, vore angeläget att klargöra om en etisk kommitté skulle kunna avgöra om kompletterande uppgifter kan inhämtas från andra register utan individuellt godkännande avseende vissa data för pseudonymiserade databaser.
Skälen för regeringens förslag: Som anförts i 6.3.3 finns det enligt regeringens uppfattning skäl att, utöver insamling direkt från enskilda individer, också tillåta kompletterande insamling från andra källor i forskningsdatabaser som omfattas av lagen, och då i första hand myndighetsregister. I de fall där det i en forskningsdatabas finns ett behov av att komplettera uppgifter från den registrerade med uppgifter från andra källor kan de som tillfrågas om medverkan i en forskningsdatabas i samband därmed tillfrågas om och lämna samtycke till att uppgifter om dem inhämtas även från andra källor än de själva för att ingå i forskningsdatabasen. Det kan emellertid även uppstå situationer där det finns ett behov av att komplettera insamlingen med uppgifter från andra källor än de som kunnat anges redan i samband med att samtycke till behandlingen lämnas. Ett sådant exempel skulle kunna vara att det efter att samtycke lämnats tillkommer ett nytt myndighetsregister som bedöms ha relevans för de särskilt angivna ändamålen för behandlingen i en viss forskningsdatabas. De forskningsdatabaser som omfattas av lagen är avsedda att vara en resurs för forskningsprojekt som ägnar sig åt longitudinella studier och mot den bakgrunden är det viktigt att ha ett mer långsiktigt perspektiv när det gäller kompletterande insamling av uppgifter. Som Vinnova anför är behov av att komplettera datainsamlingen under en pågående vetenskaplig studie vanligt. Regeringen anser därför att det finns behov av att kunna komplettera de redan insamlade uppgifterna i forskningsdatabasen med uppgifter från nytillkomna källor. Att i en sådan situation ha en reglering som kräver förnyade kontakter med varje person som är registrerad i forskningsdatabasen för att inhämta samtycke är enligt regeringens bedömning knappast praktiskt görbart från den personuppgiftsansvariges synpunkt, och kanske inte heller önskvärt för registrerade personer. Regeringen delar därför uppfattningen i promemorian att i stället för att kräva aktivt samtycke för samtliga kompletterande insamlingar av uppgifter som kan komma att ske i en forskningsdatabas, bör det finnas ett undantag från kravet på samtycke för sådana situationer. Sådan kompletterande insamling från andra källor än de som den personuppgiftsansvarige kunnat identifiera i samband med att samtycke av den registrerade till behandlingen av personuppgifter i forskningsdatabasen lämnas bör få ske utan samtycke om den registrerade får information om insamlingen och ges möjlighet att motsätta sig densamma.
I avsnitt 6.3.5 har regeringen gjort bedömningen att personuppgiftsbehandlingen i en forskningsdatabas som kan omfattas av den föreslagna lagen ska basera sig på de registrerades frivilliga medverkan men att samtycke inte ska vara den rättsliga grund som åberopas för personuppgiftsbehandlingen. Regeringen har bedömt att den behandling av personuppgifter som är nödvändig vid förandet av en forskningsdatabas kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1.e i EU:s dataskyddsförordning. Detta gäller även vid behandling av personuppgifter i samband med inhämtandet av kompletterande uppgifter om den registrerade. Den rättsliga grunden för behandlingen lämnas inte, som Malmö universitet anför, öppen. Som framgår av avsnitt 7.1.1 är kravet på samtycke ett sådant villkor för behandlingen av personuppgifter som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är möjligt att ha i nationell rätt när den rättsliga grunden för behandlingen är uppgift av allmänt intresse och kravet är att se som en skyddsåtgärd. Den föreslagna reglering som innebär en möjlighet att utan samtycke inhämta kompletterande uppgifter om en registrerad om den registrerade har informerats om insamlingen och fått möjlighet att motsätta sig behandlingen (opt-out) är ett undantag från skyddsåtgärden samtycke. Även regleringen om information och opt-out är sådana nationella villkor för personuppgiftsbehandlingen som är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen och som utgör skyddsåtgärder. Regeringen anser därför i motsats till universitet att en möjlighet till opt-out när det gäller kompletterande insamling av uppgifter är möjlig att införa.
En kompletterande insamling av uppgifter ska göras utifrån ett behov som är kopplat till att öka kvaliteten i och det vetenskapliga värdet av forskningsdatabasen. Regeringen anser i motsats till Göteborgs universitet att begreppet kompletterande inte kan utgå. När uppgifter samlats in direkt från enskilda individer till en forskningsdatabas och forskaren därefter återkommande inhämtar uppgifter om individerna från andra källor som t.ex. register så är det fråga om en komplettering av uppgifter om den registrerade. SCB ser en risk för att ansvariga för forskningsdatabaserna i stor utsträckning kommer bedöma att det finns behov av kompletterande insamling och att databaserna därmed ändå väsentligen kommer att bestå av kopior av myndighetsregister. Som framgår av avsnitt 6.3.3 framhåller Forte, Svenska läkaresällskapet, Karolinska Institutet och Vetenskapsrådet att det inte är korrekt att databaser som kombinerar data från olika myndigheters register enbart reproducerar dessa data och att det ofta krävs omfattande bearbetningar av informationen särskilt när det gäller användning av data från flera olika myndigheter. Vetenskapsrådet anför att sådana forskningsdatabaser som innehåller uppgifter från både den registrerade själv och från andra datakällor består av förfinade informationssamlingar som antingen genom kvalitetssäkring av informationen, sammanförande av olika delinformationsmängder, förseende med tillkommande meta-data och/eller genomtänkt struktur utgör viktiga och unika datakällor som inte kan replikeras genom att begära ut data från dess ursprungskälla. Den personuppgiftsansvarige för en forskningsdatabas har också att följa de allmänna principerna för personuppgiftsbehandling i artikel 5 i EU:s dataskyddsförordning, bl.a. principen om uppgiftsminimering. Enligt artikel 5.1 c ska uppgifter som behandlas vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. När det gäller forskningsdatabaser som omfattas av lagen handlar det om att skapa underlag för och lämna ut uppgifter till framtida forskningsprojekt inom det eller de forskningsområden som angivits för forskningsdatabasen.
Att den registrerade har rätt att invända mot sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse följer av dataskyddsförordningens artikel 21.1. Om personuppgifterna behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen, gäller enligt artikel 21.6 inte den registrerades rätt att göra sådana invändningar om behandlingen anses nödvändig för att utföra en uppgift av allmänt intresse. Den behandling som nu regleras kommer att vila på den rättsliga grunden att de personuppgiftsansvarigas uppgift att bedriva verksamhet i en viss forskningsdatabas utgör en uppgift av allmänt intresse. Den behandling som görs i dessa forskningsdatabaser kommer dessutom att ske för vetenskapliga forskningsändamål. Undantagsbestämmelsen i artikel 21.6 är alltså tillämplig. Denna undantagsbestämmelse till trots bör det, eftersom det ligger i den nu föreslagna lagens anda att den registrerade ska ha kännedom om och inflytande över att dennes personuppgifter behandlas i en forskningsdatabas, som en skyddsåtgärd alltjämt finnas en möjlighet för den registrerade att invända mot behandlingen genom att kunna motsätta sig den. Frivilligheten och samtycke som en särskild skyddsåtgärd skulle annars bli ett slag i luften. Eftersom möjligheten att motsätta sig behandlingen vid inhämtande av kompletterande uppgifter som angivits får anses vara en del av sådana villkor för behandlingen, som är tillåtna att införa i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen när behandlingen sker med stöd av den rättsliga grunden uppgift av allmänt intresse, är det enligt regeringens bedömning möjligt att införa en bestämmelse som säkerställer den registrerades rätt att invända mot behandlingen, trots att den rättsliga grunden för behandlingen är uppgift av allmänt intresse.
Det ska som angetts ovan i avsnitt 7.1.1 vara en grundläggande förutsättning för behandling av personuppgifter i en forskningsdatabas som omfattas av lagen att behandlingen inte sker utan de registrerades kännedom och frivilliga medverkan. Att som Kungl. Vetenskapsakademien föreslår låta en etisk kommitté avgöra frågan om inhämtande av kompletterande uppgifter till vissa forskningsdatabaser skulle innebära ett avsteg från denna grundläggande förutsättning. Enligt regeringens uppfattning bör ett sådant avsteg inte göras. Med hänsyn till den grundläggande förutsättning som regleringen bygger på är det vidare som Smer anför av vikt att den registrerade får tydlig information om kompletterande insamling och om möjligheten till opt-out. Kompletterande insamling av uppgifter om en registrerad från andra källor än de som kunnat identifieras redan i samband med att samtycke till behandling i forskningsdatabasen lämnas bör således enligt regeringens uppfattning bara få ske om den registrerade fått information om den avsedda kompletterande insamlingen, getts en tydlig möjlighet att motsätta sig åtgärden och inte uttryckligen motsätter sig insamlingen.
Artikel 12.1 i dataskyddsförordningen handlar om hur den personuppgiftsansvariges kommunikation med registrerade ska vara utformad. Punkten, som ger uttryck för den s.k. öppenhetsprincipen, syftar till att garantera att den registrerade fullt ut ska kunna förstå den information som lämnas till honom eller henne. Punkten gäller kommunikation med registrerade i enlighet med artikel 13–22 och 34. Kommunikationen ska tillhandahållas skriftligt eller i någon annan form. Detta inbegriper, när så är lämpligt, att informationen kan lämnas i elektronisk form. Artikel 29-gruppen har antagit Riktlinjer om öppenhet enligt förordning (EU) 2016/679, WP260, som ger vägledning när det gäller hur informationen till de registrerade bör ske och utformas.
När det gäller på vilket sätt informationen ska lämnas delar regeringen bedömningen i promemorian att information om kompletterande insamling bör kunna lämnas genom att den personuppgiftsansvarige på sin webbplats redovisar vilka uppgifter som planeras att läggas till och ger den registrerade tydlig möjlighet att motsätta sig åtgärden, exempelvis genom att uppmanas att höra av sig inom viss tid och meddela detta. För att undvika den risk för att den registrerade missar informationen om insamling av kompletterande uppgifter, som Region Västerbotten lyfter, anser regeringen vidare att det ska framgå av lagtexten att i samband med den inledande kontakten mellan den personuppgiftsansvarige och den registrerade, när information om och samtycke till medverkan i forskningsdatabasen inhämtas, ska den registrerade informeras om att denne kommer att informeras om kompletterande insamling av uppgifter blir aktuell och på vilket sätt sådan information kommer att lämnas. Det finns inget som hindrar att den registrerade redan då, vid den inledande kontakten då samtycke inhämtas, får tillfälle att ange om denne motsätter sig att komplettering kan få göras från ännu inte identifierade källor eller inte. Om den registrerade motsätter sig den kompletterande insamlingen sedan den har påbörjats, får detta ses som att den registrerade har återtagit sitt samtycke till behandling av dessa uppgifter och hanteras enligt den bestämmelse i lagen om återtagande av samtycke som föreslås i avsnitt 7.1.6.
Information och möjlighet att motsätta sig fortsatt behandling för den som registrerats som underårig
Regeringens förslag: Personuppgifter som samlats in med samtycke från den registrerades vårdnadshavare får bara fortsätta behandlas efter att den registrerade blivit myndig om den registrerade informerats om behandlingen och inte uttryckligen motsätter sig den. Sådan information ska vara direkt riktad till den registrerade och lämnas senast den 1 mars året efter det att den registrerade fyllt 18 år. Information behöver dock inte lämnas om den personuppgiftsansvarige inte med rimliga ansträngningar kan nå den registrerade.
Regeringens bedömning: Det behövs inte någon bestämmelse om vem som ska företräda den registrerade om han eller hon är underårig.
Promemorians förslag överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås att information till den registrerade ska lämnas inom ett år från myndighetsdagen.
Promemorians bedömning överensstämmer med regeringens bedömning.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget och bedömningen. Detta gäller bl.a. Integritetsskyddsmyndigheten och Socialstyrelsen.
Karolinska institutet (KI), Statens medicinsk-etiska råd (Smer), Stockholms universitet och Region Kalmar län är positiva till förslaget. Karolinska institutet och Region Kalmar län anser dock att det behövs ett förtydligande när det gäller vad som avses med ”rimliga ansträngningar”. Region Kalmar län anför att det kan finnas viss risk att frivilligheten urholkas i och med att den som för en forskningsdatabas inte behöver lämna någon information om den inte med rimliga ansträngningar kan nå den registrerade.
Malmö universitet anser att bestämmelsen inte är förenlig med kraven för samtycke i dataskyddsförordningen som föreskriver en aktiv viljeyttring. Universitetet anför vidare att frågan om grund för behandlingen av dessa uppgifter lämnas öppen och det är lätt att få uppfattningen att den ryms inom det ursprungliga samtycket samt att det inte är möjligt att använda s.k. opt-out i förhållande till samtycken enligt promemorians förslag. Region Örebro län ställer sig frågande till att de som registrerats som underåriga hanteras på ett annat sätt genom att det för dem handlar om ett passivt samtycke eller en slags opt-out-modell. Lunds universitet framhåller att det inte framgår hur en person som precis blivit myndig ska få kännedom om registreringen och kunna begära utträde ur forskningsdatabasen. Kammarrätten i Stockholm anför att den föreslagna bestämmelsen framstår som särskilt svår att tillämpa och följa upp och anser att ordningen med att information ska lämnas inom ett år från myndighetsdagen kan ifrågasättas eftersom barns personuppgifter anses särskilt skyddsvärda. Mälardalens universitet bedömer att det kan uppstå svårigheter med minderåriga som blir myndiga, att få kontakt med personen och att få en konfirmering av fortsatt samtycke.
Biobank Sverige anför att mognadsbedömning inte är något som lärosäten har erfarenhet av och föreslår i stället att den åldersgräns som finns i etikprövningslagen används. Biobank Sverige anser också att bestämmelsen är otydligt formulerad och att det är oklart om regleringen innebär att behandlingen måste pausas när barnet blir myndig, fram till dess att barnet informerats och inte uttryckligen motsatt sig behandlingen.
Etikprövningsmyndigheten anför att myndigheten i sitt remissyttrande över Forskningsdatautredningens betänkande Rätt att forska – Långsiktig reglering av forskningsdatabaser (SOU 2018:36) förordat ett krav på samtycke från den som blivit myndig för fortsatt behandling av uppgifter som tidigare samlats in efter samtycke från vårdnadshavarna när personen var underårig men noterar att det i alla fall har föreslagits ett opt-out-förfarande. Myndigheten framhåller också att det behöver utvecklas vad ”rimliga ansträngningar” innebär och att om detta inte klargörs ytterligare finns det en risk för att information inte lämnas i den utsträckning som bör kunna krävas. Myndigheten anför vidare att det inte är givet att den föreslagna formuleringen om rimliga ansträngningar verkligen återspeglar artikel 14.5 b i EU:s dataskyddsförordning, som promemorian hänvisar till, och att ett alternativ skulle kunna vara att formulera undantagsmöjligheten med direkt inspiration från denna artikel.
Myndigheten för vård- och omsorgsanalys delar inte promemorians bedömning att det följer av föräldrabalkens generella reglering av bestämmanderätten i frågor som rör barn att det i de fall då den registrerade är underårig är dennes vårdnadshavare som företräder denne men att hänsyn ska tas till barnets synpunkter och önskemål i takt med barnets stigande ålder och utveckling, och att någon bestämmelse om det därför inte behöver införas i den nya lagen. Myndigheten ser en risk för att den föreslagna regleringen kan skapa svårigheter i den praktiska tillämpningen och leda till bristande rättssäkerhet och enhetlighet och bedömer att krävs en tydlig lagreglering av frågan om information och samtycke när det gäller uppgifter om underåriga. Myndigheten anför i det sammanhanget att den föreslagna bestämmelsen om att personuppgifter får behandlas i en forskningsdatabas bara om den registrerade samtyckt till det kan tolkas så att det inte är möjligt att samla in uppgifter från ett barn som inte har uppnått tillräcklig ålder och mognad för att själv kunna samtycka till behandlingen men att det av bestämmelsen om information till och möjlighet till opt-out för den som registrerats som underårig indirekt framgår att det ändå förutsätts att en vårdnadshavare ska kunna samtycka till behandling av ett barns personuppgifter. Myndigheten påpekar även att en fråga som inte alls berörs är vad som ska gälla om den ena av två vårdnadshavare, men inte den andra, samtycker till insamlandet.
Som framgår av avsnitt 3 har vissa myndigheter, bl.a. KI, fått tillfälle att under hand yttra sig över ett utkast till lagrådsremiss, vars förslag överensstämmer med rutan, med den skillnaden att i utkastet föreslogs att information till den registrerade ska lämnas inom ett år från myndighetsdagen. KI framhåller att det förslaget innebär att utskick till registrerade som blivit myndiga inte kan koncentreras till en gång per år, utan att utskick måste ske två gånger per år för att tidsfristen inom ett år från myndighetsdagen ska kunna uppfyllas, vilket ökar administrationen och kostnaderna.
Skälen för regeringens förslag och bedömning
Det behövs inte någon uttrycklig bestämmelse i lagen om vem som ska företräda en registrerad som är underårig
Forskning bedrivs och behöver kunna bedrivas även med uppgifter från underåriga. När det är relevant för att skapa underlag för forskning inom det för en forskningsdatabas angivna forskningsområdet kan och behöver också uppgifter om underåriga samlas in och behandlas i forskningsdatabasen. Den föreslagna huvudregeln om samtycke i fråga om uppgifter som lämnas direkt från den enskilde och uppgifter som härrör från andra källor gäller även när uppgifter samlas in från underåriga. Även den registrerades rätt till information om och möjlighet att invända mot behandling av uppgifter som samlats in utan uttryckligt samtycke gäller för underåriga.
Bestämmanderätten i frågor som rör barn regleras i föräldrabalken. Ett barns vårdnadshavare har enligt föräldrabalken rätt och skyldighet att bestämma i barnets personliga angelägenheter (6 kap. 11 § föräldrabalken). Barnets vårdnadshavare ska i takt med barnets stigande ålder och utveckling ta allt större hänsyn till barnets synpunkter och önskemål. Står barnet under vårdnad av två vårdnadshavare utövas vårdnaden av dem tillsammans (6 kap. 13 § föräldrabalken).
När det gäller behandling av personuppgifter innehåller artikel 8 i dataskyddsförordningen villkor som gäller barns samtycke avseende informationssamhällets tjänster, dvs. kommersiella internettjänster. Enligt artikeln ska då, när samtycke utgör den rättsliga grunden för behandling av personuppgifter, samtycke vara tillåtet om barnet är minst 16 år. Vid en lägre ålder är behandling tillåten endast om och i den mån samtycke ges av den person som har föräldraansvar för barnet. Medlemsstaterna ges emellertid möjlighet att i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år. I Sverige gäller just 13-årsgränsen för denna typ av behandling (2 kap. 4 § dataskyddslagen). I andra sammanhang än då barn erbjuds informationssamhällets tjänster, såsom vid behandling i forskningsdatabaser, saknas uttrycklig reglering om just barns samtycke. Det framgår emellertid av skäl 38 till dataskyddsförordningen att barns personuppgifter anses förtjäna särskilt skydd, eftersom barn kan vara mindre medvetna dels om berörda risker, följder och skyddsåtgärder, dels om sina rättigheter när det gäller behandling av personuppgifter.
Det följer av den generella regleringen i föräldrabalken om bestämmanderätten i frågor som rör barn att i de fall då en registrerad är underårig, är det dennes vårdnadshavare som företräder denne, men hänsyn ska tas till barnets synpunkter och önskemål i takt med dess stigande ålder och utveckling. En bestämmelse om vem som företräder en registrerad som är underårig gentemot den personuppgiftsansvarige för en forskningsdatabas skulle enligt regeringens uppfattning komma att motsvara det som redan gäller enligt den generella regleringen i föräldrabalken. Myndigheten för vård- och omsorgsanalys undrar vad som ska gälla om den ena av två vårdnadshavare, men inte den andra, samtycker till insamlandet av personuppgifter om barnet. Om båda föräldrarna är vårdnadshavare så har de i regel gemensam vårdnad. I sådana fall följer det av föräldrabalken att det krävs samtycke av båda. Om den ena av föräldrarna har ensam vårdnad är det den föräldern som har befogenhet att samtycka för barnets räkning. Regeringen delar således bedömningen i promemorian att det räcker med regleringen i föräldrabalken och anser, i motsats till Myndigheten för vård- och omsorgsanalys, inte att det finns något behov av en särskild bestämmelse som anger vem som företräder en underårig gentemot den personuppgiftsansvarige. Denna bedömning gjordes också i förarbetena i samband med införandet av LifeGene-lagen (prop. 2012/3:163 s. 53).
Biobank Sverige anför att mognadsbedömning inte är något som lärosäten har erfarenhet av och föreslår att den åldersgräns som finns i etikprövningslagen ska användas i den nya lagen. Regeringen konstaterar att de åldersgränser som finns i den lagen inte är absoluta. I den lagen anges att om forskningspersonen har fyllt 15 år men inte 18 år och inser vad forskningen innebär för hans eller hennes del, ska han eller hon själv informeras om och samtycka till forskningen. I andra fall när forskningspersonen inte har fyllt 18 år, ska vårdnadshavarna informeras om och samtycka till forskningen. Forskningspersonen själv ska dock så långt möjligt informeras om forskningen. Trots vårdnadshavarnas samtycke får forskningen inte utföras om en forskningsperson som är under 15 år inser vad den innebär för hans eller hennes del och motsätter sig att den utförs (18 §). Enligt regeringen måste det göras en individuell bedömning för varje enskild forskningsdatabas. I samband därmed bör det beaktas vad den underåriges deltagande faktiskt innebär, hur känsliga uppgifterna är och vilka integritetsrisker som registreringen kan tänkas innebära på lång sikt, och en åldersgräns som i etikprövningslagen bör därför inte införas
Den som registrerats som underårig ska få information som myndig och ha möjlighet till opt-out
I de forskningsdatabaser som blir föremål för reglering kommer det att vara fråga om en långsiktig insamling av uppgifter. Det kommer att uppstå situationer där personuppgifter från registrerade som vid tidpunkten för insamlingen varit underåriga, fortfarande behandlas i forskningsdatabasen efter att de registrerade blivit myndiga. I sådana situationer kan det finnas fall där insamlingen skett efter att den underårige uppnått en sådan ålder och mognad och varit så pass delaktig att denne redan lämnat samtycke och tagit del av så utförlig information att han eller hon redan får anses ha tillräcklig kännedom om personuppgiftsbehandlingen. Det kommer dock också att finnas fall där den initiala insamlingen av den underåriges personuppgifter gjorts direkt från vårdnadshavaren, och även om den underårige kan ha deltagit i viss mån vid denna insamling kan det vara så att den registrerade inte har haft full insikt om vad insamlingen inneburit, eller kanske inte ens minns sitt eventuella deltagande. Det kan alltså uppstå situationer där fortsatt behandling av en underårig registrerads personuppgifter utförs efter att denne blivit myndig, dvs. fyllt 18 år, och det inte kan tas för givet att denne känner till och accepterar behandlingen.
En första fråga är om uppgifter som samlats in till en forskningsdatabas med stöd av vårdnadshavares samtycke kan fortsätta behandlas med stöd av detta samtycke efter att den registrerade blivit myndig eller om det bör krävas ett samtycke av den registrerade själv för att behandlingen ska få fortsätta efter att den registrerade blivit myndig. Samtycke har då, i samband med den initiala kontakten och insamlingen av uppgifter, lämnats antingen av en underårig som uppnått en sådan ålder och mognad att denne själv kunnat ta ställning, eller, om så inte är fallet, av den underåriges vårdnadshavare, som enligt föräldrabalkens bestämmelser om bestämmanderätten i frågor som rör barn då haft rätt att företräda den underårige. Mot den bakgrunden gjorde regeringen i förarbetena till LifeGene-lagen bedömningen att ett uttryckligt samtycke från vårdnadshavarna för en underårigs medverkan i registren som inte har återkallats av vårdnadshavarna eller den underårige själv, är giltigt även efter det att den registrerade har fyllt 18 år (prop. 2012/13:163 s. 56). Regeringen framhöll att efter den registrerades 18-årsdag får däremot inte ytterligare uppgifter om den registrerade samlas in utan att den enskilde såväl informerats som uttryckligen samtyckt till behandling av sådana uppgifter och att den registrerade kan utnyttja alla sina rättigheter beträffande de tidigare insamlade uppgifterna, t.ex. rätten enligt lagen att begära att uppgifterna ska utplånas. Regeringen bedömde att några särskilda bestämmelser om detta inte behövde föras in i lagen utan skulle komma att följa av det föreslagna regelverket. När det gäller uppgifter om en registrerad som samlats in med samtycke innan denne fyllt 18 år krävs det således enligt regeringens uppfattning inte, som Etikprövningsmyndigheten förordat i sitt remissvar över Forskningsdatautredningens förslag, ett förnyat samtycke av den registrerade för att dessa uppgifter ska få fortsätta att behandlas efter att den registrerade fyllt 18 år.
I de fall där det enbart är vårdnadshavaren som lämnat samtycke måste det emellertid säkerställas att den underårige, när denne uppnår en sådan ålder och mognad att denne själv kan ta ställning till den fortsatta behandlingen av personuppgifter faktiskt får kännedom om den. Utan sådan kännedom kommer den registrerade inte att kunna utnyttja det integritetsskydd som tillförsäkras denne genom dataskyddsförordningen och kompletterande dataskyddsrättslig reglering som den föreslagna lagen. Detta kommer också till uttryck i skäl 65 till dataskyddsförordningen. Där anges det att rätten att invända mot behandlingen av dennes personuppgifter är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter särskilt på internet. Den registrerade bör, enligt skälet, kunna utöva denna rätt även när denne inte längre är barn. Mot denna bakgrund delar regeringen bedömningen i promemorian att det bör införas en bestämmelse i lagen som anger att personuppgifter som samlats in innan den registrerade uppnått en sådan ålder och mognad att denna själv kan samtycka till behandlingen, och samtycke i stället har lämnats av den registrerades vårdnadshavare, får fortsätta behandlas efter att den registrerade har blivit myndig bara om den registrerade informerats om behandlingen och inte uttryckligen motsätter sig den. Genom att en registrerad som blivit myndig ska informeras om behandlingen får denne som Lunds universitet efterlyser kännedom om registreringen i forskningsdatabasen och möjlighet att motsätta sig fortsatt medverkan i forskningsdatabasen. En sådan reglering kan enligt regeringens uppfattning inte, som Region Örebro län anser, sägas innebära att de som registrerats som underåriga hanteras på ett annat sätt än de som registreras som vuxna. Även registreringen av dem har skett med samtycke, vilket givits av den underåriges vårdnadshavare, som enligt föräldrabalkens bestämmelser om bestämmanderätten i frågor som rör barn då haft rätt att företräda den underårige.
Som framgår av avsnitt 6.3.5 har regeringen bedömt att den behandling av personuppgifter som är nödvändig vid förandet av en forskningsdatabas kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1.e i EU:s dataskyddsförordning. Detta gäller även vid behandling av personuppgifter om registrerade som är underåriga. Den rättsliga grunden för behandlingen lämnas inte, som Malmö universitet anför, öppen. Som anförts i avsnitt 7.1.1 är kravet på samtycke enligt regeringens uppfattning ett sådant villkor för behandlingen av personuppgifter som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är möjligt att ha i nationell rätt när den rättsliga grunden för behandlingen är uppgift av allmänt intresse och det är att se som en skyddsåtgärd. Det följer vidare av den generella regleringen i föräldrabalken om bestämmanderätten i frågor som rör barn, att i de fall då en registrerad är underårig, är det dennes vårdnadshavare som företräder denne men att hänsyn ska tas till barnets synpunkter och önskemål i takt med dess stigande ålder och utveckling. I de fall där den underårige inte själv uppnått en sådan ålder och mognad att denne själv kunnat ta ställning och lämna samtycke har samtycket lämnats av den underåriges vårdnadshavare. Ett sådant samtycke som lämnats av vårdnadshavare är giltigt även efter det att den registrerade har fyllt 18 år så länge det inte har återkallats av vårdnadshavarna eller den underårige själv. En möjlighet för en registrerad som blivit myndig att motsätta sig behandlingen, en möjlighet till ”opt-out”, bör enligt regeringens uppfattning ses som ett undantag från kravet på samtycke som skyddsåtgärd och därmed som en del av villkoren för behandlingen. Regeringen anser därför i motsats till Malmö universitet att en möjlighet till opt-out för den som registrerats som underårig efter att denne blivit myndig är möjlig att införa.
Regeringen delar i huvudsak bedömningen i promemorian att det bör finnas en frist på ett år från det att den registrerade fyllt 18 år innan information måste lämnas för att underlätta för den personuppgiftsansvarige och möjliggöra en samordning av utskick av information till nyblivna 18-åringar. I motsats till Kammarrätten i Stockholm anser regeringen att en sådan möjlighet till samordning kan godtas eftersom det handlar om information om redan insamlade uppgifter, vilka har samlats in med samtycke från den registrerades vårdnadshavare. Ett sådant samtycke är som nämnts giltigt så länge det inte har återkallats av vårdnadshavaren eller den underårige själv. Enligt regeringens bedömning kan därför behandlingen av dessa uppgifter fortsätta i avvaktan på att den registrerade som blivit myndig har informerats och inte uttryckligen motsatt sig behandlingen. Dock bör enligt regeringen, i linje med de synpunkter som KI lämnat, fristen konstrueras på ett något annorlunda sätt för att den personuppgiftsansvarige ska kunna koncentrera ett sådant utskick till en gång per år. Regeringen föreslår därför att informationen ska lämnas senast den 1 mars året efter det att den registrerade fyllt 18 år. Detta innebär en något längre tidsfrist än ett år i förhållande till de som fyller i början av året och en kortare tidsfrist för de som fyller i april eller senare.
När det gäller insamling av nya uppgifter om den registrerade efter att denne blivit myndig är sådana uppgifter att se som kompletterande uppgifter eftersom uppgifter om den registrerade sedan tidigare finns registrerade. För att sådana nya uppgifter om den registrerade ska få samlas in krävs som huvudregel samtycke från den registrerade. Utan samtycke får sådana uppgifter enligt den bestämmelse som föreslagits i avsnitt 7.1.2 bara ske om den registrerade informerats om insamlingen och inte uttryckligen motsätter sig den.
Det skulle kunna diskuteras om en sådan rätt till information som föreslås borde tillkomma den underårige redan tidigare än när denne uppnått myndighetsåldern. Regeringen delar emellertid bedömningen i promemorian att det ter sig som ogörligt för den personuppgiftsansvariga att utan närmare kontakter med de registrerade – och med den stora mängd registrerade som det kommer att röra sig om – kunna göra individuella bedömningar av huruvida en viss underårig innan myndighetsåldern har uppnått en sådan ålder och mognad att denne kan göra de avvägningar som informationen kan tänkas föranleda och att det därför är lämpligare att låta myndighetsåldern bli avgörande.
Informationen till de tidigare underåriga bör skickas elektroniskt eller med post till den registrerade själv. Det bör alltså, i nu aktuell situation, inte anses tillräckligt att informationen läggs ut på den personuppgiftsansvariges webbplats, utan det ska krävas att informationen riktas direkt till den enskilde registrerade. Detta bör framgå av lagtexten. Hur den personuppgiftsansvariges kommunikation med registrerade ska vara utformad regleras i artikel 12.1 i dataskyddsförordningen. Punkten, som ger uttryck för den s.k. öppenhetsprincipen, syftar till att garantera att den registrerade fullt ut ska kunna förstå den information som lämnas till honom eller henne. Punkten gäller kommunikation med registrerade i enlighet med artikel 13–22 och 34. Kommunikationen ska tillhandahållas skriftligt eller i någon annan form. Detta inbegriper, när så är lämpligt, att informationen kan lämnas i elektronisk form. Artikel 29-gruppen har antagit Riktlinjer om öppenhet enligt förordning (EU) 2016/679, WP260, som ger vägledning när det gäller hur informationen till de registrerade bör ske och utformas. Dessa bör tjäna som vägledning även för informationen till de tidigare underåriga.
Informationen behöver inte lämnas om den personuppgiftsansvarige inte med rimliga ansträngningar kan nå den registrerade
I artikel 13 respektive artikel 14 i EU:s dataskyddsförordning finns bestämmelser om information som ska tillhandahållas den registrerade om personuppgifterna inhämtas från denne respektive inhämtas från andra källor. Av föräldrabalken följer att vårdnadshavaren företräder barnet innan han eller hon har nått en sådan ålder och mognad att han eller hon själv kan ta ställning. När uppgifter om ett barn har lämnats av vårdnadshavaren får således uppgifterna anses ha lämnats av barnet. Vårdnadshavaren kan dock också ha samtyckt till att kompletterande uppgifter inhämtas från andra källor. I båda dessa fall har artikel 13 och 14 varit tillämpliga i förhållande till vårdnadshavaren. Ovan har föreslagits att information ska lämnas till en registrerad senast den 1 mars året efter det att den registrerade fyllt 18 år för att den registrerade ska ges möjlighet att ta ställning till om han eller hon även fortsättningsvis vill ingå i forskningsdatabasen. Det är då fråga om en annan situation än som har reglerats i artikel 13 och 14 eftersom uppgifterna redan har samlats in med samtycke eller med opt-out i förhållande till vårdnadshavaren eller den registrerade själv, beroende på dennes ålder och mognad när uppgifterna samlades in. Regeringen delar därför uppfattningen i promemorian att det går att konstruera en nationell bestämmelse om vad som ska gälla om det, som Mälardalens universitet påpekar, uppstår svårigheter med att få kontakt med den registrerade och lämna information. I promemorian har det föreslagits att det ska finnas en ventil som innebär att information inte behöver lämnas om den personuppgiftsansvarige inte med rimliga ansträngningar kan nå den registrerade. Etikprövningsmyndigheten påpekar att det inte är givet att den i promemorian föreslagna formuleringen om rimliga ansträngningar verkligen återspeglar artikel 14.5 b i EU:s dataskyddsförordning, som promemorian har gjort jämförelser med. Som framgår ovan anser regeringen att ventilen inte behöver överensstämma fullt ut med artikel 14.5 b då den artikeln inte är tillämplig i nu aktuell situation. Kammarrätten i Stockholm anser att en sådan bestämmelse kan vara svår att tillämpa och följa upp och Etikprövningsmyndigheten framhåller att det behöver utvecklas vad ”rimliga ansträngningar” innebär. Regeringen anser att informationsskyldigheten alltid kan uppfyllas genom att ett brev skickas till en elektronisk brevlåda, om den registrerade har en sådan, eller till den registrerades folkbokföringsadress. Det kan dock hända att den registrerade har emigrerat och därför inte är folkbokförd i Sverige. Den personuppgiftsansvarige kan då hämta uppgifter från Skatteverkets system för distribution av folkbokföringsuppgifter till samhället (Navet) eller det statliga personadressregistret (SPAR) för att undersöka om det finns uppgifter om den adress i utlandet för den som emigrerat. Om den registrerade inte har någon elektronisk brevlåda och inte heller är folkbokförd i Sverige eller har anmält en uppgift om adress i utlandet och den personuppgiftsansvarige inte heller har tillgång till någon annan adress till den registrerade får den personuppgiftsansvarige anses ha gjort rimliga ansträngningar och kan därefter fortsätta att behandla den registrerades personuppgifter i forskningsdatabasen utifrån att lämnade samtycken fortsätter att gälla så länge den registrerade inte hör av sig och motsätter sig fortsatt behandling.
Information som i övrigt ska lämnas till den registrerade
Regeringens förslag: Den registrerade ska, utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen, innan denne lämnar samtycke eller i samband med att denne får information efter myndighetsdagen, även informeras om
att all registrering och medverkan i verksamheten vid forskningsdatabasen är frivillig och att den registrerade när som helst kan avbryta sin medverkan helt eller delvis och återta sitt samtycke samt effekten av att samtycket återtas,
vilka slags uppgifter som får registreras i forskningsdatabasen,
att den registrerade kommer att informeras om kompletterande insamling av uppgifter blir aktuell och på vilket sätt sådan information kommer att lämnas,
de sekretess- och säkerhetsbestämmelser som gäller för forskningsdatabasen,
sin rätt att begära att få information om vilka forskningsprojekt uppgifter om honom eller henne ämnats ut till,
vilken som är tillsynsmyndighet, och
rätten till skadestånd.
Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås inte att den registrerade ska informeras om rätten att återkalla sitt samtycke och om effekten av att ett samtycke återkallas. I promemorian föreslås i stället att det ska finnas en rätt att begära att registrerade uppgifter raderas och att information ska lämnas om detta. I promemorian föreslås inte heller att den registrerade ska få information om att denne kommer att informeras om kompletterande insamling av uppgifter blir aktuell och på vilket sätt sådan information kommer att lämnas.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inte något att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten och Socialstyrelsen.
Statens medicinsk-etiska råd (Smer), som tillstyrker förslaget, framhåller att det är av yttersta vikt för de registerarades självbestämmande att den information som ges är korrekt och tydlig och att samtycket är frivilligt. Smer föreslår därför att det dessutom ska regleras att en forskningsdatabas får inrättas bara om det kan förutsättas att tillämpliga bestämmelser om information och samtycke kommer att följas.
I fråga om information om rätten till radering anför Lunds universitet att i den mån uppgifter redan lämnats ut eller använts i forskning kan det i praktiken vara svårt att radera uppgifter och anser att informationen till de registrerade bör förtydliga vad som i praktiken går att radera.
Statistiska centralbyrån (SCB) bedömer att det bör anges i den föreslagna bestämmelsen i lagen att den registrerade ska informeras dels om att kompletterande insamling av uppgifter från andra källor får göras utan förnyat inhämtande av samtycke, dels om var information om sådan kompletterande insamling kan komma att publiceras.
Skälen för regeringens förslag: Dataskyddsförordningen innehåller bestämmelser som syftar till att säkerställa den registrerades rätt till information om och tillgång till de personuppgifter som samlats in och behandlas. I artikel 13 anges vilken information som den personuppgiftsansvarige är skyldig att tillhandahålla den registrerade om personuppgifter samlas in från den registrerade. Där framgår det att den registrerade bl.a. ska förses med information om kontaktuppgifter till den personuppgiftsansvarige och dataskyddsombudet, ändamålen med och den rättsliga grunden för behandlingen, mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, förekomsten av rätten att begära tillgång till och rättelse eller radering av personuppgifterna, rätten att invända mot behandlingen samt rätten att inge klagomål till en tillsynsmyndighet. Vidare reglerar artikel 14 den information som ska tillhandahållas om personuppgifterna samlats in från någon annan än den registrerade, dvs. den situationen som föreligger vid sådan kompletterande insamling från andra källor som möjliggörs genom den föreslagna lagen. Även i de fallen ska den registrerade förses med information om bl.a. ovanstående detaljer. Informationen ska dessutom omfatta de kategorier av personuppgifter som behandlingen gäller. Artikeln innehåller emellertid en undantagsbestämmelse, enligt vilken skyldigheten att tillhandahålla den angivna informationen bl.a. inte gäller i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bland annat vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 e. Skyldigheten att tillhandahålla informationen gäller inte heller i den mån skyldigheten att lämna den information som framgår av första punkten i bestämmelsen sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målet med behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten.
Det är viktigt att den registrerade får så mycket information om behandlingen att denne kan avgöra vilka integritetsrisker som är förknippade med att lämna personuppgifter till en viss forskningsdatabas. Denne ska också informeras om sina rättigheter och friheter i förhållande till den personuppgiftsansvarige. Bestämmelser som anger vilken information som självmant ska lämnas till den registrerade är enligt regeringens bedömning möjligt att införa i nationell rätt med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen när behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse för att anpassa tillämpningen av bestämmelserna i förordningen. Viss precisering bör kunna ske för att säkerställa att den registrerade får sådan information om behandlingen som denne behöver för att kunna tillvarata sina rättigheter i förhållande till den personuppgiftsansvarige. Dubbelreglering bör dock undvikas och i en bestämmelse bör det därför endast anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen.
Tydlig information bör, som Smer anför, ges om att all medverkan i forskningsdatabasen är frivillig och att den registrerade när som helst kan avbryta sin medverkan helt eller delvis. I artikel 13.2 c och 14.2 d dataskyddsförordningen föreskrivs visserligen att registrerad ska informeras om sin rätt att återkalla ett lämnat samtycke. Det informationskravet gäller dock bara när den rättsliga grunden för personuppgiftsbehandlingen är samtycke. Som framgått i avsnitt 6.3.5 är den rättsliga grunden för personuppgiftsbehandlingen i forskningsdatabaser enligt ramlagen inte samtycke utan att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Det behövs därför en särbestämmelse i ramlagen i frågan.
Lunds universitet anför, när det gäller promemorians förslag om information om rätten till radering, att i den mån uppgifter redan lämnats ut eller använts i forskning kan det i praktiken vara svårt att radera uppgifter och anser att informationen till de registrerade bör förtydliga vad som i praktiken går att radera. Som regeringen närmare utvecklar i avsnitt 7.1.6 föreslår regeringen i stället för en bestämmelse om rätt till radering, en bestämmelse om att den registrerade ska ha rätt att när som helst återta sitt samtycke till att dennes personuppgifter behandlas i en forskningsdatabas och att följden av detta ska vara att uppgifter om den registrerade därefter inte får behandlas för att lämnas ut till forskningsprojekt. Det bör därför, i stället för rätten till radering, vara rätten att återta sitt samtycke och effekten att ett återtagande av samtycket som den registrerade ska informeras om vid rekryteringen och i samband med att denne får information efter myndighetsdagen om denne registrerats som underårig.
Innan den registrerade lämnar samtycke eller får information om behandling av dennes personuppgifter i forskningsdatabasen efter att denne blivit myndig bör den registrerade enligt regeringens uppfattning, utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen, vidare informeras om vilka uppgifter som får registreras i forskningsdatabasen, de sekretess- och säkerhetsbestämmelser som gäller för denna, rätten till information om till vilka forskningsprojekt dennes personuppgifter lämnats ut, vilken myndighet som är tillsynsmyndighet och rätten till skadestånd.
Som angivits i avsnitt 7.1.2 anser regeringen dessutom i likhet med SCB att den registrerade bör få information om att denne kommer att informeras om kompletterande ännu ej förutsebar insamling av uppgifter blir aktuell och på vilket sätt sådan information kommer att lämnas. Även detta bör framgå av lagtexten.
Rätten till rättelse
Regeringens bedömning: Att den registrerade har rätt att få sina personuppgifter rättade framgår av dataskyddsförordningens bestämmelser. Den nu föreslagna lagen behöver därför inte innehålla någon bestämmelse om det. Inte heller finns det behov av att i lagen införa något undantag från rätten till rättelse.
Promemorians bedömning överensstämmer med regeringens bedömning. En mindre språklig justering har gjorts.
Remissinstanserna: Majoriteten av remissinstanser tillstyrker eller har inte något att invända mot bedömningen. Detta gäller bl.a. Integritetsskyddsmyndigheten, Socialstyrelsen och Uppsala universitet.
Endast ett fåtal av de remissinstanser som yttrat sig uttalar sig särskilt om bedömningen. Stockholms universitet anför att det innebär ett problem i forskningen om data är föränderliga, då resultat med tiden kan komma att ändras. Särskilt problematiskt skulle det enligt universitetet vara om det vid utredning om forskningsfusk inte skulle gå att återskapa de data som använts av den granskade forskaren, eftersom det då skulle kunna bli omöjligt att avgöra om fusk eller oegentlighet förekommit. Även mycket små och få ändringar i en databas kan göra att resultat inte kan reproduceras till fullo. Det är också enligt universitetet mycket svårt av praktiska skäl att ändra i alla data som vid varje tillfälle används i olika forskningsprojekt, och då tvinga forskare att göra om ibland mycket tidskrävande analyser för minimala förändringar i data. Universitetet anser därför att forskningsdatabaser bör få undantag från skyldigheten att på den registrerades uppmaning radera eller ändra data i så mån att äldre utlämnade versioner av data ska kunna fortsätta användas under begränsad tid samt sparas eller arkiveras för kontroll av misstanke om forskningsfusk. Framåtriktat kan däremot enligt universitetets uppfattning radering och korrigering ske på begäran av de registrerade under förutsättning att de fortfarande är identifierbara. Universitetet framhåller vidare att i den mån forskningsdatabasen enbart innehåller pseudonymiserade data skulle radering och rättning av data kräva att den som för forskningsdatabasen får ut identifierande information från den myndighet som förvaltar kodnyckeln, vilket innebär en ökad risk för integritetsintrång som den registrerade knappast heller kan antas vara medveten om. Universitetet anser därför att pseudonymiserade data i forskningsdatabaser bör vara undantagna från krav på radering och rättning.
Skälen för regeringens bedömning: Enligt artikel 16 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige, utan onödigt dröjsmål, få felaktiga personuppgifter som rör denne rättade. Den registrerade ska därutöver, med beaktande av ändamålet med behandlingen, ha rätt att komplettera ofullständiga personuppgifter. En motsvarande bestämmelse i den nu föreslagna lagen skulle innebära en dubbelreglering i förhållande till dataskyddsförordningen och bedöms därför inte nödvändig.
Vidare får det enligt artikel 89.2 i dataskyddsförordningen i unionsrätten eller medlemsstaternas nationella rätt föreskrivas om undantag från rätten till rättelse om personuppgifter behandlas för forskningsändamål. Så får emellertid ske bara i den utsträckning som en sådan rättighet sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet och sådana undantag krävs för att uppnå forskningsändamålet.
Regeringen har i propositionen Behandling av personuppgifter för forskningsändamål gjort bedömningen att något generellt undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål i enlighet med den möjlighet till nationell reglering som finns i artikel 89.2 i dataskyddsförordningen inte ska införas i svensk rätt (prop. 2017/18:298 s. 120). Något undantag har följaktligen inte införts.
Enligt artikel 5.1 d i dataskyddsförordningen gäller som en grundläggande princip vid personuppgiftsbehandling att uppgifterna ska vara riktiga och om nödvändigt uppdaterade. Det åligger därför den personuppgiftsansvarige att självmant vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Som regeringen anförde i propositionen ligger det i forskningens intresse att den baseras på uppgifter som är riktiga för att dess resultat ska bli rättvisande och rätt slutsatser kunna dras.
Det övergripande ändamålet med personuppgiftsbehandlingen i en sådan forskningsdatabas som regleras genom den föreslagna lagen är att skapa underlag för flera framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden, och lämna ut uppgifter till flera olika forskningsprojekt inom för forskningsdatabasen angivna forskningsområden. De insamlade personuppgifterna kommer alltså att användas i forskning. Det bör därför, även när det gäller personuppgiftsbehandling i en forskningsdatabas, ligga i såväl den personuppgiftsansvariges som de forskares, till vilka uppgifter så småningom lämnas ut, intresse att uppgifterna är riktiga och i slutändan genererar rättvisande resultat i forskningen. Rätten till rättelse får dessutom anses vara av vikt för att de registrerade ska kunna tillvarata sina intressen.
Att de registrerade har en rätt till rättelse och utnyttjar denna kan inte enligt regeringens bedömning sägas göra att det blir omöjligt eller mycket svårare att uppfylla ändamålen med personuppgiftsbehandlingen i en forskningsdatabas. Undantag från denna rätt bedöms därför inte nödvändiga för att uppnå ändamålet med behandlingen. Regeringen anser därför, till skillnad från Stockholms universitet, inte att något undantag från rätten till rättelse bör införas i lagen.
En rätt att återta lämnat samtycke
Regeringens förslag: Den registrerade ska ha rätt att när som helst återta sitt samtycke till att dennes personuppgifter behandlas i en forskningsdatabas.
Om den registrerade återtar sitt samtycke får uppgifter om den registrerade därefter inte behandlas för att lämnas ut till forskningsprojekt.
Om den registrerade begär det ska den personuppgiftsansvarige underrätta de personuppgiftsansvariga för de forskningsprojekt som uppgifterna om den registrerade har lämnats ut till om att den registrerade har återtagit sitt samtycke till behandling av hans eller hennes personuppgifter i forskningsdatabasen.
Promemorians förslag överensstämmer inte med regeringens förslag. I promemorian föreslås att det i lagen införs en bestämmelse om att den registrerade har rätt att när som helst begära att uppgifter om denne raderas från forskningsdatabasen. Vid en sådan begäran ska den personuppgiftsansvarige vara skyldig att radera personuppgifterna så snart som möjligt.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten, Socialstyrelsen och Statens medicinsk-etiska råd (Smer).
Några remissinstanser, bl.a. Göteborgs universitet, Hjärt-Lungfonden, Linköpings universitet, Mälardalens universitet och Örebro universitet, ställer sig frågande till att förslaget om rätten till radering är mer långtgående än rätten till radering enligt artikel 17 i EU:s dataskyddsförordning. Kammarrätten i Stockholm anför att en fråga är om ett återkallat samtycke ska få samma innebörd som en begäran om radering. Kammarrätten framhåller också att relationen till artikel 17 i dataskyddsförordningen framstår som otydlig, exempelvis eftersom det hänvisas till situationen när registrerade återkallar samtycket på vilken behandlingen grundar sig på och anser att det behöver göras ytterligare överväganden om rätten till radering. Göteborgs universitet anser att ett återkallat samtycke, som innebär att alla framtida behandlingar upphör, kan ses som en kraftfull och tillräckligt effektiv möjlighet för att ta tillvara de registrerades intressen och föreslår att raderingsrätten endast blir tillämplig i de fall samtycket inhämtats från underåriga och att förslaget avseende vuxnas radering i övrigt utgår helt. Även Hjärt-Lungfonden och Stiftelsen Institutet för framtidsstudier föreslår alternativ till promemorians förslag om rätt till radering.
Flera remissinstanser, bl.a. Göteborgs universitet, Hjärt-Lungfonden, Stiftelsen Institutet för framtidsstudier, Linköpings universitet, Mälardalens universitet, Stockholms universitet och Örebro universitet, framhåller att en rätt till radering skulle försvåra replikationer och prövning av oredlighet i forskning. Även enligt Riksarkivet är möjligheten att kunna kontrollera forskningsresultat genom att upprepa sökningar och sammanställningar av avgörande betydelse för forskningen. Riksarkivet anser därför att promemorians förslag om rätten till radering bör kompletteras med en undantagsbestämmelse för de fall en radering väsentligt skulle försvåra möjligheten att kontrollera forskningsresultat.
Uppsala universitet tillstyrker förslaget men önskar ett förtydligande kring vad som gäller uppgifter som ingår i forskningsprojekt som baseras på data från forskningsdatabasen. Flera remissinstanser, bl.a. Gymnastik- och Idrottshögskolan (GIH), Lunds universitet och Mälardalens universitet framhåller svårigheter med radering av uppgifter som lämnats ut till forskningsprojekt och efterlyser, i likhet med Uppsala universitet, förtydliganden när det gäller vad som ska gälla i fråga om radering av sådana uppgifter som lämnats ut till forskningsprojekt. Cancerfonden påpekar att det kan förtydligas i promemorian hur den registrerade kan ta tillbaka sitt samtycke och avbryta sin medverkan. Särskilt bör det enligt Cancerfonden förtydligas hur förfarandet ska gå till för uppgifter som redan lämnats vidare till andra studier eller för uppgifter som förekommer i redan genomförda studier. Vetenskapsrådet saknar en diskussion om tillämpligheten och i så fall konsekvenserna av skyldigheten i artikel 17.2 i dataskyddsförordningen för den personuppgiftsansvarige att se till att andra som tagit del av personuppgifterna genom ett offentliggörande av kopior av personuppgifterna också raderar dessa.
Svenska Journalistförbundet framhåller att uppgifter som en registrerad lämnar i forskningssyfte i vissa fall kan vara allmänna handlingar som ska arkiveras i enlighet med arkivlagens bestämmelser och att det i utredningen saknas en bedömning av hur den föreslagna bestämmelsen om rätt till radering förhåller sig till grundlagens bestämmelser om allmänna handlingar och där till hörande arkivregler. Riksarkivet anser att det bör förtydligas i en undantagsbestämmelse att rätten till radering inte gäller för uppgifter som behandlas för ett arkivändamål av allmänt intresse om en radering sannolikt skulle omöjliggöra eller avsevärt försvåra uppnåendet av syftet med den behandlingen. Riksarkivet anför att i artikel 17.3 d dataskyddsförordningen görs undantag från den registrerades rätt till radering av personuppgifter vid bl.a. behandling för arkivändamål av allmänt intresse, om radering sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen. Den nu föreslagna lagen kompletterar dataskyddsförordningen och som förslaget är utformat är det enligt Riksarkivet otydligt om det ger en ovillkorlig rätt för registrerade att få sina uppgifter raderade också när personuppgifterna behandlas för ett arkivändamål av allmänt intresse, och om den föreslagna regleringen därigenom utgör en sådan precisering som innebär att dataskyddsförordningens artikel 17.3 d inte är tillämplig. En ovillkorlig rätt till radering av uppgifter som behandlas för ett arkivändamål av allmänt intresse skulle enligt myndigheten direkt motverka syftet med varför de behandlas och riskerar att långsiktigt undergräva arkiven. Även GIH, Linköpings universitet och Umeå universitet anser att det behövs ett förtydligande kring hur rätten till radering förhåller sig till skyldigheten att bevara uppgifterna enligt arkivlagen (1990:782).
Umeå universitet anför att det i promemorian har bedömts att samtycke inte bör vara den rättsliga grunden för verksamheten med forskningsdatabasen utan att den rättsliga grunden som åberopas är uppgift av allmänt intresse och att samtycke från den registrerade i stället ska ha funktionen av en integritetshöjande skyddsåtgärd. Universitetet framhåller att rätten till radering vid återkallande av samtycke inte gäller i en sådan situation och ser en risk för att samtycket som integritetshöjande åtgärd urholkas då uppgifter om den enskilde som lämnats ut till forskning inte kan raderas och uppgifter som ska arkiveras inte kan raderas.
Skälen för regeringens förslag: Den registrerades rätt till radering (rätt att bli bortglömd) framgår av artikel 17 i dataskyddsförordningen. Enligt denna bestämmelse har den registrerade rätt att få sina personuppgifter raderade om någon av ett antal uppräknade situationer föreligger. Rätten till radering gäller bl.a. om personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats, om den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det inte finns någon annan rättslig grund för behandlingen eller om den registrerade invänder mot behandlingen enligt artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre. Enligt artikel 17.3 gäller inte rätten till radering om behandlingen är nödvändig för något av ett antal uppräknade skäl, bl.a. bland annat om den är nödvändig för vetenskapliga eller historiska forskningsändamål i den utsträckning som rätten till radering sannolikt omöjliggör eller avsevärt försvårar att syftet med behandlingen uppnås. Den rätt till radering som föreslås i promemorian är alltså mer långtgående än vad som anges i artikel 17 i dataskyddsförordningen. EU:s dataskyddsförordning är direkt tillämplig i medlemsstaterna och en av avsikterna med förordningen är att skyddet för personuppgifter ska vara likvärdigt i alla medlemsstater (skäl 10). I artikel 89.2 regleras möjligheten att vid behandling för vetenskapliga forskningsändamål göra undantag från den registrerades rättigheter i nationell rätt. Bland de rättigheter som räknas upp där ingår inte rätten till radering enligt artikel 17. I LifeGene-lagen fanns tidigare en bestämmelse om den registrerades rätt att när som helst begära att personuppgifter om denne utplånades, vilket skulle ske enligt ett visst förfarande. Vid den anpassning av denna lag som skedde i samband med dataskyddsförordningens införande konstaterade regeringen att bestämmelsen om den registrerades rätt till utplåning avvek från vad som anges i den direkt tillämpliga dataskyddsförordningen och bedömde att denna del av bestämmelsen därför inte var förenlig med dataskyddsförordningen eftersom rätten till utplåning var ovillkorlig till skillnad från rätten till radering enligt artikel 17. Bestämmelsen om utplåning upphävdes därför (prop. 2017/18:298 s. 182-183). Även remissinstanser som Göteborgs universitet, Hjärt-Lungfonden och Örebro universitet har ifrågasatt att den i promemorian föreslagna rätten till radering är mer långtgående än rätten till radering i artikel 17 i dataskyddsförordningen. Det är enligt regeringens uppfattning inte klart att sådan ovillkorlig rätt till radering som föreslås i promemorian är möjlig att införa i nationell rätt.
Möjligheten till kontroll av forskning och utredning av oredlighet i forskning bör enligt regeringens uppfattning sannolikt inte påverkas i så stor utsträckning av om någon enstaka person begär radering men det går inte att bortse från att en rätt till radering, som Göteborgs universitet, Hjärt-Lungfonden, Stiftelsen Institutet för framtidsstudier, Riksarkivet och flera universitet framhåller, ändå skulle kunna försvåra replikationer och prövning av oredlighet i forskning.
Som Riksarkivet framhåller är vidare ett bärande syfte med arkivlagstiftningen och behandling av personuppgifter för arkivändamål att säkerställa samhällets behov av en långsiktig informationsförsörjning som garanterar innehåll, sammanhang och äkthet. Syftet med arkivbildningen är enligt arkivlagen (1990:782) att myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, och forskningens behov (3 §). Riksarkivet har meddelat föreskrifter och allmänna råd om gallring av handlingar i statliga myndigheters forskningsverksamhet (RA-FS 1999:1), där förutsättningarna för att gallring av handlingar i statliga myndigheters forskningsverksamhet ska få ske. Dessa föreskrifter ska lärosätena följa. En sådan ovillkorlig rätt till radering av uppgifter som föreslås i promemorian skulle enligt regeringens uppfattning kunna motverka syftet med arkivbildningen. Det undantag från rätten till radering som finns i artikel 17.3 d när behandlingen är nödvändig för arkivändamål av allmänt intresse i den utsträckning rätten till radering sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen, får enligt regeringens bedömning ses som resultatet av en avvägning som gjorts mellan intresset av bevarande för arkivändamål och den registrerades intresse av att kunna få uppgifterna raderade.
Mot denna bakgrund anser regeringen att en sådan bestämmelse med en ovillkorlig rätt för den registrerade att få uppgifter raderade som föreslagits i promemorian inte ska införas. En bestämmelse bör i stället enligt regeringens uppfattning inriktas på en registrerads rätt att återkalla sitt samtycke till att uppgifter om denne behandlas i forskningsdatabasen och att tydliggöra vad ett återkallande av samtycket innebär. Ett återtagande av samtycke ska enligt regeringens uppfattning innebära att uppgifter om den registrerade i framtiden inte får behandlas för att lämnas ut till forskningsprojekt. Det är som Göteborgs universitet anför en effektiv möjlighet för en registrerad att ta tillvara sina rättigheter. Som Göteborgs universitet, Hjärt-Lungfonden, Stiftelsen Institutet för framtidsstudier, Linköpings universitet, Mälardalens universitet, Stockholms universitet och Örebro universitet framhåller är det av vikt att replikationer och prövning av oredlighet i forskning kan ske och inte försvåras. En reglering ska inte heller, som Riksarkivet, GIH, Linköpings universitet och Umeå universitet tar upp, komma i konflikt med syftet med arkivbildningen. Arkivlagstiftningen ska följas av lärosätena. Uppgifterna om en registrerad som återkallat sitt samtycke ska inte raderas utan finnas kvar och kunna lämnas ut för ändamålet att utreda oredlighet i forskning i enlighet med de ändamål för personuppgiftsbehandlingen i forskningsdatabasen som föreslås. Uppgifterna ska bevaras i enlighet med arkivlagstiftningen, vilken tar hänsyn till forskningens behov. Gallring får ske i den omfattning som gäller enligt arkivlagstiftningen.
Att behandling av personuppgifter i forskningsdatabasen får ske under förutsättning att den registrerade har samtyckt till det är som angivits i avsnitt 7.1.1 enligt regeringens uppfattning ett sådant villkor för behandlingen som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är möjligt att ha i nationell rätt när grunden för behandlingen är att den är nödvändig för att utföra en uppgift av allmänt intresse. En bestämmelse som reglerar återkallande av ett lämnat samtycke bör enligt regeringens uppfattning ses som en del av villkoren för behandlingen och är därmed möjlig att införa.
Det kan som GIH, Lunds universitet och Mälardalens universitet pekar på, finnas svårigheter när det gäller att kunna radera uppgifter som lämnats ut från forskningsdatabasen till olika forskningsprojekt. En registrerad som väljer att återta sitt samtycke kan anse att det är tillräckligt och vara nöjd med att uppgifterna om denne därmed inte kommer att lämnas ut till och behandlas i något nytt framtida forskningsprojekt men att uppgifterna får fortsätta behandlas i forskningsprojekt de redan har lämnats ut till. Den registrerade kan också vilja att uppgifterna om denne ska upphöra att behandlas även i pågående forskningsprojekt som uppgifterna har lämnats ut till. Enligt artikel 17.2 finns en skyldighet för en personuppgiftsansvarig som offentliggjort personuppgifter och är skyldig att radera dessa att vidta rimliga åtgärder för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till kopior eller reproduktioner av dessa personuppgifter. Beträffande uppgifter som lämnats ut till forskningsprojekt skulle det i linje med detta kunna anges att den personuppgiftsansvarige ska underrätta de forskningsprojekt som uppgifterna har lämnats ut till om att den registrerade har återtagit sitt samtycke. Vad som gäller för de olika forskningsprojekten som uppgifter har lämnats ut till beträffande rättslig grund, samtycke för forskning som kräver etikgodkännande m.m. kan dock variera. Forskare i ett forskningsprojekt har att följa den reglering som gäller för information och samtycke och ofta kan det innebära en direkt kontakt med den registrerade så att den registrerade är väl medveten om att uppgifterna behandlas i projektet. Den registrerade har enligt den föreslagna lagen rätt att få information om vilka forskningsprojekt uppgifter har lämnats ut till. Om en registrerad inte längre vill vara med i ett forskningsprojekt så finns det alltså möjlighet för den registrerade att själv kontakta forskningsprojektet och begära att få avsluta sin medverkan. Registrerade kan ha olika önskemål när det gäller i vilka projekt uppgifter om honom eller henne ska eller inte ska få behandlas. Enligt regeringens bedömning är det en lämplig avvägning mellan å ena sidan vilken börda som läggs på forskningsutföraren och å andra sidan att underlätta för den registrerade att ange att om den registrerade begär det ska den personuppgiftsansvarige underrätta den personuppgiftsansvarige för de forskningsprojekt som uppgifterna har lämnats ut till om att den registrerade har återtagit sitt samtycke. Därefter får frågan om radering av uppgifterna om den registrerade i det pågående forskningsprojektet hanteras utifrån de förutsättningar som gäller för det aktuella forskningsprojektet och regleringen i dataskyddsförordningen.
Sammanfattningsvis föreslår därför regeringen att det i stället för den bestämmelse om rätt till radering som föreslagits i promemorian införs en bestämmelse om rätt till återtagande av ett lämnat samtycke i lagen. Bestämmelsen ska innebära att den registrerade har rätt att när som helst återta sitt samtycke till att dennes personuppgifter behandlas i en forskningsdatabas. Om den registrerade återtar sitt samtycke får uppgifter om den registrerade därefter inte behandlas för att lämnas ut till forskningsprojekt. Om den registrerade begär det ska den personuppgiftsansvarige underrätta de personuppgiftsansvariga för de forskningsprojekt som uppgifterna om den registrerade har lämnats ut till om att den registrerade återtagit sitt samtycke till behandling av uppgifter i forskningsdatabasen.
Personuppgifter som ska få behandlas i en forskningsdatabas
Uppgifter som ska få registreras i en forskningsdatabas
Regeringens förslag: I en forskningsdatabas ska det i fråga om personuppgifter bara få finnas
uppgifter som den registrerade har lämnat i syfte att de ska ingå i forskningsdatabasen,
uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i forskningsdatabasen,
uppgifter om, och resultatet från, undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen,
kontaktinformation till den registrerade,
kompletterande uppgifter om den registrerade som inhämtats från andra källor,
kategoriseringar av sådana uppgifter som avses i 1–5,
identitetsbeteckningar för de registrerade (kodnycklar eller motsvarande information för identifiering), och
uppgifter om utlämnande som har skett till forskning.
Regeringen ska få meddela föreskrifter om begränsningar av vilka personuppgifter som får behandlas i en forskningsdatabas.
Promemorians förslag överensstämmer i huvudsak med regeringens förslag. I punkt 1 i promemorians förslag anges att det ska vara fråga om uppgifter som den registrerade ”själv” har lämnat i syfte att de ska ingå i forskningsdatabasen. I punkt 3 finns inte ”och resultatet från” med. I punkt 5 finns inte ”om den registrerade” med. I promemorian föreslås vidare inget bemyndigande för regeringen att meddela föreskrifter om begränsningar av vilka personuppgifter som får behandlas i en forskningsdatabas. I stället föreslås en upplysningsbestämmelse om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om sådana begränsningar.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten och Socialstyrelsen.
Hjärt-Lungfonden anser att beskrivningen av vilka uppgifter som ska tillåtas i en forskningsdatabas är bra och heltäckande. Västra Götalandsregionen bedömer att beskrivningen av tillåtet innehåll ger nödvändig flexibilitet i de datamängder en forskningsdatabas får innehålla.
Etikprövningsmyndigheten anser att det är oklart vad som menas i den tredje punkten med ”uppgifter om undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen” och att det bör förtydligas om det är data från undersökningen som avses och inte själva undersökningen i sig. Myndigheten anför vidare att formuleringen i den femte punkten om ”kompletterande uppgifter som inhämtats från andra källor” kan behöva ses över för att uppnå en tydlighet i förhållande till de preciseringar som bestämmelsen i övrigt innehåller om vad som utgör tillåtet innehåll och att det är oklart vad som avses med ”uppgifter om utlämnande som har skett till forskning” i den åttonde punkten.
Sveriges Kommuner och Regioner (SKR) anser att den föreslagna regleringen inte är tillräcklig för att kunna komplettera forskningsdatabaser med uppgifter från regionala och nationella kvalitetsregister. SKR anför också att det är oklart vad som omfattas av den föreslagna formuleringen ”uppgifter om undersökningar” och vad ”andra källor” omfattar.
Läkemedelsindustriföreningen (Lif) anser att det är olyckligt att ändamålsbegränsningarna i patientdatalagen hindrar registerhållare från att lämna ut kompletterande uppgifter från kvalitetsregister till forskningsdatabaser. Lif föreslår därför att patientdatalagen kompletteras med ett sekundärt ändamål som omfattar den föreslagna regleringen av forskningsdatabaser så att dessa typer av register kan vara kompletterande datakällor till forskningsdatabaser.
Malmö universitet anser att ”kompletterande information som inhämtats från andra källor” riskerar att hamna i konflikt med principen om uppgiftsminimering i dataskyddsförordningen (artikel 5.1 c) och att det även kan bli problem att kunna garantera riktigheten i enlighet med dataskyddsförordningens artikel 5.1 d.
Flera remissinstanser, Biobank Sverige, Cancerfonden, Hjärt-lungfonden, Karolinska institutet (KI), Kungl. Tekniska högskolan, Linköpings universitet, Umeå universitet, Uppsala universitet och Örebro universitet anför att det är otydligt om biobanksprov kan knytas till en forskningsdatabas inom ramen för den föreslagna lagen och några av dessa instanser framhåller vikten av att kunna knyta biobanksprover till en forskningsdatabas. KI anför att det krävs etikgodkännande för hantering av biologiska prover i ett forskningsprojekt och att det krävs även om prover ska kunna få hanteras i en forskningsdatabas. Enligt biobankslagen krävs också etikgodkännande för att prover ska få samlas in, bevaras och användas för ändamål som avser forskning. KI anser att för det fall en forskningsdatabas ska kunna innehålla biologiska prover kan en lösning vara att ett tillägg införs i etikprövningslagen som möjliggör att biologiskt material utifrån ett brett vetenskapligt syfte kan få samlas in till en forskningsdatabas. Utan ett sådant tillägg är det i dag enligt institutet inte möjligt att bygga upp forskningsdatabaser innehållande biologiskt material. Uppsala universitet och Umeå universitet framför likande synpunkter. Eftersom promemorian ändå löser viktiga existerande problem vill dock Umeå universitet understryka att det är viktigt att införandet inte sinkas av utredning om förslag till utökning av tillämpningsområdet då sådana förslag kan tillkomma vid ett senare tillfälle.
Institutet för framtidsstudier konstaterar att lagförslaget innebär att forskare inte ska kunna inhämta uppgifter om en respondents biologiska släktingar utan deras informerade och uttryckliga samtycke. Institutet anför att söka informerat samtycke från ofta vuxna människors föräldrar och fråga dem om utbildning och yrke under respondentens uppväxt torde vara praktiskt ogenomförbart i de flesta fall och går emot principen om uppgiftsminimering. Lagförslaget skulle enligt institutet i stort sett omöjliggöra betydande forskningsområden som rör intergenerationella processer och relationer mellan individer inom familjer, vilket används inom sociologi och nationalekonomi för demografiska studier. Institutet anser att grundprincipen bör vara att forskare får ta in information om biologiska släktingar till en registrerad i forskningsdatabasen och att frågan om det kan finnas undantag för viss typ av uppgifter om biologiska släktningar som inte bör tillåtas (t.ex. känsliga uppgifter som hälsa, brott, eller politiska preferenser) bör utredas.
Statistiska centralbyrån (SCB) uppfattar att kompletterande uppgifter som samlas in från andra källor inte får avse andra personer än den registrerade. Eftersom forskare ofta vill ta del av t.ex. socioekonomiska faktorer där det ingår uppgifter om hushållsmedlemmars och föräldrars inkomst, utbildning och yrke bedömer SCB att det behöver förtydligas i lagen att även sådana kompletterande uppgifter ska avse den registrerade. SCB framhåller vidare att utredningen inte fört något resonemang om forskningsdatabaser som består av företagsuppgifter. SCB anser att eftersom uppgifter om enskilda firmor utgör personuppgifter bör även behandling av sådana uppgifter omfattas av lagens tillämpningsområde.
Lunds universitet framhåller att promemorian mer ingående hade behövt kommentera integritetsskyddet och forskningsmöjligheterna avseende uppgifter som härrör från vuxna personer med nedsatt beslutskapacitet som innebär att de inte kan ta ställning till forskningen. Statens medicinsk-etiska råd (Smer) förordar att det i den fortsatta beredningen övervägs om det under vissa förutsättningar ska kunna gå att samla in uppgifter till forskningsdatabaser från personer som saknar tillräcklig beslutsförmåga på grund av sjukdom, psykisk störning eller liknande, så att värdefull forskning även om dessa patientgrupper kan utföras. Uppsala universitet anser att det bör möjliggöras att inkludera beslutsoförmögna personer i forskningsdatabasen och föreslår att de regler som finns i etikprövningslagen gällande forskning utan samtycke (19–22 §§) bör få en parallell tillämpning genom lagen. Myndigheten för vård och omsorgsanalys framhåller också det som en brist att den nya lagen inte innehåller några bestämmelser som möjliggör insamling av uppgifter om människor som inte kan lämna ett fullt informerat samtycke till behandlingen och att frågan inte heller berörs i promemorian i övrigt. Detta riskerar enligt myndigheten att allvarligt begränsa möjligheterna till forskning om bland annat demenssjukdomar.
Biobank Sverige anser att det bör förtydligas att lagen i tillämpliga delar även gäller uppgifter om avlidna personer. KI ställer frågan hur man bör förfara med inhämtande av kompletterande historiska uppgifter rörande registrerade som har avlidit samt möjlighet att samla in data för uppföljning vad avser dödsfall och dödsorsaker. Vidare frågar institutet om uppgifter om avlidna bör raderas ur forskningsdatabasen eller om de kan få finnas kvar då de inte längre utgör personuppgifter. Möjligheten att göra retrospektiva studier samt att inhämta information i samband med dödsfall är enligt institutet centralt för epidemiologisk/medicinsk forskning. Även Region Kalmar län anser att det finns en viss otydlighet i promemorian om hur data och ny inhämtning av information från olika datakällor kan genomföras efter att den registrerade har avlidit och då den avlidne inte längre kan lämna sitt samtycke till sambearbetning.
Som framgår av avsnitt 3 har vissa myndigheter, bl.a. KI, under hand fått lämna synpunkter på ett utkast till lagrådsremiss vars förslag överensstämmer med förslaget i rutan, med den skillnaden att punkten 1 i utkastet hade lydelsen "uppgifter som den registrerade själv har lämnat i syfte att de ska ingå i forskningsdatabasen”. KI anför att det är oklart vad ” uppgifter som den registrerade själv har lämnat i syfte att de ska ingå i forskningsdatabasen” betyder i förhållande till uppgifter som lämnats av ett barns vårdnadshavare.
Skälen för regeringens förslag
Varifrån kan uppgifterna som behandlas i en forskningsdatabas komma?
Liksom i LifeGene-lagen bör det i den föreslagna lagen finnas en bestämmelse som anger vilka personuppgifter som får finnas i en forskningsdatabas som förs med stöd av lagen. Bestämmelsen bör utformas så att den på ett heltäckande sätt anger från vilket underlag personuppgifter i forskningsdatabasen får hämtas.
Lagen ska tillämpas på forskningsdatabaser där insamling och registrering av personuppgifter sker med den registrerades frivilliga medverkan. Den behandling av personuppgifter som kommer att ske i forskningsdatabaserna som omfattas av lagen ska alltså primärt bygga på frivilligt deltagande från den registrerade, där insamling av uppgifter sker direkt från den enskilde eller annars med dennes medverkan.
I avsnitt 6.3.3 har regeringen anfört att det finns skäl att, utöver insamling direkt från enskilda individer, också tillåta kompletterande insamling från andra källor till forskningsdatabaserna. Uppgifterna som behandlas i en forskningsdatabas kan därför också komma från myndighetsregister eller andra källor.
Uppgifter som den registrerade har medverkat till
Forskningsdatabaserna ska primärt bygga på den registrerades frivilliga deltagande och uppgifter som denne frivilligt lämnar. I promemorian föreslås att de uppgifter som bör få registreras till att börja med är uppgifter som den registrerade själv har lämnat i syfte att de ska ingå i forskningsdatabasen. Det kan t.ex. vara svar på enkäter eller intervjuer med den registrerade. KI anför att det är oklart vad ”uppgifter som den registrerade själv har lämnat” betyder i förhållande till uppgifter som lämnats av ett barns vårdnadshavare. När det gäller barn konstaterar regeringen i avsnitt 7.1.3 att bestämmanderätten i frågor som rör barn regleras i föräldrabalken samt att ett barns vårdnadshavare enligt balken har rätt och skyldighet att bestämma i barnets personliga angelägenheter (6 kap. 11 § föräldrabalken). Barnets vårdnadshavare ska dock i takt med barnets stigande ålder och utveckling ta allt större hänsyn till barnets synpunkter och önskemål (6 kap. 13 § föräldrabalken). Med uppgifter som lämnats av den registrerade avses således även uppgifter om en minderårig som lämnats av hans eller hennes vårdnadshavare. För att undvika missförstånd anser regeringen att det i lagtexten, till skillnad från vad som anges i promemorian, ska anges att det handlar om ”uppgifter som den registrerade har lämnat”, inte om uppgifter som den registrerade lämnat själv. Som SCB anför omfattas även uppgifter om en enskild firma av definitionen av personuppgifter i dataskyddsförordningen eftersom innehavaren av en sådan firma alltid är en enda fysisk person. En registrerad kan alltså medverka till att även uppgifter om enskild firma registreras.
I en forskningsdatabas bör även uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i forskningsdatabasen få registreras. Med upptagningar avses bild- och ljudinformation som avser en person, exempelvis röntgenbilder.
Till en forskningsdatabas som omfattas av den föreslagna lagen kommer det vidare ofta att finnas ett behov av att koppla prover som den registrerade vid en undersökning frivilligt har lämnat för analys och senare registrering av analysresultaten i syfte att det ska ingå i forskningsdatabasen. Även uppgifter om sådana undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen bör få behandlas i forskningsdatabasen. Med undersökningar avses bl.a. mätningar av försökspersonernas fysiologiska egenskaper, t.ex. syn, hörsel, lungfunktion eller blodtryck, eller mentala egenskaper. Som utvecklas i avsnitt 7.2.2 ovan ska dock särskilda begränsningar gälla i fråga om genetiska uppgifter.
Vid undersökningar kan prover med biologiskt material från en människa tas. Med uppgifter om undersökningar avses t.ex. vilka undersökningar och analyser som gjorts och administrativa uppgifter om bl.a. tillfället för undersökningen, mängden material i ett prov, hur det är märkt och på vilken plats det förvaras. Däremot avses inte själva provet med biologiskt material. För att förtydliga detta bör som Etikprövningsmyndigheten anfört bestämmelsen förtydligas så att det framgår att det är uppgifter om, och resultatet från, undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen, som får registreras. Regeringen återkommer till frågan om att knyta biobanksprover till en forskningsdatabas i slutet av detta delavsnitt.
Kompletterande uppgifter från andra källor
Regeringen gör bedömningen att det finns skäl att, utöver insamling direkt från enskilda individer, också tillåta en kompletterande insamling av uppgifter om den registrerade från andra källor. Sådan kompletterande insamling som i första hand kan vara aktuell är s.k. registerlänkning, dvs. att kompletterande uppgifter om den registrerade inhämtas från olika myndighetsregister eller andra källor. Den personuppgiftsansvarige för en forskningsdatabas har att följa de allmänna principerna för personuppgiftsbehandling i artikel 5 i EU:s dataskyddsförordning, bl.a. principen om uppgiftsminimering. Enligt artikel 5.1 c ska uppgifter som behandlas vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. När det gäller forskningsdatabaser som omfattas av lagen handlar det om att skapa underlag för och lämna ut uppgifter till framtida forskningsprojekt inom det eller de forskningsområden som angivits för forskningsdatabasen. En kompletterande insamling kan höja kvaliteten och det vetenskapliga värdet av och bredda användningsområdet för en viss forskningsdatabas inom ramen för det angivna forskningsområdet. En möjlighet till sådan insamling kan vidare innebära en effektivitetsvinst för forskningen på vissa områden. Som Forte, Svenska läkaresällskapet, KI och Vetenskapsrådet framhåller krävs omfattande bearbetningar av informationen vid användning av data från flera olika myndigheter. Vetenskapsrådet anför att sådana forskningsdatabaser som innehåller uppgifter från både den registrerade själv och från andra datakällor består av förfinade informationssamlingar som antingen genom kvalitetssäkring av informationen, sammanförande av olika delinformationsmängder, förseende med tillkommande metadata och/eller genomtänkt struktur utgör viktiga och unika datakällor som inte kan replikeras genom att begära ut data från ursprungskällorna. Forskningsdatabaser som innehåller sådana kompletterande uppgifter kan således utgöra en mer användbar resurs för viss forskning än om databasen endast innehåller de personuppgifter som den registrerade själv bidrar med. En kompletterande insamling av uppgifter från andra källor än den registrerade kan alltså vara till gagn för den registerbaserade forskning som bedrivs med hjälp av forskningsdatabaserna. Regeringen anser därför att det bör vara möjligt att i forskningsdatabaserna behandla kompletterande uppgifter om den registrerade som inhämtats från andra källor än den registrerade. Den komplettering som tillåts ska handla om ett behov som är kopplat till att öka kvaliteten i och det vetenskapliga värdet av forskningsdatabasen i syfte att forskningsdatabasen ska bli ett användbart underlag för forskning. Som framgår av avsnitt 6.3.3 föreslås att det ska vara ett krav för att få föras enligt lagen att forskningsdatabasen ska vara av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv.
Med beaktande av ovanstående anser regeringen, till skillnad från Malmö universitet, inte att den föreslagna möjligheten att komplettera de uppgifter som samlats in direkt från de registrerade med uppgifter från andra källor riskerar att hamna i konflikt med principen om uppgiftsminimering i dataskyddsförordningen (artikel 5.1 c).
Malmö universitet anser även att det kan bli problem att kunna garantera riktigheten i de registrerade uppgifter i enlighet med dataskyddsförordningens artikel 5.1 d. Regeringen delar inte heller denna uppfattning. Den personuppgiftsansvarige för forskningsdatabasen är ansvarig för att de grundläggande principerna för behandling av personuppgifter i artikel 5 i dataskyddsförordningen, bl.a. principen om riktighet, följs. Med riktighet avses att uppgifterna ska vara korrekta och om nödvändigt uppdaterade samt att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Den registrerades rätt till rättelse behandlas i avsnitt 7.1.5. Som framgår där föreslår regeringen inte att det görs något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål i enlighet med den möjlighet till nationell reglering som finns i artikel 89.2 i dataskyddsförordningen. Regeringen bedömer i stället att det ligger i huvudmannens för forskningsdatabasen intresse att se till att forskningsdatabasen baseras på korrekta uppgifter för att fylla syftet att utgöra ett underlag till etikgodkända forskningsprojekt så att de resultat som forskningen genererar ska bli rättvisande.
Som framgår av avsnitten 7.1.2 och 7.1.4 ska en kompletterande insamling av uppgifter om den registrerade inte kunna ske utan den registrerades kännedom om och kontroll över de uppgifter som samlas in på den vägen. Den enskilde har vidare en rätt att vid behov be om rättelse av uppgifterna. Även de kompletterande uppgifterna bör vara uppgifter om de registrerade och inte om andra personer än de som givit sitt samtycke till att medverka till forskningsdatabasen. Om personuppgifter om andra personer än den som samtyckt till att medverka i forskningsdatabasen, t.ex. biologiska släktingar som Institutet för framtidsstudier tar upp, skulle få registreras skulle personuppgifter om dem komma att registreras utan deras kännedom och möjlighet till kontroll över hur uppgifterna behandlas. Detta skulle enligt regeringens bedömning inte vara förenligt med grundtanken med regleringen och inte med dataskyddsförordningens bestämmelser. Personuppgifter om andra personer än den som samtyckt till att medverka i forskningsdatabasen bör därför inte, i motsats till vad institutet anser, få behandlas i en forskningsdatabas utan deras informerade och uttryckliga samtycke. Som SCB framhåller bör ett förtydligande göras i bestämmelsen om tillåtet innehåll i en forskningsdatabas så att det tydligt framgår att även kompletterande personuppgifter från andra källor endast får avse den registrerade.
Det är här viktigt att skilja mellan uppgifter om andra personer och personuppgifter, i dataskyddsförordningens mening, som avser andra. I verksamheter med forskningsdatabaser förekommer det och det kommer att förekomma uppgifter om andra personer än den som samtyckt till att medverka i forskningsdatabasen. Det kan handla om biologiska eller andra släktingar och anhöriga eller andra bipersoner. Sådana uppgifter kan t.ex. förekomma i svar som den registrerade lämnar på en enkät där frågor ställs om familje- och uppväxtförhållanden. Med personuppgifter avses dock som nämnts i avsnitt 7.1.1 varje upplysning som avser en identifierad eller identifierbar fysisk person (artikel 4.1). Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. När det bedöms om en fysisk person är identifierbar bör man beakta alla hjälpmedel som med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas bör man beakta faktorer som kostnader och tidsåtgång för identifiering, tillgänglig teknik och teknisk utveckling (skäl 26). Regeringen bedömer att det krävs att ytterligare uppgifter inhämtas för att en biperson som t.ex. omnämns i ett svar på en enkät ska kunna identifieras och uppgifterna ska kunna knytas till den personen. Att personuppgifter om andra personer än den som samtyckt till att medverka i forskningsdatabasen inte får behandlas i en forskningsdatabas utan deras informerade och uttryckliga samtycke innebär att sådana andra uppgifter som krävs för att en biperson ska kunna identifieras i en forskningsdatabas inte får registreras utan den personens samtycke. Om bipersonen inte är identifierbar genom uppgifterna är det inte fråga om personuppgifter om den personen. Om däremot bipersonen kan identifieras blir även den personen att se som registrerad och samtycke krävs för att uppgifter om denna ska få registreras i forskningsdatabasen. Den personuppgiftsansvarige ansvarar för att den föreslagna lagen följs i verksamheten. Som framgår av avsnitt 7.1.1 kan dock enligt den föreslagna lagen personuppgifter behandlas i en verksamhet med en forskningsdatabas utan den enskildes samtycke för rekrytering till forskningsdatabasen. Som anges i samma avsnitt kan personer vid rekrytering tillfrågas om de vill ingå i forskningsdatabasen och, om de tackar nej till detta, om de vill ingå i bortfallsanalyser. Om en person svarar nej på båda frågorna får personens uppgifter inte behandlas vidare i verksamheten med databasen.
När det gäller uppgifter i kvalitetsregister inom hälso- och sjukvården får sådana uppgifter enligt patientdatalagen behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 4 §). Uppgifter som behandlas för dessa ändamål får också behandlas för vissa sekundära ändamål, bl.a. antalsberäkning inför klinisk forskning, forskning inom hälso- och sjukvården och utlämnande till den som ska använda uppgifterna för bl.a. sådan forskning (7 kap. 5 §). Uppgifterna kan således lämnas ut för att användas i forskningsprojekt inom hälso- och sjukvården. Uppgifterna får inte behandlas för några andra ändamål än de som anges i dessa bestämmelser (7 kap. 6 §). Det finns inte något beredningsunderlag för att, som SKR och Lif anser, inom ramen för detta lagstiftningsärende lämna författningsförslag gällande patientdatalagen som skulle öppna upp för att forskningsdatabaserna ska kunna kompletteras med uppgifter från kvalitetsregistren. Däremot kommer det att vara möjligt att ansöka om ett etikgodkännande enligt etikprövningslagen för att i ett forskningsprojekt behandla uppgifter från såväl en relevant forskningsdatabas som från kvalitetsregistren.
Övriga uppgifter som ska få registreras
Utöver det angivna bör kategoriseringar av uppgifterna, kontaktinformation till den registrerade och identitetsbeteckningar för de registrerade (s.k. kodnycklar eller motsvarande information för identifiering) få registreras.
Som utvecklas i avsnitt 7.1.4 ska den registrerade ha rätt att på begäran få information om till vilka forskningsprojekt uppgifter om denne har lämnats ut från forskningsdatabasen. Den registrerade ska också innan denne lämnar samtycke till att personuppgifter om denne behandlas i en forskningsdatabas, informeras om denna rätt. För att tillgodose den registrerades rätt att på begäran kunna få denna information behöver slutligen även uppgifter om utlämnande som har skett till forskning få registreras i forskningsdatabasen.
Personer som saknar tillräcklig beslutsförmåga
Flera remissinstanser ser det som en brist att promemorian inte behandlar möjligheten att i forskningsdatabaserna inkludera uppgifter om personer som saknar tillräcklig beslutsförmåga och som därför inte har möjlighet att medverka och lämna ett samtycke till behandling av personuppgifter i forskningsdatabasen. Forskning där uppgifter om personer som saknar tillräcklig beslutsförmåga kan användas är, som Myndigheten för vård och omsorgsanalys framhåller, viktig för bl.a. forskning om demenssjukdomar. Att rättsläget är otillfredsställande har vid flera tillfällen påtalats av myndigheter, företrädare för berörda professioner, patientorganisationer och enskilda medborgare. Det är, å ena sidan, från samhällelig synpunkt mycket viktigt att det skapas möjligheter att genom forskning utveckla ny kunskap som ytterst kan komma enskilda till godo. Mot detta intresse ska ställas de risker som forskningen kan innebära för de deltagande personernas hälsa, säkerhet och personliga integritet eller för kränkning i övrigt av deras människovärde. Utredningen om beslutsoförmögna personers ställning i vård, omsorg och forskning (S 2012:06) hade i uppdrag att lämna förslag till en reglering avseende vuxna som, p.g.a. att de helt eller delvis inte kan fatta egna beslut, saknar möjlighet att fullt ut vara delaktiga eller på annat sätt utöva sitt självbestämmande i situationer då detta förutsätts inom hälso- och sjukvård, tandvård eller forskning. Utredningens förslag har endast i mindre omfattning lett till lagstiftning på området. Enligt regeringens uppfattning bör frågan om beslutsoförmögnas ställning i forskning och möjligheten att använda uppgifter om dessa personer för forskning hanteras i ett större sammanhang och mer generellt när det gäller forskningen och inte enbart i ett lagstiftningsprojekt som rör långsiktig reglering av vissa forskningsdatabaser. Det finns inte heller ett beredningsunderlag för att hantera frågan inom ramen för detta lagstiftningsprojekt.
Uppgifter om avlidna
Några remissinstanser, bl.a. Karolinska institutet och Region Kalmar, tar upp frågan om uppgifter om registrerade som avlidit fortsatt kan hanteras i en forskningsdatabas och i vad mån t.ex. kompletterande uppgifter kan samlas in för att följa upp dödsfall och dödsorsak. Den föreslagna lagen ska komplettera EU:s dataskyddsförordning. EU:s dataskyddsförordning gäller inte behandling av personuppgifter rörande avlidna personer och definitionen av personuppgifter avser bara levande fysiska personer. Det är dock tillåtet för medlemsstaterna att fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer (skäl 27). Det är alltså möjligt att i nationell rätt ta in bestämmelser som reglerar behandling av uppgifter som rör avlidna. I promemorian föreslås dock inte någon sådan reglering.
Behovet av att fortsatt behandla uppgifter om avlidna i forskningsdatabaserna bedöms variera beroende på det forskningsändamål som forskningsdatabasen ska skapa underlag för och lämna ut uppgifter till. Regeringen bedömer dock att det i många fall är värdefullt att kunna ha kvar och komplettera uppgifter om avlidna i forskningsdatabasen för att t.ex. följa upp dödsfall och dödsorsak. Eftersom den föreslagna lagen kompletterar EU:s dataskyddsförordning, som inte gäller för avlidna personer, skulle lagen inte gälla uppgifter om avlidna om det inte särskilt angavs. Regeringen anser, till skillnad från Biobank Sverige, inte att behandlingen av uppgifter om avlidna ska regleras i den föreslagna lagen utom när det gäller vissa bestämmelser om utlämnande av uppgifter till en forskningsdatabas och en bestämmelse om tystnadsplikt för uppgifter som mottagits från en forskningsdatabas som bör införas i lagen (se avsnitt 8.1.1, 8.1.3, 8.1.4 och 10.4). Att dessa bestämmelser också ska omfatta avlidna har samband med att huvudmannen för forskningsdatabasen kan vilja komplettera uppgifter om avlidna med uppgifter om samma personer från register hos andra myndigheter som omfattas av s.k. statistiksekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, och att hänsyn då måste tas till vilka möjligheter dessa myndigheter har att lämna ut uppgifter till en forskningsdatabas. Bestämmelser om sekretess i OSL till skydd för uppgifter om enskilda omfattar såväl personuppgifter som uppgifter om avlidna, även om sekretesskyddet är svagare för avlidna än för levande personer. För att dels skydda registrerades personliga integritet i verksamheter med forskningsdatabaser, dels underlätta uppgiftslämnande från statistikansvariga myndigheter till forskningsdatabaser föreslås i avsnitt 8.1.1 och 10.3 dels att det i OSL ska föras in en bestämmelse om sekretess i verksamhet som avser förande av eller uttag ur en forskningsdatabas, dels att det i den nya lagen ska införas en bestämmelse som innebär att utlämnande av uppgifter från en forskningsdatabas till ett forskningsprojekt bara får ske till fysiska eller juridiska personer som tillämpar OSL eller till fysiska personer som omfattas en i avsnitt 10.4 föreslagen bestämmelse om tystnadsplikt i den nya lagen. Det föreslås vidare i avsnitten 10.3 en bestämmelse i OSL om överföring av sekretess vid utlämnande av uppgifter från en verksamhet som avser förande av eller uttag ur en forskningsdatabas. Den ovan nämnda tystnadspliktsbestämmelsen i den nya lagen innebär att en enskild forskningshuvudman som är en fysisk person eller den som är eller har varit verksam hos en enskild forskningshuvudman som är en juridisk person som inte anges i bilagan till OSL, inte obehörigen får röja vad denne har fått veta om enskilds personliga förhållanden genom personuppgifter eller uppgifter om avlidna som mottagits från en forskningsdatabas. Även vissa andra bestämmelser i den nya lagen som avser utlämnande av uppgifter från en forskningsdatabas föreslås gälla för utlämnande av såväl personuppgifter som uppgifter om avlidna (se avsnitt 8.1.3, 8.1.4. och 8.2.2). Slutligen föreslås i avsnitt 10.5 att det i OSL ska införas en bestämmelse som reglerar utlämnande av uppgifter om enskildas personliga förhållanden som omfattas av s.k. statistiksekretess till forskningsdatabaser som förs med stöd av den föreslagna lagen. Det sagda innebär att bestämmelserna i den nya lagen om utlämnande av uppgifter från en forskningsdatabas och tystnadspliktbestämmelsen kommer att ha ett vidare tillämpningsområde än bestämmelserna i lagen i övrigt, vilka endast avser behandling av personuppgifter. Som anges i avsnitt 6.3.3 ska detta framgå dels av en bestämmelse om lagens tillämpningsområde, dels av de aktuella bestämmelserna om utlämnande av uppgifter och om tystnadsplikt.
Som utvecklas i avsnitt 8.1.2 ska en förutsättning för att personuppgifter ska få lämnas ut från en forskningsdatabas vara att både forskningen och behandlingen av personuppgifter har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, om forskningen omfattas av den lagens krav på etikprövning. Som nämnts ovan är uppgifter om avlidna inte personuppgifter varför det inte behövs etikgodkännande enligt etikprövningslagen när det är fråga om uppgifter om avlidna.
Möjligheten att knyta biobanksprover till forskningsdatabaser
Flera remissinstanser har framhållit vikten av att kunna knyta till forskningsdatabaser som omfattas av lagen. Biobankslagen (2023:38) är tillämplig om någon samlar in humanbiologiskt material för att använda det inom exempelvis sjukvården, för forskning eller produktutveckling, oavsett vilken myndighet eller vilket företag som samlar in materialet. Lagen är alltså tillämplig även för ett universitet eller en högskola som samlar in material (prop. 2021/22:257 s. 36). Prover får samlas in till och bevaras i en biobank för bl.a. ändamålet forskning och ett prov ur en biobank får också användas bl.a. för ändamålet forskning (2 kap. 5 §). För att prover ska få samlas in, bevaras och användas för sådan forskning som inte avser klinisk läkemedelsprövning krävs godkännande vid etikprövning av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning. Ett prov får vidare bara användas för annan forskning än den som prövats och godkänts om myndigheten eller nämnden godkänner det (2 kap. 6 §). I förarbetena till biobankslagen har regeringen ansett att definitionen av forskning i etikprövningslagen bör tjäna som utgångspunkt för detta begrepp även i biobankslagen (prop. 2021/22:257 s. 41). Forskning definieras i etikprövningslagen som vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå. Enligt 4 § etikprövningslagen ska lagen tillämpas bl.a. på forskning som avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa. Forskningen får bara utföras om den har godkänts vid etikprövning. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning (6 §). Kravet på etikprövning kan alltså endast knytas till ett konkret forskningsprojekt.
Den numera upphävda lagen (2002:297) om biobanker i hälso- och sjukvården m.m. var tillämplig på en biobank som inrättats i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet, oavsett var materialet förvarades (1 kap. 3 §). LifeGene-registrets biobank inrättades av ett universitet och inte i någon vårdgivares hälso-och sjukvårdsverksamhet. Därför var den numera upphävda biobankslagen inte tillämplig på LifeGene-verksamheten (prop. 2012/13:163 s. 20). LifeGene-lagen förutsätter dock att biobanksprover kan samlas in, bevaras och användas. Detta bör enligt regeringens mening också gälla för den nya regleringen av forskningsdatabaser. I den nya biobankslagen har tillämpningsområdet emellertid utvidgats så att den ska vara tillämplig på identifierbara prover som samlas in och bevaras i en biobank, eller som används, för ändamålen vård och behandling eller andra medicinska ändamål i en vårdgivares verksamhet, forskning, produktframställning, samt utbildning, kvalitetssäkring eller utvecklingsarbete inom någon av dessa uppräknade verksamheter. Lagen kommer med detta tillämpningsområde att omfatta all existerande hantering av biobanksprover som inte täcks, och även i framtiden bör täckas, av annan lagstiftning (jfr prop. 2021/22:257 s. 36).
Regleringen i den nuvarande biobankslagen och i etikprövningslagen innebär således att det är möjligt att samla in prover från människor till en biobank i specifika forskningsprojekt men enligt regeringens bedömning inte att samla in prover i en biobank för sådana forskningsdatabaser som omfattas av den föreslagna lagen. Med forskning enligt dessa lagar avses inte verksamhet med forskningsdatabaser där uppgifter samlas in för att kunna användas i olika framtida forskningsprojekt utan, som ovan angetts, den definition av forskning som finns i etikprövningslagen. Enligt den föreslagna lagen kan den registrerade samtycka till att analyser av biologiska prover från denne tillförs forskningsdatabasen även om själva vävnadsprovet inte omfattas av lagen. Regeringen delar remissinstansernas bedömning att det finns ett behov av att kunna knyta en biobank med nya prover som samlas in från registrerade till sådana forskningsdatabaser som omfattas av den föreslagna lagen. Det saknas dock beredningsunderlag för att inom ramen för detta lagstiftningsprojekt lämna sådana författningsförslag som skulle göra detta möjligt. I likhet med Umeå universitet bedömer regeringen att förslagen i denna proposition ändå löser viktiga existerande problem och anser att det är viktigt att införandet av den föreslagna regleringen inte nu fördröjs av att avvakta en utredning rörande möjligheten att knyta biobanker till forskningsdatabaser. Regleringen bör införas och tills vidare får insamling av prover till biobanker ske inom etikgodkända projekt. Regeringen hörsammar dock remissinstansernas synpunkter om vikten av att kunna knyta biobanksprover – utöver uppgifter om och resultatet från sådana prover – till en forskningsdatabas och överväger därför att ge en särskild utredare i uppdrag att utreda förutsättningarna för att så ska kunna ske.
Regeringen ska få meddela föreskrifter om begränsningar av vilka personuppgifter som får behandlas i en forskningsdatabas
Den förslagna beskrivningen av vilka kategorier av personuppgifter som får registreras i en forskningsdatabas, eller närmare bestämt från vilka källor de får hämtas in, bör utformas så att den nya lagen ska kunna uppfylla sitt syfte att vara en ramlag som är flexibel nog att kunna gälla för forskningsdatabaser med sinsemellan olika behov och uppbyggnad. Beskrivningen bör utgöra ett ”tak” för vilka slags uppgifter som får samlas in. Under detta ”tak” bör regeringen vid behov kunna meddela föreskrifter som begränsar utrymmet för specifika forskningsdatabaser när det gäller vilka personuppgifter som får behandlas i forskningsdatabasen.
Regeringen föreslår således att det av lagen ska framgå att det i en forskningsdatabas i fråga om personuppgifter bara ska få finnas uppgifter som den registrerade har lämnat i syfte att de ska ingå i forskningsdatabasen, uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i forskningsdatabasen, uppgifter om, och resultatet från, undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen, kontaktinformation till den registrerade, kompletterande uppgifter om den registrerade som inhämtats från andra källor, kategoriseringar av ovan nämnda uppgifter, identitetsbeteckningar avseende de registrerade (kodnycklar eller motsvarande information för identifiering), och uppgifter om utlämnande som har skett till forskning.
Såsom anförts i avsnitt 6.3.4 kommer lagen om vissa forskningsdatabaser att kunna gälla inte bara statliga lärosäten utan också enskilda utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen om tillstånd att utfärda vissa examina. Regleringen bedöms därför innebära en skyldighet för enskilda enligt 8 kap. 2 § första stycket 2 regeringsformen varför bemyndiganden i lag behövs för att andra anslutande föreskrifter än verkställighetsföreskrifter ska kunna meddelas av regeringen. Regeringen föreslår därför att bestämmelsen om vilka personuppgifter som får registreras i en forskningsdatabas ska kompletteras med ett bemyndigande för regeringen att meddela föreskrifter om begränsningar av vilka personuppgifter som får behandlas i en forskningsdatabas.
Känsliga personuppgifter och uppgifter om lagöverträdelser
Regeringens förslag: Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g och j i EU:s dataskyddsförordning behandlas i verksamheten med en forskningsdatabas om det är nödvändigt för de primära och sekundära ändamålen för behandlingen av personuppgifter enligt lagen.
Genetiska uppgifter och personuppgifter om lagöverträdelser får bara behandlas i en forskningsdatabas om regeringen har meddelat föreskrifter om det.
Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att genetiska uppgifter och personuppgifter om lagöverträdelser ska få finnas i en forskningsdatabas bara om regeringen har meddelat föreskrifter om det. Det görs bedömningen att behandlingen av känsliga personuppgifter i de forskningsdatabaser som omfattas av ramlagen kan ske med stöd av artikel 9.2 g och j i EU:s dataskyddsförordning och att det därför inte finns skäl att utöver begränsningen i fråga om genetiska uppgifter särreglera behandling av känsliga personuppgifter för att det ska vara tillåtet att sådana uppgifter finns i en forskningsdatabas.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Detta gäller bl.a. Statens medicinisk-etiska råd (Smer).
Malmö universitet anser att bestämmelsen om att genetiska uppgifter och personuppgifter om lagöverträdelser bara får finnas i en forskningsdatabas om regeringen meddelat föreskrifter om det innebär ett mycket högre skydd än för känsliga personuppgifter som omfattas av artikel 9 i dataskyddsförordningen och att detta bör motiveras.
Integritetsskyddsmyndigheten (IMY) anser att avsaknaden av särskilda kompletterande bestämmelser om behandling av känsliga personuppgifter kan medföra en osäkerhet när det gäller det rättsliga stödet för en sådan behandling, särskilt som författningsförslagen i övrigt är så pass heltäckande. IMY anser därför att även behandling av känsliga personuppgifter bör regleras särskilt i författning, där det tydligt bör framgå med stöd av vilket undantag i artikel 9.2 i dataskyddsförordningen som behandlingen får ske. En sådan bestämmelse kan enligt IMY exempelvis utformas som den i 2 kap. 7 a § patientdatalagen (2008:355).
Skälen för regeringens förslag
Behandlingen av känsliga personuppgifter bör regleras i lagen
I avsnitt 6.3.5 har regeringen, i likhet med promemorian, gjort bedömningen att den behandling av känsliga personuppgifter som kommer att behöva ske i forskningsdatabaser som omfattas av den föreslagna lagen kan ske med stöd av undantagen i artikel 9.2 g och 9.2 j i EU:s dataskyddsförordning. I den föreslagna lagen föreslås dock bestämmelser som på en detaljerad nivå reglerar villkoren för personuppgiftsbehandlingen i forskningsdatabaser som omfattas av lagen. Som IMY anför kan det rättsliga stödet för att behandla känsliga personuppgifter i forskningsdatabaserna framstå som oklart om lagen inte innehåller någon bestämmelse som reglerar behandling av sådana uppgifter. Regeringen anser därför att lagen bör innehålla en sådan bestämmelse. IMY har föreslagit att en sådan bestämmelse exempelvis kan utformas som den i 2 kap. 7 a § patientdatalagen (2008:355). Enligt den bestämmelsen får känsliga personuppgifter behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt. I nu aktuellt fall är det dock andra delar av artikel 9.2 som är aktuella, nämligen artikel 9. 2 g och j, varför regeringen anser att det bör införas en bestämmelse i ramlagen som har innebörden att personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g och j i EU:s dataskyddsförordning behandlas i verksamheten med en forskningsdatabas om det är nödvändigt för de primära och sekundära ändamål som anges i ramlagen.
De primära ändamålen som föreslås anges i ramlagen är, som framgår av avsnitt 6.3.7, att skapa underlag för flera framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden och lämna ut uppgifter dels till sådana forskningsprojekt, dels till forskningsprojekt inom för forskningsdatabasen angivna forskningsområden även om projekten redan påbörjats innan forskningsdatabasen inrättats. Regeringen avser att i förordning meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till. Av artikel 9.2 j i EU:s dataskyddsförordning följer att en behandling av känsliga personuppgifter är tillåten om behandlingen är nödvändig för bl.a. vetenskapliga forskningsändamål. Detta innebär att behandlingen av känsliga personuppgifter i en forskningsdatabas ska vara nödvändig för det forskningsändamål som angivits för forskningsdatabasen, dvs. det eller de forskningsområden som regeringen har angivit i föreskrifter för forskningsdatabasen. I detta ingår bl.a. att samla in och behandla sådana personuppgifter som är nödvändiga för att kunna identifiera en person i en urvalsgrupp med förfrågan om medverkan i en forskningsdatabas. Sådan behandling får inte pågå under längre tid än vad som är nödvändigt.
De sekundära ändamål som föreslås anges i ramlagen (se avsnitt 6.3.7) är flera. Ett sådant ändamål är att lämna ut uppgifter till en forskningshuvudman som fått uppgifter från en forskningsdatabas, om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed i forskningsprojektet. Ett annat sekundärt ändamål är att lämna ut kodnycklar eller dylikt till en myndighet för att den myndigheten till ett forskningsprojekt som redan har fått uppgifter från forskningsdatabasen, ska kunna lämna ut uppgifter om samma personer. Ett tredje sekundärt ändamål är att lämna ut uppgifter om det finns en skyldighet enligt lag eller förordning att göra det. Slutligen föreslås att uppgifter, när de inte längre behövs för de primära ändamålen, ska få behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Förslaget innebär således att det tydliggörs i ramlagen att känsliga personuppgifter får behandlas i samband de primära och de sekundära ändamålen med stöd av artikel 9.2 g och j dataskyddsförordningen.
Genetiska uppgifter
Genetiska uppgifter ingår bland de särskilda kategorier av personuppgifter (känsliga personuppgifter), vilka det som huvudregel är förbjudet att behandla enligt artikel 9.1 i dataskyddsförordningen. I artikel 4.13 definieras genetiska uppgifter som alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilken ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga. Det framstår inte som helt klart vad kravet på unik information innebär. Det kan antas att den genetiska informationen ska kunna förutsäga något om individens egenskaper så som anlag för en viss egenskap eller sjukdomstillstånd.
Genetiska uppgifter är såväl i dataskyddsreglering som i andra sammanhang sedd som mycket känslig och skyddsvärd information. Vid tillkomsten av LifeGene-lagen ansåg regeringen att det, med hänsyn till de särskilda restriktioner som finns i lagen om genetisk integritet m.m. avseende genetiska undersökningar och användningen av genetisk information, borde uppställas särskilda krav för att registrering av genetiska uppgifter skulle få ske. Enligt 9 § andra stycket LifeGene-lagen meddelar regeringen eller den myndighet som regeringen bestämmer föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras.
I likhet med vad som nu gäller enligt LifeGene-lagen bör enligt regeringens uppfattning det framgå av den föreslagna lagen att uppgifter om genetiska undersökningar endast får registreras och fortsatt behandlas i en forskningsdatabas under förutsättning att regeringen har meddelat föreskrifter om det. I den föreslagna ramlagen bör dock, till skillnad från LifeGene-lagen, samma uttryck användas som i dataskyddsförordningen, dvs. genetiska uppgifter. Regeringen föreslår således att det i ramlagen ska anges att genetiska uppgifter bara får behandlas i en forskningsdatabas om regeringen har meddelat föreskrifter om det. En sådan begränsning för behandlingen av sådana uppgifter är tillåten enligt artikel 9.4 i dataskyddsförordningen.
Uppgifter om lagöverträdelser
Enligt dataskyddsförordningen artikel 10 får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 (uppgifter om lagöverträdelser) endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
Enligt 3 kap. 8 § dataskyddslagen får personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning behandlas av myndigheter. Även andra än myndigheter får behandla sådana personuppgifter om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Enligt 3 kap. 9 § dataskyddslagen får regeringen, eller den myndighet som regeringen bestämmer, meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10. Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Sådana föreskrifter har meddelats i 5 § förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning. I 6 § i förordningen har regeringen också bemyndigat Integritetsskyddsmyndigheten att meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla uppgifter om lagöverträdelser och besluta i enskilda fall.
Normalt sett bör det inte finnas behov av att samla in uppgifter om lagöverträdelser i forskningsdatabaser. Att samla uppgifter om lagöverträdelser i en strukturerad uppgiftssamling som en forskningsdatabas är också typiskt sett mycket integritetskänsligt alldeles oavsett om det sker hos ett statligt eller enskilt lärosäte. Sådana uppgifter bör därför enligt regeringens uppfattning som utgångspunkt inte få registreras i en forskningsdatabas. Det kan dock finnas forskningsområden där sådana uppgifter är värdefulla för framtida forskningsprojekt. Det bör därför enligt regeringens bedömning finnas en möjlighet för regeringen att i förordning meddela föreskrifter som tillåter behandling av uppgifter om lagöverträdelser i en specifik forskningsdatabas där underlag ska skapas för framtida forskningsprojekt inom ett forskningsområde där det bedöms finnas ett behov av sådana uppgifter. Med en sådan ordning säkerställs att det sker en prövning av om registreringen är nödvändig, berättigad och proportionerlig i förhållande till det integritetsintrång som registreringen innebär. Regeringen föreslår således att det i den nya lagen införs en bestämmelse som innebär att personuppgifter om lagöverträdelser bara får behandlas i en forskningsdatabas om regeringen har meddelat föreskrifter om det.
Integritetsskydd inom verksamheten
Regeringens förslag: Den som arbetar vid ett lärosäte där det finns en verksamhet med en forskningsdatabas får ta del av personuppgifter i den verksamheten endast om han eller hon arbetar i verksamheten och behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter med forskningsdatabasen.
Den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter om registrerade i verksamheten med en forskningsdatabas. Sådan åtkomst ska begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter med forskningsdatabasen.
Den personuppgiftsansvarige ska se till att elektronisk åtkomst till personuppgifter dokumenteras och kan kontrolleras. Den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av dokumentationen i syfte att kontrollera om någon obehörigen kommit åt personuppgifter i forskningsdatabasen.
Promemorians förslag överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås att den som arbetar i en verksamhet som för en forskningsdatabas får ta del av personuppgifter i verksamheten bara om denne behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter med forskningsdatabasen.
Remissinstanserna: Majoriteten tillstyrker eller har inte något att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten, Socialstyrelsen, Statens medicinsk-etiska råd (Smer) och Uppsala universitet. Smer förordar dock att det inrättas en etisk granskningsfunktion av forskningsdatabaserna som regelbundet kan följa upp alla de etiska frågor som forskningsdatabaserna kan förknippas med.
Även Region Örebro län ser positivt på de föreslagna bestämmelserna om integritetsskydd i verksamheten. Regionen framhåller att det kan vara av värde att det även tydligt regleras, lämpligen i en föreskrift, vilka övergripande krav som ska ställas på de system som ska hantera denna stora mängd känslig information.
Västra Götalandsregionen anser att detaljerade specifika krav med anledning av den nya lagen inte är motiverade och att befintlig reglering av integritetsskyddet i dataskyddsförordningen är tillfyllest. Regionen bedömer inte att de bestämmelser som föreslås i promemorian tillför något vad gäller integritetsskydd.
När det gäller förslaget att den som arbetar i en verksamhet som för en forskningsdatabas ska få ta del av personuppgifter i verksamhet bara om denne behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter i verksamheten med forskningsdatabasen anser Region Kalmar län att det kan behöva förtydligas vem den person eller funktion som arbetar i en verksamhet som för en forskningsdatabas är för att minimera missuppfattningar och risk för dataintrång. Biobank Sverige konstaterar att förslaget innebär att det kommer att finnas en inre sekretess gentemot andra verksamheter inom lärosätet och att registret måste avskiljas från dessa verksamheter, dvs. forskningsdatabasen kommer att utgöra en egen verksamhet inom lärosätet. Biobank Sverige noterar vidare att det kan behövas riktlinjer i de fall ett forskningsprojekt vid samma lärosäte önskar hämta data ur registret då detta kommer aktualisera frågor om bland annat jäv. I många fall kommer det sannolikt att vara samma forskare och anställda som vill upprätta registret och arbeta med det som sedan vill använda det i forskning. Vetenskapsrådet och Region Kronoberg lämnar några synpunkter av redaktionell art.
När det gäller förslaget att den personuppgiftsansvarige ska se till att elektronisk åtkomst till personuppgifter dokumenteras och kan kontrolleras och göra systematiska och återkommande kontroller av dokumentationen framhåller Stockholms universitet att det inte är praktiskt genomförbart med de tekniska verktyg som idag används för datahantering hos forskare och skulle kunna framtvinga mycket kostsamma lösningar som i praktiken omöjliggör uppbyggande och fortsatt drift av viktiga forskningsdatabaser. Även Kungl. Vetenskapsakademien anför att det är oklart om det finns tekniska lösningar för detta som går att tillämpa utan kostnader som kan vara omöjliga att bära för de som administrerar forskningsdatabaser. Dokumenterad och strikt begränsning av den krets som har tillgång till data i kombination med strikta rutiner för behandling borde vara tillräckligt. Institutet för framtidsstudier anför att systemet är opraktiskt och att det dessutom sannolikt inte är nödvändigt för databaser som är pseudonymiserade. Institutet påpekar också att i promemorian föreslås ett krav på att logga varje användande, för att kontrollera att ingen obehörig använder data, något som ska ske inte bara efter misstanke utan systematiskt som en permanent övervakning. Enligt institutet kan man tänka sig att de stora universiteten har kapacitet att implementera ett sådant system längre fram i tiden, men knappast alla lärosäten. Region Örebro län som ser positivt på de föreslagna bestämmelserna om integritetsskydd i verksamheten påpekar att det skulle kunna övervägas om det vore lämpligt att ha en liknande reglering såsom i patientdatalagen om att patienten (här den registrerade) har rätt att ta del av den elektroniska åtkomst som har skett till uppgifterna (se 8 kap. 5 § patientdatalagen). Å andra sidan borde denna information enligt regionen vara att se som allmänna offentliga handlingar för den som berörs. Därför borde detta vara information som registrerade har rätt att ta del av. Om elektronisk åtkomst ska kunna kontrolleras kan det vara mycket värdefullt enligt regionen att den registrerade själv också kan göra denna kontroll om denne så önskar. Region Kronoberg framhåller att det är möjligt att databaser förekommer fysiskt och inte elektroniskt.
Skälen för regeringens förslag
Tillgången till uppgifter i en forskningsdatabas ska begränsas till de som behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter
Det är enligt regeringens bedömning avgörande för en forskningsdatabas som bygger på frivilligt deltagande att allmänheten, och i synnerhet personer som ingår i en urvalsgrupp och vars uppgifter forskningsdatabasen är tänkt att innehålla, har stort förtroende för den personuppgiftsansvariges hantering av personuppgifter i forskningsdatabasen. Förtroendet har relevans inte bara när det gäller den yttre sekretessen, dvs. i förhållande till utomstående, utan det måste enligt regeringens uppfattning också inom en sådan verksamhet som hanterar personuppgifter finnas ett integritetsskydd avseende hanteringen av uppgifter om enskilda.
Med ett sådant skydd inom en verksamhet avses vanligen frågan om i vilken omfattning personal får ta del av uppgifter som omfattas av sekretess och i vilken mån sådana uppgifter får lämnas mellan arbetskamrater. Syftet med bestämmelser om detta är att skapa ett integritetsskydd inom en organisation där det exempelvis inte finns sekretessgränser mellan verksamheter. Ett sätt att åstadkomma skydd är därför att reglera hur den interna åtkomsten till personuppgifter får se ut i en viss verksamhet och hur obehörig åtkomst ska kunna förebyggas och, i förekommande fall, upptäckas. Syftet är alltså att skydda enskilda från att uppgifter om dem sprids på ett obehörigt sätt.
Även om det kan röra sig om få personer inom ett lärosäte som arbetar inom verksamheten med en forskningsdatabas behövs ett skydd, inte minst med tanke på att lärosätet som sådant kan vara en stor arbetsplats och innehållet i en forskningsdatabas är integritetskänsligt. För förtroendet för integritetsskyddet är det särskilt viktigt att den interna gränsen upprätthålls mellan verksamheten med forskningsdatabasen och samma lärosätes forskningsverksamhet inom ett forskningsområde som forskningsdatabasen syftar till att skapa underlag för. Till skillnad från Västra Götalandsregionen anser därför regeringen att lagen om vissa forskningsdatabaser bör innehålla särskilda bestämmelser om skyddsåtgärder som rör den interna åtkomsten till personuppgifterna i forskningsdatabaser.
I promemorian har det föreslagits att det ska anges i den nya lagen att den som arbetar i verksamhet med en forskningsdatabas får ta del av personuppgifter i verksamheten bara om denne behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter med forskningsdatabasen. Vid ett lärosäte arbetar många personer, såväl personer som arbetar i verksamheten med en forskningsdatabas som de som inte gör det. Eftersom förandet av en forskningsdatabas vid ett lärosäte endast är en del av verksamheten vid lärosätet och det endast bör vara de som arbetar i verksamheten med forskningsdatabasen vid lärosätet som ska kunna få ta del av personuppgifter i forskningsdatabasen anser regeringen att detta behöver framgå tydligare i lagtexten än i promemorians förslag. Lagen bör därför innehålla en uttrycklig bestämmelse om att den som arbetar vid ett lärosäte där det finns en verksamhet med en forskningsdatabas får ta del av personuppgifter i forskningsdatabasen endast om han eller hon arbetar i verksamheten och behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter med forskningsdatabasen. Bestämmelsen är utformad så att den riktar sig omedelbart till den som arbetar i verksamheten. Att obehörigen skaffa sig tillgång till uppgifter kan beivras exempelvis som dataintrång enligt 4 kap. 9 c § brottsbalken. Motsvarande gäller om befattningshavaren använder sin elektroniska åtkomst till forskningsdatabasen för annat syfte än att sköta sina arbetsuppgifter i verksamheten med forskningsdatabasen. Genom bestämmelsen stärks integritetsskyddet i en reglerad forskningsdatabas, vilket i sin tur kan tänkas bidra till att öka allmänhetens förtroende för och benägenhet att vilja delta i forskningsdatabasen.
Den föreslagna bestämmelsen bedöms vara en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att införa i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Bestämmelsen syftar till att skydda bl.a. sådana uppgifter som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen och bestämmelsen är en sådan lämplig och särskild åtgärd som i enlighet med artikel 9.2 j säkerställer den registrerades grundläggande rättigheter och intressen vid behandling för vetenskapliga forskningsändamål.
Den personuppgiftsansvarige ska bestämma villkor för elektronisk åtkomst till personuppgifter i forskningsdatabasen
Regeringen anser vidare att det är viktigt att den personuppgiftsansvarige vidtar åtgärder för att se till att den så kallade inre sekretessen upprätthålls och de registrerades integritet skyddas. En sådan åtgärd är att begränsa de anställdas och eventuella uppdragstagares elektroniska åtkomst till personuppgifter i en forskningsdatabas. Med elektronisk åtkomst menas möjligheten att bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga i en verksamhet. Även reglering av denna åtkomst kan bidra till att skapa ett faktiskt skydd och samtidigt öka förtroendet för att integritetsskyddet är gott i en forskningsdatabas.
Regeringen föreslår därför att det i den nya lagen ska införas en bestämmelse som ger den personuppgiftsansvarige en skyldighet att bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter om registrerade i en forskningsdatabas, och att begränsa åtkomsten till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter i fråga om forskningsdatabasen. Det är alltså bara de anställda och uppdragstagare hos det personuppgiftsansvariga lärosätet som ska sköta den verksamhet som avser själva hanteringen av registret, t.ex. arbetsuppgifter som innebär ett införande av uppgifter i registret eller utlämnande av uppgifter från registret, som ska få ha elektronisk åtkomst till personuppgifterna. Med uppdragstagare kan avses personuppgiftsbiträde.
Verksamheten med att föra en forskningsdatabas kommer rimligen bara att omfatta en snävare krets av befattningshavare, anställda och uppdragstagare. Även i arbetet med att föra en forskningsdatabas kan det emellertid anses finnas behov av ett tydligt regelverk när det gäller frågan om behörighetssystem. Syftet med bestämmelsen är att inpränta skyldigheten för den ansvariga att göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personer behöver. I praktiken kommer det att handla om en skyldighet för den personuppgiftsansvarige att ta ställning till vilken närmare information varje person faktiskt behöver för att kunna utföra sina arbetsuppgifter med forskningsdatabasen och begränsa tillgången utifrån detta. Exempelvis kan den personuppgiftsansvariga ta ställning till om tillgången till kodnycklar eller vissa särskilt känsliga delar av databasen ska kräva en särskild behörighetsnivå. Ett krav på aktiva och tydliga behörighetstilldelningar underlättar exempelvis för den personuppgiftsansvarige att hålla verksamheten skild från eventuell forskning baserad på uppgifter i forskningsdatabasen som bedrivs inom samma lärosäte. Varje medarbetares behov av tillgång till personuppgifter ska alltså prövas utifrån vad arbetsuppgifterna kräver och tillgången ska begränsas i enlighet med det. Det krävs således att arbetsgivaren/uppdragsgivaren aktivt tar ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag innebär och tilldelar den behörighet som behövs utifrån det. På detta sätt förtydligas, såsom Region Kalmar län efterlyst, vilken person som ges åtkomst till uppgifter i forskningsdatabasen.
Den föreslagna bestämmelsen bedöms vara en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att införa i nationell rätt och en sådan lämplig och särskild åtgärd som avses i artikel 9.2 j för att säkerställa den registrerades grundläggande rättigheter och intressen vid behandling för vetenskapliga forskningsändamål.
Den personuppgiftsansvarige ska se till att elektronisk åtkomst dokumenteras och kontrolleras
Ytterligare åtgärder som kan stärka integritetsskyddet inom organisationen där verksamheten med forskningsdatabasen sker är att den elektroniska åtkomsten till personuppgifterna i forskningsdatabasen dokumenteras och kontrolleras genom att den personuppgiftsansvarige gör systematiska och återkommande kontroller av dokumentationen i syfte att undersöka om någon obehörigen kommit åt personuppgifter i forskningsdatabasen.
Genom dokumentationen, så kallad loggning, skapas den behandlingshistorik som behövs för att kunna ta ställning till om en otillåten åtkomst har ägt rum. Det måste därför, av historiken, gå att utläsa den information som behövs för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst.
Stockholms universitet anser att detta inte är praktiskt genomförbart med de tekniska verktyg som idag används för datahantering hos forskare och skulle kunna framtvinga mycket kostsamma lösningar som i praktiken omöjliggör uppbyggande och fortsatt drift av viktiga forskningsdatabaser. Kungl. Vetenskapsakademien påpekar att det är oklart om det finns tekniska lösningar för detta som går att tillämpa utan kostnader som kan vara omöjliga att bära för de som administrerar forskningsdatabaser. Universitetet och Vetenskapsakademien anser att dokumenterad och strikt begränsning av den krets som har tillgång till data i kombination med strikta rutiner för behandling borde ge tillräckligt skydd. Institutet för framtidsstudier anför att systemet är opraktiskt och att det dessutom sannolikt inte är nödvändigt för databaser som är pseudonymiserade. Institutet påpekar också att det i promemorian föreslås ett krav på att logga varje användande, för att kontrollera att ingen obehörig använder data, något som ska ske inte bara efter misstanke utan systematiskt som en permanent övervakning. Enligt institutet kan man tänka sig att de stora universiteten har kapacitet att implementera ett sådant system längre fram i tiden, men knappast alla lärosäten.
När det gäller dessa remissinstansers påpekanden vill regeringen framhålla att kraven på loggning och kontroller i viss verksamhet avser endast vad som i denna proposition benämns forskningsdatabaser, inte någon övrig verksamhet vid lärosätena, exempelvis inte vad som benämns projektdatabaser. För att loggningen ska ha avsedd integritetsskyddande effekt bör det enligt regeringens mening åligga den personuppgiftsansvarige att göra systematiska och återkommande kontroller av om någon obehörigen kommit åt personuppgifter i forskningsdatabasen. Det ska alltså inte vara tillräckligt att göra kontroller endast när obehörig åtkomst misstänks. Vetskapen om att det genomförs sådana systematiska och återkommande kontroller kan tänkas tjäna som en påminnelse till anställda och uppdragstagare som arbetar med just forskningsdatabasen om vikten av att endast ta del av sådana personuppgifter som behövs för att fullgöra sina arbetsuppgifter. Det finns dock inget krav på att kontrollerna ska ske automatiserat, ett minimikrav är att kontrollerna sker med en viss regelbundenhet genom att stickprov tas. Regeringen vill dock också i detta sammanhang påpeka att de lärosäten som ska föra en databas bör ha tillräckliga finansiella och organisatoriska förutsättningar för att kunna tillgodose ett kvalitativt och långsiktigt integritetsskydd för den personuppgiftsbehandling som kommer att äga rum i verksamheten med en viss forskningsdatabas.
Biobank Sverige noterar att det kan behövas riktlinjer i de fall ett forskningsprojekt vid samma lärosäte önskar hämta data ur registret då detta kommer aktualisera frågor om bland annat jäv. För det fall ett lärosäte både har en forskningsdatabas enligt den föreslagna lagen och bedriver sådan forskning till vilken uppgifter från forskningsdatabasen kan lämnas ut är det enligt regeringens uppfattning önskvärt att det gäller en sekretessgräns mellan de båda verksamheterna. Regeringen föreslår i avsnitt 10.3 en bestämmelse om att sekretess ska gälla i verksamhet som avser förande av eller uttag ur en forskningsdatabas enligt lagen om vissa forskningsdatabaser för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde. Denna sekretess ska dock inte hindra att uppgifter lämnas ut enligt vad som föreskrivs i den nya ramlagen om vissa forskningsdatabaser. Vidare föreslår regeringen en bestämmelse om överföring av sekretess som innebär att om en myndighet får en uppgift som är sekretessreglerad från den som bedriver verksamhet enligt lagen om vissa forskningsdatabaser, blir sekretessen tillämplig även hos den mottagande myndigheten. Det ska dock i detta sammanhang uppmärksammas att sekretess inte bara gäller mellan myndigheter. Sekretess kan även gälla inom en myndighet. Enligt 8 kap. 2 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, gäller vad som föreskrivs om sekretess mot andra myndigheter i 8 kap. 1 § OSL och vad som föreskrivs i andra bestämmelser i OSL om uppgiftslämnande till andra myndigheter, också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. Detta innebär att den föreslagna bestämmelsen om överföring av sekretess också blir tillämplig inom ett lärosäte som har staten som huvudman om uppgifter lämnas ut från forskningsdatabasen till ett forskningsprojekt som bedrivs inom en annan verksamhetsgren inom lärosätet, under förutsättning att verksamhetsgrenarna organiseras på ett sådant sätt att de förhåller sig självständiga till varandra. Detsamma gäller för ett lärosäte som inte har staten som huvudman men som är intaget i bilagan till OSL och som därmed dels ska tillämpa offentlighetsprincipen, dels är att jämställa med en myndighet vid tillämpning av OSL, se 2 kap. 4 § OSL. För det fall ett lärosäte både har en forskningsdatabas enligt den föreslagna lagen och bedriver sådan forskning till vilken uppgifter från forskningsdatabasen kan lämnas ut förutsätter regeringen, liksom vid LifeGene-lagens införande, att lärosätet vidtar sådana åtgärder att en sådan sekretessgräns uppstår mellan dessa olika verksamheter (jfr prop. 2012/13:163 s. 72–73). Som Biobank Sverige påpekar är det viktigt att arbetet organiseras så att man undviker jäv.
Region Örebro län har reflekterat över om det behövs någon liknande bestämmelse som den i 8 kap. 5 § patientdatalagen. I den bestämmelsens första stycke föreskrivs att vårdgivare på begäran av en patient ska lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit. Eftersom personuppgifter enligt den föreslagna lagen om vissa forskningsdatabaser överhuvudtaget inte får lämnas ut genom direktåtkomst annat än till den registrerade själv (se avsnitt 8.4) och med hänsyn tagen till bestämmelserna om åtkomstbegränsning bedöms någon bestämmelse likt den i patientdatalagen inte behövas.
Regeringen föreslår således att det i den nya lagen förs in en bestämmelse som innebär att den personuppgiftsansvarige ska se till att elektronisk åtkomst till personuppgifter dokumenteras och kan kontrolleras samt att den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av dokumentationen i syfte att kontrollera om någon obehörig kommit åt personuppgifter i forskningsdatabasen. Den föreslagna bestämmelsen bedöms vara en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att införa i nationell rätt och en sådan lämplig och särskild åtgärd som avses i artikel 9.2 j för att säkerställa den registrerades grundläggande rättigheter och intressen vid behandling för vetenskapliga forskningsändamål.
Arkivering och gallring
Regeringens bedömning: Arkivlagstiftningens principer om bevarande bör vara utgångspunkten för hanteringen av uppgifter i en forskningsdatabas. Någon särskild bestämmelse om gallring bör inte föras in i den föreslagna lagen.
Det bör inte införas en bestämmelse som anger att regeringen kan meddela föreskrifter om gallring av personuppgifter som inte längre behövs i lagen.
Promemorians bedömning överensstämmer delvis med regeringens bedömning. I promemorian föreslås att det ska framgå av lagen att regeringen i förordning som gäller för en forskningsdatabas kan meddela föreskrifter om gallring av personuppgifter som inte längre behövs för att kunna lämnas ut till forskningsprojekt.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten (IMY), Forskningsrådet för miljö, areella näringar och samhällsbyggande, Forskningsrådet för hälsa, arbetsliv och välfärd, Inspektionen för socialförsäkringen, Stiftelsen Högskolan i Jönköping, Luleå tekniska universitet, Myndigheten för digital förvaltning, Region Västernorrland, Socialstyrelsen och Totalförsvarets forskningsinstitut.
Några remissinstanser lämnar särskilda synpunkter. Kammarrätten i Stockholm anser att begreppet gallring bör undvikas i modern dataskyddslagstiftning eftersom begreppet för tankarna till arkivrättsliga sammanhang och bevarandet av allmänna handlingar m.m. Begreppet förekommer varken i det EU-rättsliga regelverket eller i nationell rätt som införts på senare tid, om inte arkivrättsliga regler avses. I stället bör enligt kammarrätten principen om lagringsminimering (artikel 5.1 e i EU:s dataskyddsförordning) och längsta tid för behandling komma till uttryck i bestämmelser av detta slag.
Linköpings universitet, som välkomnar en reglering på området, har dock följande synpunkter på arkivering och gallring. I promemorian föreslår inte utredaren någon särskild bestämmelse om gallring. Samtidigt föreslås det att den nya lagen ska ge regeringen rätt att, i den förordning som gäller för en forskningsdatabas, meddela föreskrifter om gallring av personuppgifter som inte längre behövs för att kunna lämnas ut till forskningsprojekt. Vidare föreslås att sådana gallringsbestämmelser bör meddelas i de fall integritetsintresset väger tyngre än intresset av att uppgifterna bevaras. Det är enligt universitetet oklart vilka kriterier som ska prövas för att avgöra om integritetsintresset väger tyngre än intresset av att uppgifterna bevaras. I sådana fall där regeringen avseende en forskningsdatabas inte har meddelat föreskrifter om gallring av personuppgifter och Riksarkivet inte har utfärdat några tillämpliga gallringsföreskrifter är det enligt universitetet oklart hur myndigheter ska agera när de tar emot en begäran om radering avseende personuppgifter i forskningsdatabaser. Myndigheten skulle vara skyldig att radera personuppgifterna, men får samtidigt inte gallra personuppgifterna. Slutligen påpekar universitetet att det är oklart om Riksarkivets föreskrifter och allmänna råd (RA-FS 1999:1) om gallring av handlingar i statliga myndigheters forskningsverksamhet kan användas som stöd för gallring av personuppgifter i en forskningsdatabas. Av 7 § och bilaga 1B till föreskrifterna framgår att register och databaser avseende data med särskilt hög täckningsgrad och kontrollerbarhet ska undantas från gallring.
Riksarkivet välkomnar utredningens förslag att arkivlagens principer om bevarande ska vara utgångspunkten för uppgifter i en forskningsdatabas och att någon särskild bestämmelse om gallring därför inte behövs i den föreslagna lagen. Riksarkivet efterlyser dock att vissa frågor om personuppgifter som behandlas för ett arkivändamål av allmänt intresse ska belysas ytterligare i det fortsatta lagstiftningsarbetet. Myndigheten noterar att förutsättningarna för behandlingen av personuppgifter som vidarebehandlas för arkivändamål av allmänt intresse enligt den föreslagna bestämmelsen i 2 kap. 3 § i den föreslagna lagen inte närmare utvecklas i promemorian. Enligt förslaget är behandlingens ändamål uttömmande reglerade. Detta väcker enligt Riksarkivet frågor i flera avseenden om förutsättningarna för att behandla arkiverade uppgifter. En annan fråga är enligt Riksarkivet om bestämmelserna i den föreslagna 1 kap. 3 §, att behandling av personuppgifter i en forskningsdatabas bara får utföras i verksamhet som bedrivs vid vissa lärosäten, medger att arkiverade forskningsdatabaser lämnas över till en arkivmyndighet enligt bestämmelserna i arkivlagen? Slutligen är det enligt myndigheten också otydligt om bestämmelserna om utlämnande av personuppgifter till forskningsprojekt i 3 kap 1–2 §§ medger utlämnande också av arkiverade uppgifter.
Stockholms universitet tillstyrker att arkivlagstiftningens principer om bevarande är utgångspunkten för uppgifter i en forskningsdatabas och att regeringen kan meddela föreskrifter om gallring av personuppgifter som inte längre behövs för att kunna lämnas ut till forskningsprojekt. Universitetet anser emellertid att det även ska framgå vem som kan fatta ett sådant beslut och att beslutet ska dokumenteras.
I linje med synpunkten att databasernas ändamål bör lagregleras framstår det enligt Justitiekanslern som lämpligast att införa en relevant gallringsbestämmelse i förhållande till respektive ändamål. Det bör dock framgå av ramlagen att en sådan bestämmelse ska införas. I övrigt hänvisar Justitiekanslern till sitt yttrande över SOU 2018:36 i denna del.
Skälen för regeringens bedömning
En särskild bestämmelse om gallring bör inte införas i den föreslagna lagen
Arkivlagen (1990:782) innehåller bestämmelser om myndigheters och vissa andra organs arkiv (1 §). Bestämmelserna gäller bl.a. för sådana organ som avses i 2 kap. 4 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, till den del arkivet härrör från den verksamhet som anges i bilagan till OSL (2 §). Sådana lärosäten som i avsnitt 6.3.4 föreslås kunna föra forskningsdatabaser som omfattas av den föreslagna lagen och vara personuppgiftsansvariga för en reglerad forskningsdatabas, omfattas alltså av arkivlagen.
Enligt arkivlagen är huvudprincipen bevarande. Det innebär att lärosätena har en grundläggande skyldighet att bevara sina allmänna handlingar i arkiv. En myndighets arkiv består av de allmänna handlingar från myndighetens verksamhet och vissa andra handlingar som myndigheten beslutar ska tas om hand för arkivering. Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov (3 §). Arkivvård innefattar även gallring. Allmänna handlingar får bara gallras om återstående arkivmaterial kan tillgodose de angivna ändamålen och det krävs särskilda föreskrifter eller beslut för att gallring ska få ske (10 § första och andra stycket).
Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning än arkivlagen gäller dessa bestämmelser (10 § tredje stycket). Det förekommer ofta gallringsbestämmelser i särskilda registerförfattningar, exempelvis i LifeGene-lagen. Enligt 12 § LifeGene-lagen ska personuppgifter som inte längre behövs för de i lagen angivna ändamålen med personuppgiftsbehandlingen gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Införandet av den aktuella bestämmelsen motiverades av att det – trots att syftet med förandet av registret var att möjliggöra longitudinella studier – inte kunde uteslutas att det kunde komma att visa sig att vissa uppgifter inte behövs längre och därför kan gallras. Möjligheten till gallring ansågs angelägen sett till att de register som skulle föras med stöd av lagen skulle komma att innehålla särskilt känsliga personuppgifter (prop. 2012/13:163 s. 48–51). LifeGene-lagen innehåller alltså en gallringsbestämmelse.
Vid bedömningen av frågan om vilken reglering som är lämplig i lagen om vissa forskningsdatabaser, dvs. om arkivlagens princip om bevarande bör vara huvudregel eller om uppgifterna i forskningsdatabasen som huvudregel bör gallras, bör hänsyn tas till integritetsaspekter, möjligheterna till insyn och till forskningens behov. De forskningsdatabaser som kommer att kunna omfattas av den föreslagna lagen kommer att innehålla en stor mängd personuppgifter, i många fall även känsliga sådana. I registerförfattningar som reglerar register med integritetskänsliga personuppgifter är det vanligt att det föreskrivs att personuppgifter ska gallras när uppgiften inte längre behövs för sitt ändamål. Sedan ikraftträdandet av dataskyddsförordningen och dataskyddsdirektivet har det skett en viss förändring i begreppsanvändningen på området. I propositionen Brottsdatalag – kompletterande lagstiftning uttalade regeringen att gallring enligt det arkivrättsliga regelverket syftar till att begränsa arkivens omfattning, bl.a. för att därmed öka deras tillgänglighet, medan gallring enligt registerförfattningarna syftar till att skydda enskildas personliga integritet. Regeringen angav i samband med detta att orden bevarande och gallring i de nya registerförfattningarna därför enbart bör användas i den betydelse som de har i arkivlagstiftningen, för att så långt som möjligt skilja mellan arkivrättsliga regler och regler om dataskydd (se prop. 2017/18:269 s. 120 och 121). Som Kammarrätten i Stockholm anför förekommer begreppet gallring varken i det EU-rättsliga regelverket eller i nationell rätt som införts på senare tid, om inte arkivrättsliga regler avses. De lärosäten som kommer att kunna föra forskningsdatabaser som omfattas av lagen är som nämnts bundna av arkivlagen och bevarande är då en utgångspunkt. Kravet på medborglig insyn i myndigheternas verksamhet är enligt regeringens uppfattning inte lika starkt som i vissa andra fall eftersom uppgifterna i en forskningsdatabas inte ska användas vid myndighetsutövning mot enskilda individer. Det finns också enligt regeringen andra skäl för bevarande när det gäller uppgifter i en forskningsdatabas. De forskningsdatabaser som nu föreslås bli föremål för reglering är tänkta att utgöra en resurs för forskningsprojekt som ägnar sig åt longitudinella studier. Det är mot den bakgrunden viktigt att ha ett långsiktigt perspektiv, där framtida forskningsprojekt, eller studier som är tänkta att komplettera ett tidigare genomfört forskningsprojekt, kan få tillgång till uppgifter som samlats in långt tillbaka i tiden. Det kan vara svårt att med säkerhet avgöra när uppgifter i en forskningsdatabas inte längre behövs. En för tidig gallring skulle kunna motverka lagens syfte att möjliggöra insamling av personuppgifter som ska kunna användas i olika framtida forskningsprojekt. Vidare är möjligheten att granska tidigare utförd forskning viktig. Det finns en risk att granskning försvåras om personuppgifter gallras alltför snabbt. En möjlighet till gallring av uppgifter skulle alltså, om bedömningarna av uppgifters fortsatta behövlighet visar sig vara godtyckliga och även felaktiga, kunna leda till betydande informations- och kunskapsförluster.
Det kan också påpekas att arkivlagens bestämmelser om bevarande gäller för uppgiftssamlingar som inte räknas som forskningsdatabaser, t.ex. sådana där insamling görs för enstaka forskningsprojekt. Det förefaller rimligt att samma princip gäller för forskningsdatabaser som för projektdatabaser. Det har inte framkommit några starka skäl för att ha olika reglering avseende arkivering beroende på om uppgifterna finns i en forskningsdatabas eller i ett forskningsprojekt.
Regeringen anser vidare att skyddet för den personliga integriteten, vilket är det skäl som skulle kunna tala tyngst för gallring som huvudregel, är väl tillgodosett genom de skyddsåtgärder som föreslås i lagförslaget, se bl.a. avsnitt 7.3, 8.1 och 10.3.
Regeringen delar därför sammantaget den bedömning som görs i promemorian och av flertalet remissinstanser, att arkivlagens principer om bevarande bör vara utgångspunkten för hanteringen av uppgifter i en forskningsdatabas och anser i motsats till Justitiekanslern inte att någon särskild bestämmelse om gallring behövs i den föreslagna lagen.
Den personuppgiftsbehandling som kommer att äga rum i samband med att de personuppgiftsansvariga i forskningsdatabaser, i enlighet med gällande arkivlagstiftning, arkiverar handlingar i databasen är en vidarebehandling som görs för arkivändamål av allmänt intresse. I avsnitt 6.3.7 föreslås att personuppgifter i en forskningsdatabas, när de inte längre behövs för de primära ändamålen, ska kunna behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Det framgår därmed att det är ett tillåtet sekundärt ändamål att behandla personuppgifter i en forskningsdatabas för arkivändamål av allmänt intresse. Detta innefattar t.ex., som Riksarkivet efterlyser förtydligande kring, att överlämna en arkiverad forskningsdatabas till Riksarkivet. Det kan vidare konstateras att det bara är fråga om vidarebehandling när ett och samma organ, eller dennes personuppgiftsbiträde, utför ytterligare behandlingar avseende en viss uppgift. När en arkivmyndighet som Riksarkivet övertar arkivmaterial från en annan myndighet övergår hela ansvaret för det materialet till arkivmyndigheten (9 § tredje stycket arkivlagen). Arkivmyndigheten bär då personuppgiftsansvaret för de behandlingar som sker därefter. Den föreslagna lagen gäller behandling av personuppgifter i forskningsdatabaser vid sådana lärosäten som får föra forskningsdatabaser som omfattas av lagen. Den gäller inte vid den behandling av personuppgifter som blir aktuell om en arkivmyndighet övertar det arkiverade materialet i en forskningsdatabas. Det behövs en rättslig grund för arkivmyndigheternas behandling av de personuppgifter som finns i det övertagna materialet. Den behandling som sker hos arkivmyndigheten görs för att utföra en i arkivlagstiftningen fastställd uppgift av allmänt intresse och omfattar bl.a. att tillgodose forskningens behov. Nödvändig behandling hos arkivmyndigheterna kan därmed ske med stöd av den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen.
Som framgått av avsnitt 7.1.6 föreslår regeringen inte en rätt till radering av uppgifter i forskningsdatabasen, vilket föreslagits i promemorian. Regeringen föreslår i stället att den registrerade ska ha en rätt att återta sitt samtycke till att dennes personuppgifter behandlas i forskningsdatabasen. Om den registrerade återtar sitt samtycke får uppgifter om den registrerade därefter inte behandlas för att lämnas ut till forskningsprojekt men uppgifterna ska inte raderas utan finnas kvar, kunna lämnas ut för ändamålet att utreda oredlighet i forskning i enlighet med de ändamål för personuppgiftsbehandlingen i forskningsdatabasen som föreslås och behandlas för att bevaras i enlighet med arkivlagstiftningen, vilken tar hänsyn till forskningens behov. Gallring får ske i den omfattning som gäller enligt arkivlagstiftningen om inte annat följer av annan lag eller förordning. En sådan situation som Linköpings universitet tar upp, där det är oklart hur ett lärosäte ska agera om det får en begäran om radering av personuppgifter i forskningsdatabaser men samtidigt inte får gallra personuppgifterna, ska därför inte uppkomma.
Eftersom känsliga personuppgifter kommer att behandlas i forskningsdatabaser som omfattas av den föreslagna lagen kommer det också att bli aktuellt att behandla sådana uppgifter när de behandlas för det sekundära ändamålet arkivändamål av allmänt intresse som är tillåtet enligt lagen. I avsnitt 7.2.2 har det föreslagits att den nya lagen ska innehålla en bestämmelse som anger att behandling av känsliga personuppgifter får, med stöd av artikel 9.2 j i dataskyddsförordningen, ske om behandlingen är nödvändig för de primära och sekundära ändamål som anges i lagen. Den bestämmelsen ger alltså stöd för lärosätenas behandling av känsliga personuppgifter när de behandlar uppgifter i forskningsdatabasen för arkivändamål av allmänt intresse. Det kan vidare konstateras att enligt 3 kap. 6 § dataskyddslagen får känsliga personuppgifter behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Att principen om bevarande ska vara gällande för hanteringen av uppgifter som behandlas i en forskningsdatabas enligt den nu föreslagna lagen är därmed enligt regeringens uppfattning förenligt med befintlig dataskyddsreglering.
Det bör inte införas en bestämmelse om att regeringen kan meddela föreskrifter om gallring
I promemorian har det föreslagits att det ska framgå i lagen att regeringen i den förordning som gäller för en forskningsdatabas kan meddela föreskrifter om gallring av personuppgifter som inte längre behövs för att kunna lämnas ut till forskningsprojekt. Det kan som angivits vara svårt att med säkerhet avgöra när uppgifter i en forskningsdatabas inte längre behövs och regeringen bedömer att bäst förutsättningar för att göra den bedömningen finns hos det lärosäte som är personuppgiftsansvarigt för aktuell forskningsdatabas och inte hos regeringen. Vid behandlingen av personuppgifterna har lärosätet att beakta principen om lagringsminimering i artikel 5.1 e i dataskyddsförordningen. Skyddet för den personliga integriteten är också som anförts enligt regeringens bedömning väl tillgodosett genom de skyddsåtgärder som föreslås i lagförslaget. Regeringen delar därför inte bedömningen i promemorian att en bestämmelse som anger att regeringen kan meddela föreskrifter om gallring av personuppgifter som inte längre behövs ska införas i lagen.
I något fall skulle andra intressen kunna anses väga tyngre än intresset av att uppgifterna bevaras. Skulle det framgent uppstå behov av att kunna gallra uppgifter i en reglerad forskningsdatabas, finns det redan en möjlighet för Riksarkivet att i det fallet meddela anpassade föreskrifter därom (12 § arkivförordningen [1991:446]).
Sammantaget anser regeringen alltså inte att en bestämmelse som anger att regeringen kan meddela föreskrifter om gallring av personuppgifter som inte längre behövs ska införas i lagen.
Utlämnande av uppgifter från en forskningsdatabas
Villkor för utlämnande
Till vilka forskningshuvudmän ska uppgifter ur en forskningsdatabas få lämnas ut?
Regeringens bedömning: Det kommer att vara de forskningsområden som anges för forskningsdatabasen på förordningsnivå som utgör ramen för vilka forskningsprojekt som uppgifter får lämnas ut till.
Regeringens förslag: Utlämnande av personuppgifter och uppgifter om avlidna till ett forskningsprojekt får bara ske till sådana fysiska eller juridiska personer som ska tillämpa offentlighets- och sekretesslagen eller till fysiska personer som omfattas av tystnadsplikt enligt lagen om vissa forskningsdatabaser.
Regeringen ska få meddela föreskrifter om begränsningar i fråga om utlämnande av personuppgifter från en forskningsdatabas.
Promemorians bedömning överensstämmer med regeringens bedömning men har en något annan språklig utformning. Promemorians förslag överensstämmer delvis med regeringens förslag. I promemorian föreslås inte att uppgifter till ett forskningsprojekt bara får lämnas ut till sådana fysiska eller juridiska personer som ska tillämpa offentlighets- och sekretesslagen eller till fysiska personer som omfattas av tystnadsplikt enligt lagen om vissa forskningsdatabaser. Det föreslås inte heller att en bestämmelse om detta även ska gälla uppgifter om avlidna. I promemorian föreslås inte något bemyndigande för regeringen att meddela föreskrifter i fråga om utlämnande av personuppgifter från en forskningsdatabas. I stället föreslås en upplysningsbestämmelse som anger att regeringen med stöd av restkompetensen kan meddela sådana föreskrifter.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget i promemorian och bedömningarna. Detta gäller bl.a. Integritetsskyddsmyndigheten, Socialstyrelsen och Uppsala universitet.
Kungl. Vetenskapsakademien lyfter fram att promemorians förslag innebär att regeringen, med stöd av restkompetensen enligt 8 kap. 7 § regeringsformen (RF), ”ska kunna” begränsa personuppgiftsbehandlingen som görs för att lämna ut personuppgifter, exempelvis genom att meddela föreskrifter om restriktioner i fråga om utlämnande till forskare vid privata eller utländska forskningshuvudmän. Akademien anser med hänvisning till ett förslag i promemorian som i denna proposition behandlas i avsnitt 8.1.2 om skydd vid utlämnande av uppgifter till forskning som ska utföras i ett annat land att det normala blir att sådana förbehåll ”ska” utfärdas av regeringen.
Mälardalens universitet anser att förslaget saknar klarhet i vem som ansvarar när data har lämnats ut för ett speciellt projekt och vad som gäller beträffande lämnat samtycke. Universitetet bedömer att en reglering av vad samtycket innebär vid utlämnande och vad som innefattas vid ett återkallande behöver förtydligas.
Statistiska centralbyrån (SCB) noterar att om inga begränsningar uppställs i förordning kan utlämnanden enligt förslaget, till skillnad från vad som gäller idag enligt den s.k. LifeGene-lagen, komma att avse direkt identifierbara uppgifter och göras till såväl enskilda som utländska forskningshuvudmän och framhåller att detta kan påverka SCB:s möjligheter att lämna ut uppgifter till forskningsdatabaser. SCB anser därför att bestämmelserna i stället bör utformas på samma sätt som i LifeGene-lagen.
Skälen för regeringens bedömning och förslag: Som framgår av avsnitt 6.3.7 föreslås de övergripande ändamålen för behandling av personuppgifter i en forskningsdatabas vara att skapa underlag för flera framtida forskningsprojekt inom de för forskningsdatabasen angivna forskningsområdena, och lämna ut uppgifter till sådana forskningsprojekt eller till forskningsprojekt inom angivna forskningsområden som redan inletts när databasen byggs upp. Regeringen föreslår vidare att regeringen bemyndigas att genom föreskrifter i förordning besluta vilka forskningsdatabaser som får föras enligt lagen och vilket lärosäte som får föra forskningsdatabasen (se avsnitt 6.3.8). Av dessa föreskrifter ska det vidare framgå vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till (se avsnitt 6.3.7). Det kommer alltså att vara de för forskningsdatabasen i förordning angivna forskningsområdena som utgör ramen för vilka uppgifter som får lämnas ut till forskare från en forskningsdatabas.
Enligt 6 § första stycket LifeGene-lagen får utlämnande bara ske till forskningsprojekt som bedrivs av myndigheter. Det innebär att uppgifter från LifeGene inte kan lämnas ut till enskilda forskningshuvudmän. I motiven till begränsningen anförs att huruvida det i framtiden bör finnas möjlighet att även lämna ut uppgifter till forskning som bedrivs av privata rättssubjekt lämpligen borde utredas av den då pågående Registerforskningsutredningen (se prop. 2012/13:163 s. 35–36, och avsnitt 3 i denna proposition). Registerforskningsutredningens förslag till reglering av forskningsdatabaser innebar att ingen åtskillnad gjordes i fråga om utlämnande till forskning hos myndigheter eller hos enskilda forskningshuvudmän. Någon närmare motivering till detta lämnades dock inte. Enligt LifeGene-lagen kan inte heller en utländsk forskningshuvudman komma i fråga som mottagare alldeles oavsett om det är ett statligt universitet i det andra landet eller inte. En ytterligare begränsning i den lagen är villkoret att utlämnande bara får göras till forskning som har godkänts enligt etikprövningslagen.
SCB anser att bestämmelserna i lagen bör utformas på samma sätt som i LifeGene-lagen, vilket alltså skulle begränsa möjligheten att lämna ut uppgifter från forskningsdatabaser såväl till enskilda forskningshuvudmän som till forskning som ska utföras i ett annat land. När det gäller frågan om utlämnande till enskilda forskningshuvudmän i Sverige bedömer regeringen att lagen inte bör särbehandla forskning som bedrivs hos offentliga eller enskilda forskningshuvudmän. Som närmare utvecklas i avsnitt 10.3 föreslår regeringen att den sekretessbestämmelse som i dag gäller i verksamhet som avser förande av eller uttag ur register enligt LifeGene-lagen för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde (24 kap. 2 a § OSL), och bestämmelsen om överföring av sådan sekretess när uppgifter lämnas till en myndighet, t.ex. ett statligt lärosäte (24 kap. 2 b § OSL), i stället ska gälla i verksamhet som avser förande av eller uttag ur register enligt den nya ramlagen och vid utlämnande av uppgifter därifrån. Denna sekretessbestämmelse motsvarar i princip den bestämmelse om statistiksekretess i 24 kap. 8 § OSL som SCB har att tillämpa. Sekretess till skydd för enskilda omfattar såväl uppgifter om levande som avlidna. Uppgifter om avlidna är dock inte personuppgifter i dataskyddsförordningens mening (skäl 27). Som regeringen konstaterar i avsnitt 7.2.1 kan det i många fall vara värdefullt att kunna ha kvar och komplettera uppgifter om avlidna i en forskningsdatabas för att t.ex. följa upp dödsfall och dödsorsak. Eftersom ramlagen kompletterar EU:s dataskyddsförordning, som inte gäller för avlidna personer, skulle ramlagen inte gälla uppgifter om avlidna om det inte särskilt anges. Som närmare utvecklas i avsnitt 10.4 föreslås att det i ramlagen ska införas en bestämmelse om tystnadsplikt för en enskild forskningshuvudman som är en fysisk person och den som är eller har varit verksam hos en enskild forskningshuvudman som är en juridisk person och som inte anges i bilagan till OSL, för vad denne har fått veta om enskilds personliga förhållanden genom personuppgifter eller uppgifter om avlidna som mottagits från en forskningsdatabas vid utlämnande enligt ramlagen. På så vis uppnås en överensstämmelse mellan regleringen om sekretess och regleringen om tystnadsplikt. Detta innebär att uppgifter som lämnas ut från en forskningsdatabas som förs med stöd av ramlagen kommer att omfattas av samma sekretess hos mottagaren som gäller i verksamheten med forskningsdatabasen eller av motsvarande tystnadsplikt hos mottagaren. Ramlagen bör därför enligt regeringens uppfattning inte som LifeGene-lagen innehålla en bestämmelse som begränsar utlämnande av uppgifter från forskningsdatabasen till forskningsprojekt som bedrivs av myndigheter. Däremot bör det enligt regeringens mening inte vara tillåtet att personuppgifter eller uppgifter om avlidna lämnas ut till en mottagare som inte har att tillämpa den sekretess som föreslås gälla i verksamhet som avser förande av eller uttag ur en forskningsdatabas som förs med stöd av ramlagen eller bestämmelsen om tystnadsplikt.
Regeringen noterar i detta sammanhang att när det gäller internationella forskningsprojekt så krävs, så snart något moment i genomförandefasen ska ske i Sverige och den delen omfattas av etikprövningslagens tillämpningsområde, ett etikgodkännande för den del av forskningen som ska utföras i Sverige. På motsvarande sätt bör uppgifter i en forskningsdatabas som förs med stöd av den nya lagen kunna lämnas till den svenska deltagaren i det gränsöverskridande forskningsprojektet, men denne kommer att vara bunden av sekretessen eller tystnadsplikten i förhållande till sådana personer i projektet som inte lyder under svensk lag. Detta bör dock inte hindra ett internationellt samarbete så länge som de uppgifter som den svenska deltagaren i forskningsprojektet lämnar ut till personer som inte lyder under svensk lag har bearbetats på ett sådant sätt att de inte längre utgör personuppgifter eller identifierande uppgifter om avlidna.
Regeringen föreslår därför att det i ramlagen ska införas en bestämmelse som innebär att personuppgifter och uppgifter om avlidna i en forskningsdatabas som förs med stöd av ramlagen vid utlämnande till ett forskningsprojekt bara ska få lämnas ut till sådana fysiska eller juridiska personer som ska tillämpa OSL eller till fysiska personer som omfattas av tystnadsplikt enligt ramlagen. I avsnitt 8.1.3, 8.1.4 och 8.2.2 föreslås ytterligare bestämmelser om när personuppgifter och uppgifter om avlidna ska få lämnas ut från en forskningsdatabas. Som närmare utvecklas i avsnitt 10.5 föreslår regeringen vidare att det i OSL ska införas en ny bestämmelse som innebär att uppgifter som omfattas av s.k. statistiksekretess får lämnas ut till forskningsdatabaser som omfattas av ramlagen, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Regeringen bedömer att den ovan nämnda bestämmelsen om att personuppgifter eller uppgifter om avlidna i en forskningsdatabas som förs med stöd av ramlagen vid utlämnande till ett forskningsprojekt bara får lämnas ut till sådana fysiska eller juridiska personer som ska tillämpa OSL eller till fysiska personer som omfattas av tystnadsplikt enligt ramlagen, bestämmelsen om tystnadsplikt och de ytterligare bestämmelser i ramlagen som reglerar när uppgifter får lämnas ut från en forskningsdatabas medför att SCB kommer att kunna lämna ut uppgifter till forskningsdataser med stöd av den nya bestämmelsen i OSL. För att efter synpunkter från Lagrådet tydliggöra att nu aktuell bestämmelse om utlämnande av uppgifter i ramlagen – i likhet med bestämmelsen om tystnadsplikt och övriga bestämmelser om utlämnande av uppgifter från en forskningsdatabas – har ett vidare tillämpningsområde än övriga bestämmelser i ramlagen genom att den inte bara ska tillämpas på personuppgifter utan också på uppgifter om avlidna, föreslås att det direkt av lagtexten ska framgå att bestämmelsen gäller såväl personuppgifter som uppgifter om avlidna.
De föreskrifter som rör utlämnande av personuppgifter kommer även gälla för enskilda aktörer. För att regeringen ska kunna meddela ytterligare föreskrifter om begränsningar i fråga om utlämnande av uppgifter från en forskningsdatabas krävs därför att det införs ett bemyndigande för regeringen (8 kap. 2 § första stycket 2 regeringsformen). Till skillnad från promemorians förslag om att det i den nya lagen ska införas en upplysningsbestämmelse om att regeringen kan meddela sådana föreskrifter med stöd av 8 kap. 7 § regeringsformen, föreslår regeringen således att det införs ett bemyndigande.
Mälardalens universitet anser att förslaget saknar klarhet i vem som ansvarar när data har lämnats ut för ett speciellt projekt och vad som gäller beträffande lämnat samtycke. Som framgår av avsnitt 7.1.4 föreslår regeringen att den enskilde ska informeras om ändamålet med behandlingen av personuppgifter i forskningsdatabasen, vilket bl.a. är att lämna ut uppgifter till forskningsprojekt, innan den enskilde lämnar sitt samtycke. Om kompletterande uppgifter samlas in vid ett senare tillfälle ska den enskilde informeras om det och ha möjlighet att motsätta sig en sådan insamling (se avsnitt 7.1.2). Den enskilde har vidare rätt att återta sitt samtycke, vilket innebär att personuppgifterna därefter inte får behandlas för att lämnas ut till forskningsprojekt (se avsnitt 7.1.6). När uppgifter har lämnats ut till ett forskningsprojekt ansvarar den personuppgiftsansvarige vid den mottagande organisationen för behandlingen av personuppgifterna i forskningsprojektet och för att principerna i artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Uppgifterna ska bl.a. behandlas på ett lagligt sätt, vilket innebär att det ska finnas en rättslig grund enligt artikel 6 för behandlingen.
Uppgifter får lämnas ut till forskningsprojekt som har etikgodkännande
Regeringens förslag: Utlämnande från en forskningsdatabas till ett forskningsprojekt får, om forskningen omfattas av etikprövningslagens krav på etikprövning, bara göras om både forskningen och behandlingen av personuppgifter i forskningen har godkänts enligt den lagen.
Regeringens bedömning: Utlämnande av personuppgifter till forskningsprojekt som faller utanför etikprövningslagens tillämpningsområde kan inte anses innefatta sådana risker för de registrerades integritet att etikprövningslagens tillämpningsområde bör utvidgas.
Det bör inte införas någon bestämmelse som innebär att utlämnande får göras till forskning som ska utföras i annat land om forskningen har granskats etiskt och godkänts i det andra landet i ett förfarande som motsvarar etikprövning i Sverige.
Promemorians förslag och bedömning överensstämmer delvis med regeringens förslag och bedömning. I promemorian föreslås även att utlämnande får göras till forskning som ska utföras i annat land om forskningen har granskats etiskt och godkänts i det andra landet i ett förfarande som motsvarar etikprövning i Sverige.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker eller har inga invändningar mot promemorians förslag om krav på godkännande vid etikprövning för utlämnande av uppgifter till forskningsprojekt, om forskningen omfattas av etikprövningslagens krav på etikprövning. Detta gäller bl.a. Integritetsskyddsmyndigheten, Socialstyrelsen, Brottsförebyggande rådet, Folkhälsomyndigheten, Förvaltningsrätten i Göteborg, Stiftelsen Högskolan i Jönköping, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Forskningsrådet för hälsa, arbetsliv och välfärd, Högskolan i Halmstad, Inspektionen för socialförsäkringen, Luleå tekniska universitet, Region Västernorrland, Stockholms kommun och Vetenskapsrådet.
Etikprövningsmyndigheten är positiv till att utlämning får ske till ett etikprövningspliktigt forskningsprojekt endast om det finns ett etikgodkännande. Läkemedelsindustriföreningen (Lif) ställer sig bakom promemorians förslag om att etiskt godkännande bör utgöra grunden för bedömning vid utlämnande av personuppgifter. Dock vill Lif poängtera vikten av att på ett ändamålsenligt sätt och med intakt integritetsskydd möjliggöra utlämning också i de fall där etikprövning inte är möjlig, såsom exempelvis utlämning till andra forskningsdatabaser. Även Verket för innovationssystem (Vinnova) ser positivt på att ett etiskt godkännande utgör grunden i bedömningen vid utlämnande av personuppgifter. Dock bedöms det krav som ställs i förslaget något för begränsande. Reglering som motsvarar den föreslagna lagen och där etikprövning inte kan ske behöver också kunna godtas enligt myndigheten utan avkall på integritetsskyddet. Det kan enligt Vinnova handla om utlämnande till andra forskningsdatabaser eller till forskning i länder där exempelvis straffansvar vid etiska avvikelser regleras på annat sätt än med just etikprövning, till exempel baserat på forskningspersonens samtycke.
Remissinstanserna tillstyrker eller har ingen invändning mot bedömningen att utlämnande av personuppgifter till forskningsprojekt som faller utanför etikprövningslagens tillämpningsområde inte kan anses innefatta sådana risker för de registrerades integritet att etikprövningslagens tillämpningsområde bör utvidgas.
En majoritet av remissinstanserna tillstyrker eller har inga invändningar mot promemorians förslag om att utlämnande ska få ske till forskning som ska utföras i annat land om forskningen har granskats etiskt och godkänts i det andra landet i ett förfarande som motsvarar etikprövning i Sverige.
Etikprövningsmyndigheten ställer sig tveksam till förslaget om utlämning till andra länder. Enligt myndigheten går det inte att utgå från att det finns ett motsvarande förfarande för etisk granskning i samtliga situationer som kan bli aktuella.
Karolinska institutet (KI) anser att det kommer att vara förenat med mycket stora svårigheter för ett lärosäte att, såväl språkligt som innehållsmässigt, införskaffa information och genomföra en sådan granskning som krävs för att jämföra olika länders etikprövningsförfaranden med ett svenskt sådant, säkerställa likvärdigheten och att de utlämnade uppgifterna kommer ges ett tillfredsställande skydd hos mottagaren. Institutet påpekar att i dag har forskningsdatabaserna LifeGene och Svenska Tvillingregistret krav på svenskt etiktillstånd för utlämnande. Tvillingregistrets lösning – att kräva svenskt etiskt tillstånd genom att forskare från Sverige deltar i det aktuella forskningsprojektet – är en lösning som borde kunna användas i dessa fall.
Kungl. Tekniska högskolan påpekar att stödet för överföring av personuppgifter från forskningsdatabaser till forskningsprojekt i tredje land och hantering av sekretess när data lämnas ut utanför Sverige i samband med detta behöver analyseras mer ingående.
Malmö universitet bedömer att formuleringen i lagtexten om utlämnande till forskning i annat land är för vag vilket riskerar att uppgifter från ett svenskt register används till forskning i utlandet som har lägre etiska krav.
Mälardalens universitet anför att villkoret för utlämnande till utländska parter – att forskningen granskats etiskt och godkänts i ett motsvarande etikförfarande i det andra landet – inte är lämpligt och riskerar att utgöra ett betydande hinder för likabehandling och rättssäkerhet. Här behövs enligt universitetet i stället en tydlig process där mottagaren i utlandet bör garantera att skyddet av persondata är (om möjligt) lika gott som följer av svensk lag.
Statens medicinsk-etiska råd (Smer) anser att det är av yttersta vikt att ett utlämnande av uppgifter till ett annat land, som hade krävt etikgodkännande i Sverige, bara får ske om forskningen där har genomgått en minst lika grundlig prövning på samma grunder som enligt den svenska etikprövningslagen. Det är enligt Smer vidare mycket viktigt att det genom reglering och uppföljning säkerställs att uppgifterna inte kan vidareförmedlas till någon annan aktör vars behandling av dem inte har godkänts på ett sätt som motsvarar en prövning enligt den svenska etikprövningslagen.
Biobank Sverige anser att det är positivt att möjliggöra och reglera internationellt utlämnande eftersom det kan attrahera forskning till Sverige men att det riskerar att bli väldigt komplext att jämföra olika länders etikprövningsförfaranden. Biobank Sverige ställer frågan om det inte är möjligt att förenkla regleringen genom att konkretisera kraven i förordningstext eller genom att tillhandahålla en lista på vilka länder som har en adekvat etikprövning. En annan lösning skulle kunna vara att öppna för att rådgivande yttrande av Etikprövningsmyndigheten i Sverige ska ske för den forskning som ska bedrivas i ett annat land.
Hjärt-Lungfonden framhåller att det är positivt att man öppnar upp för internationell delning av forskningsdata, men att regeln om utlämnande till annat land kommer bli svårtillämpad. Det blir svårt för den personuppgiftsansvarige för en enskild forskningsdatabas att bedöma om ett annat lands etikprövningsförfarande är likvärdigt – detta kräver enligt Hjärt-Lungfonden en officiell lista på godkända länder.
Örebro universitet anser att det är vällovligt att man vill man öppna upp för användning av forskningsdatabaser både inom och utom EU. Dock ställer det enligt universitetet mycket stora krav på kontroll av etikprövning och kunskap om vilka länder som har ett fullgott etikprövningsförfarande. Kravet på att etikprövning likvärdig den svenska ska ställas innan uttag kan ske från forskningsdatabaser innehållande känsliga personuppgifter kan enligt universitetet vara omöjligt att efterleva då en motsvarighet till svensk etikprövning saknas i många länder vid användning av registerdata, även om känsliga personuppgifter behandlas. Uppsala universitet framför liknande synpunkter.
Göteborgs universitet anser att det villkor som föreslås för utlämnande till utländsk part riskerar att utgöra en svårighet vid utlämnande. Universitetet konstaterar att kravet på etiktillstånd för behandling av känsliga personuppgifter för forskningsändamål i etikprövningslagen inte förekommer i ett motsvarande förfarande i någon större utsträckning hos utländska parter. Detta medför enligt universitetet att utlämnande myndigheter kommer att få svårt att bedöma sekretessen i förhållande till utländska parter och troligen i många fall kommer att se villkoret som ett hinder för utlämning.
Sveriges Kommuner och Regioner (SKR) föreslår att kravet på motsvarande förfarande till etikprövning i det andra landet tas bort eftersom det är för begränsande.
Skälen för regeringens förslag och bedömning
Uppgifter ska få lämnas ut till forskningsprojekt som har fått etikgodkännande
Etikprövningslagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt definitionen i artikel 9.1 i dataskyddsförordningen, liksom av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 §). Beskrivningen av uppgifter om lagöverträdelser i 3 § är något vidare än vad som följer av artikel 10 i dataskyddsförordningen. Enligt etikprövningslagen får forskning bara godkännas om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov. Vidare gäller att forskningen bara får godkännas om de risker som forskningen kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av forskningens vetenskapliga värde. Forskning får inte heller godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser får dessutom godkännas bara om den är nödvändig för att forskningen ska kunna utföras. Det ställs också krav på vetenskaplig kompetens hos forskaren (7–11 §§). Etikprövningen uppfyller enligt regeringen dataskyddsförordningens krav på en objektiv bedömning av de risker som den fortsatta behandlingen av känsliga personuppgifter som lämnats ut från en forskningsdatabas till ett forskningsprojekt kan medföra för den registrerades rättigheter och friheter enligt förordningen. Regeringen anser därför att det i ramlagen bör uppställas ett krav på att ett forskningsprojekt som omfattas av etikprövningslagens tillämpningsområde ska ha fått ett etikgodkännande för att uppgifter från en forskningsdatabas ska få lämnas ut till projektet. Som utvecklas nedan anser regeringen inte att det finns skäl att utvidga etikprövningslagens tillämpningsområde till att omfatta all behandling av personuppgifter, dvs. även forskning som inte innefattar känsliga personuppgifter eller uppgifter om lagöverträdelser.
Att uppställa ett krav på etikgodkännande enligt etikprövningslagen, när den lagen är tillämplig, för att uppgifter i en forskningsdatabas som förs enligt ramlagen ska få lämnas ut till forskningsprojektet bedöms vara en sådan i nationell rätt fastställd och lämplig åtgärd som i artikel 9.2 j i dataskyddsförordningen krävs vid nödvändig behandling av känsliga personuppgifter för forskningsändamål.
Det bör inte införas någon bestämmelse om att utlämnande får göras till forskning som ska utföras i annat land
I promemorian föreslås att utlämnande får göras till etikprövningspliktig forskning som ska utföras i annat land om forskningen har granskats etiskt och godkänts i det andra landet i ett förfarande som motsvarar etikprövning i Sverige.
Etikprövningslagens krav på etisk granskning och godkännande gäller forskning som ska utföras i Sverige (5 §). Lagen innehåller som redovisats ovan i 7–11 §§ vissa utgångspunkter som ska ligga till grund vid etikprövning av forskning. Som flera remissinstanser i olika ordalag påpekar blir det svårt att säkerställa en likvärdig behandling när denna prövning ska utföras i andra länder. Regeringen delar KI:s och Örebro universitets synpunkter att det förvisso är positivt med öppen tillgång till forskningsdata och att möjliggöra ett internationellt utlämnande. Regeringen bedömer dock, i likhet med dessa lärosäten, att det skulle kräva stor kunskap och mycket administrativa resurser för ett lärosäte att införskaffa information och genomföra en sådan granskning som krävs för att jämföra olika länders etikprövningsförfaranden med ett svenskt sådant och säkerställa att de utlämnade uppgifterna kommer att ges ett tillfredsställande skydd hos mottagaren. Olika farhågor att ett tillfredsställande skydd hos en mottagare i utlandet inte uppnås påpekas också av Etikprövningsmyndigheten, Malmö universitet, Mälardalens universitet samt av Smer. Därtill kommer att regeringen bedömer att det är nödvändigt att det, som regeringen föreslår i avsnitt 8.1.1, i ramlagen uppställs ett krav på att uppgifter i en forskningsdatabas som förs med stöd av ramlagen bara får lämnas ut till sådana fysiska eller juridiska personer som ska tillämpa offentlighets- och sekretesslagen eller till fysiska personer som omfattas av tystnadsplikt enligt ramlagen. Detta för att det i en verksamhet med en forskningsdatabas ska kunna inhämtas kompletterande uppgifter om den registrerade till forskningsdatabasen från myndighetsregister som omfattas av s.k. statistiksekretess (se avsnitt 7.1.2 och avsnitt 10.5). Som KI påpekar har i dag forskningsdatabaserna LifeGene och Svenska Tvillingregistret krav på svenskt etiktillstånd för utlämnande. KI framför att detta innebär att om forskare från Sverige deltar i ett internationell forskningsprojektet så etikprövas den svenska delen av projektet. Som framgår av avsnitt 8.1.1 innebär ett krav på att uppgifter i en forskningsdatabas bara får lämnas ut till sådana fysiska eller juridiska personer som ska tillämpa offentlighets- och sekretesslagen eller till fysiska personer som omfattas av tystnadsplikt enligt ramlagen, att uppgifter kommer att kunna lämnas till svenska deltagare i internationella forskningsprojekt, men att dessa kommer att vara bundna av sekretessen eller tystnadsplikten i förhållande till sådana personer i projektet som inte lyder under svensk lag. Detta bör dock inte hindra ett internationellt samarbete så länge som de uppgifter som den svenska deltagaren i forskningsprojektet lämnar ut till personer som inte lyder under svensk lag har bearbetats på ett sådant sätt att de inte längre utgör personuppgifter.
Sammantaget gör därför regeringen bedömningen att det inte bör införas någon bestämmelse i ramlagen som innebär att utlämnande får göras till forskning som ska utföras i annat land om forskningen har granskats etiskt och godkänts i det andra landet i ett förfarande som motsvarar etikprövning i Sverige.
Etikprövningslagens tillämpningsområde bör inte utvidgas till att omfatta all behandling av uppgifter som samlas in från en forskningsdatabas
Lif och Vinnova lyfter behovet av att med bibehållet integritetsskydd kunna lämna ut uppgifter från en forskningsdatabas även i fall där etikprövning inte kan ske, exempelvis till andra forskningsdatabaser. Regeringens avsikt är inte att utlämnande av uppgifter från en forskningsdatabas ska kunna ske till en annan uppgiftssamling, som är att anse som en forskningsdatabas. Ändamålet med lagen föreslås vara att skapa underlag för och lämna ut uppgifter till forskningsprojekt och inte till andra forskningsdatabaser. Utlämnande för andra ändamål än forskning omfattas inte heller av lagens ändamål (se avsnitt 6.3.7). Regeringen bedömer vidare att ett krav på etisk granskning inte är nödvändigt när personuppgifter lämnas ut från en forskningsdatabas till forskningsprojekt som inte innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser. För utlämnande till sådan forskning bedöms den bestämmelse om att utlämnade uppgifter som huvudregel ska vara pseudonymiserade, som föreslås i avsnitt 8.2.1, och den föreslagna sekretessregleringen i avsnitt 10.3, vara tillräckliga åtgärder för att tillgodose behovet av fortsatt integritetsskydd för dessa uppgifter efter utlämnande.
Uppgifter får lämnas ut om det behövs för att utreda oredlighet i forskning
Regeringens förslag: Personuppgifter och uppgifter om avlidna ska få lämnas ut från en forskningsdatabas till forskningshuvudmannen för ett forskningsprojekt, som uppgifter från forskningsdatabasen har lämnats ut till, om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed.
Promemorians förslag överensstämmer i huvudsak med regeringens förslag. Det har en något annan språklig utformning och omfattar inte uppgifter om avlidna.
Remissinstanserna: Majoriteten av remissinstanserna, däribland Integritetsskyddsmyndigheten, Socialstyrelsen och Uppsala universitet, ställer sig positiva till eller har inga synpunkter på promemorians förslag.
Uppsala universitet anser att förslaget bör hänvisa till lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning samt förtydliga att uppgifter från forskningsdatabasen inte kan överföras till tredje land utan beaktande av dataskyddsförordningens bestämmelser om tredjelandsöverföring.
Etikprövningsmyndigheten påpekar att för att Nämnden för prövning av oredlighet i forskning ska kunna utföra sin uppgift att pröva om oredlighet i forskning har ägt rum behöver nämnden kunna få tillgång till data direkt från primärkällan utan att behöva gå via forskningshuvudmannen. Det behöver därför enligt Etikprövningsmyndigheten regleras i den föreslagna lagen om vissa forskningsdatabaser att personuppgifter får lämnas ut direkt till nämnden, om det behövs för att utreda oredlighet i forskning. Myndigheten anför vidare att det inte framgår av promemorian vilket ansvar databashållaren har för att bevara dokumentation kring framställningar och utlämnande av information eller för att följa upp hur databasen används. Det framgår inte heller vilket ansvar databashållaren har för att kunna redovisa hur data såg ut vid olika givna tidpunkter, något som har betydelse även för reproducerbarheten av forskningen.
Skälen för regeringens förslag: Lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning innehåller bestämmelser om forskares och forskningshuvudmäns ansvar för att forskning utförs i enlighet med god forskningssed. Någon definition av begreppet god forskningssed finns inte i lag eller annan författning, utan vad som avses med detta kan variera mellan olika forskningsområden och fastställs vanligen genom kodexar eller policydokument. Vanligen anges i dessa hur forskaren ska agera för att handla etiskt riktigt, såväl innan forskningen genomförs som under och efter genomförandet.
Frågor om oredlighet i forskning, dvs. en allvarlig avvikelse från god forskningssed i form av fabricering, förfalskning eller plagiering, prövas enligt 7 § i lagen av en särskild nämnd, Nämnden för prövning av oredlighet i forskning. Det ligger därvid såväl i forskningshuvudmannens som i nämndens intresse att uppgifter i en forskningsdatabas, som legat till grund för och använts i det forskningsprojekt som är föremål för utredning, kan åtkommas för kontroll och granskning av forskningen. Ett ärende kan aktualiseras och inledas hos nämnden på flera sätt, genom att en forskningshuvudman överlämnar handlingarna i ett ärende för prövning, genom att en anmälan om oredlighet i forskning inkommer till nämnden, eller genom att nämnden tar upp en fråga om oredlighet i forskning som den har fått kännedom om på något annat sätt. Enligt 12 § nämnda lag åligger det forskningshuvudmannen att lämna de upplysningar och handlingar om forskningen som nämnden begär. Det är alltså forskningshuvudmannen för det forskningsprojektet som utreds av nämnden som är skyldig att lämna upplysningar m.m. Denna forskningshuvudman kan också som nämnts vara den som initierar ett ärende hos nämnden efter det att misstanke om oredlighet uppkommit hos forskningshuvudmannen och viss utredning skett.
Vid utredningar om oredlighet i forskning kan forskningsmaterial granskas och däri ingående personuppgifter behandlas. I lagen finns bestämmelser om personuppgiftsbehandling hos nämnden och forskningshuvudmän för de aktuella forskningsprojekt som utreds. Det kan enligt regeringens bedömning inträffa att en forskningshuvudman som ska yttra sig till nämnden behöver få uppgifter från forskningsdatabasen om utlämnade personuppgifter, exempelvis för att kunna rekonstruera åtgärder i projektet. Det kan inte heller uteslutas att nämnden i sin utredning efterfrågar uppgifter från forskningshuvudmannen som i sin tur leder till förfrågningar till forskningsdatabasen som tidigare har lämnat ut uppgifter till ett för oredlighet misstänkt projekt. Vidare har forskningshuvudmän enligt 1 kap. 3 a § högskolelagen (1992:1434) och 1 kap. 17 § högskoleförordningen (1993:100) ansvar för att pröva andra avvikelser från god forskningssed än de som ska prövas av Nämnden för prövning av oredlighet i forskning. Även detta kan föranleda utredning som leder till behov av att kunna få tillgång till samma uppgifter som tidigare lämnats ut till ett forskningsprojekt som utreds. Förtroende för forskningen gör att det finns ett starkt intresse av att misstankar om oredlighet vid forskning och andra avvikelser från god forskningssed kan utredas grundligt. Det bör därför enligt regeringens uppfattning vara möjligt för ansvariga för en forskningsdatabas att tillmötesgå sådana framställningar från forskningshuvudmannen om utlämnade av sådana uppgifter som lämnats ut till det ifrågasatta forskningsprojektet. Det ligger i de registrerades intressen att deras uppgifter bara används i forskning som är seriös och lever upp till den vetenskapliga trovärdighet och goda forskningssed som de registrerade likväl som allmänheten helt rimligt förväntar sig. Den föreslagna lagen om vissa forskningsdatabaser bör därför innehålla en bestämmelse som möjliggör utlämnande till en forskningshuvudman för att uppgifterna ska kunna granskas i en utredning av oredlighet i forskningen eller annan avvikelse från god forskningssed.
Regeringen delar bedömningen i promemorian att bestämmelsen inte bör begränsas till bara offentliga forskningshuvudmän som omfattas av högskolelagstiftningen och lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Även om privata forskningshuvudmän står utanför nämnda system har de ett starkt intresse av att kunna utreda och gå till botten med likartade misstankar om forskningsfusk m.m. i den egna forskningsverksamheten. Det bör därför inte, som Uppsala universitet föreslår, införas en hänvisning till lagen om ansvar för god forskningssed och prövning av oredlighet i forskning i bestämmelsen. Bestämmelsen bör som utredningen föreslår hänvisa till om uppgifterna behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed.
För att efter synpunkter från Lagrådet tydliggöra att nu aktuell bestämmelse om utlämnande – i likhet med övriga bestämmelser i ramlagen om utlämnande av uppgifter från en forskningsdatabas (se avsnitt 8.1.1, 8.1.4 och 8.2.2) och den i avsnitt 10.4 föreslagna bestämmelsen om tystnadsplikt för uppgifter som mottagits från en forskningsdatabas – har ett vidare tillämpningsområde än övriga bestämmelser i ramlagen, genom att den även gäller för uppgifter om avlidna, föreslås att det direkt av lagtexten ska framgå att bestämmelsen gäller såväl personuppgifter som uppgifter om avlidna.
Etikprövningsmyndigheten anser att det även behöver regleras i den föreslagna lagen att personuppgifter får lämnas ut direkt till Nämnden för prövning av oredlighet i forskning. Förvaltningslagen (2017:900) är tillämplig i nämndens verksamhet eftersom lagen gäller för handläggning av ärenden hos förvaltningsmyndigheter (1 §). En myndighet ska bl.a. se till att ett ärende blir utrett i den omfattning som dess beskaffenhet kräver (23 §). När nämnden tillkom övervägde regeringen om den nya nämnden skulle tilldelas mer vidsträckta tvångsmedel, såsom aktiva befogenheter och tvångsmässiga möjligheter att själv införskaffa det material som nämnden anser sig behöva. Regeringen ansåg dock att befogenheter av detta slag skulle innebära alltför långtgående åtgärder och lämnade inga förslag om sådana typer av tvångsmedel (prop. 2019/20:58 s. 62). Ansvaret för att bistå i en utredning om oredlighet i forskning i enlighet med lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ligger därmed enligt lagen hos forskningshuvudmannen. Regeringen anser därför, i motsats till Etikprövningsmyndigheten, inte att lagen ska innehålla en bestämmelse om utlämnande av uppgifter direkt till Nämnden för prövning av oredlighet i forskning.
För statliga universitet och högskolor och andra statliga myndigheter finns ett regelverk kring dokumentation och arkivering av forskning som bl.a. innebär att en myndighets handlingar som huvudregel ska bevaras, hållas ordnade och vårdas och att handlingarna inte får gallras innan rimlig tid förflutit för att det ska ha funnits möjlighet att granska handlingar för att verifiera forskningsresultat (3 § arkivlagen [1990:782] och 8 § Riksarkivets föreskrifter och allmänna råd om gallring av handlingar i statliga myndigheters forskningsverksamhet [RA-FS 1999:1]). Frågor om arkivering och gallring av handlingar som hör till en forskningsdatabas och de avvägningar som därvid behöver göras bl.a. med hänsyn till behovet av att kunna granska forskning som Etikprövningsmyndigheten också tar upp, behandlas i avsnitt 7.4.
Uppgifter får lämnas ut om det finns en uppgiftsskyldighet
Regeringens förslag: Personuppgifter och uppgifter om avlidna ska, utöver de fall som anges i lagen, bara få lämnas ut om det finns en skyldighet att göra det enligt lag eller förordning.
Promemorians förslag överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås inte att bestämmelsen ska omfatta uppgifter om avlidna.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten, Socialstyrelsen och Uppsala universitet.
Folkhälsomyndigheten betonar vikten av att uppgiftsskyldigheten även bör omfatta uppgifter som behövs när samhället befinner sig i en fredstida krissituation. Detta mot bakgrund av myndighetens erfarenheter under covid-19 pandemin. En fredstida kris, genom en ny sjukdom eller en redan känd sjukdom med nya smittvägar, kan innebära allvarliga hot mot befolkningens liv och hälsa. Detta kan även innebära stora negativa konsekvenser för hälso- och sjukvården samt annan samhällsviktig verksamhet. Folkhälsomyndigheten behöver, för att kunna fullgöra sitt uppdrag att övervaka smittsamma sjukdomar, en ventil i lagstiftningen som möjliggör ett utlämnade av uppgifter till myndigheten i en fredstida kris även om övervakningen i sig inte utgör forskning. Läkemedelsverket understryker vikten av att garantera starkt skydd för personuppgifter i forskningsdatabaser, inklusive skydd mot oegentlig spridning och utnyttjande. Även Läkemedelsverket poängterar att frågor kring hantering av data vid förhöjd beredskap eller krigstillstånd bör beaktas.
Biobank Sverige påtalar att det saknas ett resonemang gällande möjligheterna att vid behov lämna ut uppgifter för en patients egen vård och att lämna ut uppgifter om avlidna personer för att sjukvården ska kunna utreda genetik i samband med genetisk rådgivning.
Kammarrätten i Stockholm ifrågasätter om den föreslagna bestämmelsen om utlämnande är förenlig med den föreslagna bestämmelsen om sekretess i verksamhet som avser förande av eller uttag ur en forskningsdatabas, där det bl.a. framgår att ett omvänt skaderekvisit gäller i fråga om utlämnande av uppgift som inte är direkt hänförlig till den enskilde, eftersom den föreslagna bestämmelsen om utlämnande kräver att det finns en skyldighet enligt lag eller förordning att lämna ut uppgifterna. Bestämmelsen skulle i stället enligt kammarrätten kunna utformas så att det framgår att uppgifterna får lämnas ut om det sker i överensstämmelse med lag eller förordning.
Skälen för regeringens förslag
Uppgifter bör få lämnas ut för att fullgöra en uppgiftsskyldighet
För att undvika konflikter med eventuell annan lagstiftning som innebär en uppgiftsskyldighet, så bör uppgifter i en forskningsdatabas, utöver de i ramlagen angivna tillåtna ändamålen för utlämnande av uppgifter (se avsnitt 6.3.7), också få lämnas ut om det finns en skyldighet enligt lag eller förordning att göra det. Ett exempel på sådan skyldighet är offentlighetsprincipen i tryckfrihetsförordningen som kan åberopas av enskilda, även av juridiska personer (2 kap. 1 § TF och RÅ 2003 ref. 83). Som Kammarrätten i Stockholm påpekar föreslås i promemorian att det ska gälla sekretess i verksamhet som avser förande av eller uttag ur en forskningsdatabas, och att det ska gälla ett s.k. omvänt skaderekvisit i fråga om utlämnande av uppgifter som inte är direkt hänförliga till den enskilde. Att en bestämmelse är försedd med ett s.k. omvänt skaderekvisit innebär att uppgifter efter en skadeprövning får lämnas ut om det står klart att viss skada eller men inte uppstår genom utlämnandet. I ett sådan fall är uppgiften inte är sekretessbelagd, dvs. sekretess gäller inte i det enskilda fallet (se 3 kap. 1 § OSL). I ett sådant fall finns det en skyldighet att lämna ut uppgiften enligt offentlighetsprincipen. Det finns också föreskrivna uppgiftsskyldigheter mellan myndigheter, t.ex. uppgiftsskyldigheten enligt 6 kap. 5 § OSL. Enligt den bestämmelsen ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Det finns vidare en sekretessbrytande bestämmelse i 10 kap. 28 § första stycket OSL som innebär att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Som närmare utvecklas i avsnitt 10.3 föreslår regeringen, i enlighet med vad som föreslås i promorian, en sekretessbestämmelse som innebär att det ska gälla sekretess i verksamhet som avser förande av eller uttag ur en forskningsdatabas som förs med stöd av ramlagen för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde, men att sekretessen inte ska hindra att en uppgift lämnas ut i den utsträckning som framgår av vissa i ramlagen angivna bestämmelser. Därutöver ska enligt bestämmelsen en uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde få lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. I samma avsnitt föreslås vidare en bestämmelse om överföring av sekretess. Den ska innebära att om en myndighet får en uppgift som omfattas av sekretess i en verksamhet med en forskningsdatabas enligt ramlagen så blir samma sekretessbestämmelse tillämplig även hos den mottagande myndigheten, dvs. det kommer att finnas ett sekretesskydd i bl.a. situationer där en myndighet har mottagit en uppgift i enlighet med en sekretessbrytande uppgiftsskyldighet. När det gäller utlämnande av uppgifter enligt ramlagen föreslås i promemorian att det i den lagen ska införas en bestämmelse som innebär att personuppgifter får, utöver vad som har föreslagits i avsnitt 8.1.2 och 8.1.3, bara lämnas ut om det finns en skyldighet enligt lag eller förordning att göra det. Regeringen anser att bestämmelsen omfattar sådant uppgiftslämnande som ska ske enligt offentlighetsprincipen eller annars enligt lag eller förordning. Regeringen anser, till skillnad från Kammarrätten i Stockholm, inte att det finns skäl att utforma bestämmelsen på ett annat sätt än vad som föreslagits i promemorian utom i ett avseende. För att efter synpunkter från Lagrådet tydliggöra att denna bestämmelse om utlämnande – i likhet med övriga bestämmelser i ramlagen om utlämnande av uppgifter från en forskningsdatabas (se avsnitt 8.1.1, 8.1.3 och 8.2.2) och den i avsnitt 10.4 föreslagna bestämmelsen om tystnadsplikt för uppgifter som mottagits från en forskningsdatabas – har ett vidare tillämpningsområde än övriga bestämmelser i ramlagen, genom att den även gäller för uppgifter om avlidna, föreslås att det direkt av lagtexten ska framgå att bestämmelsen gäller såväl personuppgifter som uppgifter om avlidna.
Enligt regeringens bedömning bör frågor om tillgång till uppgifter vid fredstida kriser eller krigstillstånd som Folkhälsomyndigheten och Läkemedelsverket lyfter inte regleras inom ramen för den föreslagna lagen om vissa forskningsdatabaser. Den föreslagna bestämmelsen innebär att det kommer att finnas en skyldighet att lämna ut uppgifter från forskningsdatabasen om det följer av en uppgiftsskyldighet som anges i en annan författning.
Ändamålet med personuppgiftsbehandlingen enligt lagen är att skapa underlag för och lämna ut uppgifter till forskningsprojekt. Ett utlämnande av uppgifter från forskningsdatabasen direkt till sjukvården för en patients egen vård, som Biobank Sverige tar upp, är således inte möjligt enligt lagen. Däremot finns en rätt för den registrerade att själv att få tillgång till personuppgifterna enligt vad som utvecklas nedan.
En särskild bestämmelse om utlämnande av uppgifter till den registrerade själv behövs inte
Enligt artikel 15.1 i dataskyddsförordningen har den registrerade rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör denne håller på att behandlas och i så fall få tillgång till personuppgifterna och viss ytterligare information. I artikel 15.3 anges vidare att den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. Det finns alltså redan en reglering i dataskyddsförordningen som ger den registrerades rätt att från en forskningsdatabas få ut registrerade personuppgifter om denne själv. Vidare har enligt 2 kap. 1 § tryckfrihetsförordningen var och en rätt att ta del av allmänna handlingar. Rätten att ta del av allmänna handlingar får begränsas endast om det krävs med hänsyn till något av ett antal uppräknade intressen. En begränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i särskild lag. Den lag som avses, offentlighets- och sekretesslagen (2009:400), förkortad OSL, innehåller en bestämmelse om att sekretess till skydd för en enskild som huvudregel inte gäller i förhållande till den enskilde själv (12 kap. 1 § OSL). Detta innebär att offentlighetsprincipen ger registrerade rätt att få ut allmänna handlingar med personuppgifter. Personuppgifterna i verksamhet med en forskningsdatabas kommer att finnas i sådana handlingar. Frågan är då om det i den nu föreslagna lagen finns behov av en bestämmelse om den registrerades rätt att utfå uppgifter om denne själv eller om detta skulle innebära en onödig dubbelreglering.
I 7 § tredje stycket LifeGene-lagen stadgas att personuppgifter som har registrerats enligt lagen alltid får lämnas ut till den registrerade själv. I samband med att LifeGene-lagen anpassades till dataskyddsförordningens bestämmelser bedömde lagstiftaren att 7 § är en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 i dataskyddsförordningen och därför kunde kvarstå oförändrad.
Ändamålsbestämningen i den föreslagna lagen bör enligt regeringens uppfattning utformas så att den är uttömmande. Det behöver därför framgå uttryckligen av lagen i vilka situationer, dvs. för vilka ändamål, utlämnande av personuppgifter får ske. Även visavi den registrerade själv är det fråga om ett utlämnande. Som framgått ovan finns redan två centrala och generella regelverk som innebär en skyldighet för det personuppgiftsansvariga lärosätet att lämna ut personuppgifter till den registrerade själv. Till det kommer vad som i avsnitt 8.4 föreslås om att det i lagen ska införas en bestämmelse som tillåter att lärosätet ger registrerade direktåtkomst till sina personuppgifter. Mot denna bakgrund delar regeringen bedömningen i promemorian att möjligheten att lämna ut personuppgifter till den registrerade själv är tillräckligt reglerad och att en särskild bestämmelse inte behövs.
Uppgifter som lämnas ut från en forskningsdatabas ska skyddas
Personuppgifter ska vara pseudonymiserade eller skyddade på likvärdigt sätt
Regeringens förslag: Utlämnande till forskningsprojekt och till forskningshuvudmän i samband med utredning om oredlighet vid forskning m.m. får som huvudregel bara avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Personuppgifter får dock vara direkt identifierbara vid utlämnandet, om det är nödvändigt för att uppfylla ändamålet med den forskning eller den utredning som uppgifterna ska lämnas ut till.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten och Socialstyrelsen.
Uppsala universitet tillstyrker förslaget men önskar att promemorian hade berört hur personuppgifter får delas och om kryptering och två-faktors autentisering är tillräckligt som skyddsåtgärd. Verket för Innovationssystem (Vinnova) ser positivt på att pseudonymisering pekas ut som en skyddsåtgärd bland andra vid utlämnande av personuppgifter och att direkt identifierbara personuppgifter får lämnas ut om det är nödvändigt för att uppfylla ändamålet med den forskning som uppgifterna ska lämnas ut till. Vinnova framhåller att i många fall kan pseudonymisering vara helt omöjlig att genomföra, till exempel när det gäller röntgenbilder eller vid forskning om sällsynta sjukdomar och att ett krav på pseudonymisering således skulle vara oförenligt med de väsentliga vetenskapliga behov som förslaget avser att adressera.
Malmö universitet konstaterar att det i promemorians lagförslag föreskrivs att personuppgifter får vara direkt identifierbara vid utlämnandet om det är nödvändigt för att uppfylla ändamålet med den forskning eller den utredning som uppgifterna ska lämnas till. Universitetet konstaterar vidare att det i promemorian för vägledning till tolkning görs en hänvisning till dataskyddsförordningens skäl 39, där det anges att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel, liksom till etikprövningen av forskningsplanen och möjligheter för Etikprövningsmyndigheten att ange villkor som begränsning av utlämnande av sådana personuppgifter. Lagen lämnar dock enligt universitetet för stora möjligheter till utlämnande och lever därför inte upp till lämpligt integritetsskydd.
Skälen för regeringens förslag
Personuppgifter som lämnas ut bör som huvudregel vara pseudonymiserade eller skyddade på motsvarande sätt
Behandling av personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål ska enligt artikel 89.1 i dataskyddsförordningen omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna får inbegripa pseudonymisering under förutsättning att ändamålet med behandlingen kan uppfyllas på det sättet. När ändamålen med behandlingen kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Med pseudonymisering avses enligt artikel 4 behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. I artikel 32.1 anges vidare att den personuppgiftsansvarige, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet bl.a. pseudonymisering.
I praktiken fungerar pseudonymisering så att vid utlämnande lämnas, i stället för identifierbara personuppgifter, en beteckning som hos den personuppgiftsansvarige kan kopplas till den registrerades personnummer eller motsvarande identitetsbeteckning. Uppgifter som möjliggör identifiering ska alltså förvaras separat hos den personuppgiftsansvarige, och en s.k. kodnyckel kan användas för att ersätta direkta identifierare såsom personnummer eller namn.
Pseudonymisering vid utlämnanden är en ytterligare skyddsåtgärd för att skydda registrerade mot den risk för otillbörligt intrång i deras integritet som skulle kunna uppstå om deras identiteter i forskningsprojekten till vilka uppgifterna lämnas ut kan sammankopplas med deras lämnade personuppgifter. Med beaktande av den skaderisk det intrång i den registrerades personliga integritet som en sammankoppling mellan dennes identitet och anknytande personuppgifter medför anser regeringen att det ska vara en huvudregel att forskningshuvudmannen ska skydda personuppgifterna i forskningsdatabasen genom att vid utlämning av uppgifterna tillämpa pseudonymisering eller något annat likvärdigt skydd.
Med att personuppgifterna ska vara skyddade på likvärdigt sätt menas att det bör åligga den personuppgiftsansvarige att välja en skyddsåtgärd som, i samma utsträckning som pseudonymisering, uppfyller kravet på att förhindra att den registrerade sammankopplas med sina identifierande personuppgifter. Som Uppsala universitet nämner kan det som alternativ till pseudonymisering med kodnyckel finnas andra skyddsåtgärder som uppfyller samma syfte, dvs. att tillse att det i det forskningsprojekt som uppgifter lämnas till inte går att sammankoppla uppgifterna med de registrerades identiteter. Därmed kan ett likvärdigt eller t.o.m. bättre skydd ges än vid pseudonymisering med kodnyckel. Exempel på sådana åtgärder är olika typer av randomisering eller generalisering.
I merparten av de forskningsprojekt som kan tänkas vilja få ut personuppgifter från en forskningsdatabas kommer direkt identifikation inte vara nödvändig. Det är dessutom, i redan nu befintliga forskningsdatabaser, såsom LifeGene och Tvillingregistret, vanligt att personuppgifter lämnas ut från registren i kodad eller pseudonymiserad form. Ett krav på pseudonymisering av eller likvärdigt skydd för de personuppgifter som lämnas ut från en forskningsdatabas kan mot den bakgrunden inte sägas inverka menligt på de forskningsprojekt som forskningsdatabaserna är tänkta att skapa resurser för.
I det arbete med att överväga anpassningar på forskningsområdet som dataskyddsförordningens införande föranledde gjordes bedömningen att ett generellt krav på pseudonymisering på forskningsområdet skulle innebära en dubbelreglering i förhållande till dataskyddsförordningen, främst artikel 89, som var olämplig. Däremot behölls bestämmelsen i LifeGene-lagen om att utlämnade personuppgifter ska vara pseudonymiserade och bestämmelsen motsvarar i allt väsentligt de bestämmelser som föreslås här, se 6 § andra stycket LifeGene-lagen. Dessa bestämmelser ansågs inte oförenliga med dataskyddsförordningen.
I likhet med den bedömning som gjordes i samband med anpassningen av LifeGene-lagen till dataskyddsförordningen gör regeringen bedömningen att införandet av en specifik särreglering i fråga om pseudonymisering vid utlämnanden från forskningsdatabaser till forskningsprojekt och till forskningshuvudmän i samband med utredning om misstänkt oredlighet vid forskning är en tillåten nationell särreglering i förhållande till dataskyddsförordningen enligt artiklarna 6.2, 9.1 j och 89.1. Det föreslås därför att det i ramlagen införs en bestämmelse om att utlämnande bara får avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
I vissa fall behöver personuppgifterna kunna få vara direkt identifierbara
Av artikel 89.1 i dataskyddsförordningen framgår som nämnts att skyddsåtgärder vid personuppgiftsbehandling får inbegripa pseudonymisering under förutsättning att ändamålen kan uppfyllas på det sättet. Det finns alltså ett utrymme i förordningen att inte tillämpa pseudonymisering. Det kan, som Vinnova framhåller, förekomma forskningsmetoder där identifierande uppgifter såsom personnummer måste bevaras och/eller behandlas i själva forskningsverksamheten. Forskningsmetoden kan utgöra det minst ingripande sättet att uppnå det förväntade resultatet, och forskningens vetenskapliga värde kan väga upp risken för den enskildes personliga integritet. Det bör därför enligt regeringens uppfattning finnas en möjlighet att inte tillämpa pseudonymisering eller något annat likvärdigt skydd, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna lämnas ut till. Även när det gäller utredningar om oredlighet i forskning kan det, för utredningens skull, finnas behov av tillgång till sådana personuppgifter även om det inte torde vara det vanliga. Lagen bör därför innehålla en bestämmelse om dessa möjligheter.
För tolkning av vad som här avses med kravet på nödvändighet bör ledning sökas i dataskyddsförordningens skäl 39, där det anges att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. Detsamma bör följaktligen gälla för möjligheten att från en forskningsdatabas lämna ut uppgifter som inte är pseudonymiserade eller skyddade på likvärdigt sätt, nämligen att detta endast får ske om ändamålet med den aktuella forskningen inte rimligen kan uppnås på annat sätt. Regeringen anser därför, i motsats till Malmö universitet, att den föreslagna regleringen lever upp till det integritetsskydd som dataskyddsförordningens krav ställer upp.
Det ankommer på den personuppgiftsansvarige att, vid en ansökan om utlämnande av icke pseudonymiserade eller likvärdigt skyddade personuppgifter, pröva om det föreligger en sådan nödvändighet. För det fall det aktuella forskningsprojektet omfattas av etikprövningslagen, och även behandlingen av personuppgifter i forskningsprojektet blir föremål för etikprövning kommer nämnda prövning att innefatta en sådan intresseavvägning mellan å ena sidan forskningens vetenskapliga värde och, å andra sidan, integritetsrisken för den enskilde (jfr 10 § etikprövningslagen). Etikprövningsnämndens bedömning kan då tjäna som utgångspunkt för den personuppgiftsansvariges bedömning.
Regeringen föreslår slutligen att regeringen i ramlagen bemyndigas att meddela föreskrifter i förordning för forskningsdatabaser som begränsar utrymmet att lämna ut identifierbara personuppgifter.
Utlämnande av kodnycklar eller annan identifierande information
Regeringens förslag: Om personuppgifter eller uppgifter om avlidna som har lämnats ut från en forskningsdatabas är pseudonymiserade eller skyddade på likvärdigt sätt, får kompletterande uppgifter för att identifiera en registrerad, inbegripet de registrerades personnummer eller motsvarande identitetsbeteckning, lämnas ut till en myndighet, om det är nödvändigt för att myndigheten ska kunna lämna ut uppgifter om samma personer till det forskningsprojekt som utlämnande från forskningsdatabasen har skett till.
Promemorians förslag överensstämmer i huvudsak med regeringens förslag. Det är språkligt något annorlunda formulerat och gäller inte uppgifter om avlidna.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten, Socialstyrelsen och Uppsala universitet.
Statistiska centralbyrån (SCB) anför att det många gånger kan komma att bli aktuellt att forskningsprojekt vill att SCB eller annan statistikansvarig myndighet tar fram en population (i form av direkt hänförliga uppgifter eller en kodnyckel) som lämnas till forskningsdatabasen för sambearbetning innan den därefter lämnas vidare till forskningsprojektet. SCB bedömer att det i den situationen är oklart på vilken grund SCB skulle kunna lämna ut populationen till forskningsdatabasen då uppgifterna inte behövs i databasen. SCB anser också att begreppet ”annan myndighet” kan bli missvisande eftersom behandling av personuppgifter i en forskningsdatas får utföras även vid lärosäten som inte är myndigheter.
Skälen för regeringens förslag: I de forskningsdatabaser som kan omfattas av den föreslagna lagen kommer det att vara tillåtet att, utöver personuppgifter som samlas in direkt från enskilda, också samla in uppgifter från andra källor, såsom myndighetsregister, för att komplettera de primärt insamlade uppgifterna. Regeringen bedömer att forskningshuvudmän för forskningsprojekt som fått personuppgifter från en forskningsdatabas ofta kommer att ha ett intresse av att själva komplettera insamlingen av uppgifter med uppgifter från ett myndighetsregister, exempelvis Socialstyrelsens hälsodataregister.
Möjligheten att sambearbeta, dvs. att lägga samman uppgifter från olika uppgiftssamlingar för att nå ny kunskap ger forskare möjlighet att hitta samband och förklara uppkomsten av olika problem, t.ex. orsaken till olika sjukdomar. Skulle det inte vara möjligt att kombinera uppgifterna i en forskningsdatabas med andra uppgifter skulle alltså ett viktigt syfte med forskningsdatabaserna, att vara en resurs för olika forskningsprojekt, gå förlorad.
Som framgått av föregående avsnitt föreslås att de personuppgifter som lämnas ut från en forskningsdatabas till ett forskningsprojekt som huvudregel ska vara pseudonymiserade eller skyddade på annat likvärdigt sätt. Även uppgifter om avlidna kan vara skyddade på likvärdigt sätt. Om en forskningshuvudman, som har fått uppgifter från en forskningsdatabas, vänder sig till en myndighet för att få ut kompletterande uppgifter från ett visst myndighetsregister, är det viktigt att de uppgifter som huvudmannen får därifrån kan kopplas till de personuppgifter som huvudmannen har fått från forskningsdatabasen. Den myndighet som för forskningsdatabasen måste för detta syfte ha identifierbara personuppgifter och/eller en kodnyckel. Regeringen anser därför att när personuppgifter eller uppgifter om avlidna har lämnats ut pseudonymiserade eller skyddade på likvärdigt sätt bör det finnas en möjlighet för huvudmannen för forskningsdatabasen att till en myndighet lämna ut kompletterande uppgifter för att identifiera en registrerad, inbegripet de registrerades personnummer eller motsvarande identitetsbeteckning, om det är nödvändigt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till det forskningsprojekt som fått uppgifter från forskningsdatabasen. Det föreslås därför att ramlagen ska innehålla en bestämmelse som tillåter utlämnande för det ändamålet. För att efter synpunkter från Lagrådet tydliggöra att nu aktuell bestämmelse om utlämnande – i likhet med övriga bestämmelser i ramlagen om utlämnande av uppgifter från en forskningsdatabas (se avsnitt 8.1.1, 8.1.3 och 8.1.4) och den i avsnitt 10.4 föreslagna bestämmelsen om tystnadsplikt för uppgifter som mottagits från en forskningsdatabas – har ett vidare tillämpningsområde än övriga bestämmelser i ramlagen, genom att den även gäller för uppgifter om avlidna, föreslås att det direkt av lagtexten ska framgå att bestämmelsen gäller såväl personuppgifter som uppgifter om avlidna. Motsvarande bestämmelse finns för personuppgifter i 7 § andra stycket LifeGene-lagen. Som SCB konstaterar blir det missvisande att enligt utredningens förslag i bestämmelsen ange att uppgifterna får lämnas ut till annan myndighet eftersom även lärosäten som inte är myndigheter får föra forskningsdatabaser enligt den föreslagna lagen. Ordet annan bör därför strykas ur lagtexten.
De identifierbara personuppgifter som lämnas ut till myndigheten kommer att vara skyddade av sekretess, antingen överförd sådan eller en primär sekretessbestämmelse hos den mottagande myndigheten (se avsnitt 10.3). Handlar det om känsliga personuppgifter kommer forskningsprojektet och dess inhämtande av kompletterande uppgifter från myndighetsregister att ha bedömts och godkänts av Etikprövningsmyndigheten. Utlämnandet kan därför inte sägas innebära en sådan integritetsrisk för de registrerade som berörs att det talar mot en sådan möjlighet.
Förteckning för identifiering (kodnycklar)
Regeringens förslag: Den personuppgiftsansvarige ska bevara en förteckning över de kompletterande uppgifter som behövs för att identifiera en registrerad så länge som det är nödvändigt.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten, Socialstyrelsen och Uppsala universitet.
Kammarrätten i Stockholm uppfattar att syftet med bestämmelsen är att föreskriva en skyldighet för den personuppgiftsansvarige att bevara aktuella personuppgifter så länge det är nödvändigt att en tillgång till uppgifterna finns. Kammarrätten föreslår att bestämmelsen i så fall formuleras på följande sätt: ”Den personuppgiftsansvarige ska så länge det är nödvändigt bevara en förteckning över de kompletterande uppgifter som behövs för att identifiera en registrerad.” Malmö universitet anser att den föreslagna bestämmelsen riskerar att hamna i konflikt med principen om lagringsminimering i artikel 5.1 e och 89.1 i dataskyddsförordningen och att formuleringen därför borde ändras till ”kompletterande uppgifter som behövs för att identifiera en registrerad ska bevaras hos den personuppgiftsansvarige under så lång tid som den personuppgiftsansvarige kan motivera att det är nödvändigt.”
Skälen för regeringens förslag: Den stora merparten av de personuppgifter som lämnas ut från forskningsdatabaser kommer, i enlighet med den i avsnitt 8.2.1 föreslagna huvudregeln, att vara pseudonymiserade eller skyddade på annat likvärdigt sätt, t.ex. genom kryptering. Vid pseudonymisering kommer uppgifter att lämnas ut i kodad form, där personuppgifterna inför utlämning förses med en beteckning som hos den personuppgiftsansvarige för forskningsdatabasen kan kopplas till den registrerades personnummer eller motsvarande identitetsbeteckning. För detta syfte behöver det i forskningsdatabaserna bevaras en förteckning över kompletterande uppgifter som behövs för att identifiera en registrerad (kodnycklar o. dyl.). Detta bör framgå av en bestämmelse i den föreslagna lagen.
Det är ändamålen med behandlingen av personuppgifterna som avgör hur länge personuppgifterna får bevaras i identifierbart skick. Bevarandet av en förteckning för identifiering i en forskningsdatabas behöver vara långsiktigt. Det handlar dels om att därigenom kunna möjliggöra longitudinella studier, dels om att senare kunna bygga vidare på den kunskap som inhämtats genom ett forskningsprojekt som ligger längre tillbaka i tiden genom kompletterande studier. Även vikten av att kunna granska tidigare genomförda forskningsprojekt talar för ett långsiktigt bevarande av dessa förteckningar.
I promemorian föreslås att förteckningen ska bevaras hos den personuppgiftsansvarige under så lång tid som den personuppgiftsansvarige anser nödvändigt. Behovet av ett långsiktigt bevarande av förteckningar för identifiering kan se olika ut i olika forskningsdatabaser. Regeringen delar därför bedömningen i promemorian att det inte förefaller ändamålsenligt att tidsbestämma det obligatoriska bevarandet av förteckningarna. Det bör i stället ankomma på den personuppgiftsansvarige att bedöma hur lång tid ett sådant bevarande är nödvändigt. Regeringen delar dock Kammarrättens i Stockholm bedömning att en lämpligare formulering av den bestämmelse som ska föras in i ramlagen är att den personuppgiftsansvarige ska så länge det är nödvändigt bevara en förteckning över de kompletterande uppgifter som behövs för att identifiera en registrerad.
Enligt regeringens bedömning ligger det rimligen i ett lärosätes intresse att verksamheten vid en forskningsdatabas tillvaratar forskningsvärldens intressen av och önskemål om långsiktigt bevarande av förteckningar för identifiering. Det medför att bedömningar kring ett fortsatt behov av att bevara vissa sådana förteckningar ställer höga krav på en fungerande dialog mellan den personuppgiftsansvarige och de forskningshuvudmän som kan tänkas ha intresse av sådant bevarande. De lärosäten som kommer att kunna föra forskningsdatabaser som kan komma att omfattas av lagen kan enligt regeringens bedömning förutsättas ha den relation och förmåga till dialog med forskarvärlden att risken för felaktiga bedömningar, dvs. att förteckningar för identifiering raderas trots att behovet av dessa kvarstår, bör vara mycket liten.
Den föreslagna bestämmelsen bedöms vara en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att reglera i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Information till den registrerade om till vilka forskningsprojekt uppgifter har lämnats ut
Regeringens förslag: Den registrerade ska ha rätt att på begäran få information om vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut till.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten, Socialstyrelsen, Statens medicinsk-etiska råd (Smer) och Uppsala universitet.
Region Kalmar län understryker vikten av att de registrerade har rätt att få information om till vilka forskningsprojekt deras uppgifter har lämnats ut men påpekar att det kan finnas vissa svårigheter och vara kostsamt att rent tekniskt och organisatoriskt uppnå detta krav.
Kammarrätten i Stockholm anser att den föreslagna 3 kap. 8 § endast framstår som en upplysning om en del av den rätt till information som redan framgår av artikel 15 i dataskyddsförordningen (jfr exempelvis EU-domstolens avgörande den 12 januari 2023 i mål nr C-154/21) och att behovet av bestämmelsen därför kan ifrågasättas.
Umeå universitet påtalar att i och med att de uppgifter som lämnats ut efter etikprövning, som huvudregel är pseudonymiserade, blir det oklart om ny information för etiskt samtycke till deltagande ska skickas från aktuellt forskningsprojekt till personerna i fråga. Ska koden för de annars pseudonymiserade uppgifterna från en forskningsdatabas brytas, för att forskarna med hjälp av kontaktuppgifterna ska kunna kontakta den registrerade för information och nytt etiskt samtycke? Eller blir det i stället fråga om registerforskning där vi idag tillämpar undantagsmöjligheterna från etiskt samtycke och informationsplikten enligt 14.5 b) dataskyddsförordningen? Detta innebär också en risk för den personliga integriteten. Här uppstår oklarheter i tillämpningen som enligt universitetet behöver klaras ut.
Skälen för regeringens förslag: Enligt 15 § LifeGene-lagen har den registrerade rätt att på begäran få information om till vilka forskningsprojekt uppgifter om denne har lämnats ut. Regeringen har i samband med anpassningen av LifeGene-lagen till dataskyddsförordningens bestämmelser gjort bedömningen att bestämmelsen i 15 § är en specificering av den rättighet som anges i artikel 15.1 c i dataskyddsförordningen, dvs. att den registrerade ska ha rätt att få information om de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut eller ska lämnas ut. Bestämmelsen bedömdes vara en sådan nationell specificering som är tillåten såväl enligt skäl 8 som artikel 6.2 och 6.3 i förordningen och ansågs mot den bakgrunden kunna behållas (prop. 2017/18:298 s. 181–182).
Av EU-domstolens beslut i det mål Kammarrätten i Stockholm hänvisar till framgår visserligen att artikel 15.1 c i dataskyddsförordningen ska tolkas så, att rätten för den registrerade att få tillgång till personuppgifter som rör honom eller henne innebär – när uppgifterna har lämnats ut eller ska lämnas ut till mottagare – att den personuppgiftsansvarige är skyldig att ge den registrerade den faktiska identiteten på dessa mottagare, såvida det inte är omöjligt att identifiera mottagarna eller den personuppgiftsansvarige visar att den registrerades begäran om tillgång är uppenbart ogrundad eller orimlig i den mening som avses i artikel 12.5 i dataskyddsförordningen. I sådant fall är det tillräckligt att den personuppgiftsansvarige informerar den registrerade om de aktuella kategorierna av mottagare. Det handlar emellertid enligt regeringens uppfattning om en för de registrerade central fråga om hur deras uppgifter använts. Regeringen anser därför att det även i den nu föreslagna lagen bör finnas en tydlig bestämmelse om den registrerades rätt att på begäran få information om till vilka forskningsprojekt dennes uppgifter har lämnats ut. Det saknas skäl att göra en annan bedömning angående tillåtligheten av en sådan specificering i förhållande till dataskyddsförordningen än som gjordes vid anpassningen av LifeGene-lagen till dataskyddsförordningen. En motsvarande bestämmelse bör därför föras in i den föreslagna ramlagen.
När det gäller den fråga som Umeå universitet tar upp konstaterar regeringen att det etikgodkännande som krävs för ett utlämnande från forskningsdatabasen rimligtvis bör innefatta att uppgifter ska inhämtas från den aktuella forskningsdatabasen. Något ytterligare samtycke från den enskilde, utöver det som redan har lämnats enligt ramlagen bör rimligtvis inte behöva krävas i en sådan situation.
Direktåtkomst
Regeringens förslag: Personuppgifter ska inte få lämnas ut genom direktåtkomst annat än till den registrerade själv.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten och Socialstyrelsen.
Stockholms universitet anser att det är positivt om de enskilda kan ges direktåtkomst till sina uppgifter i forskningsdatabasen samt få information om hur dessa används. På så vis kan ett förtroende och en kommunikation etableras mellan de registrerade och de personuppgiftsansvariga på ett hållbart sätt. Detta ligger också enligt universitetet väl i linje med innebörden av begreppet ”dataaltruism” som förekommer i såväl dataförvaltningsakten som förslaget till en förordning om ett europeiskt hälsodataområde.
Region Kalmar län framhåller att det i promemorian beskrivs att den registrerades åtkomst av data bara avser uppgifter som är direkt identifierbara och att i de fall registrerade uppgifter i forskningsdatabasen är pseudonymiserade eller skyddade på annat likvärdigt sätt kan direktåtkomst för de registrerade vara resurskrävande för verksamheten att återställa till identifierbara uppgifter så att de blir anpassade till de registrerades direktåtkomst. Regionen menar därför att förslaget kan medföra en risk att den registrerade inte får en god överblick över hur deras data används i olika forskningsprojekt kopplade till databasen.
Biobank Sverige anser att det bör definieras i lagtexten vad som avses med direktåtkomst i lagen och att det är bra om det förtydligas att en regel om direktåtkomst inte innebär att man behöver utesluta tekniska lösningar som möjliggör anonymiserade, pseudonymiserade eller aggregerade sökningar.
Linnéuniversitetet anser att vissa delar av regleringen av personuppgifter inte tar tillräcklig hänsyn till behoven hos samhällsvetenskaplig forskning och ifrågasätter den föreslagna begränsningen till att endast den registrerade kan medges direktåtkomst till uppgifter om sig själv i en forskningsdatabas. Inskränkning till att endast den registrerade själv kan medges direktåtkomst till uppgifter om sig själv i forskningsdatabasen innebär enligt universitetet att varje databas som innehåller uppgifter om offentliga personer, till exempel politiker eller myndighetschefer, i princip ger vetomakt åt den offentliga person som ogillar viss forskning av politiska eller personliga skäl. Någon form av förtydligande där redan offentliga uppgifter av viss natur undantas ett sådant samtyckeskrav är enligt universitetet behövligt.
Uppsala universitet framhåller att det kan finnas situationer då en huvudman för en forskningsdatabas även erbjuder en analys- och bearbetningsmiljö för forskningsprojekt som får ta del av delar av databasens innehåll. Att större utdrag då aldrig behöver kopieras till en annan teknisk plattform kan vara en del av ett antal skyddsåtgärder för personuppgifterna. Med den definition som i promemorian används av direktåtkomst skulle detta enligt universitetet kunna omfattas. Det kan antas att syftet är att undvika att forskningsprojekt skulle få direktåtkomst till databasen i sin helhet, men det som beskrivs är ett förbud mot varje direktåtkomst till personuppgifter ur databasen. Universitetet anser att det är svårt att se vad detta förbud ska tillföra utöver de regler kring tillämpningen av dataskyddsförordning och etikprövning, sekretess, behörigheter och dokumentation av åtkomst till databasen som beskrivs i förslaget i övrigt. Universitetet rekommenderar att definitionen av direktåtkomst förtydligas. Avser det åtkomst till identifierbara individers fullständiga data inom forskningsdatabasen, åtkomst till databasens pseudonymiserade data eller till ett enskilt projekts pseudonymiserade data?
Skälen för regeringens förslag
Vad innebär direktåtkomst?
Med begreppet direktåtkomst avses vanligtvis en speciell form av elektroniskt utlämnande av uppgifter till annan, exempelvis till mottagare utanför det egna lärosätet eller mellan eventuella självständiga verksamhetsgrenar inom ett lärosäte. Begreppet är inte definierat i lag. Med begreppet avses vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. På detta sätt skiljer sig begreppet från den elektroniska åtkomst för befattningshavare inom den personuppgiftsansvariges verksamhet med en forskningsdatabas som behandlats i avsnitt 7.3 och som alltså inte innebär ett utlämnande till någon annan. I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Till skillnad från Biobank Sverige anser regeringen dock inte att det finns behov av en definition av termen direktåtkomst i lagen.
Dataskyddsförordningen innehåller inga särskilda restriktioner i fråga om direktåtkomst eller annat elektroniskt utlämnande i förhållande till utlämnande på exempelvis papper. I så kallade registerförfattningar med särreglering i förhållande till generell dataskyddsreglering är det dock mycket vanligt att det finns restriktioner i fråga om direktåtkomst. Syftet är att skydda registrerades personliga integritet mot spridning av känsliga uppgifter.
Enligt 15 § LifeGene-lagen får direktåtkomst till registret inte förekomma. I ett beslut i ett tillsynsärende gällande personuppgiftsbehandlingen i LifeGene fann Integritetsskyddsmyndigheten att KI, som är personuppgiftsansvarigt, i strid mot bestämmelsen medgav deltagare i projektet direktåtkomst via en personlig hemsida där de på egen hand kunde söka efter uppgifter om sig själva som fanns i registret (beslut den 6 februari 2015, dnr 708–2014). Deltagarnas tillgång fick därefter inte fortsätta.
En bestämmelse om direktåtkomst har inte någon sekretessbrytande verkan i sig utan en förutsättning för att direktåtkomst ska kunna tillåtas mellan exempelvis två universitet är att åtkomsten antingen avser endast offentliga uppgifter eller avser sådana sekretessbelagda uppgifter som får lämnas ut till det mottagande universitetet med stöd av särskilda sekretessbrytande bestämmelser. Detsamma gäller när det finns en sekretessgräns inom en myndighet, mellan olika verksamhetsgrenar när de uppträder självständigt mot varandra, se 8 kap. 2 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, och avsnitt 7.3.
Direktåtkomst för registrerade bör vara möjligt
Enligt 12 kap. 1 § OSL gäller sekretess till skydd för en enskild inte i förhållande till den enskilde själv, om inte annat anges i OSL. Det är mycket ovanligt att sekretess gäller i förhållande till den enskilde själv. Som nämnts i avsnitt 7.3 och som närmare utvecklas i avsnitt 10.3 föreslår regeringen att det ska gälla sekretess i verksamhet som avser förande av eller uttag ur en forskningsdatabas enligt ramlagen för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde. Detta sekretesskydd ska inte gälla gentemot den registrerade själv. Regeringen anser därför att det bör vara möjligt att registrerade i sådana forskningsdatabaser som kommer att omfattas av den föreslagna lagen ska kunna beredas möjlighet till direktåtkomst till uppgifter i databasen om sig själva. Det ska dock inte vara fråga om en rätt för den registrerade att få denna åtkomst utan en möjlighet att erbjuda denna form av tillgång i den utsträckning som lärosätet i fråga anser det lämpligt, praktiskt görbart och tillräckligt säkert.
I praktiken kommer åtkomsten troligen bara att avse sådana uppgifter om den registrerade som är direkt identifierbara. I de fall registrerade uppgifter i forskningsdatabasen är pseudonymiserade eller skyddade på annat likvärdigt sätt torde direktåtkomst för de registrerade vara alltför resurskrävande att återställa till identifierbara så att de blir anpassade till registrerades direktåtkomst. Regeringen anser i motsats till Region Kalmar län att den registrerade trots detta har goda möjligheter till att få en överblick över de data som registrerats i databasen genom bestämmelserna om information och tillgång till personuppgifter i dataskyddsförordningen.
Möjlighet till direktåtkomst ställer höga krav på säkerhetsåtgärder hos det lärosäte som ansvarar för verksamheten i en forskningsdatabas. Det handlar bl.a. om att det måste finnas tekniska lösningar genom vilka det går att säkerställa identifieringen av den registrerade som begär direktåtkomst, men också om att de uppgifter som kan åtkommas på det viset inte är mer eller mindre omfattande än vad lagen föreslås medge, dvs. att det ska handla om personuppgifter om den registrerade. Sådana säkerhetsåtgärder bör inte specificeras i den föreslagna lagen utan följer redan av dataskyddsförordningens krav på skydd för personuppgifterna, bland annat kraven på tekniska och organisatoriska åtgärder i artikel 25.
Utlämnande av uppgifter från en forskningsdatabas till forskare i ett forskningsprojekt ska inte få ske genom direktåtkomst
Det övergripande ändamålet med personuppgiftsbehandlingen i en forskningsdatabas är att skapa underlag för olika framtida forskningsprojekt och dessutom att lämna ut uppgifter till sådana forskningsprojekt. I likhet med vad Registerforskningsutredningen anförde i sitt betänkande skulle effektivitetsskäl kunna tala för att tillåta elektronisk åtkomst, dvs. direktåtkomst, till uppgifter i en forskningsdatabas för forskare hos forskningshuvudmän som ska använda uppgifterna i en forskningsdatabas för specifika forskningsprojekt. Möjlighet till sådan åtkomst skulle, förutsatt att det finns en fungerande teknik för det, kunna spara en del resurser och tid såväl för det lärosäte som ansvarar för verksamheten vid en forskningsdatabas som för den mottagande forskningshuvudmannen oavsett om det handlar om ett forskningsprojekt vid samma lärosäte som för forskningsdatabasen eller ett forskningsprojekt vid ett annat lärosäte. Att göra sådana integritetskänsliga personuppgifter, som det kommer att vara fråga om i forskningsdatabaser som kommer att föras med stöd av ramlagen, tillgängliga genom direktåtkomst skulle emellertid kunna äventyra de registrerades rätt till skydd för sin personliga integritet. Vetskapen om att sådan åtkomst vore tillåten för ett större antal personer än de som arbetar i verksamheten med själva forskningsdatabasen kan också tänkas ha en negativ påverkan på enskildas vilja att delta i insamlingen av uppgifter till en forskningsdatabas. Det kan också förutsättas vara svårt att, i situationer där direktåtkomst skulle tillåtas, göra sådana avvägningar i sekretessfrågor som utlämnandesituationen kräver. Det bör därför inte, som Linnéuniversitetet föreslår, införas ytterligare möjligheter till utlämnande genom direktåtkomst utöver den ovan föreslagna bestämmelsen om att personuppgifter om en registrerad får lämnas ut genom direktåtkomst till den registrerade själv. Förslaget till en lag om vissa forskningsdatabaser bygger vidare på att insamling och registrering av personuppgifter görs genom registrerades frivilliga medverkan. Det kan därför inte, som universitetet anser, komma i fråga att offentliga personer inte skulle behöva lämna samtycke till att ingå i forskningsdatabasen. Regeringen bedömer att det faktum att möjligheten till direktåtkomst för en registrerads uppgifter i forskningsdatabasen enbart ges till den registrerade själv inte heller, som Linnéuniversitetet anför, innebär att viktig samhällsvetenskaplig forskning förhindras.
Sammanfattningsvis överväger skälen av ett starkt integritetsskydd för personuppgifterna i en forskningsdatabas skälen för att tillåta direktåtkomst för myndigheter eller andra forskningshuvudmän som ansvarar för ett forskningsprojekt. Regeringen anser därför, till skillnad från Uppsala universitet och Linnéuniversitetet, att ett motsvarande generellt förbud mot direktåtkomst bör gälla enligt den föreslagna lagen som i LifeGene-lagen. Med hänsyn till att det ovan föreslås att det ska vara möjligt för det lärosäte som för en forskningsdatabas att låta en registrerad få direktåtkomst till uppgifter om sig själv bör förbudet, i enlighet med vad som föreslås i promemorian, ges formuleringen att personuppgifter inte får lämnas ut genom direktåtkomst annat än till den registrerade själv.
Personuppgiftsansvariga för verksamheter med forskningsdatabaser kommer att vara lärosäten som samtidigt är forskningshuvudmän för forskning som bedrivs vid lärosätet i fråga. Det kommer därmed kunna uppstå många situationer där det blir aktuellt att lämna ut uppgifter från en forskningsdatabas till ett forskningsprojekt vid samma lärosäte.
Såsom regeringen anfört i avsnitt 7.3 förutsätter regeringen att verksamheten med registret kommer att utgöra en egen verksamhetsgren inom lärosätet och att verksamheten organiseras på ett sådant sätt att det uppstår en sekretessgräns mellan verksamheten med forskningsdatabasen och övriga verksamheter vid lärosätet (se 8 kap. 2 § OSL). För det fall verksamheten vid forskningsdatabasen inte organiseras så självständigt att en sekretessgräns uppstår mellan verksamheten med forskningsdatabasen och forskningsprojekt inom lärosätet betyder det dock inte att forskare kan få tillgång till uppgifter i databasen med elektronisk åtkomst som ett slags kringgående av förbudet mot direktåtkomst. Som föreslagits i avsnitt 7.3 ska bara de som arbetar vid verksamheten med en forskningsdatabas få tillåtas ha elektronisk åtkomst till databasen och den åtkomsten får befattningshavaren bara använda för att fullgöra sina arbetsuppgifter i fråga om forskningsdatabasen. Dessa bestämmelser medför alltså att forskare vid det lärosäte som också ansvarar för forskningsdatabasen i fråga inte ska kunna tilldelas behörighet för elektronisk åtkomst till databasen. För det fall en forskare har dubbla roller, exempelvis både forskar och arbetar vid forskningsdatabasen, får befintlig åtkomst inte användas för att bereda sig tillgång till uppgifter som behövs i forskningsprojektet, utan tillgång till uppgifterna får hanteras enligt ordinarie beslutsordning och prövning av om förutsättningarna enligt lagen är uppfyllda med beaktande av jäv.
Det ska observeras att förbudet mot utlämnande genom direktåtkomst inte innebär förbud mot andra former av elektroniskt utlämnande, så länge dessa inte innebär att mottagaren själv kan bereda sig tillgång till personuppgifter i forskningsdatabasen.
Förbudet mot direktåtkomst får anses utgöra en sådan specifik eller särskild bestämmelse som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen och som dessutom utgör en sådan lämplig åtgärd för att säkerställa den reglerades rättigheter och intressen som krävs enligt artikel 9.2 g och 9.2 j.
Lagen om rättspsykiatriskt forskningsregister ska upphävas
Lagens huvudsakliga innehåll
Rättsmedicinalverket (RMV) får för de ändamål som anges i 3 § lagen (1999:353) om rättspsykiatriskt forskningsregister föra ett rättspsykiatriskt forskningsregister med hjälp av automatiserad behandling. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättspsykiatrin (utvecklingsarbete). Enligt lagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. har utfärdats. Lagen innehåller en uppräkning av vilka uppgifter om personerna som får registreras. Endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Socialstyrelsen, Kriminalvården respektive Statens institutionsstyrelse ska lämna uppgifter till registret.
I lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter finns en bestämmelse om att den lagen inte gäller när personuppgifter behandlas med stöd av lagen om rättspsykiatriskt forskningsregister (1 kap. 5 § 1).
I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess i verksamhet som avser förande av eller uttag ur det rättspsykiatriska forskningsregistret (24 kap. 2 §). Dessa bestämmelser behandlas i avsnitt 10.6.
Lagen om rättspsykiatriskt forskningsregister ska upphävas och den till lagen anknytande bestämmelsen ska tas bort
Regeringens förslag: Lagen om rättspsykiatriskt forskningsregister ska upphävas. En följdändring ska göras i lagen om Rättsmedicinalverkets behandling av personuppgifter.
Promemorians förslag överensstämmer med regeringens förslag när det gäller upphävande av lagen om rättspsykiatriskt forskningsregister. I promemorian lämnas dock inget förslag om bestämmelsen i lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Detta gäller bl.a. Rättsmedicinalverket, Integritetsskyddsmyndigheten, Svenska Läkaresällskapet och Sveriges Kommuner och Regioner. Stockholms universitet tillstyrker förslaget men påpekar att behovet av ett register för att stärka forskningen på detta viktiga område bör vara föremål för fortsatt utredning.
Skälen för regeringens förslag: Rättsmedicinalverket påbörjade arbetet med att skapa det rättspsykiatriska forskningsregistret i januari 2001 och arbetet pågick till och med år 2005, varefter registret lades ned.
Såsom Forskningsdatautredningen funnit (SOU 2018:136 s. 355) har inrättandet av det rättspsykiatriska forskningsregistret inte tillgodosett forskningsbehovet på området och lagen har inte tillhandahållit de möjligheter som behövs för att bedriva en kvalitativ och över tid föränderlig rättspsykiatrisk forskning. I stället har forskningen på området kommit att bedrivas på universiteten, utan användning av registret. Bland annat mot den bakgrunden föreslog utredningen att lagen om rättspsykiatriskt forskningsregister skulle upphävas. Samma förslag lämnas i promemorian, där det konstateras att det alltjämt finns fog för de slutsatser som Forskningsdatautredningen presenterade.
Rättsmedicinalverket har, eftersom verket inte har ansett sig ha något behov av registret och inte heller har bedömt regleringen kring detta vara ändamålsenlig, valt att inte längre föra något sådant register. Verket har i sitt remissyttrande angett att myndigheten utifrån sin verksamhet ser särskilt positivt på förslaget att lagen upphävs. Myndigheten instämmer därvid huvudsakligen i de skäl som anförs i promemorian för förslaget om upphävande. Mot denna bakgrund anser regeringen att lagen bör upphävas.
Till följd av att lagen om rättspsykiatriskt forskningsregister upphävs behöver även 1 kap. 5 § lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter ändras på så sätt att den punkten där det anges att lagen inte gäller när personuppgifter behandlas med stöd av lagen om rättspsykiatriskt forskningsregister tas bort.
Sekretess och tystnadsplikt
Sekretess- och tystnadspliktsregleringens betydelse för forskningsdatabaser
Sekretessregleringen behöver ses över med anledning av den nya lagen om vissa forskningsdatabaser. Det handlar om att skydda de registrerades personliga integritet i en verksamhet med en forskningsdatabas men också om att möjliggöra att uppgifter som lämnats av de registrerade kan kompletteras med uppgifter som med samtycke eller med information i kombination med en möjlighet till opt-out kan inhämtas till forskningsdatabasen från t.ex. myndighetsregister som omfattas av s.k. statistiksekretess. Med hänsyn till att uppgifter från en forskningsdatabas ska kunna lämnas ut till forskningsprojekt, oavsett om dessa bedrivs av myndigheter eller enskilda som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, ska tillämpa offentlighetsprincipen och jämställas med myndigheter i sin verksamhet, eller om de bedrivs av enskilda forskningsutförare som inte omfattas av sistnämnda reglering, så behöver det också införas bestämmelser om tystnadsplikt i syfte att skydda de registrerades personliga integritet.
Nedan lämnas i avsnitt 10.2 en redogörelse för den nuvarande regleringen och i avsnitt 10.3–10.5 lämnas förslag till ändringar med anledning av förslaget till ny lag om vissa forskningsdatabaser. I avsnitt 10.6 lämnas förslag med anledning av att lagen om (1999:353) om rättspsykiatriskt forskningsregister i avsnitt 9 föreslås upphävas.
Den nuvarande regleringen
Offentlighetsprincipen och sekretess och vilka som ska tillämpa denna reglering
I register som kommer att föras enligt den föreslagna lagen om vissa forskningsdatabaser kan bl.a. uppgifter som typiskt sett är av mycket känslig natur såsom uppgifter om sjukdomar, hälsotillstånd i övrigt samt genetisk information föras in. Uppgifterna kommer att kunna finnas i register hos ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL och bilagan till den lagen jämställs med myndighet i sin verksamhet med forskningsdatabasen. Därmed blir bestämmelserna om rätten att ta del av allmänna handlingar i 2 kap. tryckfrihetsförordningen (TF) tillämpliga. Denna rätt får enligt 2 kap. 2 § första stycket TF endast begränsas om det är påkallat med hänsyn till vissa i paragrafen angivna intressen, bl.a. skyddet av enskildas personliga och ekonomiska förhållanden. Varje begränsning i rätten att ta del av allmänna handlingar ska enligt 2 kap. 2 § andra stycket TF anges noga i en särskild lag, varmed avses OSL, eller, om det anses lämpligare i ett visst fall, i en annan lag som OSL hänvisar till. En handling är allmän om den förvaras hos en myndighet och enligt 2 kap. 9 eller 10 § TF är att anse som inkommen till eller upprättad hos en myndighet (2 kap. 4 § TF).
Med sekretess avses ett förbud att röja en uppgift, vare sig det sker muntligen, genom att en allmän handling lämnas ut eller på något annat sätt (3 kap. 1 § OSL). I OSL regleras också sekretess mellan myndigheter. En uppgift för vilken sekretess gäller får inte röjas för andra myndigheter, om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till (8 kap. 1 § OSL). Enligt 8 kap. 2 § OSL gäller vad som föreskrivs om sekretess mot andra myndigheter i 1 § och vad som föreskrivs i andra bestämmelser i OSL om uppgiftslämnande till andra myndigheter och överföring av sekretess mellan myndigheter, också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. Sekretess gäller också mot utländska myndigheter och mellanfolkliga organisationer (8 kap. 3 § OSL).
I vissa fall måste dock myndigheter kunna utbyta uppgifter för att kunna utföra sina uppgifter. Sekretessregleringen innehåller därför särskilda sekretessbrytande bestämmelser. Med sekretessbrytande bestämmelser avses enligt 3 kap. 1 § OSL en bestämmelse som innebär att en sekretessbelagd uppgift får lämnas ut under vissa förutsättningar. Med sekretessbelagd uppgift avses en sekretessreglerad uppgift för vilken sekretess gäller i ett enskilt fall (3 kap. 1 § OSL). En sekretessbrytande bestämmelse kan gälla till förmån för myndigheter, enskilda, en annan verksamhetsgren inom samma myndighet, utländska myndigheter eller mellanfolkliga organisationer.
En sekretessbestämmelse brukar bestå av tre huvudsakliga rekvisit, dvs. förutsättningar för bestämmelsens tillämplighet. Det är rekvisit som anger föremålet för sekretessen, sekretessens räckvidd och sekretessens styrka. Sekretessens föremål är den information som kan hemlighållas och anges i lagen genom ordet uppgift tillsammans med en mer eller mindre långtgående precisering av uppgiftens art, t.ex. uppgift om enskilds personliga förhållanden. En sekretessbestämmelses räckvidd bestäms normalt genom att det i bestämmelsen preciseras att sekretessen för de angivna uppgifterna bara gäller i viss typ av verksamhet eller i viss typ av ärende eller hos viss myndighet. När det gäller sekretessens styrka är det normala att den bestäms med hjälp av ett s.k. skaderekvisit. Man skiljer i detta avseende mellan raka och omvända skaderekvisit. Vid raka skaderekvisit är utgångspunkten att uppgifterna är offentliga och att det bara gäller sekretess om det kan antas att viss skada uppstår om uppgiften lämnas ut. Vid det omvända skaderekvisitet är utgångspunkten den omvända, dvs. utgångspunkten är att uppgifterna omfattas av sekretess. Vid ett omvänt skaderekvisit får uppgifterna således bara lämnas ut om det står klart att de kan lämnas ut utan att viss skada uppstår. Sekretessen enligt en bestämmelse kan även vara absolut, dvs. en sådan bestämmelse är inte försedd med något skaderekvisit och de uppgifter som omfattas av bestämmelsen ska hemlighållas utan någon skadeprövning om uppgifterna begärs ut. Sekretessens styrka bestäms inte bara med hänsyn till behovet av skydd för uppgifterna utan efter en avvägning mellan sekretessintresset och behovet av insyn till verksamheten. I verksamhet som omfattar myndighetsutövning bedöms insynsintresset vara stort. När det är fråga om enskildas frivilliga kontakter med myndigheter brukar insynsintresset bedömas vara mindre. Som exempel kan nämnas att sekretess till skydd för uppgifter som hänför sig till förundersökningar gäller med ett rakt skaderekvisit (18 kap. 1 § OSL), att sekretess till skydd för uppgifter om enskildas personliga förhållanden inom hälso- och sjukvården gäller med ett omvänt skaderekvisit (25 kap. 1 § OSL) samt att uppgifter hos kommunal familjerådgivning omfattas av absolut sekretess (26 kap. 3 § OSL).
Det som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande (2 kap. 3 § OSL). I bilagan till OSL finns reglerat vilka övriga juridiska personer som enligt 2 kap. 4 § OSL – s.k. jämställda organ – som ska tillämpa offentlighetsprincipen om handlingarna hör till den verksamhet som nämns där och som vid tillämpningen av OSL ska jämställas med myndigheter.
Det finns vidare ett samband mellan bilagan till OSL och arkivlagen (1990:782). Enligt 2 § arkivlagen gäller det som enligt arkivlagen gäller för statliga myndigheters arkiv även för arkiv hos sådana organ som avses i 2 kap. 4 § OSL till den del arkivet härrör från den verksamhet som avses i bilagan till OSL.
Allmänt om sekretessbestämmelser till skydd för enskilda
I 21 kap. OSL finns det s.k. minimiskyddsbestämmelser till skydd för vissa uppgifter om enskilds personliga förhållanden. Sekretessen enligt 21 kap. OSL gäller till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer. Dessa bestämmelser gäller hos alla myndigheter samt hos sådana enskilda organ som ska tillämpa offentlighetsprincipen. Enligt 21 kap. 1 § OSL gäller exempelvis sekretess för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar och missbruk. Sekretessen gäller om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Det gäller således en stark offentlighetspresumtion för uppgifterna.
Minimiskyddsbestämmelserna i 21 kap. kompletteras av sekretessbestämmelser i 22–40 kap. OSL som ger uppgifter om enskildas personliga och ekonomiska förhållanden ett starkare sekretesskydd. Dessa bestämmelser har i gengäld begränsad räckvidd och gäller bara i vissa typer av ärenden, hos vissa myndigheter etc. Om en verksamhet innefattar myndighetsutövning brukar insynsintresset vara stort. När det är fråga om sådana verksamheter är huvudprincipen att uppgifter om enskildas personliga eller ekonomiska förhållanden som förekommer i verksamheten är offentliga och att sekretess bara ska gälla för sådana uppgifter, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Om det är fråga om uppgifter som har lämnats till en myndighet i förtroende, vilket det ofta är fråga om när det t.ex. gäller hälso- och sjukvård eller forskning, brukar sekretessbestämmelserna i stället utformas så att uppgifterna omfattas av sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men, dvs. presumtionen är i dessa fall att uppgifterna omfattas av sekretess.
Sekretessen enligt en bestämmelse kan också som ovan beskrivits vara absolut. En sådan bestämmelse är inte försedd med något skaderekvisit och det ska därför inte göras någon skadeprövning om en uppgift begärs ut, utan sekretessen gäller så länge inte någon sekretessbrytande bestämmelse är tillämplig.
Bestämmelser om sekretess till skydd för enskild inom forskning och statistik
Bestämmelser om sekretess till skydd för enskild inom forskning och statistik finns i 24 kap. OSL. Nedan redogörs för relevanta bestämmelser i sammanhanget. Bestämmelserna gäller bl.a. för uppgifter, som är hänförliga till psykologiska undersökningar som utförs för forskningsändamål (1 §), i verksamhet som avser förande av eller uttag ur register som förs enligt lagen om rättspsykiatriskt forskningsregister (2 §), i verksamhet som består i etikprövning av forskning m.m. (3 §) samt i upptagningar som har dialektologiskt eller etnologiskt innehåll och som har gjorts eller anskaffats för vetenskapligt ändamål (4 §). I samtliga fall, utom i 4 §, gäller sekretessen med ett omvänt skaderekvisit, dvs. presumtionen är att uppgifterna omfattas av sekretess medan utgångspunkten i 4 § är att uppgifterna är offentliga.
Vidare finns i 24 kap. OSL bestämmelser som idag reglerar sekretessen för uppgifter i verksamhet som avser förande av eller uttag ur register enligt LifeGene-lagen. Sekretess gäller i sådan verksamhet för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde. Sekretessen hindrar dock inte att uppgift lämnas ut i den utsträckning som framgår av den lagen. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år (2 a §). Om en myndighet får en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt Life-Gene-lagen, blir den bestämmelsen tillämplig även hos den mottagande myndigheten (2 b §), dvs. sekretessen överförs.
Bestämmelser som bryter sekretessen enligt 24 kap. 2 a § finns i 10 kap 23 § OSL som föreskriver att bl.a. denna sekretess inte hindrar att uppgifter angående misstanke om allvarligare brott lämnas till brottsbekämpande myndighet under vissa förutsättningar. Enligt den s.k. generalklausulen i 10 kap. 27 § OSL får en sekretessbelagd uppgift lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Viss sekretess, som det har ansetts särskilt angeläget att upprätthålla i förhållande till andra myndigheter har undantagits från generalklausulens tillämpningsområde. Detta gäller bl.a. sekretessen enligt 24 kap. 2 a § OSL och den s.k. statistiksekretessen.
Statistiksekretessen regleras i 24 kap. 8 §. Huvudregeln, som framgår av paragrafens första stycke, är att sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Sekretessen är absolut, dvs. inte försedd med något skaderekvisit. Motsvarande sekretess gäller i annan jämförbar undersökning som utförs av Riksrevisionen, av Riksdagsförvaltningen, av Statskontoret eller inom det statliga kommittéväsendet. Detsamma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det (24 kap. 8 § andra stycket OSL). Sådana föreskrifter har meddelats i 7 § offentlighets- och sekretessförordningen (2009:641, OSF). Enligt 7 § OSF gäller motsvarande sekretess för enskildas personliga förhållanden bl.a. hos sjukvårdsinrättningar, utbildningsanstalter och forskningsinrättningar för miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier.
Statistiksekretessen gäller alltså för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Härigenom skyddas inte bara sådana uppgifter som innehåller identitetsbeteckningar som namn och personnummer på en enskild utan även uppgifter som över huvud taget kan – direkt eller indirekt – hänföras till en viss enskild. Med enskild avses fysiska personer och privaträttsliga juridiska personer. Vad som menas med personliga förhållanden måste bestämmas med ledning av vanligt språkbruk. Uttrycket avser så vitt skilda förhållanden som t.ex. en persons adress eller yttringarna av ett psykiskt sjukdomstillstånd. Också uppgift om en persons ekonomi kan sägas falla under begreppet personliga förhållanden. Juridiska personer har inte några ”personliga förhållanden” utan omfattas bara av sekretess till skydd för ekonomiska förhållanden (prop. 1979/80:2 del A s. 84).
Från huvudregeln om absolut sekretess finns vissa undantag (24 kap. 8 § tredje stycket OSL). Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355). I dessa undantagsfall gäller alltså ett omvänt skaderekvisit, vilket innebär att det råder presumtion för sekretess. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år (24 kap. 8 § fjärde stycket OSL).
Sedan den 1 maj 2022 finns det en sekretessbrytande bestämmelse i 24 kap. 8 b § OSL. Enligt den bestämmelsen hindrar inte statistiksekretessen att en uppgift lämnas till organisationen Luxembourg Income Study (LIS) enligt 18 § lagen (2001:99) om den officiella statistiken. LIS är ett icke vinstdrivande internationellt data- och forskningscenter med säte i Luxemburg. Bestämmelsen syftar till att den statistikansvariga myndigheten ska kunna lämna ut uppgifter på individnivå om inkomstförhållanden, skulder och förmögenhet till LIS i Luxemburg. Uppgifterna ska inte direkt kunna hänföras till någon enskild person och känsliga personuppgifter ska inte lämnas ut, bortsett från uppgifter om socialförsäkringsförmåner vid sjukdom eller arbetsskada (prop. 2021/22:92 s. 21).
Vidare finns, som ovan angetts, vissa relevanta bestämmelser om sekretess till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer. Enligt 21 kap. 7 § OSL gäller sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning, dataskyddslagen eller 6 § lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).
Ovan har nämnts att det finns en särskild bestämmelse om överföring av sekretess enligt 24 kap. 2 a § i 2 b § samma kapitel. Generella bestämmelser om överföring av sekretess finns i 11 kap. OSL, bl.a. till forskningsverksamhet. Vid överföring av sekretess skiljer man mellan primära och sekundära sekretessbestämmelser. Med primär sekretessbestämmelse avses en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten eller omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter som finns hos myndigheten. Med en bestämmelse om överföring av sekretess avses en bestämmelse som innebär att en sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet, ska tillämpas av en myndighet som uppgiften lämnas till eller som har elektronisk tillgång till uppgiften hos den förstnämnda myndigheten. Med sekundär sekretessbestämmelse avses en bestämmelse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om överföring av sekretess (3 kap. 1 § OSL). I 11 kap. 3 § OSL anges att om en myndighet i sin forskningsverksamhet från en annan myndighet får en sekretessreglerad uppgift, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Detta gäller dock inte om uppgiften tas in i ett beslut hos den mottagande myndigheten eller om uppgiften redan omfattas av en primär sekretessbestämmelse hos den mottagande myndigheten (11 kap. 3 § andra stycket och 8 §).
Rätten att meddela och offentliggöra uppgifter
Var och en har rätt att meddela och offentliggöra uppgifter i vilket ämne som helst i tryckt eller därmed jämställd skrift eller i radioprogram, film, tekniska upptagningar eller därmed jämställt medium. Detta följer av bestämmelserna i 1 kap. 1, 2 och 7 §§ TF och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen (YGL). Vissa undantag från denna rätt regleras direkt i TF och YGL. Av 7 kap. 20 § första stycket 2 och 22 § första stycket 3 och andra stycket TF och 5 kap. 1 § och 4 § första stycket 3 och andra stycket YGL framgår vidare att det inte är tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter uppsåtligen åsidosätta en tystnadsplikt i de fall som anges i en särskild lag. Den särskilda lag som avses är OSL.
Särskilda bestämmelser om rätten att meddela och offentliggöra uppgifter samt om tystnadsplikt finns i 13 kap. OSL, i slutet av varje kapitel i lagens fjärde–sjätte avdelningar och lagens sjunde avdelning. Som nämnts innebär sekretess såväl förbud att röja en uppgift muntligen (tystnadsplikt) som förbud att röja en uppgift genom utlämnande av en allmän handling (handlingssekretess) eller på annat sätt. Som huvudregel har rätten att meddela och offentliggöra uppgifter företräde framför den tystnadsplikt som följer av en sekretessbestämmelse. Rätten att meddela och offentliggöra uppgifter har dock aldrig företräde framför handlingssekretessen (7 kap. 20 § 1 och 22 § första stycket 2 och andra stycket TF samt 5 kap. 1 § och 4 § första stycket 2 och andra stycket YGL).
Av 24 kap. 9 § OSL framgår att den tystnadsplikt som följer av bestämmelsen i 24 kap. 2 a § OSL om sekretess för uppgifter i verksamhet som avser förande av eller uttag ur register enligt LifeGene-lagen inskränker den grundlagsfästa rätten att meddela och offentliggöra uppgifter.
I 44 kap. OSL finns bestämmelser om tystnadsplikter som följer av andra författningar än OSL och som inskränker rätten att meddela och offentliggöra uppgifter.
Sekretess i verksamhet med forskningsdatabaser
Regeringens förslag: Sekretess ska gälla i verksamhet som avser förande av eller uttag ur en forskningsdatabas som förs med stöd av lagen om vissa forskningsdatabaser för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde. Uppgift ska dock få lämnas ut i den utsträckning som framgår av den lagen och anslutande förordning. Vidare ska uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde få lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
För uppgift i en allmän handling ska sekretessen gälla i högst sjuttio år.
Om en uppgift som omfattas av sekretessbestämmelsen överförs till en annan myndighet ska sekretessbestämmelsen bli tillämplig även hos den mottagande myndigheten.
Det ska vara möjligt att bryta sekretessen vid misstanke om vissa allvarligare brott.
Sekretessen ska undantas från den s.k. generalklausulens tillämpningsområde.
Den tystnadsplikt som följer av sekretessbestämmelsen ska inskränka den grundlagsfästa rätten att meddela och offentliggöra uppgifter.
Det ska i lagen om vissa forskningsdatabaser införas en upplysning om att det i offentlighets- och sekretesslagen finns bestämmelser om sekretess i verksamhet med en forskningsdatabas.
Promemorians förslag överensstämmer i huvudsak med regeringens förslag. Promemorian innehåller dock inget förslag om att sekretessen inte ska hindra att uppgifter om avlidna lämnas ut för vissa ändamål.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker eller har inte något att invända mot förslaget. Detta gäller bl.a. Socialstyrelsen, Integritetsskyddsmyndigheten, Mälardalens universitet, Brottsförebyggande rådet, Folkhälsomyndigheten, Förvaltningsrätten i Göteborg, Försäkringskassan, Stiftelsen Högskolan i Jönköping, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Forskningsrådet för hälsa, arbetsliv och välfärd, Högskolan i Halmstad, Inspektionen för socialförsäkringen, Luleå tekniska universitet, Malmö universitet, Region Västernorrland, Stockholms kommun, Uppsala universitet och Örebro universitet.
Statistiska centralbyrån (SCB) påpekar att den föreslagna bestämmelsen i 24 kap. 2 a § OSL endast omfattar uppgifter om enskilds personliga förhållanden. SCB konstaterar att om forskningsdatabaser med företags-uppgifter får föras enligt lagen är det inte självklart att alla uppgifter skulle omfattas av sekretess, vilket skulle få betydelse för möjligheten att lämna ut uppgifter till databaserna.
Umeå universitet efterlyser en mer djupgående analys av konsekvenserna av de sekretessbrytande bestämmelserna som medför att uppgifter lämnas till brottsbekämpande myndighet och känner viss oro för hur detta kan påverka presumtiva deltagares vilja att bidra till databasen. Kungl. Vetenskapsakademien har synpunkter på möjligheten att bryta sekretessen vid vissa allvarligare brott och framhåller att Vetenskapsakademien utgår i från att dessa bestämmelser inte används för att fiska efter misstänkta, eller anhöriga till misstänkta, i forskningsdatabaserna och att det blir ytterst sällsynt att bryta sekretess av brottsutredande skäl. Biobank Sverige påpekar att en sekretessbrytande bestämmelse som medför att uppgifter kan lämnas till brottsbekämpande myndigheter riskerar förtroendet för forskningen och kan göra att individer med vissa förutsättningar i livet inte kommer att vilja lämna sina uppgifter till en forskningsdatabas och anser att bestämmelsen inte är rimlig. Myndigheten för vård- och omsorgsanalys bedömer att de möjligheter till utlämnande till brottsutredande myndigheter som ges i den föreslagna regleringen under alla förhållanden är för långtgående. Om det över huvud taget ska vara möjligt att lämna ut uppgifter ur databaserna till brottsutredande myndigheter, måste dessa möjligheter enligt myndigheten vara begränsade till situationer där det handlar om betydligt grövre brottslighet. Stockholms universitet anser att det är särskilt problematiskt att misstanke om brott som normalt leder till fängelse är en sekretessbrytande faktor.
Journalistförbundet, som visserligen anser att det är viktigt att skydda personuppgifter inom ramen för forskning för att upprätthålla förtroendet för forskningen och viljan att bidra till forskningsprojekt, avstyrker förslaget om den generella sekretessbestämmelsen med absolut sekretess som föreslås i 24 kap. 2 a § OSL, huvudsakligen för att insynsmöjligheterna enligt förbundet kommer att bli väldigt små med promemorians förslag.
Skälen för regeringens förslag
Avvägningen mellan sekretessintresset och insynsintresset
Förslaget till lag om vissa forskningsdatabaser innebär att forskningsdatabaser enligt lagen bara kan komma att finnas hos statliga eller enskilda lärosäten som tillämpar offentlighetsprincipen, i bemärkelsen handlingsoffentlighet enligt 2 kap. TF, i sin verksamhet med forskningsdatabaserna. Personuppgifterna kommer därmed att finnas i allmänna handlingar hos lärosätena.
Som framgår av avsnitt 10.2 infördes i samband med införandet av LifeGene-lagen nya bestämmelser om sekretess i 24 kap. 2 a § och en bestämmelse om överföring av sekretess i 2 b § OSL. Därutöver gjordes ändringar i 10 kap. 23 och 27 §§ OSL som innebär att sekretessen enligt 24 kap. 2 a § dels inte hindrar att uppgifter angående misstanke om allvarligare brott lämnas till brottsbekämpande myndighet under vissa förutsättningar, dels är undantagen från tillämpningsområdet för generalklausulen. Vidare ändrades 24 kap. 9 § OSL varigenom tystnadsplikten enligt 2 a § samma kapitel kom att ges företräde framför den grundlagsfästa rätten att meddela och offentliggöra uppgifter. Ändringarna i OSL med anledning av LifeGene-lagens införande tidsbegränsades inte. Behovet av sekretess för behandlade personuppgifter bedömdes nämligen bestå alldeles oavsett vad kommande utredningsuppdrag skulle leda till (prop. 2012/13:163 s. 75).
Uppgifter som avses behandlas i forskningsdatabaser enligt lagen om vissa forskningsdatabaser kan, som tidigare nämnts, vara av mycket integritetskänslig natur. Många av uppgifterna kan också vara känsliga personuppgifter enligt EU:s dataskyddsförordning. Det finns alltså ett starkt intresse av att kunna skydda dessa uppgifter genom bestämmelser om sekretess på motsvarande sätt som skett när det gäller uppgifter i verksamhet som avser förande av eller uttag ur register enligt LifeGene-lagen. Vetskapen om att det finns ett sekretesskydd för uppgifterna i en forskningsdatabas är mycket betydelsefull för det frivilliga deltagandet och villigheten att lämna personuppgifter till en forskningsdatabas.
När det gäller insynsintresset finns det, såsom Journalistförbundet påpekat, ett intresse av att kunna granska den forskning som bedrivs på grundval av uppgifter från registret. Det är dock fråga om mycket integritetskänsliga personuppgifter som självmant har lämnats av enskilda eller som efter information till de registrerade, i kombination med en möjlighet till opt-out, har inhämtats från t.ex. myndighetsregister som omfattas av absolut statistiksekretess. Att upprätthålla integritetsskyddet och de registrerades förtroende är av största vikt för att enskilda ska vilja bidra med sina uppgifter till en forskningsdatabas. Om det inte gäller lika stark sekretess i verksamhet med en forskningsdatabas som i de myndighetsregister som uppgifter inhämtas från skapas inte heller möjlighet att inhämta sådana uppgifter för att sambearbeta dem med de uppgifter som de registrerade själva har lämnat, vilket allvarligt skulle minska forskningsdatabasens vetenskapliga värde. Det kommer dock att finnas möjlighet att granska forskningen. I avsnitt 8.1.3 föreslås att personuppgifter och uppgifter om avlidna enligt lagen om vissa forskningsdatabaser ska få lämnas ut till en forskningshuvudman som fått uppgifter från en forskningsdatabas, om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed. Ett sekretesskydd måste förses med ett undantag för sådant utlämnande. Det kan vidare finnas forskare som inte forskar inom det forskningsområde som forskningsdatabasen skapar underlag för, som vill ta del av uppgifterna från forskningsdatabasen. Regeringen har dock i avsnitt 6.3.7 bedömt att ett sådant utlämnande riskerar att strida mot EU:s dataskyddsförordning, varför det inte bör tillåtas. När det gäller allmänhetens intresse av insyn i övrigt konstaterar regeringen att uppgifterna i registret inte kommer att ha lämnats i samband med myndighetsutövning mot enskild, utan att det kommer att vara helt frivilligt att lämna uppgifter till registret. Allmänintresset av insyn i uppgifterna får därmed anses vara relativt svagt. Sammantaget bedömer regeringen, till skillnad från Journalistförbundet, att skälen för sekretess väger tyngre än intresset av insyn. Regeringen anser således att det med hänsyn till intresset att skydda enskildas personliga förhållanden är påkallat att införa en sekretessbestämmelse i OSL, som ger ett motsvarande skydd för uppgifter i verksamhet som avser förande av eller uttag ur en forskningsdatabas enligt den nya lagen om vissa forskningsdatabaser för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde, som i dag gäller för motsvarande verksamhet med LifeGene-registret.
SCB påpekar att den föreslagna bestämmelsen i 24 kap. 2 a § OSL endast omfattar uppgifter om enskilds personliga förhållanden. SCB anför att om forskningsdatabaser med företagsuppgifter, såsom uppgifter om enskilda firmor, får föras enligt lagen är det inte självklart att alla uppgifter skulle omfattas av sekretess vilket skulle få betydelse för möjligheten att lämna ut uppgifter till databaserna. När det gäller uppgifter om just enskilda firmor är det i stor utsträckning fråga om personuppgifter som knyter an till den fysiska personen som bedriver näringsverksamhet. Som exempel kan nämnas att identitetsbeteckningen för den enskilda firman är den fysiska personens personnummer. Något organisationsnummer finns således inte. I sekretesshänseende innebär detta att uppgifter inom ramen för den enskilda firman i stor utsträckning kommer att rymmas inom begreppet personliga förhållanden. Också uppgifter om en persons ekonomi kan, som angetts i avsnitt 10.2, falla under begreppet personliga förhållanden (se prop. 1979/80:2 del A s. 84).
I en verksamhet med en forskningsdatabas kan det även finnas uppgifter som inte utgör personuppgifter. Det kan t.ex. gälla uppgifter om avlidna (se avsnitt 7.2.1). Även sådana uppgifter omfattas av sekretessen då de finns i verksamheten med forskningsdatabasen.
Sekretesstiden
I de flesta sekretessbestämmelser begränsas den tid som sekretess för en uppgift i en allmän handling högst kan gälla. Sekretesstidens längd beror på vilket skyddsintresse som har föranlett sekretessen. När det gäller skyddet för enskildas personliga förhållanden är sekretesstiden i regel maximerad till 50 eller 70 år (se prop. 1979/80:2 del A s. 459 och 493). Forskningsdatabaser som regleras av den föreslagna lagen kommer att kunna innehålla uppgifter om såväl barn som vuxna. I forskningsdatabaserna kan det också handla om underlag för longitudinella studier som följer människor under lång tid, kanske under deras livstid. Sekretessen bör därför, i motsats till vad Journalistförbundet anser, enligt regeringens mening gälla under den enskildes livstid. Sekretessen för uppgifter om enskildas personliga förhållanden bör således gälla i högst 70 år.
Sekretessbrytande bestämmelser
För att uppgifterna i en forskningsdatabas ska komma till nytta och kunna användas i forskningen bör sekretessen inte hindra att uppgifter lämnas ut. Den nya sekretessbestämmelsen bör därför förses med vissa sekretessbrytande bestämmelser. Sekretessen bör till att börja med inte hindra att uppgifter lämnas ut enligt vad som framgår av den föreslagna lagen om vissa forskningsdatabaser. Vidare bör uppgifter som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde få lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (jfr 24 kap. 2 a § andra stycket och 8 § tredje stycket OSL).
Den första sekretessbrytande bestämmelsen innebär att sekretessen inte ska utgöra något hinder mot att uppgifter, dvs. såväl personuppgifter som uppgifter om avlidna, lämnas ut till forskningsprojekt i enlighet med vad som föreslås i lagen om vissa forskningsdatabaser, se avsnitt 8.1. Som framgår där är en förutsättning för ett sådant utlämnande bl.a. att mottagaren är en fysisk eller juridisk person som ska tillämpa OSL eller en fysisk person som omfattas av tystnadsplikt enligt den föreslagna lagen (se vidare avsnitt 10.4). Som ytterligare en förutsättning för ett sådant utlämnande gäller att såväl forskningen som behandlingen av personuppgifterna i forskningen har godkänts enligt etikprövningslagen, om forskningen faller under den lagens tillämpningsområde (se avsnitt 8.1.2). Personuppgifter och uppgifter om avlidna får vidare lämnas ut till en forskningshuvudman som fått uppgifter från en forskningsdatabas, om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed (se avsnitt 8.1.3). Då en viktig del i forskningen är att kunna kombinera uppgifterna i en forskningsdatabas med andra uppgifter föreslås det även en bestämmelse som innebär att om de personuppgifter eller uppgifter om avlidna som lämnats ut till ett forskningsprojekt är pseudonymiserade eller skyddade på likvärdigt sätt, får kompletterande uppgifter för att identifiera en registrerad, inbegripet de registrerades personnummer eller motsvarande identitetsbeteckning, lämnas ut till en annan myndighet, om det är nödvändigt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till det forskningsprojekt som utlämnande redan har gjorts till (se avsnitt 8.2.2). Slutligen föreslås, för att undvika konflikter med annan lagstiftning som innebär en uppgiftsskyldighet, att personuppgifter och uppgifter om avlidna också får lämnas ut om det finns en skyldighet enligt lag att göra det (se avsnitt 8.1.4). Sekretess hindrar visserligen aldrig att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning (se 10 kap. 28 § första stycket OSL). Det kan dock även finnas uppgiftsskyldigheter i förhållande till enskilda. Ett exempel på sådan uppgiftsskyldighet är offentlighetsprincipen i tryckfrihetsförordningen.
Den andra sekretessbrytande bestämmelsen innebär att uppgifter som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Uppgifter som är direkt hänförliga till den enskilde såsom namn, personnummer eller motsvarande identitetsbeteckning bör av integritetsskäl inte få lämnas ut. Däremot bör indirekta personuppgifter kunna lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
Sekretessen bör undantas från generalklausulens tillämpningsområde
Regeringen föreslår som ovan beskrivits en sekretessbestämmelse som utformas utan skaderekvisit, dvs. med absolut sekretess på samma sätt som idag gäller enligt 24 kap. 2 a OSL för registret LifeGene och för bl.a. statistikansvariga myndigheter enligt 24 kap. 8 § första stycket OSL. Bestämmelsen i den s.k. generalklausulen i 10 kap. 27 § anger att en sekretessbelagd uppgift får lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Som framgår av avsnitt 10.2 har viss sekretess ansetts särskilt angeläget att upprätthålla i förhållande till andra myndigheter. Detta gäller bl.a. LifeGene-sekretessen enligt 24 kap. 2 a § OSL, statistiksekretessen enligt 24 kap. 8 § OSL, hälso- och sjukvårdssekretessen i 25 kap. 1–8 §§ OSL och socialtjänstsekretessen i 26 kap. 1–6 §§ OSL. I dessa fall har sekretessen undantagits från generalklausulens tillämpningsområde. Det är enligt regeringens mening av integritetsskäl angeläget att upprätthålla sekretessen i förhållande till andra myndigheter också när det gäller verksamhet som avser förande av eller uttag ur en forskningsdatabas enligt den nya lagen om vissa forskningsdatabaser. Den nya sekretessen bör därför undantas från generalklausulens i 10 kap. 27 § OSL tillämpningsområde. Eftersom sekretessregleringen avseende verksamhet som avser förande av eller uttag ur en forskningsdatabas som förs med stöd av den nya lagen åstadkoms genom att hänvisningen till LifeGene-lagen i bl.a. 24 kap. 2 a § OSL byts ut mot en hänvisning till den nya lagen behöver det inte göras någon ändring i 10 kap. 27 § OSL för att åstadkomma detta.
Bör misstanke om ett begånget brott kunna bryta sekretessen?
Enligt 10 kap. 23 § OSL får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt bl.a. 24 kap. 2 a och 8 §§ och 25 kap. 1 §, 2 § andra stycket eller 3–8 §§ samma lag lämnas till en åklagarmyndighet, Polismyndigheten eller annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168). Detta innebär att såväl den absoluta sekretess som gäller i verksamhet som avser förande av eller uttag ur LifeGene-registret som den absoluta statistiksekretessen kan brytas med stöd av den 10 kap. 23 § OSL.
Kungl. Vetenskapsakademien påpekar att den som frivilligt lämnar uppgifter eller biologiska prover till forskning skulle kunna riskera bli dömd till fängelse om det blir möjligt att bryta sekretessen vid misstanke om vissa allvarligare brott, men att akademien utgår från att dessa bestämmelser inte används för att fiska efter misstänkta, eller anhöriga till misstänkta, i forskningsdatabaserna och att det blir ytterst sällsynt att bryta sekretess av brottsutredande skäl. Biobank Sverige, som är kritiska till förslaget påpekar att brottsutredning inte är ett tillåtet ändamål när det gäller biobanksprov och att Högsta domstolen har uttalat att biobanksprov i princip inte får lämnas ut för brottsutredande ändamål då de intressen som bär upp biobankslagen regelmässigt hindrar att prov tas i beslag (mål nr Ö 2397–18). Det är då enligt Biobank Sverige knappast rimligt att data som utvunnits ur samma prov, t.ex. gensekvens, ska få lämnas ut för brottsutredande ändamål. Stockholms universitet anser att det är särskilt problematiskt att misstanke om brott som normalt leder till fängelse är en sekretessbrytande faktor och anför att den som frivilligt lämnar uppgifter eller prover till forskning på basis av detta skulle kunna riskera bli dömd till fängelse. En person som inte är insatt i lagen kommer dessutom enligt universitetet sannolikt att dra slutsatsen att uppgifter som till och med skulle kunna användas för att döma vederbörande till fängelse också kan användas på andra sätt som är till nackdel för deltagaren eller någon till denne närstående (även när så inte är fallet).
Även om generalklausulen inte ska tillämpas finns det enligt regeringen starka skäl som talar för att sekretessen ska kunna brytas på det sättet att myndigheter som omfattas av den föreslagna sekretessen kan lämna uppgifter som angår misstankar om vissa allvarliga brott eller försök till vissa allvarliga brott till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet. Det finns dock, som Kungl. Vetenskapsakademien, Biobank Sverige, Myndigheten för vård- och omsorgsanalys samt Stockholms och Umeå universitet i olika ordalag har påpekat, en risk för att en sådan sekretessbrytande bestämmelse negativt påverkar presumtiva deltagares vilja att bidra till forskningsdatabasen. Mot nämnda risk och de konsekvenser som en minskad vilja att medverka och minskat förtroende för hur de uppgifter som lämnas till en forskningsdatabas skyddas står det starka samhälleliga intresset av att bekämpa allvarlig brottslighet.
Förslaget aktualiserar en känslig och svår avvägning mellan motstående intressen. I den ena vågskålen ligger samhällets intresse av att skydda sig mot allvarlig brottslighet. I den andra vågskålen ligger intresset av den enskildes integritet och av att han eller hon med förtroende ska kunna lämna uppgifter till en forskningsdatabas. Regeringen vill dock framhålla att den befintliga sekretessbrytande bestämmelsen inte innebär någon skyldighet för lärosätena att på eget initiativ anmäla misstankar om brott till de brottsutredande myndigheterna. Om en sådan myndighet inkommer med en begäran om utlämnande av uppgifter, som enligt den sekretessbrytande bestämmelsen får lämnas ut, är dock den myndighet som förfogar över uppgifterna också skyldig att lämna ut uppgifterna (6 kap. 5 § OSL). Det är dock den sistnämnda myndigheten som ska avgöra om det finns förutsättningar för att tillämpa den sekretessbrytande regeln. Den begärande myndigheten måste således lämna tillräckligt mycket information för att en sådan prövning ska kunna göras.
Prövningen av om uppgifter bör eller ska lämnas ut till en annan myndighet ankommer på den enskilde befattningshavaren. När det gäller misstankar om brott konstaterar regeringen att det dock uttalats i förarbetena till 14 kap. 2 § i dåvarande sekretesslagen (1980:100), nuvarande 10 kap. 23 § OSL, att det kan vara lämpligt att rådgöra med en överordnad samt att i tveksamma fall lämna över frågan till myndighetens avgörande. Det har också påpekats att det inte finns något hinder mot att en myndighet i sin arbetsordning närmare reglerar i vilken utsträckning enskilda tjänstemän ska kunna lämna uppgifter till andra myndigheter och i vad mån uppgiftslämnandet ska ankomma på myndighetens ledning (prop. 1983/84:142 s. 41).
Regeringen vill också peka på att regleringen i 10 kap. 23 § OSL innebär en begränsning av i vilka fall uppgifter om brottsmisstankar får lämnas till brottsbekämpande myndigheter. När det gäller annan sekretess gäller enligt 10 kap. 24 § OSL att sekretess inte hindrar att uppgifter om brottsmisstankar lämnas så länge som fängelse är föreskrivet för brottet och detta kan antas föranleda någon annan påföljd än böter. Som nämnts ovan bryter bestämmelsen i 10 kap. 23 § OSL också statistiksekretessen enligt 24 kap. 8 § OSL.
Mot denna bakgrund anser regeringen att det samhälleliga intresset av att bekämpa allvarligare brottslighet väger tillräckligt tungt för att riskerna för ett ökat integritetsintrång och ett minskat förtroende för att lämna uppgifter till forskningsdatabaserna måste godtas. Regeringen bedömer därför att det är motiverat att införa ett sekretessgenombrott i form av en särskild sekretessbrytande bestämmelse i likhet med vad som hittills gällt i verksamhet som avser förande av eller uttag ur register enligt LifeGene-lagen.
Det av Biobank Sverige åberopade rättsfallet från Högsta domstolen (mål nr Ö 2397–18) innebär i huvudsak att biobanksprov i princip inte får lämnas ut för brottsutredande ändamål eftersom de intressen som bär upp biobankslagen regelmässigt hindrar att prov tas i beslag. Enligt regeringens mening utgör detta avgörande inte något hinder emot att det i OSL införs en sekretessbrytande bestämmelse som innebär att uppgifter som angår misstanke om allvarliga brott får, trots sekretess, lämnas till brottsbekämpande myndigheter. Sådana sekretessbrytande bestämmelser gäller redan idag enligt 10 kap. 23 § OSL bl.a. inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden och, som ovan påpekats, i verksamhet som avser förande av eller uttag ur register enligt LifeGene-lagen för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde.
Överföring av sekretess
I dag gäller enligt 24 kap. 2 b § OSL att om en myndighet som för ett register enligt LifeGene-lagen, och därmed har att tillämpa den nuvarande sekretessbestämmelsen i 2 a §, lämnar ut uppgifter som omfattas av den bestämmelsen till en annan myndighet, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten som en sekundär sekretessbestämmelse. En motsvarande bestämmelse om överföring av sekretess behövs bl.a. för de fall uppgifter från en forskningsdatabas överlämnas till ett forskningsprojekt enligt den nya lagen om vissa forskningsdatabaser eller då en kodnyckel eller andra identifierande personuppgifter enligt samma lag lämnas ut till en annan myndighet för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till samma forskningsprojekt som forskningsdatabasen redan har lämnat ut uppgifter till (se vidare avsnitt 8.1).
En bestämmelse om överföring av sekretess blir tillämplig även i de fall uppgifter lämnas ut från en forskningsdatabas till forskningsprojekt som bedrivs inom en annan verksamhetsgren inom lärosätet, under förutsättning att verksamhetsgrenarna är organiserade så att de är att betrakta som självständiga i förhållande till varandra, varmed en sekretessgräns uppstår (se 8 kap. 2 § OSL). För det fall ett lärosäte väljer att både upprätta en forskningsdatabas enligt den föreslagna lagen och bedriva sådan forskning till vilken uppgifter från forskningsdatabasen kan lämnas ut förutsätter regeringen, liksom vid LifeGene-lagens införande, att lärosätet organiseras så att en sådan sekretessgräns uppstår (jfr prop. 2012/13:163 s. 72–73).
Såsom berörts i avsnitt 7.3 gäller, även för det fall verksamheten med en forskningsdatabas inte organiseras som en egen självständig verksamhet inom lärosätet med följden att en sekretessgräns inte uppkommer mellan databasverksamheten och forskningsverksamheten inom lärosätet, att det inte är fritt fram för forskare inom lärosätet att få tillgång till uppgifter i forskningsdatabasen i fråga. Bestämmelserna i den nya lagen om forskningsdatabaser om till vilket forskningsområde en databas får lämna ut uppgifter och om integritetsskydd inom verksamheten, såsom begränsningar i fråga om elektronisk åtkomst, är ägnade att i praktiken åstadkomma en nästintill motsvarande gräns internt som en formell sekretessgräns inom lärosätet gör.
Tystnadsplikten ska inskränka den grundlagsfästa rätten att meddela och offentliggöra uppgifter
Som framgått ovan föreslår regeringen bl.a. att den förslagna sekretessen ska vara absolut. De lärosäten som kommer att bedriva verksamhet med en forskningsdatabas som kommer att omfattas av sekretessbestämmelsen kommer inte att ägna sig åt myndighetsutövning mot enskild i sådan verksamhet. De uppgifter som kommer att finnas i en forskningsdatabas kan vara av mycket integritetskänslig karaktär. På motsvarande sätt som gäller i dag gäller enligt 24 kap. 9 § OSL, dvs. att den tystnadsplikt som följer av 24 kap. 2 a § inskränker den grundlagsfästa rätten att meddela och offentliggöra uppgifter, bör därför den tystnadsplikt som följer av 24 kap. 2 a § i dess nya föreslagna lydelse inskränka den grundlagsfästa rätten att meddela och offentliggöra uppgifter.
En upplysningsbestämmelse om sekretessen bör införas i lagen om vissa forskningsdatabaser
Sekretess- och tystnadspliktsregleringen har stor betydelse för att skydda den enskildes integritet och för att stärka viljan att lämna uppgifter till forskningsdatabaser som förs med stöd av den nya lagen om vissa forskningsdatasbaser. En upplysningsbestämmelse om sekretessregleringen bör därför införas i den lagen.
Tystnadsplikt hos enskilda mottagare för uppgifter från forskningsdatabaser
Regeringens förslag: I lagen om vissa forskningsdatabaser ska det införas en bestämmelse om tystnadsplikt. En enskild forskningshuvudman som är en fysisk person eller den som är eller har varit verksam hos en enskild forskningshuvudman som inte anges i bilagan till offentlighets- och sekretesslagen, ska inte obehörigen få röja vad denne har fått veta om enskilds personliga förhållanden genom personuppgifter eller uppgifter om avlidna som mottagits från en forskningsdatabas.
Det ska upplysas om att i det allmännas verksamhet och för sådana organ som anges i bilagan till offentlighets- och sekretesslagen gäller den lagen.
Den tystnadsplikt som följer av bestämmelsen ska inskränka den grundlagsfästa rätten att meddela och offentliggöra uppgifter.
Promemorians förslag överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås att den som arbetar eller har arbetat hos en forskningshuvudman inte obehörigen får röja vad denne har fått veta om enskilds personliga förhållanden genom personuppgifter som mottagits från en forskningsdatabas vid utlämnande till ett forskningsprojekt eller till huvudmannen för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inte något att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten, Socialstyrelsen, Stockholms universitet, Uppsala universitet, Förvaltningsrätten i Göteborg, Försäkringskassan, Stiftelsen Högskolan i Jönköping, Högskolan i Halmstad, Inspektionen för socialförsäkringen, Luleå tekniska universitet, Malmö universitet, Region Västernorrland, Stockholms kommun och Örebro universitet.
SCB påpekar att bestämmelsen om tystnadsplikt i 3 kap. 7 § i den nya lagen endast avser uppgifter om enskilds personliga förhållanden. Myndigheten konstaterar att om forskningsdatabaser med företagsuppgifter får föras enligt lagen är det inte självklart att alla uppgifter om enskilda firmor skulle omfattas av tystnadsplikten, vilket skulle få betydelse för möjligheten att lämna ut sådana uppgifter till databaserna.
Region Kronoberg föreslår en korrigering av lagtexten.
Göteborgs universitet efterfrågar ett förtydligande avseende menprövningen gällande utlämnande av forskningsdata till utländska mottagare.
Skälen för regeringens förslag: Till skillnad från vad som gäller enligt LifeGene-lagen finns i den föreslagna lagen om vissa forskningsdatabaser inget som hindrar att personuppgifter lämnas ut från en forskningsdatabas till ett forskningsprojekt som finns hos en forskningshuvudman som inte är en myndighet. Med forskningshuvudman avses här detsamma som i 2 § etikprövningslagen, dvs en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs. Det kan således därför komma i fråga att uppgifter lämnas till forskning hos en enskild forskningshuvudman för vilken sekretessregleringen i OSL inte gäller eftersom huvudmannen inte är införd i bilagan till OSL och därmed inte är att jämställa med myndighet enligt 2 kap. 4 § OSL och bilagan till den lagen. Det medför att forskare hos den enskilda forskningshuvudmannen i ett sådant fall inte kommer att omfattas av någon tystnadsplikt för de mottagna uppgifterna på det sätt som gäller för forskare vid ett lärosäte där offentlighetsprincipen gäller.
För att det ska vara möjligt att med ett bevarat integritetsskydd kunna möjliggöra angelägen forskning hos en enskild forskningsinrättning är det angeläget att det finns ett gott integritetsskydd för utlämnade uppgifter även hos en sådan mottagare. Som beskrivits i avsnitt 10.3 kan uppgifter som avses behandlas i forskningsdatabaser enligt lagen om vissa forskningsdatabaser vara av mycket integritetskänslig natur. Många av uppgifterna kan också vara känsliga personuppgifter såsom uppgifter om hälsa eller uppgifter om politiska åsikter. I nämnda avsnitt föreslås att det ska gälla absolut sekretess i verksamhet som avser förande av eller uttag ur en forskningsdatabas enligt lagen om vissa forskningsdatabaser för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde. Det föreslås dock dels att sekretessen inte ska hindra att uppgifter, dvs. såväl personuppgifter som uppgifter om avlidna, lämnas ut i den utsträckning som framgår av den lagen, dels att uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde ska få lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Som framgår av avsnitt 8.2.1 ska som huvudregel bara pseudonymiserade personuppgifter lämnas ut från forskningsdatabasen. Även sådana kan dock vara känsliga om de sprids vidare, t.ex. till någon som kan koppla samman uppgifterna med annan information som gör det möjligt att identifiera en registrerad. Vidare kan i vissa fall även uppgifter som är direkt hänförliga till enskilda lämnas ut till ett etikgodkänt forskningsprojekt (se avsnitt 8.2.1). På grund av att sekretessen i verksamheten med forskningsdatabasen föreslås vara absolut, dvs. ej försedd med ett skaderekvisit, kommer det inte att vara möjligt att lämna ut uppgifter från en forskningsdatabas till ett etikgodkänt forskningsprojekt med förbehåll enligt 10 kap. 14 § OSL. Den bestämmelsen ger en myndighet möjlighet att i förhållande till en enskild lämna ut uppgifter som är sekretessbelagda enligt en sekretessbestämmelse som har ett skaderekvisit med ett förbehåll som inskränker mottagarens rätt att lämna uppgiften vidare eller att utnyttja uppgiften. Det bör därför övervägas om det bör införas en tystnadsplikt för enskilda.
En författningsreglerad tystnadsplikt utgör en inskränkning av yttrandefriheten, oavsett om den följer av sekretessbestämmelser i OSL eller av bestämmelser om tystnadsplikt i annan lag. En begränsning av yttrandefriheten genom lag får göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har motiverat den. För yttrandefriheten gäller vidare att den får inskränkas med hänsyn till bl.a. privatlivets helgd. Vid bedömandet av vilka begränsningar som får göras ska särskilt beaktas vikten av vidaste möjliga yttrandefrihet och informationsfrihet i politiska, religiösa, fackliga, vetenskapliga och kulturella angelägenheter (2 kap. 20 § första stycket, 21 § och 23 § första och andra styckena regeringsformen).
Uppgifter som förekommer i en forskningsdatabas kan vara av mycket integritetskänslig natur. Ett utlämnande av sådana uppgifter till någon enskild, som sker utan några begränsningar för mottagaren att röja eller på annat sätt använda uppgifterna, skulle kunna medföra att en betydande risk för att men uppkommer för dem som uppgifterna rör. Det kan inte anses vara en godtagbar begränsning av skyddet för enskildas privatliv och andra personliga förhållanden. Alternativet till att inte införa en tystnadsplikt i den nya lagen för enskilda mottagare som inte ska tillämpa regleringen i OSL är att sådana enskilda forskare inte får ta del av uppgifter från forskningsdatabaser som omfattas av den föreslagna lagen, i likhet med vad som gäller enligt LifeGene-lagen (se 6 §). Då regeringen anser att det är viktigt att enskilda forskare i så stor utsträckning som möjligt får ta del av uppgifter på motsvarande sätt som forskare hos offentliga forskningshuvudmän bedömer regeringen att en tystnadsplikt som motsvarar den sekretess som föreslås i avsnitt 10.3 bör införas för en enskild forskningshuvudman som är en fysisk person eller den som är eller har varit verksam hos en enskild forskningshuvudman som inte anges i bilagan till OSL, för vad denne har fått veta om enskilds personliga förhållanden genom personuppgifter eller uppgifter om avlidna som mottagits från en forskningsdatabas. Det gäller till att börja med uppgifter som mottagits av ett forskningsprojekt. Det ska här uppmärksammas att det i ett forskningssamarbete kan finnas flera forskningshuvudmän, även om det bara är en av huvudmännen som ger in ansökan om etikgodkännande. Enligt 23 § etikprövningslagen ska, när flera forskningshuvudmän medverkar i ett och samma forskningsprojekt, de gemensamt uppdra åt en av dem att ansöka om etikprövning av projektet för allas räkning och att informera de övriga om Etikprövningsmyndighetens beslut. Det är bl.a. därför uppgifter enligt den nya lagen föreslås lämnas ut till ett forskningsprojekt och, om etikprövningslagen är tillämplig, att projektet ska ha fått en etikgodkännande (se avsnitt 6.3.7 och 8.1.2). Det ska vidare uppmärksammas att när det gäller internationella forskningsprojekt så krävs, så snart något moment i genomförandefasen ska ske i Sverige och den delen omfattas av etikprövningslagens tillämpningsområde, ett etikgodkännande för den del av forskningen som ska utföras i Sverige. I avsnitt 8.1.1 föreslås att utlämnande av uppgifter till ett forskningsprojekt bara ska få ske till fysiska eller juridiska personer som är skyldiga att tillämpa OSL eller fysiska personer som omfattas av här föreslagen tystnadsplikt. Det görs vidare där bedömningen att uppgifter i en forskningsdatabas som förs med stöd av den nya lagen bör kunna lämnas till en svensk deltagare i ett gränsöverskridande forskningsprojektet, men att denne kommer att vara bunden av sekretessen eller tystnadsplikten i förhållande till sådana personer i projektet som inte lyder under svensk lag. Detta bör dock inte hindra ett internationellt samarbete så länge som de uppgifter som den svenska deltagaren i forskningsprojektet lämnar ut till personer som inte lyder under svensk lag har bearbetats på ett sådant sätt att de inte längre utgör personuppgifter eller identifierande uppgifter om avlidna.
Andra situationer när det bör gälla tystnadsplikt för uppgifter som lämnas från en forskningsdatabas är när det lämnas uppgifter till en enskild forskningshuvudman därför att det behövs för att utreda oredlighet eller annan avvikelse från god forskningssed (se avsnitt 8.1.3) eller om det finns en skyldighet enligt lag att göra det (se avsnitt 8.1.4).
Regeringen bedömer att den begränsning av yttrandefriheten som en nu beskriven tystnadsplikt skulle innebära inte går utöver vad som är nödvändigt med hänsyn till ändamålet, dvs. att skydda de registrerades integritet. Regeringen bedömer att en bestämmelse om en sådan tystnadsplikt är förenlig med det skydd för yttrandefriheten som regeringsformen innebär.
Region Kronoberg efterlyser en harmonisering av lagtexten och hän-visar till hur tystnadsplikten är uttryckt bl.a. i patientdatalagen. Med hänsyn härtill och då en forskningshuvudman kan vara en fysisk person har regeringen, dock på annat sätt än det regionen föreslår, justerat den föreslagna bestämmelsen om tystnadsplikt i lagen om vissa forskningsdatabaser i förhållande till promemorians förslag. Regeringen föreslår att – i stället för att som i promemorian ange att den som träffas av tystnadsplikten är den som arbetar eller har arbetat hos en enskild forskningshuvudman – tystnadsplikten ska gälla en enskild forskningshuvudman som är en fysisk person och den som är eller har varit verksam hos en enskild forskningshuvudman som inte anges i bilagan till OSL (jfr 29 kap. 14 § skollagen [2010:800] och 10 § lagen [2022:1011] om in- och utpasseringskontroller vid högskoleprovet).
SCB påpekar att bestämmelsen om tystnadsplikt i 3 kap. 7 § i den nya lagen endast avser uppgifter om enskilds personliga förhållanden. Myndigheten anför att om forskningsdatabaser med företagsuppgifter får föras enligt lagen är det inte självklart att alla uppgifter om enskilda firmor skulle omfattas av tystnadsplikten, vilket skulle få betydelse för möjligheten att lämna ut sådana uppgifter till databaserna. Som regeringen anfört i avsnitt 10.3 är det, när det gäller enskilda firmor, i stor utsträckning fråga om personuppgifter som knyter an till den fysiska personen som bedriver näringsverksamheten. Också uppgifter om en persons ekonomi kan som angetts i avsnitt 10.2, falla under begreppet prop. 1979/80:2 del A s. 84).
Som framgår av avsnitt 8.1.1 är det nödvändigt – för att registerförande myndigheter som omfattas av s.k. statistiksekretess ska kunna lämna ut uppgifter som omfattas av sådan sekretess till en forskningsdatabas – att det finns ett starkt integritetsskydd för sådana uppgifter inte bara i verksamheten med forskningsdatabasen utan även hos potentiella mottagare av uppgifter från forskningsdatabasen. Regeringen bedömer därför att tystnadsplikten för enskilda som tar del av uppgifter som lämnats ut från en forskningsdatabas bör omfatta uppgifter om enskildas personliga förhållanden. Det bör här uppmärksammas att även avlidna avses omfattas av begreppet enskilda på motsvarande sätt som enligt OSL (se prop. 1979/80:2 del A s. 84). Sammantaget innebär detta att bestämmelsen om tystnadsplikt, till skillnad från förslaget i promemorian, inte bara ska omfatta personuppgifter utan också uppgifter om avlidna. Detta innebär att bestämmelsen – i likhet med bestämmelser i ramlagen om utlämnande av uppgifter från en forskningsdatabas (se avsnitt 8.1.1, 8.1.3, 8.1.4 och 8.2.2) – har ett vidare tillämpningsområde än övriga bestämmelser i ramlagen, genom att den även gäller för uppgifter om avlidna. För att efter synpunkter från Lagrådet tydliggöra detta föreslås att det direkt av lagtexten ska framgå att bestämmelsen om tystnadsplikt gäller såväl personuppgifter som uppgifter om avlidna.
Regeringen bedömer att den begränsning av yttrandefriheten som en sådan tystnadsplikt skulle innebära inte går utöver vad som är nödvändigt med hänsyn till ändamålen med bestämmelsen, dvs. dels att skydda de registrerades eller avlidnas integritet, dels att möjliggöra för myndigheter som omfattas av s.k. statistiksekretess att lämna ut uppgifter till forskningsdatabaser i syfte att skapa underlag till forskning. Regeringen bedömer att en bestämmelse om en sådan tystnadsplikt är förenlig med det skydd för yttrandefriheten som regeringsformen innebär.
Göteborgs universitet konstaterar att promemorian både förtydligar nu gällande sekretessbestämmelser för forskningsområdet och föreslår ny reglering för sekretess för forskningsdatabaser, vilket enligt universitetet säkerställer ett fullgott sekretesskydd för de enskilda forskningspersonerna. De lärosäten som får tillstånd att driva forskningsdatabaser kommer, utöver andra myndigheter, även att kunna lämna ut forskningsdata till enskilda aktörer eftersom lagförslaget innehåller en tystnadsplikt som omfattar sådana mottagare, vilket enligt universitetet är mycket positivt. Universitetet konstaterar dock att utlämnanden från forskningsdatabaser till utländska parter kommer att möta svårigheter, eftersom en straffsanktionerad tystnadsplikt inte går att tillskriva någon egentlig betydelse utanför svenskt territorium vid en sekretessprövning (JO:s beslut 4 juni 2019, dnr 6794–2017). Dubbel straffbarhet för brott mot tystnadsplikten anges ofta som nödvändigt för att en straffsanktionerad tystnadsplikt ska kunna beaktas i en sekretessprövning, när skyddet för uppgifterna bedöms hos mottagande utländsk part. Universitetet konstaterar att utredningen inte berör hur tystnadsplikten ska hanteras hos utländska mottagare och efterfrågar därför ett förtydligande avseende menprövningen gällande sådana utlämnanden av forskningsdata. Regeringen har i avsnitt 8.1.2 redogjort för varför det inte bör införas någon bestämmelse som innebär att utlämnande av uppgifter från en forskningsdatabas får göras till forskning som ska utföras i annat land. De svårigheter med tystnadsplikt utanför Sveriges territorium som Göteborgs universitet pekar på kommer därmed inte att uppstå. Som framgår av nämnda avsnitt och ovan innebär det krav som uppställs i den föreslagna lagen på att utlämnande av uppgifter från en forskningsdatabas till ett forskningsprojekt bara får ske till sådana fysiska eller juridiska personer som ska tillämpa OSL eller till fysiska personer som omfattas av här föreslagen tystnadsplikt, att uppgifter kommer att kunna lämnas till svenska deltagare i internationella forskningsprojekt, men att dessa kommer att vara bundna av sekretessen eller tystnadsplikten i förhållande till sådana personer i projektet som inte lyder under svensk lag. Detta bör dock inte hindra ett internationellt samarbete så länge som de uppgifter som den svenska deltagaren i forskningsprojektet lämnar ut till personer som inte lyder under svensk lag har bearbetats på ett sådant sätt att de inte längre utgör personuppgifter eller identifierande uppgifter om avlidna då sådana uppgifter faller utanför tystnadsplikten.
Sammanfattningsvis föreslår regeringen att det i den nya lagen ska införas en bestämmelse om tystnadsplikt som innebär att en enskild forskningshuvudman som är en fysisk person eller den som är eller har varit verksam hos en enskild forskningshuvudman som inte anges i bilagan till OSL, inte obehörigen ska få röja vad denne har fått veta om enskilds personliga förhållanden genom personuppgifter eller uppgifter om avlidna som mottagits från en forskningsdatabas.
Vid bedömningen av vad som avses med obehörigen röja får ledning, liksom i likartade fall av tystnadsplikt hos enskild, hämtas för vad som gäller i fråga om sekretess hos en motsvarande mottagare inom det allmänna som ska tillämpa 24 kap. 2 a § OSL på grund av bestämmelsen om överföring av sekretess enligt 2 b §.
Om uppgifter som omfattas av tystnadsplikt obehörigen röjs blir bestämmelsen i 20 kap. 3 § brottsbalken tillämplig. Enligt den bestämmelsen gäller att den som röjer en uppgift som han eller hon är skyldig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, döms, om inte gärningen är belagd med straff enligt någon annan bestämmelse, för brott mot tystnadsplikt till böter eller fängelse i högst två år. Detsamma gäller den som olovligen utnyttjar sådan hemlighet. Den som av oaktsamhet begår en sådan gärning döms till böter. Om gärningen är ringa utgör den inte brott. Om ett brott mot tystnadsplikt är grovt, döms för grovt brott mot tystnadsplikt till fängelse i lägst sex månader och högst fyra år. Vid bedömningen av om brottet är grovt ska det särskilt beaktas om gärningen kunnat medföra allvarlig skada, avsett ett stort antal uppgifter eller annars varit av särskilt farlig art.
Tystnadsplikten ska inskränka den grundlagsfästa rätten att meddela och offentliggöra uppgifter
I avsnitt 10.3 föreslås att den tystnadsplikt som följer av den i det avsnittet föreslagna bestämmelsen om absolut sekretess i verksamhet som avser förande av eller uttag ur en forskningsdatabas enligt den nya lagen för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde, ska inskränka den grundlagsskyddade rätten att meddela och offentliggöra uppgifter. Regeringen anser att detta skydd bör upprätthållas när en enskild forskningshuvudman eller den som är eller har varit verksam hos en enskild forskningshuvudman som inte anges i bilagan till OSL, får del av sådana uppgifter med stöd av den nya lagen. Av hänsyn till skyddet för den enskilde bör därför tystnadsplikten inskränka rätten att meddela och offentliggöra uppgifterna. Detta bör åstadkommas genom en bestämmelse i 44 kap. OSL.
Ytterligare ett undantag från den absoluta statistiksekretessen
Regeringens förslag: Tillämpningsområdet för bestämmelserna i offentlighets- och sekretesslagen om undantag från den absoluta statistiksekretessen ska utvidgas till att också omfatta uppgift som behövs i en forskningsdatabas som förs med stöd av lagen om vissa forskningsdatabaser.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker eller har inte något att invända mot förslaget. Det gäller bl.a. Socialstyrelsen, Integritetsskyddsmyndigheten, Mälardalens universitet, Brottsförebyggande rådet, Folkhälsomyndigheten, Förvaltningsrätten i Göteborg, Försäkringskassan, Stiftelsen Högskolan i Jönköping, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Forskningsrådet för hälsa, arbetsliv och välfärd, Högskolan i Halmstad, Inspektionen för socialförsäkringen, Läkemedelsverket, Luleå tekniska universitet, Malmö universitet, Myndigheten för digital förvaltning, Region Västernorrland, Stockholms kommun, Uppsala universitet och Örebro universitet.
Journalistförbundet har inget att erinra mot förslaget som sådant, men vill påminna om de problem som bestämmelsen gett upphov till inte minst avseende skolstatistiken. Enligt förbundet bör regeringen närmare utreda bestämmelsen ur ett bredare perspektiv för att hitta en lösning på de problem som uppstår med statistiksekretessen då Statistiska centralbyrån används som arkivmyndighet snarare än statistikmyndighet.
Några remissinstanser, Statistiska centralbyrån (SCB), Medlingsinstitutet och Naturvårdsverket befarar att promemorians förslag kommer att underminera det förtroende som är centralt för förande av statistik. SCB påpekar vidare att den föreslagna regleringen i 24 kap. 2 a § OSL innebär att även direkt identifierbara uppgifter kan komma att lämnas ut till såväl enskilda som utländska forskningshuvudmän. SCB bedömer att det kan bli svårt för utlämnande myndigheter att göra en sekretessprövning då syftet är att uppgifterna ska lämnas vidare till framtida forskningsprojekt och det är oklart vilket skydd uppgifterna kommer att omfattas av där. Det kan innebära att uppgifter inte kommer att kunna lämnas ut med stöd av det nya undantaget i 24 kap. 8 § tredje stycket OSL.
Naturvårdsverket fäster uppmärksamheten på att merparten av verkets uppgifter som kan hänföras till enskilda individer inte finns inom den särskilda statistikverksamheten. I stället finns sådana uppgifter inom myndighetens övriga verksamhet, som inte berörs av bestämmelserna i 24 kap. 8 § OSL. Naturvårdsverket ifrågasätter därför om den föreslagna ändringen i 24 kap. 8 § OSL är tillräcklig och ändamålsenlig för att möta forskningsdatabasernas behov av kompletterande information från statistikansvariga myndigheter.
Umeå universitet påpekar att förändringen i 24 kap. 8 § OSL medger utlämnande av kompletterande statistikuppgifter till en forskningsdatabas efter menprövning som enligt universitetet verkar innebära att antingen finns samtycke från den enskilde eller något som visar att denne informerats men inte valt opt-out. För denna hantering krävs omfattande administration från forskningsdatabasen där universitetet ifrågasätter hur det är avsett att detta ska ske i praktiken gällande varje individ som ingår i forskningsdatabasen.
Myndigheten för vård- och omsorgsanalys avstyrker förslaget eftersom myndigheten bedömer att förslagen ger otillräckligt sekretesskydd för personuppgifterna i forskningsdatabaser.
Skälen för regeringens förslag: Som tidigare nämnts gäller enligt 24 kap. 8 § OSL absolut sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Denna så kallade statistiksekretess gäller dessutom i annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det, däribland, enligt 7 § OSF, i miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier vid sjukvårdsinrättningar, utbildningsanstalter och forskningsinrättningar. Även sociologiska, psykologiska eller andra beteendevetenskapliga eller samhällsvetenskapliga studier vid lärosäten och andra forskningsinrättningar omfattas av statistiksekretessen enligt 7 § OSF.
Bestämmelsen i 24 kap. 8 § innehåller dock undantag från den absoluta sekretessen. Tredje stycket i bestämmelsen anger att uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (omvänt skaderekvisit, presumtion för sekretess). Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355).
Det finns, såsom påpekats i bl.a. avsnitt 6.1, oklarheter när det gäller förutsättningar för utlämnande av uppgifter som omfattas av sekretessen i 24 kap. 8 § OSL till forskningsdatabaser. Det har uppstått osäkerhet om vad uttrycket forskningsändamål i OSL innebär och det finns en osäkerhet hos en del registerhållande myndigheter kring forskningsdatabasers förenlighet med bestämmelserna i EU:s dataskyddsförordning, vilket medför att frågeställningen uppkommer om ett utlämnande av uppgifter till en forskningsdatabas står i strid med 21 kap. 7 § OSL. Enligt den bestämmelsen gäller det sekretess om det kan antas att uppgifter efter utlämnande kommer att behandlas i strid med 1. dataskyddsförordningen, 2. dataskyddslagen eller 3. etikprövningslagen. Det kan i detta sammanhang uppmärksammas att regeringen när det gäller tillämpningen av 21 kap. 7 § OSL, i ett beslut med anledning av ett överklagande av ett lärosäte som fått ett avslag från Socialstyrelsen på en begäran om utfående av uppgifter i enlighet med ett etikgodkännande enligt etikprövningslagen, har slagit fast att om det finns ett godkännande av Etikprövningsmyndigheten eller, efter ett överklagande, av Överklagandenämnden för etikprövning, så är inte avsikten att någon annan myndighet, eller regeringen, med stöd av 21 kap. 7 § OSL ska kunna överpröva huruvida ett utlämnande i enlighet med etikgodkännandet skulle strida mot dataskyddsregleringen (S 2021-05036).
Regeringen har i avsnitt 6.2.1 gjort bedömningen att forskningsdatabaser enligt den nya lagen om vissa forskningsdatabaser förs för vetenskapliga forskningsändamål i den mening som avses i EU:s dataskyddsförordning. Ett begrepp kan dock ha olika betydelser i olika regleringar och sekretessregleringen tillkom för drygt 40 år sedan. När det gäller uttrycket forskningsändamål kan det konstateras att förarbetena till 24 kap. 8 § OSL inte ger någon närmare vägledning kring vad som avses med det begreppet i bestämmelsen. Klart är emellertid att verksamheten med forskningsdatabaser inte är forskning i den bemärkelse som avses i etikprövningslagen. Det är vidare oklart om verksamheten med forskningsdatabaser kan anses vara forskningsverksamhet i den mening som avses i bestämmelsen i 11 kap. 3 § OSL, som anger att tillämpningen av en sekretessbestämmelse förs över till en myndighet som får uppgiften i sin forskningsverksamhet.
Det kan mot denna bakgrund konstateras att det finns en rättslig osäkerhet och att det finns det som talar för att verksamheten med att bygga upp en forskningsdatabas inte är ett sådant forskningsändamål som avses i tredje stycket i 24 kap. 8 § OSL. Detta medför i sin tur osäkerhet om vilket sekretesskydd, om något, uppgifterna får om de lämnas ut till en forskningsdatabas om den inte omfattas av sekretesskyddet i 24 kap. 2 a § OSL.
Undantaget från huvudregeln om absolut sekretess i 24 kap. 8 § tredje stycket OSL i den nuvarande lydelsen kan därmed inte sägas utgöra ett sådant tydligt rättsligt stöd som behövs för att forskningsdatabaser ska kunna göra en kompletterande insamling från statistikansvariga myndigheter av sådana uppgifter som omfattas av statistiksekretessen när en sådan komplettering är befogad. För vissa forskningsdatabaser är det av stor betydelse, för att höja kvaliteten och det vetenskapliga värdet av databasen, att exempelvis kunna följa upp insamlade personuppgifter genom att få viss uppdaterad information från statistikansvariga myndigheters register.
Som SCB framhållit är statistiksekretessen av mycket stor vikt för att statistik av hög kvalitet ska kunna framställas. Tilliten till statistikmyndigheternas hantering av data är avgörande för viljan att delta i olika undersökningar och på sikt för förtroendet för den officiella statistiken. Det innebär att stor restriktivitet är påkallad vid överväganden om att införa en bestämmelse som bryter den sekretessen. Det stränga sekretesskyddet för uppgifter om enskildas personliga och ekonomiska förhållanden i myndigheters särskilda verksamhet för statistikframställning motiveras av att statistikens kvalitet är beroende av enskildas villighet att lämna uppgifter, som i sin tur kan antas bero på att de enskilda litar på att uppgifter om dem inte röjs så att de kan identifieras. Därutöver kan det i den särskilda verksamheten finnas många uppgifter om en och samma person. En sammanställning av sådana uppgifter är ofta integritetskänslig (prop. 1979/80:2 del A s. 262–263).
Mot bakgrund av syftet att värna tillförlitligheten och kvaliteten i statistiken och att värna enskildas integritet har regeringen noga övervägt frågan om ett ytterligare undantag från den statistiksekretessen ska införas. Det är enligt regeringens uppfattning av stor betydelse för forskningen att den vetenskapliga kvaliteten på forskningsdatabasen kan höjas genom att uppdaterad eller kompletterande information från statistikansvariga myndigheters register tillförs databasen. Som anförts i avsnitt 7.2.1 kan forskningsdatabaser som också innehåller kompletterande uppgifter utgöra en viktigare resurs för viss forskning än om databasen endast innehåller de personuppgifter som den registrerade bidrar med. Därför, och för att underlätta för statistikansvariga myndigheter att tillmötesgå ansökningar från forskningsdatabaser om befogade kompletteringar genom utfående av uppgifter från dessa myndigheters register, bör ytterligare en sekretessbrytande bestämmelser i 24 kap. 8 § OSL införas, genom vilken det klargörs att också uppgifter som behövs i en sådan forskningsdatabas som förs med stöd av lagen om vissa forskningsdatabaser får lämnas ut, oavsett om det är fråga om personuppgifter eller uppgifter om avlidna, om det står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.
Undantaget innebär en prövning i två steg. Det handlar dels om forskningsdatabasens behov av uppgiften, dels om en skadeprövning enligt det föreskrivna omvända skaderekvisitet vilket innebär en presumtion för sekretess.
Vid begäran från en forskningsdatabas om att utfå personuppgifter ska det, enligt lagen om vissa forskningsdatabaser, vara fråga om en kompletterande insamling av uppgifter som de registrerade har samtyckt till på förhand eller informerats om och inte motsatt sig. Det är fråga om uppgifter som kompletterar redan behandlade uppgifter i forskningsdatabasen. Med att uppgiften behövs i en forskningsdatabas åsyftas att kompletteringen med de efterfrågade uppgifterna ökar eller upprätthåller kvaliteten eller det vetenskapliga värdet av forskningsdatabasen. Det ankommer på det personuppgiftsansvariga lärosätet att göra en sådan behovsprövning innan komplettering begärs. Den utlämnande myndigheten bör pröva att lärosätet har gjort en sådan behovsprövning.
Den utlämnande myndigheten ska vidare pröva frågan om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Härvid ska beaktas att lagen om vissa forskningsdatabaser reglerar databaser som bygger på enskildas frivilliga samverkan och att det som huvudregel krävs samtycke för insamling av uppgifter från andra källor än den enskilde och att det annars krävs att den registrerade informerats om den kompletterande insamlingen och inte har motsatt sig den, s.k. opt-out. När samtycke finns får den enskilde anses ha eftergett den sekretess som kan gälla för uppgifter från källor som samtycket omfattar (jfr 12 kap. 2 § OSL). I ett sådant fall behöver det inte göras någon prövning enligt nu aktuell bestämmelse före utlämnandet. När inhämtandet av uppgifter baseras på information i kombination med en möjlighet till opt-out ska följande beaktas.
SCB anför att den föreslagna regleringen i 24 kap. 2 a § OSL innebär att även direkt identifierbara uppgifter kan komma att lämnas ut till såväl enskilda som utländska forskningshuvudmän och SCB bedömer att det kan bli svårt för utlämnande myndigheter att göra en sekretessprövning då syftet är att uppgifterna ska lämnas vidare till framtida forskningsprojekt och att det är oklart vilket skydd uppgifterna kommer att omfattas av där. Det kan enligt SCB innebära att uppgifter inte kommer att kunna lämnas ut med stöd av det föreslagna undantaget i 24 kap. 8 § tredje stycket OSL. Med anledning av bl.a. denna synpunkt har regeringen i avsnitt 8.1.1 föreslagit att det i den nya lagen om vissa forskningsdatabaser ska införas en bestämmelse som innebär att utlämnande av uppgifter till ett forskningsprojekt bara får ske till fysiska eller juridiska personer som ska tillämpa OSL eller till fysiska personer som omfattas av tystnadsplikt enligt en bestämmelse i den lagen (se den i avsnitt 10.3 föreslagna bestämmelsen om överföring av sekretess vid utlämnande av uppgifter från en forskningsdatabas och den i avsnitt 10.4 föreslagna bestämmelsen om tystnadsplikt för enskilda som mottagit uppgifter från en forskningsdatabas). Regeringen har vidare, i avsnitt 8.1.2 gjort bedömningen att det inte ska införas någon bestämmelse som innebär att utlämnande får göras till forskning som ska utföras i annat land. När det gäller internationella forskningsprojekt ska, så snart något moment i genomförandefasen ska ske i Sverige och den delen omfattas av etikprövningslagens tillämpningsområde, ett etikgodkännande för den del av forskningen som ska utföras i Sverige inhämtas. Som framgår av avsnitten 8.1.1 och 10.4 får den svenska deltagaren i ett sådant forskningsprojektet inte lämna ut uppgifter som han eller hon har fått från en forskningsdatabas enligt den nya lagen till personer som inte lyder under svensk lag, såvida inte uppgifterna har bearbetats på ett sådant sätt att de inte längre utgör personuppgifter eller identifierande uppgifter om avlidna. I ett sådant fall kan de inte längre anses vara hänförliga till någon enskild och det bör stå klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (se den i avsnitt 10.3 föreslagna lydelsen av 24 kap. 2 a § andra stycket OSL och den i avsnitt 10.4 föreslagna tystnadsplikten).
När det gäller den kommande skadeprövningen enligt 24 kap. 8 § tredje stycket OSL enligt den föreslagna nya lydelsen bör det dels beaktas att uppgifter efter utlämnande till en forskningsdatabas enligt lagen om vissa forskningsdatabaser kommer att omfattas av ett sekretesskydd som motsvarar det som dessa åtnjuter hos den utlämnande myndigheten (se avsnitt 10.3), dels att uppgifterna efter utlämnande från en sådan forskningsdatabas till myndigheter eller enskilda organ som anges i bilagan till OSL kommer att omfattas av överförd sekretess (se avsnitt 10.3) eller, i de fall utlämnande sker till enskilda som inte omfattas av OSL, av tystnadsplikt enligt den föreslagna lagen om vissa forskningsdatabaser (se avsnitt 10.4). Uppgifterna kommer dessutom att fortsatt undantas från generalklausulens område. När det gäller det utlämnande av uppgifter som eventuellt kan komma att ske med stöd av den sekretessbrytande bestämmelsen 10 kap. 23 § OSL (se avsnitt 10.3) kan konstateras att den bestämmelsen också bryter statistiksekretessen enligt 24 kap. 8 § OSL. Behandlingen av uppgifterna kommer därutöver att omgärdas av ett flertal skyddsåtgärder enligt lagen om vissa forskningsdatabaser som ytterligare verkar integritetsskyddande. I de fall den enskilde inte har motsatt sig den kompletterande insamlingen till forskningsdatabasen, bör således en skadeprövning enligt det omvända skaderekvisitet i 24 kap. 8 § tredje stycket, med hänsyn till nu nämnda omständigheter, normalt leda till bedömningen att det står klart att uppgifterna kan lämnas ut till forskningsdatabasen utan att den enskilde eller någon närstående till denne lider skada eller men.
När det gäller vad som ska beaktas vid sekretessprövningen enligt det omvända skaderekvisitet när det är fråga om uppgifter om avlidna kan följande uppmärksammas. När det gäller avlidna är sekretessen väsentligt svagare än för levande personer (prop. 1979/80:2 del A s. 84). Sekretess kan dock gälla om uppgiften kan anses kränka den frid som bör tillkomma den avlidne t.ex. för integritetskänsliga uppgifter som det med fog kan antas att den enskilde inte velat skulle komma till någon annans kännedom ens efter hans eller hennes död (RÅ 2007 ref 16). Om en enskild före sin död samtyckt till att uppgifter om honom eller henne får ingå i en viss forskningsdatabas kan därmed utgångspunkten många gånger vara att även uppgifter om personen som tillkommit efter hans eller hennes död kan lämnas ut till den forskningsdatabasen. Oavsett om ett sådant samtycke lämnats eller inte ska också det skydd som ges genom ovan redovisad sekretessreglering och tystnadsplikt beaktas.
Naturvårdsverket har fäst uppmärksamheten på att merparten av verkets uppgifter som kan hänföras till enskilda individer inte finns inom den särskilda statistikverksamheten. I stället finns sådana uppgifter inom myndighetens övriga verksamhet – som inte berörs av bestämmelserna i 24 kap. 8 § OSL. Naturvårdsverket ifrågasätter därför om den föreslagna ändringen i 24 kap. 8 § OSL är tillräcklig och ändamålsenlig för att möta forskningsdatabasernas behov av kompletterande information från statistikansvariga myndigheter. Regeringen noterar vad verket påpekar men konstaterar att det inom ramen för detta lagstiftningsarbete inte finns beredningsunderlag för att införa ytterligare sekretessbrytande bestämmelser.
Regeringen föreslår således att det görs ett tillägg i 24 kap. 8 § tredje stycket OSL som innebär att uppgifter som omfattas av statistiksekretess får lämnas ut om de behövs i en forskningsdatabas som förs med stöd av den föreslagna lagen om vissa forskningsdatabaser om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Med ”uppgifter som behövs” avses alla typer av uppgifter som behövs i en sådan forskningsdatabas oavsett om det är fråga om personuppgifter eller om det är fråga om uppgifter om avlidna.
När det gäller bedömningen av om uppgifterna efter utlämnandet kommer att behandlas på ett sätt som är förenligt med bestämmelserna i EU:s dataskyddsförordning och dataskyddslagen bör de bedömningar och förslag som presenterats i avsnitt 6–8 underlätta de utlämnande myndigheternas prövning enligt 21 kap. 7 § OSL. Den föreslagna regleringen innehåller ett flertal bestämmelser och bedömningar som förtydligar hur personuppgiftsbehandlingen i forskningsdatabaser är tänkt att ske för att anses förenlig med EU:s dataskyddsförordning. Det ska vidare beaktas att dataskyddslagen är subsidiär i förhållande till den föreslagna lagen om vissa forskningsdatabaser.
Närmare om betydelsen av att en enskild helt eller delvis i allmänhet kan häva sekretess som gäller till skydd för honom eller henne
Som framgår ovan kommer det enligt den föreslagna lagen om vissa forskningsdatabaser att som huvudregel att krävas ett samtycke från den registrerade till behandling av personuppgifter genom kompletterande insamling från andra källor än den registrerade. Om samtycke inte finns får sådan insamling enbart göras om den registrerade informerats om insamlingen och inte uttryckligen motsatt sig denna, se avsnitt 7.1.
SCB vill framhålla att det är den utlämnande myndigheten som måste ta ställning till om ett giltigt samtycke enligt 12 kap. 2 § OSL finns och att det vid bedömningen är avgörande hur samtycket är utformat. SCB befarar att de samtycken som inhämtas enligt 2 kap. 4 § i lagförslaget i många fall inte kommer anses vara tillräckligt tydliga. Enligt SCB:s bedömning kan det vidare aldrig bli aktuellt att lämna ut uppgifter med stöd av ett samtycke enligt 12 kap. 2 § OSL avseende andra personer än den som har lämnat samtycket.
Enligt 12 kap. 2 § OSL kan en enskild helt eller delvis häva sekretess som gäller till skydd för honom eller henne om inte något annat anges i lagen. Regeringen konstaterar att det inte ställs inte lika höga krav på ett samtycke enligt OSL som det görs enligt EU:s dataskyddsförordning. Med samtycke enligt lagen om vissa forskningsdatabaser avses detsamma som i artikel 4 i dataskyddsförordningen (se avsnitt 6.3.6), dvs. varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Till skillnad från vad som gäller enligt den föreslagna lagen och dataskyddsförordningen behöver ett samtycke enligt OSL enligt förarbetena till den lagen inte vara uttryckligt. Också ett tyst s.k. presumerat samtycke får godtas. Ibland framgår det av den enskildes beteende och förväntningar att han eller hon i viss utsträckning accepterar att en hemlig uppgift vidarebefordras. Ett samtycke får dock inte ges ett så generellt innehåll att den enskilde allmänt förklarar sig avstå från sekretessen hos en viss myndighet (prop. 1979/80:2 del A s. 331). Regeringen bedömer således, i motsats till vad SCB befarar, att de samtycken som inhämtas enligt förslaget till lagen om vissa forskningsdatabaser kommer att vara ett tillräckligt tydligt presumerat samtycke för att sekretessen ska hävas. Regeringen delar dock uppfattningen att det aldrig kan bli aktuellt att lämna ut uppgifter med stöd av ett samtycke enligt 12 kap. 2 § OSL avseende andra personer än den som har lämnat samtycket.
Myndigheten för vård- och omsorgsanalys, som avstyrker förslagen, eftersom dessa enligt myndigheten ger otillräckligt sekretesskydd för personuppgifterna i forskningsdatabaserna, har ifrågasatt forskningshuvudmännens förutsättningar att lämna information om regleringen avseende de komplexa sekretess- och säkerhetsbestämmelserna till de registrerade. Regeringen har i avsnitt 6.3.8 redogjort för att de lärosäten som kan komma i fråga för att inrätta en forskningsdatabas enligt den nya lagen är de som har tillräckliga finansiella och organisatoriska förutsättningar för att kunna tillgodose ett kvalitativt och långsiktigt integritetsskydd för den personuppgiftsbehandling som kommer att äga rum i verksamheten med en viss forskningsdatabas. Däri ingår att kunna lämna information till de medverkande om tillämplig reglering.
Umeå universitet anför att förändringen i 24 kap. 8 § OSL medger utlämnande av kompletterande statistikuppgifter till en forskningsdatabas efter menprövning som enligt universitetet verkar innebära att antingen finns samtycke från den enskilde eller något som visar att denne informerats men inte valt opt-out. Universitet ifrågasätter hur det är avsett att detta ska ske i praktiken gällande varje individ som ingår i forskningsdatabasen. Som nämnts ovan kommer det att krävas att ett lärosäte har tillräckliga finansiella och organisatoriska förutsättningar för att kunna tillgodose ett kvalitativt och långsiktigt integritetsskydd för den personuppgiftsbehandling som kommer att äga rum i en verksamhet med en forskningsdatabas för att den ska kunna omfattas av lagen. Däri ingår att hålla reda på de samtycken som lämnas. När det gäller möjligheten till kompletterande insamling från andra källor än de som kunnat definieras i samband med att samtycke till behandling i forskningsdatabasen inhämtats föreslås, som framgår ovan, att det i den nya lagen ska anges att sådan insamling bara får göras utan samtycke om den registrerade har informerats om insamlingen och inte uttryckligen motsatt sig den. Kravet på information innebär inte att den personuppgiftsansvarige måste upprätta en faktisk kontakt med varje registrerad. Det är tillräckligt att information lämnas genom att den personuppgiftsansvarige på sin webbplats eller annat forum som registrerade känner till redovisar vilka kompletterande uppgifter som planeras att inhämtas, och därvid ger de registrerade möjlighet att motsätta sig insamlingen. Där bör tydligt framgå hur den registrerade som vill motsätta sig kompletteringen ska gå till väga och inom vilken tidsram denne förväntas höra av sig. Mot bakgrund av att det i det senare fallet inte krävs att det tas en direktkontakt med varje registrerad görs här bedömningen att det skulle föra för långt att i ett sådant fall utgå från att ett tyst s.k. presumerat samtycke enligt 12 kap. 2 § OSL föreligger. Med hänsyn till att den sekretess som föreslås gälla i verksamheten med en forskningsdatabas i princip motsvarar statistiksekretessen och till de registrerades uttryckliga vilja att bidra med sina uppgifter i forskningsdatabaserna samt till den möjlighet till insyn i och kontroll över personuppgiftsbehandlingen som den registrerade har enligt den föreslagna lagen om vissa forskningsdatabaser bör dock, i de fall den enskilde inte har motsatt sig insamlingen inom den av det ansvariga lärosätet angivna tidsramen, en skadeprövning enligt ett omvänt skaderekvisit normalt leda till bedömningen att det står klart att uppgifterna kan lämnas ut till lärosätet utan att den enskilde eller någon närstående till denne lider skada eller men.
Regeringen föreslår således att tillämpningsområdet för bestämmelserna i OSL om undantag från den absoluta statistiksekretessen ska utvidgas till att också omfatta uppgift som behövs i en forskningsdatabas som förs med stöd av lagen om vissa forskningsdatabaser oavsett om det är fråga om personuppgifter eller uppgifter om avlidna.
Sekretessbestämmelserna för det rättspsykiatriska forskningsregistret ska upphävas
Regeringens förslag: Bestämmelsen om sekretess för det rättspsykiatriska forskningsregistret och den anslutande bestämmelsen om inskränkt meddelarfrihet ska upphävas.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Ingen av remissinstanserna kommenterar specifikt promemorians förslag.
Skälen för regeringens förslag
Sekretessbestämmelsen bör upphävas
Sekretess gäller i verksamhet som avser förande av eller uttag ur register som förs enligt lagen (1999:353) om rättspsykiatriskt forskningsregister för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden som har tillförts registret, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller även i förhållande till en registrerad person som är vård- eller behandlingsbehövande för uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år (24 kap. 2 § OSL).
Till följd av förslaget i avsnitt 9 om att lagen om rättspsykiatriskt forskningsregister ska upphävas uppkommer frågan om det därefter finns något fortsatt behov av en särskild sekretessbestämmelse som skyddar uppgifter i sådan verksamhet som avser förande av eller uttag ur ett sådant register. Lagen om rättspsykiatriskt forskningsregister trädde i kraft den 1 juli 2000. Det är oklart vilka uttag som kan ha gjorts från registret till forskningsverksamhet under tiden verksamheten pågick. Det har visserligen framkommit att registret uppdaterades bara under några år, fram till år 2005, men det har inte gått att klarlägga i vilken omfattning uttag ur registret skett och i så fall till vilka närmare forskningsprojekt eller forskningshuvudmän. För sådana uttag kan det inte helt uteslutas att sekretessregleringen i 24 kap. 2 § OSL i vissa fall har överförts enligt 11 kap. 3 § OSL. Det går alltså inte att utesluta att överförd registersekretess kan gälla för uppgifter i handlingar som finns i pågående forskningsprojekt eller arkiverat forskningsmaterial.
Behovet av fortsatt sekretesskydd kan tillgodoses genom övergångsbestämmelser
Det vore givetvis en olycklig konsekvens om uppgifter i den tidigare verksamheten med det rättspsykiatriska forskningsregistret i ett slag blev offentliga, eller bara kan skyddas enligt minimibestämmelserna i 21 kap. OSL, vid ett upphävande av 24 kap. 2 § OSL. Detta talar för att det finns ett visst fortsatt behov av sekretesskydd både i Riksmedicinalverkets verksamhet och hos forskningshuvudmän. Det kvarvarande behovet av sekretesskydd föreslås åstadkommas genom en övergångsbestämmelse.
Enligt 24 kap. 9 § andra stycket OSL inskränker den tystnadsplikt som följer av 2 § samma kapitel rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke. Som en följd av att sekretessbestämmelsen i 24 kap. 2 § OSL upphävs föreslås också att 24 kap. 9 § andra stycket upphävs. Inskränkningen bör dock fortfarande gälla i fråga om uppgift som hänför sig till verksamhet som avsett förande av eller uttag ur det rättspsykiatriska forskningsregistret av skäl som anges ovan. Detta kan åstadkommas genom en övergångsbestämmelse.
De övergångsbestämmelser som den föreslagna regleringen således ger anledning till behandlas närmare i avsnitt 13.
Samlad integritets- och proportionalitetsanalys
Regeringens bedömning: Den personuppgiftsbehandling som möjliggörs av den föreslagna lagen är förenlig med EU:s dataskyddsförordnings krav på proportionalitet. Behandlingen utgör en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt Europeiska unionens stadga om de grundläggande rättigheterna.
Skälen för regeringens bedömning
Utgångspunkter
I avsnitten 6–8 och 10 konstateras att den behandling av personuppgifter som kommer att bli aktuell, och som möjliggörs genom den föreslagna lagen, kan innebära ett intrång i den enskildes personliga integritet, bl.a. eftersom känsliga personuppgifter kan komma att behandlas. I dessa tidigare avsnitt beskrivs dessa risker och hur de föreslagna bestämmelserna ur olika aspekter bedöms bidra till att skydda den personliga integriteten. Även de behov som ligger till grund för förslagen redovisas, inbegripet bl.a. en bedömning av att den behandling av personuppgifter som är nödvändig vid förandet av en forskningsdatabas kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1.e i EU:s dataskyddsförordning. I detta avsnitt ges en bredare och mer samlad bedömning av integritets- och proportionalitetsaspekter av lagförslagen.
Enligt 2 kap. 6 § andra stycket regeringsformen (RF) är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet omfattar endast sådana åtgärder som avser ett betydande intrång i den personliga integriteten. Såsom anförts i avsnitt 6.3.1 anges i motiven till 2 kap. 6 § andra stycket RF att integritetsskyddet i bestämmelsen bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande; om åtgärderna däremot förutsätter den enskildes godkännande kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att det bör omfattas av ett stärkt grundlagsskydd (prop. 2009/10:80 s. 178–179). Då behandlingen av personuppgifter enligt den föreslagna lagen om vissa forskningsdatabaser bygger på den enskildes frivilliga medverkan görs därför bedömningen att förslaget huvudsakligen faller utanför 2 kap. 6 § andra stycket RF, bortsett från övergångsbestämmelserna till lagen. Att dessa är förenliga med nämnda bestämmelse i RF har behandlats i avsnitt 6.3.1. Förslaget innebär också att personuppgiftsbehandling i några fall kommer att ske utan samtycke. Det gäller personuppgiftsbehandling som är nödvändig för att kunna identifiera och kontakta en person i en urvalsgrupp med förfrågan om medverkan i en forskningsdatabas samt kompletterande insamling av uppgifter från andra källor än de som kunnat identifieras redan i samband med att samtycke till behandling i forskningsdatabasen lämnas. I det senare fallet ska den registrerade ha informerats om behandlingen och fått möjlighet att motsätta sig den. Vad gäller personuppgiftsbehandlingen i dessa delar bedöms de inte utgöra ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket RF (jfr prop. 2009/10:80 s. 184 och 250).
EU:s dataskyddsförordning förutsätter en proportionalitetsbedömning vid behandling av personuppgifter. Den nationella rätt som fastställer grunden för personuppgiftsbehandlingen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Behandling av känsliga personuppgifter är tillåten om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 j).
Behandling av personuppgifter berör vidare rätten till respekt för privatlivet enligt artikel 8.1 i den europiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, här benämnd Europakonventionen. Enligt denna artikel har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen gäller som svensk lag (lagen [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Enligt 2 kap. 19 § RF får inte lag eller annan föreskrift meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Enligt artikel 8.2 i Europakonventionen får rätten till skydd för privatlivet inte inskränkas annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Europadomstolen anger i en dom från 2017 att artikel 8 i Europakonventionen ”föreskriver rätten till en form av bestämmande över information om en själv” (Europadomstolen, Satakunnan Markkinapörssi Oy och Satamedia Oy mot Finland (stora kammaren), nr 931/13, 27 juni 2017, punkt 137).
I artiklarna 3, 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02), här benämnd EU:s rättighetsstadga, slås det fast att var och en har rätt till fysisk och mental integritet, respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer samt skydd av de personuppgifter som rör honom eller henne. Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen, men att bestämmelsen inte hindrar unionsrätten från att tillförsäkra ett mer långtgående skydd. I EU:s rättighetsstadga är utgångspunkten att en inskränkning av rättigheter och friheter enligt stadgan endast får göras i lag och måste vara förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stadgan. Begränsningar får med beaktande av proportionalitetsprincipen endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1).
För att det ska vara motiverat att införa de möjligheter till behandling av personuppgifter som föreslås i denna proposition måste alltså behovet av behandlingen väga tyngre än den enskildes intresse av skydd för den personliga integriteten. Nedan följer en beskrivning av de integritetshöjande åtgärder som föreslås i denna proposition i syfte att skydda den personliga integriteten.
Föreslagna ändamålsbestämmelser bedöms minska integritetsriskerna
En grundläggande begränsning av all personuppgiftsbehandling är fastställande av ändamål för behandlingen (se särskilt avsnitt 6.3.7). Personuppgifter ska få samlas in och i övrigt behandlas i verksamhet med en sådan forskningsdatabas som förs med stöd av den föreslagna lagen om vissa forskningsdatabaser för de övergripande primära ändamålen att
skapa underlag för flera framtida forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen,
lämna ut uppgifter till sådana forskningsprojekt som anges i 1, och
lämna ut uppgifter till forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen även om projekten redan påbörjats innan forskningsdatabasen inrättats.
Personuppgifter som samlats in och behandlas för de övergripande ändamålen enligt ovan ska därefter bara få behandlas för ändamålen att lämnas ut enligt bestämmelserna om utlämnande i lagen samt för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål när de inte längre behövs för de övergripande ändamålen. Uppräkningen i lagen av ändamålen är uttömmande. De relativt brett formulerade ändamålen i lagen föreslås konkretiseras genom att det i bestämmelser i förordning närmare anges dels inom vilka närmare angivna forskningsområden de olika forskningsdatabaserna ska skapa underlag för, dels villkor för utlämnande av personuppgifterna. Denna reglering bedöms uppfylla kravet på ändamålsbegränsning i EU:s dataskyddsförordning, se avsnitt 6.3.7.
Uppgifter som primärt samlats in för att skapa underlag för flera framtida forskningsprojekt inom det eller de för forskningsdatabasen angivna forskningsområdena och för att lämnas ut till sådana forskningsprojekt, eller forskningsprojekt som redan påbörjats innan forskningsdatabasen inrättats, kommer också att kunna behandlas för vissa sekundära ändamål, dvs, för att tillgodose ytterligare behov utöver de som ligger till grund för insamlingen. I praktiken handlar detta normalt om att lämna ut personuppgifter för ett annat syfte än mottagarens forskning. Det införs uttryckliga bestämmelser i lagen vilka dessa sekundära ändamål är. Personuppgifter får överhuvudtaget inte behandlas för några andra ändamål än de som uttryckligen anges i lagen. Dessa sekundära ändamål rör granskning av den forskning som skett med hjälp av uppgifter som lämnats ut från forskningsdatabasen. Uppgifter ska då kunna lämnas ut om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed. Ett annat tillåtet sekundärt ändamål är utlämnande som inte sker direkt till forskningsprojektet utan — när en forskningsdatabas redan har lämnat ut uppgifter till ett forskningsprojekt — därefter lämnar ut kodnyckel eller motsvarande lämnas till en annan myndighet för att denna myndighet i sin tur ska kunna lämna ut uppgifter om samma personer till forskningsprojektet i fråga. Därutöver får utlämnande endast ske om det finns en skyldighet enligt lag eller förordning att göra det.
Slutligen anges i lagen att personuppgifter i en forskningsdatabas, när de inte längre behövs för de primära ändamålen, ska kunna behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Föreslagna bestämmelser om skyddsåtgärder i form av samtycke och utförlig information bedöms minska integritetsriskerna
Personuppgifter i en forskningsdatabas får som huvudregel behandlas endast om den registrerade har samtyckt till det. Detta gäller oavsett om uppgifterna inhämtats direkt från den enskilde eller genom insamling från andra källor för att komplettera databasen. Undantag från huvudregeln anges uttömmande i lagen. Kompletterande insamling av uppgifter från andra källor än de som kunnat definieras redan i samband med att samtycke till behandling i forskningsdatabasen lämnas, får göras utan samtycke bara om den registrerade informerats om insamlingen och inte uttryckligen motsätter sig denna. Utan samtycke får dock sådana personuppgifter samlas in och behandlas som är nödvändiga för att kunna välja ut och kontakta en person i en urvalsgrupp med förfrågan om medverkan i en forskningsdatabas. Sådan behandling får inte pågå under längre tid än vad som är nödvändigt. Kravet på att dessa uppgifter ska vara nödvändiga markerar att principen om uppgiftsminimering ska iakttas. Av samma skäl innehåller bestämmelsen ett krav på att behandlingen inte få pågå under längre tid än vad som är nödvändigt.
Den registrerade har rätt att när som helst återta sitt samtycke till att hans eller hennes personuppgifter behandlas i en forskningsdatabas. Om den registrerade återtar sitt samtycke får uppgifter om den registrerade därefter inte behandlas för att lämnas ut till forskningsprojekt. Dessutom ska den personuppgiftsansvarige underrätta den personuppgiftsansvarige för de forskningsprojekt som uppgifterna om den registrerade har lämnats ut till om att den registrerade återtagit sitt samtycke om den registrerade begär det.
Personuppgifter som med samtycke av den registrerades vårdnadshavare har samlats in innan den registrerade uppnått en sådan ålder och mognad att han eller hon själv kan samtycka till behandlingen, får efter att den registrerade blivit myndig fortsätta att behandlas bara om den registrerade informerats om behandlingen och inte uttryckligen motsätter sig denna. Sådan information ska lämnas senast den 1 mars året efter att den registrerade fyllt 18 år.
En person ska enligt den föreslagna lagen, utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning, innan han eller hon lämnar samtycke eller i samband med att han eller hon får information efter myndighetsdagen enligt ovan, även informeras om vilka slags uppgifter som får registreras i forskningsdatabasen, att en registrerad kommer att informeras om kompletterande insamling av uppgifter blir aktuell och på vilket sätt sådan information kommer att lämnas, de sekretess- och säkerhetsbestämmelser som gäller, rätten till information om till vilken forskning hans eller hennes personuppgifter lämnats ut, vilken myndighet som är tillsynsmyndighet samt rätten till skadestånd. Dessutom ska den registrerade informeras om att all registrering och medverkan i verksamheten vid forskningsdatabasen är frivillig och att den registrerade när som helst kan avbryta sin medverkan helt eller delvis.
Föreslagna bestämmelser om tillåtet innehåll i forskningsdatabaserna bedöms minska integritetsriskerna
I lagen finns en bestämmelse som anger vilka personuppgifter som får finnas i en forskningsdatabas som förs med stöd av lagen. Bestämmelsen är utformad så att den på ett heltäckande sätt anger från vilket underlag uppgifter i forskningsdatabasen får hämtas. De uppgifter som får registreras är uppgifter som den registrerade själv har lämnat i syfte att de ska ingå i forskningsdatabasen och kompletterande uppgifter som inhämtats från andra källor under förutsättning att den registrerade har samtyckt till sådan insamling eller informerats om den och getts möjlighet att motsätta sig den.
Föreslagna bestämmelser om integritetsskydd inom verksamheten bedöms minska integritetsriskerna
I lagen föreslås särskilda bestämmelser med integritetshöjande innehåll som rör integritetsskydd inom verksamheten. Den som arbetar vid ett lärosäte där det finns en verksamhet med en forskningsdatabas får ta del av personuppgifter i verksamhet bara om denne behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter i verksamheten med forskningsdatabasen. Den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter om registrerade i verksamheten med en forskningsdatabas. Sådan åtkomst ska begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter i verksamheten med forskningsdatabasen. Den personuppgiftsansvarige ska se till att elektronisk åtkomst till personuppgifter dokumenteras och kan kontrolleras. Den personuppgiftsansvarige ska också göra systematiska och återkommande kontroller av den upprättade dokumentationen i syfte att kontrollera om någon obehörigen kommit åt personuppgifter i forskningsdatabasen.
Föreslagna bestämmelser om villkor för att lämna ut uppgifter ur forskningsdatabaserna bedöms minska integritetsriskerna
De övergripande ändamålen för behandling av personuppgifter i en forskningsdatabas är, som tidigare angetts, att skapa underlag för flera framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden, och lämna ut uppgifter till flera sådana forskningsprojekt, eller forskningsprojekt som redan påbörjats innan forskningsdatabasen inrättats. I lagen uppställs särskilda villkor för sådana utlämnanden såsom att om forskningen omfattas av etikprövningslagens krav på etikprövning, får utlämnande bara göras om både forskningen och behandlingen av personuppgifter i forskningen först har godkänts enligt den lagen. Förutom att lämna ut uppgifter till forskningsprojekt får uppgifter också lämnas ut om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed eller om det finns en skyldighet enligt lag eller förordning att lämna ut uppgifter (3 kap. 1–3 §§). Utlämnande av personuppgifter till forskningsprojekt och till forskningshuvudmän i samband med utredning om oredlighet vid forskning m.m. får som huvudregel bara avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt. Pseudonymisering vid utlämnanden är alltså en ytterligare skyddsåtgärd för att värna de registrerades integritet. Personuppgifter får dock vara direkt identifierbara vid utlämnandet, om det är nödvändigt för att uppfylla ändamålet med den forskning eller den utredning som uppgifterna ska lämnas ut till. Om personuppgifter som lämnats ut är pseudonymiserade eller skyddade på likvärdigt sätt, får kompletterande uppgifter för att identifiera en registrerad, inbegripet de registrerades personnummer eller motsvarande identitetsbeteckning, lämnas ut till en annan myndighet, om det är nödvändigt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till det forskningsprojekt som utlämnande har gjorts till.
Den generella dataskyddsregleringen och de förslagna bestämmelserna om sekretess och tystnadsplikt ger också skydd
Utöver de åtgärder som föreslås i den nu aktuella lagen gäller de krav som följer av den generella dataskyddsregleringen. Den personuppgiftsansvarige ska enligt artikel 24 i EU:s dataskyddsförordning vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen sker i enlighet med förordningen. Dessa åtgärder ska ses över och uppdateras vid behov. Här kan anmärkas att regeringen bedömer, som ovan angetts, att möjligheten att i nationell rätt ange vem som är personuppgiftsansvarig bör användas i lagen om vissa forskningsdatabaser. Därigenom blir det tydligt för de individer vars personuppgifter behandlas i en viss forskningsdatabas vem som är skyldig att tillvarata deras rättigheter enligt dataskyddsförordningen och övrig kompletterande reglering och som alltså ska hållas ansvarig för behandlingen. Därför utpekas det lärosäte som för forskningsdatabasen som personuppgiftsansvarig i lagen om vissa forskningsdatabaser.
I avsnitt 10 behandlas sekretess och tystnadsplikt. Där framgår att sekretess ska gälla i verksamhet som avser förande av eller uttag ur en forskningsdatabas enligt lagen om vissa forskningsdatabaser för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde. Uppgift ska dock få lämnas ut i den utsträckning som framgår av den lagen. Vidare ska uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde få lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. För uppgift i en allmän handling ska sekretessen gälla i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år. Om en uppgift som omfattas av den nya sekretessbestämmelsen överförs till en annan myndighet ska sekretessbestämmelsen bli tillämplig även hos den mottagande myndigheten. Sekretessen ska undantas från den s.k. generalklausulens tillämpningsområde.
Det finns i den föreslagna lagen om vissa forskningsdatabaser inget som hindrar att personuppgifter lämnas ut från en forskningsdatabas till ett forskningsprojekt som finns hos en forskningshuvudman som inte är en myndighet. För att det ska vara möjligt att med ett bevarat integritetsskydd kunna möjliggöra angelägen forskning hos en enskild forskningsinrättning som inte är intagen i bilagan till OSL, föreslås det i lagen om vissa forskningsdatabaser införas en bestämmelse om tystnadsplikt för en enskild forskningshuvudman som inte omfattas av OSL och för den som är eller har varit verksam hos en sådan huvudman för vad han eller hon har fått veta om enskilds personliga förhållanden genom personuppgifter som mottagits från en forskningsdatabas.
Behandlingen av personuppgifter bedöms vara proportionerlig
Syftet med den föreslagna regleringen är att ge lärosäten möjlighet att i forskningsdatabaser skapa underlag för framtida forskningsprojekt och att samtidigt säkerställa att de registrerades personliga integritet skyddas. Forskningsdatabaser kan, som angivits i avsnitt 4, vara av mycket stort värde genom att möjliggöra olika forskningsstudier inom olika forskningsområden, vilka kan bidra till ny kunskap inom många olika områden.
Förslaget om en lag om vissa forskningsdatabaser innebär att vissa lärosäten ges möjlighet att behandla personuppgifter, inklusive känsliga personuppgifter. Den behandling av personuppgifter som kommer att bli aktuell i forskningsdatabaserna kan innebära ett intrång i den registrerades personliga integritet. Genom bestämmelserna i lagen, som således kompletterar eller närmare specificerar bestämmelser i EU:s dataskyddsförordning, garanteras dock att den registrerades medverkan i forskningsdatabasen bygger på frivillighet och transparens alldeles oavsett att den rättsliga grunden för behandlingen, utförande av en uppgift av allmänt intresse, inte alltid kräver detta. Personuppgiftsbehandlingen regleras således på ett detaljerat och tydligt sätt i lag. Genom lagen ges skyddande ramar i form av ett långsiktigt och hållbart integritetsskydd för den personuppgiftsbehandling som bedöms nödvändig och det säkerställs att intrånget i den personliga integriteten är proportionerlig i förhållande till det som ska uppnås med behandlingen. Som ytterligare integritetshöjande åtgärder föreslås bestämmelser om sekretess och tystnadsplikt. Det bedöms därför att förslagen i denna proposition tillsammans med de krav som följer av den allmänna dataskyddsregleringen utgör en lämplig avvägning mellan skyddet för den enskildes personliga integritet och behovet av en ändamålsenlig reglering för behandling av personuppgifter i verksamhet med forskningsdatabaser.
I EU:s rättighetsstadga är utgångspunkten som ovan angetts att en inskränkning av rättigheter och friheter enligt stadgan endast får göras i lag och måste vara förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stadgan. Begränsningar får med beaktande av proportionalitetsprincipen endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1). Förslaget om lagen om vissa forskningsdatabaser svarar mot mål av allmänt samhällsintresse som erkänns av Europeiska unionen enligt vad som framgår av artikel 3.3 i EU-fördraget. Den (unionen) ”ska främja vetenskapliga och tekniska framsteg”. Att uppgifter kan samlas in i forskningsdatabaser och bearbetas för att kunna användas i flera olika forskningsprojekt leder till effektivitetsvinster då mindre arbete med bearbetning av uppgifterna för att göra dem användbara för forskningen behöver ske i varje enskilt forskningsprojekt. Det handlar dock inte bara om effektivitetsvinster eftersom uppgifter som samlas in under en längre tid och som följer en grupp av individer utgör unika underlag för forskning som i många fall inte kan tillskapas på annat sätt. Detta beror på att det tar många år att bygga upp ett underlag och att forskningen under denna tid ständigt utvecklas och att nya specifika forskningsfrågor dyker upp allteftersom kunskap genereras. Det är därför det är så viktigt att kunna behandla uppgifterna för ett angivet forskningsområde och inte enbart för ett specifikt forskningsprojekt. Genom att denna typ av systematiserade datasamlingar av hög kvalitet skapas kommer forskare att kunna använda sin kreativitet och nyfikenhet för att besvara framtidens hälso- och samhällsutmaningar. Datasamlingarna höjer också kvaliteten på forskningen inom berörda områden. Den tidsbegränsade LifeGene-lagen gäller vidare bara till utgången av 2024 och behöver ersättas av en permanent lag för att det även fortsättningsvis ska finnas nödvändigt rättsligt stöd för behandlingen av personuppgifter i forskningsdatabasen, eftersom etikgodkännande enligt etikprövningslagen endast kan ges till ett visst forskningsprojekt eller en del av ett projekt eller en på liknande sätt bestämd forskning. Den föreslagna lagen bedöms vara förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stadgan och de begränsningar som lagen innebär bedöms nödvändiga och faktiskt svara mot det mål av allmänt samhällsintresse som underlättande och effektivisering av forskning innebär.
Sammanfattningsvis bedöms förslagen även vara förenliga med såväl Europakonventionen som EU:s rättighetsstadga.
Tillkännagivande om villkor för privata och offentliga forskningsutförare
I samband med behandlingen av förslagen i propositionen Behandling av personuppgifter för forskningsändamål (prop. 2017/18:298) tillkännagav riksdagen för regeringen det som utbildningsutskottet anför om att regeringen bör se över möjligheterna att återkomma med förslag på en lagstiftning som likställer villkoren för offentliga och privata forskningsutförare att bedriva forskning som inbegriper personuppgifter på rättslig grund (bet. 2018/19:UbU5 punkt 2, rskr. 2018/19:44). Enligt tillkännagivandet innebär det faktum att privaträttsliga forskningsutförare endast kan använda sig av den rättsliga grunden uppgift av allmänt intresse om det finns krav på tillstånd för viss forskning eller om forskningen behandlar uppgifter om lagöverträdelser olikheter i förutsättningarna för forskningen. Vidare anfördes bl.a. att det är viktigt att näringslivet investerar i forskning och innovation och att ny lagstiftning inte försvårar förutsättningarna för privata forskningsutförare (bet. 2018/19:UbU5 s. 31).
Regeringen konstaterar inledningsvis att EU:s dataskyddsförordning, som är direkt bindande för alla medlemsländer, skiljer sig i vissa avseenden från det tidigare s.k. dataskyddsdirektivet (Europaparlamentets och rådets direktiv 95/46/EG), som genomfördes genom den numera upphävda personuppgiftslagen (1998:204). En av skillnaderna avser vilka förutsättningar som gäller för att en behandling av personuppgifter ska kunna ske med stöd av den rättsliga grunden uppgift av allmänt intresse. Enligt artikel 6.3 i dataskyddsförordningen krävs att uppgiften av allmänt intresse är fastställd i nationell rätt eller EU-rätt. Något motsvarande krav fanns inte i dataskyddsdirektivet och personuppgiftslagen. Det är alltså inte längre självklart att en personuppgiftsansvarig inom den privata sektorn som enligt tidigare regelverk ansågs utföra en uppgift av allmänt intresse kan anses göra det enligt EU:s dataskyddsförordning (se prop. 2017/18:105 s. 56).
Vilka rättsliga grunder som numera kan tillämpas vid behandling av personuppgifter anges i artikel 6 i dataskyddsförordningen. En av dessa grunder är enligt artikel 6.1 e att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för en sådan nödvändig behandling ska enligt artikel 6.3 fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Detta innebär inte att det krävs en reglering i den nationella rätten av själva personuppgiftsbehandlingen, utan det som måste ha stöd i rättsordningen är i stället uppgiften av allmänt intresse (prop. 2017/18:105 s. 48 och 49). I 2 kap. 2 § 1 lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, anges att personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Det anges även andra rättsliga grunder i artikel 6 i EU:s dataskyddsförordning, t.ex. samtycke och intresseavvägning. Möjligheten att använda samtycke som rättslig grund (artikel 6.1 a) är begränsad för myndigheter (se avsnitt 5.3). Det är vidare inte tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning (artikel 6.1 f). Det finns dock inga hinder för privaträttsliga forskningsutförare att använda de rättsliga grunderna samtycke och intresseavvägning.
I propositionen Behandling av personuppgifter för forskningsändamål (prop. 2017/18:298 s. 43–56) gjorde regeringen i fråga om den rättsliga grunden uppgift av allmänt intresse bedömningen att för universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt genom bestämmelser i högskolelagen (1992:1434). För andra statliga myndigheter som har en tydligt författningsreglerad uppgift att bedriva forskning, är också forskningsuppgiften fastställd i svensk rätt. Dessa forskningsutförare kan därmed tillämpa den rättsliga grunden uppgift av allmänt intresse i dataskyddsförordningen vid behandling av personuppgifter som är nödvändig för att utföra forskningen. När det gäller kommuner och regioner kan forskningsuppgiften vara fastställd i nationell rätt genom beslut om verksamheten i kommunen som har fattats i enlighet med bestämmelserna i kommunallagen (2017:725). Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behandling av personuppgifter som är nödvändig för att utföra forskningen. En privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt om det krävs tillstånd för forskningsprojektet enligt t.ex. lagen (2003:460) om etikprövning av forskning som avser människor och forskningsutföraren har fått de tillstånd som krävs (se 2 kap. 2 § 1 dataskyddslagen). När det gäller stiftelsehögskolorna Chalmers Tekniska Högskola och Stiftelsen Högskolan i Jönköping, som tidigare var statliga högskolor, gör regeringen i propositionen bedömningen att deras forskningsverksamhet är en uppgift av allmänt intresse som är fastställd i enlighet med nationell rätt, dels genom de ramavtal som slutits mellan staten och högskolorna om utbildning och forskning med en underbilaga där statens utbildnings- och forskningsuppdrag till respektive högskola närmare preciseras (i underavtalen anges den ersättning staten ska betala högskolorna för den utbildning och forskning som de ska bedriva), dels genom att de två stiftelsehögskolorna genom en reglering i offentlighets- och sekretesslagen (2009:400), förkortad OSL, ska tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av handlingar hos myndighet och att stiftelserna vid tillämpningen av OSL ska jämställas med myndigheter (2 kap. 4 § OSL och bilagan till lagen). I övrigt är privata forskningsutförares uppgift att forska inte fastställd i svensk rätt.
När det gäller privata forskningsutförare gjorde regeringen i nämnda proposition en jämförelse med regleringen av personuppgiftsbehandling i enskilda arkiv. Enligt 2 kap. 3 § dataskyddslagen får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor. Regeringen angav i den proposition som ligger till grund för denna bestämmelse (prop. 2017/18:105) att regeringen hade för avsikt att delegera föreskriftsrätten till Riksarkivet, eftersom det är den myndighet som har bäst förutsättningar att bedöma vilka kriterier som ska vara uppfyllda för att en arkivverksamhet ska anses vara av allmänt intresse i dataskyddsförordningens mening, men att Riksarkivet bör ha en skyldighet att höra Datainspektionen innan föreskrifter meddelas. Vidare bör Riksarkivet vid behov inhämta synpunkter från den enskilda arkivsektorn i allmänhet och de berörda personuppgiftsansvariga i synnerhet. Regeringen angav också att utredningen Översyn av arkivområdet (dir. 2017:106) fått i uppdrag att utreda om de enskilda arkivens hantering av personuppgifter kräver ytterligare författningsstöd (prop. 2017/18:105 s. 113–114).
Den nämnda utredningen har i sitt slutbetänkande Härifrån till evigheten En långsiktig arkivpolitik för förvaltning och kulturarv (SOU 2019:58) bedömt att de enskilda arkivinstitutioner som får statligt bidrag ska regleras i arkivlagstiftningen. Den rättsliga grunden får därmed enligt utredningen anses fastställd enligt svensk rätt i överensstämmelse med bestämmelserna i EU:s dataskyddsförordning. Riksarkivets föreskriftsrätt ska tillämpas för övriga enskilda arkivinstitutioner (s. 432–435).
Frågan om även privata forskningsutförares forskningsuppgift bör fastställas i t.ex. föreskrifter övervägdes i propositionen Behandling av personuppgifter för forskningsändamål. Regeringen anförde att hänsyn måste tas till att privat finansierad forskning omfattas av forskningens frihet. Regeringen angav att en uppdelning i ”forskning” och ”forskning av allmänt intresse” är olycklig utifrån principerna om forskningens frihet och att en sådan uppdelning skapar en mängd frågor (prop. 2017/18:298 s. 53). Privata forskningsutförare skulle vidare antagligen uppfatta en reglering av olika forskningsuppgifter som alltför ingripande, särskilt som det inte har framkommit att de faktiskt har något behov av att åberopa den rättsliga grunden utförande av en uppgift av allmänt intresse. De privata forskningsutförarna kan i stället, till skillnad från myndigheterna, åberopa de rättsliga grunderna samtycke och intresseavvägning i artikel 6.1 i EU:s dataskyddsförordning. De har således stora möjligheter att bedriva forskning med stöd av någon av dessa rättsliga grunder.
Sammanfattningsvis innebär regleringen i EU:s dataskyddsförordning, till skillnad från det s.k. dataskyddsdirektivet, att personuppgiftsbehandling inom privat utförd forskning bara kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse om uppgiften av allmänt intresse (dvs. i nu aktuellt fall uppgiften att forska) är fastställd i unionsrätten eller nationell rätt. Det har inte kommit till regeringens kännedom att regleringen i dataskyddsförordningen har medfört några praktiska problem för privata forskningsutförare när det gäller att behandla personuppgifter för forskningsändamål. Det har inte heller framkommit att dataskyddsförordningen har medfört några problem för samarbete mellan t.ex. myndigheter (som enligt lag eller förordning har i uppgift att bedriva forskning) och privata forskningsutförare (som kan åberopa andra rättsliga grunder i dataskyddsförordningen). Med hänsyn till detta, till principen om forskningens frihet och till svårigheten att fastställa själva forskningsuppgiften för privata forskningsutförare i nationell rätt, gör regeringen bedömningen att det inte är lämpligt att införa en reglering av privata forskningsutförares forskningsuppgifter i nationell rätt på det sätt som skulle krävas för att sådana uppgifter skulle anses vara fastställda i nationell rätt i enlighet med dataskyddsförordningen. Tillkännagivandet får därmed anses slutbehandlat.
Ikraftträdande- och övergångsbestämmelser
Lagen om vissa forskningsdatabaser
Regeringens förslag: Lagen om vissa forskningsdatabaser ska träda i kraft den 1 januari 2025.
Vissa bestämmelser i lagen om vissa forskningsdatabaser om villkor för behandling av personuppgifter, nämligen krav på samtycke, information och begränsning av tillåtet innehåll, ska inte gälla för sådana uppgifter som har registrerats i tiden innan en verksamhet med en forskningsdatabas kommit att omfattas av lagens tillämpningsområde. Bestämmelsen om information och möjlighet att motsätta sig fortsatt behandling för den som registrerats genom samtycke från vårdnadshavare ska dock tillämpas för den som fyller 18 år först efter att lagen blivit tillämplig på forskningsdatabasen.
Promemorians förslag överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås att lagen ska träda i kraft den 1 januari 2024 och att genom lagen upphävs lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Vidare formuleras övergångsbestämmelsen något annorlunda.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Detta gäller bl.a. Integritetsskyddsmyndigheten, Socialstyrelsen, Uppsala universitet, Förvaltningsrätten i Göteborg, Försäkringskassan, Stiftelsen Högskolan i Jönköping, Högskolan i Halmstad, Inspektionen för socialförsäkringen, Luleå tekniska universitet, Malmö universitet, Region Västernorrland och Stockholms kommun.
Stockholms universitet anför att ett stort antal äldre personuppgifter som redan finns i de aktuella databaserna inte kommer att omfattas av kraven på information och samtycke enligt de övergångsbestämmelser som föreslås. Med tanke på att betydande mängder uppgifter kan ha samlats in under lång tid anser universitetet att detta inte framstår som en rimlig tolkning av 2 kap. 6 § regeringsformen (RF) att sådana databaser regleras i förordningsform. Universitetet anser därför att den tolkning som görs i promemorian av den aktuella grundlagsbestämmelsen bör utredas vidare.
Örebro universitet är kritiskt till den föreslagna övergångsbestämmelsen och anför att övergångsbestämmelserna om att bestämmelserna om exempelvis information och samtycke inte ska gälla för uppgifter som registrerats i forskningsdatabasen innan lagen trätt i kraft, upplevs som ogenomtänkta. Universitetet anser att det dels saknas resonemang om omfattningen av antalet tänkbara databaser, dels inte är visat att det i alla dessa fall är omöjligt eller skulle innebära en oproportionerligt stor ansträngning. Universitetet föreslår därför att huvudregeln bör vara att informationsplikten ska gälla och medge utrymme för att tillämpa dataskyddsförordningens undantagsregler där så är tillämpligt i det enskilda fallet. Att inte ge information står dessutom enligt universitetet i stark kontrast till de uttalanden som görs i promemorian om att deltagandet i forskningsdatabasen bygger på frivillig medverkan och baseras på tillräcklig information till de registrerade.
Skälen för regeringens förslag
Ikraftträdande
Lagen om vissa forskningsdatabaser bör träda i kraft så snart som möjligt vilket är den 1 januari 2025. Detta är angeläget då lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är tidsbegränsad och upphör vid utgången av 2024. Något behov av speciella informationsinsatser finns inte.
Övergångsbestämmelser
Regeringen har i avsnitt 6.1 och 6.3.1 betonat vikten av att det införs övergångsbestämmelser som möjliggör att äldre databaser, som t.ex. Tvillingregistret som har förts långt innan Sverige antog världens första nationella datalag (datalagen [1973:289]), kan omfattas av den nya lagens tillämpningsområde. Regeringen anser därför att det finns starka skäl att genomföra de övergångsbestämmelser som har föreslagits i promemorian. Dessa innebär att vissa av de föreslagna bestämmelserna i lagen om vissa forskningsdatabaser om villkor för behandling av personuppgifter, nämligen krav på samtycke, information och begränsning av tillåtet innehåll, inte ska gälla för sådana uppgifter som har registrerats i en databas i tiden innan en verksamhet med en forskningsdatabas omfattas av lagens tillämpningsområde. Bestämmelsen om information och möjlighet att motsätta sig fortsatt behandling för den som registrerats genom samtycke från vårdnadshavare ska dock tillämpas för den som fyller 18 år först efter att lagen blivit tillämplig på forskningsdatabasen. Vidare kommer lagens bestämmelser i övrigt att gälla även för äldre personuppgifter från och med den dag som forskningsdatabasen omfattas av lagens tillämpningsområde. Detta gäller exempelvis bestämmelserna om tillåtna ändamål, integritetsskydd inom verksamheten och vilka utlämnanden som framgent får ske. För insamlande och behandling av nya uppgifter gäller samtliga bestämmelser i lagen.
Stockholms universitet och Örebro universitet är kritiska mot att det i förslaget till övergångsbestämmelser görs undantag från kravet på information och samtycke. Som regeringen har anfört i avsnitt 6.3.1 innebär bestämmelserna i den nya lagen bl.a. att den i lagen angivna informationen ska lämnas innan personuppgifter samlas in. Detta krav kan inte ha uppfyllts i alla delar för databaser med uppgifter som redan har samlats in då informationen bl.a. avser nya bestämmelser. Regeringen redovisar vidare i samma avsnitt hur kraven på inhämtande av samtycke enligt olika regelverk har förändrats över tid. De register som är tänkta att omfattas av regleringen bygger vidare redan idag på frivillig medverkan då krav på samtycke regleras i LifeGene-lagen och då exempelvis Tvillingregistret inhämtar samtycke för såväl insamling direkt från de registrerade som för inhämtande av uppgifter genom så kallad registerlänkning. Redan insamlade uppgifter har enligt regeringens mening ett mycket stort värde för forskningen och forskningsdatabasernas möjlighet att skapa underlag för framtida forskningsprojekt. Regeringen anser därför att det inte är rimligt att dessa uppgifter inte ska kunna ingå i lagens tillämpningsområde. Regeringen anser därför, i likhet med promemorian, att enligt RF nödvändigt lagstöd bör ges i form av en övergångsbestämmelse till lagen.
Lagen om ändring i offentlighets- och sekretesslagen
Regeringens förslag: Lagen om ändring i offentlighets- och sekretesslagen ska träda i kraft den 1 januari 2025.
Bestämmelsen om sekretess i verksamhet som avser förande av eller uttag ur register enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska fortfarande gälla i den äldre lydelsen för sådana uppgifter som före ikraftträdandet av den nya lagen om vissa forskningsdatabaser har lämnats ut i enlighet med bestämmelsen om överföring av sådan sekretess i den äldre lydelsen.
Den upphävda bestämmelsen om sekretess ska fortfarande gälla för uppgifter som avsett förande av eller uttag ur register som förts enligt den upphävda lagen om rättspsykiatriskt forskningsregister.
Den inskränkning i rätten att meddela och offentliggöra uppgifter enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen som följer av 24 kap. 9 § offentlighets- och sekretesslagen i den äldre lydelsen ska fortfarande gälla för uppgift som avsett förande av eller uttag ur register som förts enligt den upphävda lagen om rättspsykiatriskt forskningsregister.
Promemorians förslag överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås att lagen ska träda i kraft den 1 januari 2024.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över promemorians förslag.
Skälen för regeringens förslag
Ikraftträdande
Lagen om ändring i offentlighets- och sekretesslagen (OSL) bör träda i kraft samtidigt som den nya lagen om forskningsdatabaser träder i kraft, dvs. den 1 januari 2025.
Övergångsbestämmelser
LifeGene-lagen är tidsbegränsad och gäller till utgången av 2024. Det kan finnas uppgifter som lämnats ut från LifeGene-registret till en myndighet före ikraftträdandet av den nya lagen om vissa forskningsdatabaser, vilken föreslås träda i kraft den 1 januari 2025. Tillämpligheten av sekretessbestämmelsen i 24 kap 2 a § OSL i sin nuvarande lydelse, som alltså föreskriver sekretess för vissa uppgifter i verksamhet som avser förande av eller uttag ur register enligt LifeGene-lagen, kan ha överförts till en mottagande myndighet enligt bestämmelsen om överföring av sekretess i 2 b § samma kapitel. För att inte dessa uppgifter ska bli oskyddade hos den mottagande myndigheten, föreslås det en övergångsbestämmelse enligt vilken 24 kap. 2 a § OSL i sin äldre lydelse fortsatt ska vara tillämplig på sådana uppgifter.
Till följd av förslaget i avsnitt 10.6 om att bestämmelsen i 24 kap. 2 § OSL, enligt vilken bestämmelse sekretess gäller i verksamhet som avser förande av eller uttag ur register som förs med stöd av lagen om rättspsykiatriskt forskningsregister, ska upphävas, uppkommer frågan om det därefter finns något fortsatt behov av en särskild sekretessbestämmelse som skyddar uppgifter från sådan verksamhet. Det är oklart vilka uttag som kan ha gjorts från registret till forskningsverksamhet under tiden verksamheten pågick. Det har visserligen framkommit att uppgifter från registret inte varit efterfrågade vilket är en anledning till att registret uppdaterades bara under några år fram till 2005. Det har dock inte gått att klarlägga i vilken omfattning uttag skett och i så fall till vilka forskningsprojekt eller forskningshuvudmän. För sådana uttag kan det inte helt uteslutas att sekretessregleringen i 24 kap. 2 § OSL i vissa fall har överförts enligt 11 kap. 3 § OSL, som förskriver att om en myndighet i sin forskningsverksamhet från en annan myndighet får en sekretessreglerad uppgift, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Det går alltså inte att utesluta att överförd registersekretess kan gälla för uppgifter i handlingar som finns i pågående forskningsprojekt eller arkiverat forskningsmaterial. Det föreslås därför att det ska införas en övergångsbestämmelse med innebörd att den upphävda sekretessbestämmelsen fortfarande ska gälla i fråga om uppgifter i verksamhet som avsett förande av eller uttag ur register som förts enligt den upphävda lagen om rättspsykiatriskt forskningsregister.
Enligt 3 kap. 1 § OSL innebär sekretess ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Enligt 24 kap. 9 § andra stycket OSL inskränker den tystnadsplikt som följer av 2 § samma kapitel rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke. Det torde inte vara någon särskilt stor risk för att personal fortfarande kommer ihåg sekretessskyddade men numera utgallrade uppgifter i den rättspsykiatriska registerverksamheten. Risken kan dock inte avfärdas som helt obefintlig. Det bör därvid betänkas att bestämmelsen infördes därför att uppgifterna i registret ansågs mycket integritetskänsliga och att verksamheten med registret inte bedömdes omfattas av någon befintlig sekretessreglering vid Rättsmedicinalverket (prop. 1998/99:72 s. 56–57). Vidare gjordes sekretessen stark med ett omvänt skaderekvisit med en sekretesstid för uppgifter i allmän handling om 70 år och rätten att meddela och offentliggöra uppgifter inskränktes. Som en följd av att sekretessbestämmelsen i 24 kap. 2 § OSL föreslås upphävas (avsnitt 10.6) föreslås också i samma avsnitt att andra stycket i 9 § samma kapitel upphävs. Eftersom det inte kan uteslutas att det finns ett behov av att rätten att meddela och offentliggöra uppgifter även fortsättningsvis inskränks i fråga om uppgifter som hänför sig till verksamhet med det rättspsykiatriska forskningsregistret bör en övergångsbestämmelse införas. Denna bör ha innebörden att den inskränkning i rätten att meddela och offentliggöra uppgifter enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen som följer av 24 kap. 9 § OSL i sin äldre lydelse fortfarande ska gälla för uppgift i verksamhet som avsett förande av eller uttag ur register som förts enligt den upphävda lagen om rättspsykiatriskt forskningsregister.
Lagen om rättspsykiatriskt forskningsregister
Regeringens förslag: Lagen om rättspsykiatriskt forskningsregister ska upphöra att gälla vid utgången av 2024.
En följdändring i lagen om Rättsmedicinalverkets behandling av personuppgifter ska träda i kraft den 1 januari 2025.
Promemorians förslag överensstämmer inte med regeringens förslag. I promemorian föreslås att lagen om rättspsykiatriskt forskningsregister ska upphöra att gälla vid utgången av 2023. Det föreslås ingen följdändring i lagen om Rättsmedicinalverkets behandling av personuppgifter i promemorian.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över promemorians förslag.
Skälen för regeringens förslag: Det föreslås i avsnitt 9 att lagen om rättspsykiatriskt forskningsregister ska upphävas. Något behov av tid för anpassning till upphävandet finns inte eftersom registret redan är avvecklat. Det föreslås därför att lagen om rättspsykiatriskt forskningsregister ska upphöra att gälla vid utgången av 2024 och att följdändringen i lagen om Rättsmedicinalverkets behandling av personuppgifter ska träda i kraft den 1 januari 2025. Det bedöms inte behövas några övergångsbestämmelser.
Konsekvenser
Ekonomiska konsekvenser
Några ekonomiska konsekvenser uppstår inte för staten, kommuner, regioner, företag och andra enskilda än de som kan beröra vissa lärosäten samt Vetenskapsrådet. För dessa konsekvenser redogörs nedan.
Lärosäten
Förslaget till en ny lag om vissa forskningsdatabaser syftar till att möjliggöra för lärosäten att i forskningsdatabaser skapa underlag för flera framtida forskningsprojekt som inte är definierade när databasen byggs upp eller när insamling av personuppgifter till denna annars görs, och att säkerställa att registrerades personliga integritet skyddas vid den insamling och övrig behandling av personuppgifter som görs i verksamhet med dessa forskningsdatabaser. De skyddsåtgärder som föreslås går utöver EU:s dataskyddsförordning. Med lärosäten avses här dels universitet eller högskolor som har staten som huvudman och som har rätt att utfärda examen på forskarnivå, dels enskilda utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) jämställs med myndighet i sin verksamhet med forskningsdatabasen. Sistnämnda lärosäten är aktiebolag och en stiftelse (Chalmers tekniska högskola AB, Hälsohögskolan i Jönköping AB, Högskolan för lärande och kommunikation i Jönköping AB, och Internationella Handelshögskolan i Jönköping AB, Stiftelsen Högskolan i Jönköping och Tekniska Högskolan i Jönköping AB).
I likhet med LifeGene-lagen innebär den nu föreslagna lagen inte någon skyldighet att bedriva viss verksamhet. Men de lärosäten som kommer att föra en forskningsdatabas enligt den föreslagna lagen kan behöva ta fram och implementera vissa interna styrdokument, exempelvis för att uppfylla kraven på integritetsskydd inom verksamheten. Eventuella kostnader för utbildning och styrande dokument får dock anses ingå i ett lärosätes ordinarie uppgifter och bedöms rymmas inom befintliga anslag. Förslagen kan också innebära att det krävs viss anpassning av lärosätets arbetssätt, t.ex. när lärosätet både bedriver forskning och bedriver verksamhet med en forskningsdatabas. Det finns dock redan i dag krav på intern styrning och kontroll när det gäller myndigheter och krav på att personuppgiftsansvariga ska säkerställa och kunna visa att principerna om integritet och konfidentialitet uppfylls (4 § 4 myndighetsförordningen [2007:515] för statliga lärosäten och artikel 5.1 f och 5.2 i EU:s dataskyddsförordning för alla nu aktuella lärosäten). Eventuella kostnader för sådana anpassningar bedöms därmed vara begränsade och rymmas inom befintliga anslag och avtal mellan staten och de enskilda lärosäten som berörs.
I de fall huvudmannen för en forskningsdatabas behöver kontakta de registrerade för att kunna uppdatera innehållet i databasen kan det uppkomma kostnader i samband med informationsutskick. Om det handlar om en stor mängd registrerade och utskicket behöver göras per post kan det uppstå kostnader i samband med detta. Denna typ av kostnad finns redan i dag för existerande datasamlingar inom ramen för etikprövade forskningsprojekt och är något som forskningshuvudmannen behöver budgetera för om man avser att skapa underlag för forskning i form av en forskningsdatabas. Med alltmer ökade möjligheter att kontakta deltagare elektroniskt, t.ex. genom digital brevlåda, lär kostnaderna för att kontakta och informera deltagare i forskningsdatabaser med tiden komma att minska.
Vetenskapsrådet
I avsnitt 6.3.8 föreslås att Vetenskapsrådet ska bereda framställningar om att få inrätta en forskningsdatabas vilket innebär att Vetenskapsrådet efter en framställning från ett lärosäte ska bedöma om de grundläggande förutsättningarna för att en viss forskningsdatabas ska få föras med stöd av den nya lagen om vissa forskningsdatabaser är uppfyllda. Någon uppgift motsvarande den här föreslagna uppgiften har myndigheten inte idag. Den nya uppgiften ligger dock i linje med det uppdrag som myndigheten enligt sin instruktion redan i dag har att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och bistå forskare med information om relevanta bestämmelser om register (2 § 18).
Kostnadsbilden för Vetenskapsrådet beror på faktorer som påverkas av bland annat hur många lärosäten som tar initiativ till att få föra en forskningsdatabas och vilken typ av forskningsdatabas det är fråga om. Det är dock svårt att uppskatta hur många framställningar som kommer att inkomma till Vetenskapsrådet, såväl initialt som under kommande år. Regeringen bedömer dock, i motsats till Vetenskapsrådet, att kostnaderna ryms inom befintliga prognostiserade ekonomiska ramar.
Konsekvenser för den personliga integriteten
Lagförslagen innebär att vissa lärosäten ges möjlighet att behandla personuppgifter i verksamhet med sådana forskningsdatabaser där insamling och registrering av personuppgifter görs genom registrerades frivilliga medverkan, vars huvudsakliga syfte är att skapa underlag för flera framtida forskningsprojekt och som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. Det kan då bli fråga om behandling av stora mängder personuppgifter, inklusive känsliga personuppgifter. Genom kraven på skyddsåtgärder som föreslås samt föreslagen reglering om dataskydd och sekretess säkerställs dock ett långsiktigt och hållbart integritetsskydd.
Regeringen bedömer att förslaget utgör en lämplig avvägning mellan skyddet för den enskildes personliga integritet och behovet av en ändamålsenlig reglering av behandling av personuppgifter i forskningsdatabaser. Även för sådan ytterligare behandling som möjliggörs genom förslagen bedöms ett gott skydd för den personliga integriteten uppnås.
Som tidigare framgått kan det bli fråga om att behandla personuppgifter om barn. Förslagen bedöms vara förenliga med FN:s konvention om barnets rättigheter, här benämnd barnkonventionen. I barnkonventionen anges bl.a. att vid alla åtgärder som rör barn, vare sig de vidtas av offentliga eller privata sociala välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ, ska i första hand beaktas vad som bedöms vara barnets bästa (artikel 3.1). Vidare anges att barn inte får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende (artikel 16.1).
Barns personuppgifter nämns också i skäl 38 i EU:s dataskyddsförordning där det anges att dessa förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Vid behandling av dessa uppgifter gäller på samma sätt som vid behandling av vuxnas personuppgifter att behandlingen ska vara nödvändig för att vara tillåten. Begränsningarna och skyddsåtgärderna i lagförslagen gäller, liksom det skydd som finns för den personliga integriteten i befintlig dataskydds- och sekretessreglering, på motsvarande sätt för barns personuppgifter som för vuxnas personuppgifter. I skäl 65 till dataskyddsförordningen anges det att rätten att invända mot behandlingen av personuppgifter är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter särskilt på internet. Den registrerade bör, enligt skäl 65, kunna utöva denna rätt även när han eller hon inte längre är barn. Som framgår av avsnitt 7.1.3 föreslår regeringen att det ska införas en bestämmelse i den nya lagen som anger att personuppgifter som samlats in med samtycke från den registrerades vårdnadshavare bara får fortsätta behandlas efter att den registrerade blivit myndig om den registrerade informerats om behandlingen och inte uttryckligen motsätter sig den.
För en mer utförlig integritetsanalys hänvisas till avsnitt 11.
Övriga konsekvenser
I avsnitt 6–8 har det gjorts bedömningar av vilken nationell reglering som är möjlig att införa med beaktande av EU:s dataskyddsförordning. Även i övrigt bedöms förslagen vara förenliga med EU-rätten.
Såväl regeringen som Vetenskapsrådet och Integritetsskyddsmyndigheten har behov av att kunna följa utvecklingen av inrättandet av forskningsdatabaser med stöd av den föreslagna lagen. Verksamheten bör därför utvärderas dels med hjälp av dessa myndigheters sakkunskap, dels med hjälp av någon aktör med metodkunskap. Kunskap om hur man genomför en viss verksamhet är inte alltid densamma som kunskap om hur man utvärderar verksamheten. Utvärdering kräver många gånger specifika metodkunskaper samtidigt som det kräver sakkunskaper om den verksamhet som ska utvärderas.
Förslagen bedöms sammanfattningsvis erbjuda ett tydligare rättsligt stöd för verksamheten i vissa forskningsdatabaser, och en mer integritetssäker personuppgiftshantering i sådan verksamhet. Förslagen bedöms ha potential att effektivisera användningen av forskningsdatabaser samt förbättra förutsättningarna för den registerbaserade forskningen och därmed stärka forskningen inom sådana områden som de reglerade forskningsdatabaserna kommer att skapa underlag för och lämna ut uppgifter till. Detta kan komma att få positiva effekter för en rad kunskapsområden och, i förlängningen, för samhället.
Författningskommentar
Förslaget till lag om vissa forskningsdatabaser
1 kap. Inledande bestämmelser
Lagens syfte
1 § Syftet med denna lag är att
1. ge lärosäten möjlighet att i forskningsdatabaser skapa underlag för flera framtida forskningsprojekt som inte är definierade när databasen byggs upp eller när insamling av personuppgifter till denna annars görs, och
2. säkerställa att de registrerades personliga integritet skyddas vid den insamling och övriga behandling av personuppgifter som görs i verksamhet med dessa forskningsdatabaser.
I paragrafen anges lagens syfte.
Av första punkten framgår att det första syftet är att ge lärosäten möjlighet att i forskningsdatabaser skapa underlag för flera framtida forskningsprojekt som inte är definierade när databasen byggs upp eller när insamling av personuppgifter till denna annars görs. En forskningsdatabas är således en resurs som olika kommande forskningsprojekt kan använda sig av. Att det talas om framtida forskningsprojekt innebär att forskningsprojekten inte behöver finnas ens på planeringsstadiet när forskningsdatabasens underlag skapas och att verksamheten med forskningsdatabasen bedrivs utanför sådan avgränsad forskning som kan sägas omfattas av begreppet forskningsprojekt (jämför 6 § lagen [2003:460] om etikprövning av forskning som avser människor). Bestämmelser om för vilka ändamål personuppgifter får behandlas i en forskningsdatabas enligt denna lag finns i 2 kap. 2 och 3 §§.
Av andra punkten framgår att det andra syftet är att säkerställa att de registrerades personliga integritet skyddas vid den insamling och övrig behandling av personuppgifter som görs i verksamheten med sådana forskningsdatabaser. Lagen innehåller ett antal bestämmelser som har detta syfte, bl.a. bestämmelser om vilka kategorier av uppgifter som får behandlas i en forskningsdatabas (2 kap. 10 och 11 §§), för vilka ändamål sådana uppgifter får behandlas för utlämnande (2 kap. 2, 3 och 8 §§) samt bestämmelser om skyddsåtgärder (t.ex. 3 kap. 1, 4 och 7 §§).
Övervägandena finns i avsnitt 6.3.2.
Lagens tillämpningsområde
2 § Lagen gäller vid behandling av personuppgifter i verksamheter med sådana forskningsdatabaser
1. där insamlingen och registreringen av personuppgifter görs genom de registrerades frivilliga medverkan,
2. vars huvudsakliga syfte är att skapa underlag för flera framtida forskningsprojekt, och
3. som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv.
Bestämmelserna i 3 kap. 1 § första stycket, 2, 3, 5 och 7 §§ gäller även vid behandling av uppgifter om avlidna.
I paragrafen anges lagens tillämpningsområde. Paragrafen har utformats efter synpunkter från Lagrådet.
Tillämpningsområdet kommer till uttryck dels genom denna bestämmelse, som stadgar vilken typ av forskningsdatabaser som omfattas av regleringen, dels genom en bestämmelse i 3 § som förtydligar vilka typer av lärosäten som får föra databaser enligt lagen. Av 4 § framgår att regeringen får meddela föreskrifter om vilka forskningsdatabaser som får föras enligt lagen och vilket lärosäte som får föra den aktuella forskningsdatabasen. Av 2 kap. 2 § andra stycket framgår att regeringen får meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till.
I första stycket anges vilka forskningsdatabaser som kan omfattas av regleringen. Enligt första punkten gäller lagen vid behandling av personuppgifter i verksamhet med sådana forskningsdatabaser där insamlingen och registreringen av personuppgifter görs genom de registrerades frivilliga medverkan. Lagen gäller således inte personuppgiftsbehandling i sådana forskningsdatabaser som enbart byggts upp av uppgifter från olika register utan den registrerades frivilliga medverkan. Den frivilliga medverkan baseras dels på samtycke (se 2 kap. 4 §), dels på information till den registrerade om att insamling av kompletterande uppgifter från andra källor kan göras och att den enskilde ges möjlighet att motsätta sig detta, s.k. opt-out (se 2 kap. 6 §). Forskningsdatabaser som kombinerar uppgifter från den registrerade själv med uppgifter från olika andra datakällor som t.ex. myndighetsregister kan därmed omfattas av lagen. Den enskilde har rätt att när som helst återta sitt samtycke (2 kap. 8 §). Det finns även bestämmelser om förutsättningar för behandling av personuppgifter som avser den vars personuppgifter har samlats in med samtycke från dennes vårdnadshavare innan den registrerade uppnått en sådan ålder och mognad att denne själv kan samtycka till behandlingen och har blivit myndig (se 2 kap. 7 §).
Enligt andra punkten är ytterligare ett kriterium som ringar in tillämpningsområdet att forskningsdatabasens huvudsakliga syfte ska vara att skapa underlag för flera framtida forskningsprojekt. Uppgiftssamlingar som skapats eller avses skapas för ett specifikt forskningsprojekt, del av ett projekt eller en på liknande sätt bestämd forskning som har fått eller kan bli föremål för ett etikgodkännande enligt lagen (2003:460) om etikprövning av forskning som avser människor omfattas inte av lagen. Utanför lagens tillämpningsområde faller vidare t.ex. nationella och regionala kvalitetsregister enligt patientdatalagen (2008:355), andra myndighetsregister såsom hälsodataregister, socialtjänstregister och dödsorsaksregistret som förs av Socialstyrelsen samt elektroniska journaldata.
Det kan finnas forskningsdatabaser, vars syfte har varit ett annat än att enbart vara en resurs för flera framtida forskningsprojekt, men där det huvudsakliga syftet med tiden kommit att bli att tillhandahålla uppgifterna för flera olika forskningsprojekt. Den ursprungliga insamlingen kan t.ex. ha skett inom ramen för ett visst definierat forskningsprojekt. För att en sådan forskningsdatabas ska kunna omfattas av lagen behöver det vara frågan om fortsatt uppbyggnad av databasen med ett uttalat ändamål att tillhandahålla insamlade uppgifter för flera olika forskningsprojekt som ännu inte är definierade. Att sådana forskningsdatabaser kan omfattas av lagens tillämpningsområde framgår av en övergångsbestämmelse som innebär att vissa av bestämmelserna i lagen om bl.a. samtycke och information (2 kap. 4–11 §§) inte gäller för sådana uppgifter som redan har samlats in i tiden innan forskningsdatabasen kom att omfattas av lagens tillämpningsområde. För framtida samling av personuppgifter gäller bl.a. kraven i lagen på samtycke och information.
Att det krav som uppställs är att ”det huvudsakliga syftet” ska vara att skapa underlag för flera framtida forskningsprojekt innebär att det också är tillåtet att lämna ut uppgifter till forskningsprojekt inom för forskningsdatabasen angivna forskningsområden även om projekten redan har påbörjats innan forskningsdatabasen inrättats (se 2 kap. 2 §).
Enligt tredje punkten är ett tredje kriterium för att en forskningsdatabas ska omfattas av lagen att den är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. I detta ligger att forskningsdatabasen ska ha potential att kunna komma till användning i många olika forskningsprojekt. Databasen ska inte vara inriktad på att endast tillgodose en eller ett fåtal forskningshuvudmäns behov. Ambitionen med forskningsdatabasen måste, för att vara av särskilt vetenskapligt värde, vara att under en överskådlig framtid tillhandahålla värdefull information till olika forskningsprojekt som dessa inte kan antas lika enkelt kunna hämta in på annat sätt. Exempelvis kan det underlätta forskning att inhämta bearbetade uppgifter från en forskningsdatabas i stället för uppgifter direkt från de enskilda själva och flera olika myndighetsregister.
Lagen blir inte automatiskt tillämplig på sådana forskningsdatabaser som uppfyller kriterierna i bestämmelsen. Som anges ovan bemyndigas regeringen i 4 § att meddela föreskrifter om vilka forskningsdatabaser som får föras enligt lagen och vilket lärosäte som får föra forskningsdatabasen. Detta sker efter ett prövningsförfarande där det prövas om forskningsdatabasen uppfyller kriterierna för att omfattas av lagen. Om prövningen resulterar i att forskningsdatabasen uppfyller kriterierna för att omfattas av lagen förs föreskrifter om att lärosätet får föra forskningsdatabasen in i en till lagen anslutande förordning. Initiativet till prövningsförfarandet tas av lärosätet.
Av andra stycket framgår att bestämmelserna i 3 kap. 1 § första stycket, 2, 3, 5 §§ om utlämnande av uppgifter från en forskningsdatabas och 3 kap. 7 § om tystnadsplikt för uppgifter som mottagits från en forskningsdatabas även gäller vid behandling av uppgifter om avlidna. Dessa bestämmelser har således ett vidare tillämpningsområde än övriga bestämmelser i lagen, vilka gäller vid behandling av personuppgifter.
Övervägandena finns i avsnitt 6.3.3.
3 § Behandling av personuppgifter i en sådan forskningsdatabas som avses i 2 § får utföras i verksamhet som bedrivs vid ett lärosäte som är
1. ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller
2. en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) och bilagan till samma lag ska jämställas med myndigheter i sin verksamhet med forskningsdatabasen.
Paragrafen reglerar vilka slags aktörer som kan få behandla personuppgifter i en sådan forskningsdatabas som kan föras med stöd av lagen.
Av första punkten framgår att behandling av personuppgifter i en forskningsdatabas med stöd av denna lag får utföras i en verksamhet som bedrivs av universitet och högskolor som har staten som huvudman och som har rätt att utfärda examen på forskarnivå. Det är Universitetskanslersämbetet som beviljar statliga lärosäten examensrätt på forskarnivå (1 kap. 11 § högskolelagen [1992:1434]).
Av andra punkten framgår att behandling av personuppgifter i en forskningsdatabas med stöd av denna lag även får utföras av enskilda utbildningsanordnare som med stöd av lagen (1993:792) om tillstånd att utfärda vissa examina har fått tillstånd av regeringen att utfärda examenstillstånd på forskarnivå. Därutöver krävs att de enskilda utbildningsanordnarna har förts in i bilagan till offentlighets- och sekretesslagen (2009:400), med följd att de enligt 2 kap. 4 § samma lag ska tillämpa offentlighetsprincipen i den verksamhet som anges i bilagan samt jämställas med myndigheter vid tillämpning av offentlighets- och sekretesslagen. Den i bilagan angivna verksamheten ska omfatta verksamheten med forskningsdatabasen för att lärosätet ska kunna omfattas av denna lag.
Av 4 § framgår att regeringen får meddela föreskrifter om vilka forskningsdatabaser som får föras enligt lagen och vilket lärosäte som får föra forskningsdatabasen.
Forskningsdatabaser vid andra typer av lärosäten än de nu nämnda, hos andra statliga eller kommunala myndigheter eller hos enskilda näringsidkare faller utanför lagens tillämpningsområde. Detta innebär dock inte något principiellt förbud mot personuppgiftsbehandling i sådana forskningsdatabaser, så länge behandlingen har stöd i annan dataskyddslagstiftning än denna lag.
Övervägandena finns i avsnitt 6.3.4.
4 § Regeringen får meddela föreskrifter om
1. vilka forskningsdatabaser som får föras enligt lagen, och
2. vilket lärosäte som får föra forskningsdatabasen.
I paragrafen finns bemyndiganden för regeringen att meddela föreskrifter dels om vilka forskningsdatabaser som får föras enligt lagen, dels vilket lärosäte som får föra forskningsdatabasen.
För det fall ett lärosäte vill föra en forskningsdatabas kan en framställning om detta göras hos regeringen.
Övervägandena finns i avsnitt 6.3.4 och 6.3.8.
Förhållandet till annan dataskyddsreglering
5 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.
Paragrafen anger hur lagen förhåller sig till EU:s dataskyddsförordning.
I första stycket anges att lagen kompletterar EU:s dataskyddsförordning. Detta innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. De grundläggande bestämmelserna finns i dataskyddsförordningen. Det är dessa bestämmelser som är den huvudsakliga dataskyddsrättsliga regleringen vid behandling av personuppgifter i forskningsdatabaser som omfattas av lagen. Av 6 § framgår att denna lag även kompletterar lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Lagen innehåller således vid sidan av dataskyddsförordningen och dataskyddslagen kompletterande bestämmelser för behandling av personuppgifter i verksamhet med forskningsdatabaser som omfattas av lagen.
Hänvisningarna till dataskyddsförordningen i lagen är dynamiska. Det innebär att de avser den vid varje tidpunkt gällande lydelsen av förordningen.
Av andra stycket framgår att de termer och uttryck som används i lagen ska förstås på samma sätt som i dataskyddsförordningen.
Övervägandena finns i avsnitt 6.3.6.
6 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen anger hur lagen förhåller sig till dataskyddslagen.
Bestämmelsen klargör att de generella nationella bestämmelserna om behandling av personuppgifter i dataskyddslagen, som kompletterar och preciserar EU:s dataskyddsförordning på ett generellt plan, även gäller vid behandling av personuppgifter enligt förevarande lag. Dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att om denna lag eller föreskrifter som meddelats i anslutning till lagen innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen. Se även kommentaren till 5 §.
Övervägandena finns i avsnitt 6.3.6.
2 kap. Behandling av personuppgifter
Personuppgiftsansvar
1 § Det lärosäte som för en forskningsdatabas är personuppgiftsansvarigt för den behandling av personuppgifter som utförs i verksamheten med forskningsdatabasen.
I paragrafen regleras personuppgiftsansvaret vid behandlingen av personuppgifter i verksamhet med en forskningsdatabas.
Av paragrafen följer att det är det lärosäte som enligt regeringens föreskrifter i förordning (se 4 §) får behandla personuppgifter i verksamhet med en forskningsdatabas som är personuppgiftsansvarigt för all behandling av personuppgifter som utförs i verksamheten. Även om en forskningsdatabas kan bedrivas i visst samarbete mellan olika lärosäten eller mellan ett lärosäte och exempelvis en region, är det bara ett lärosäte som kan ges ansvaret för den. Det är också det lärosätet som blir personuppgiftsansvarigt med det ansvar som därav följer enligt EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och denna lag.
Övervägandena finns avsnitt i 6.3.4.
Ändamål
2 § Personuppgifter får samlas in och i övrigt behandlas i verksamhet med en forskningsdatabas för de övergripande ändamålen att
1. skapa underlag för flera framtida forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen,
2. lämna ut uppgifter till sådana forskningsprojekt som anges i 1, och
3. lämna ut uppgifter till forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen även om projekten redan påbörjats innan forskningsdatabasen inrättats.
Regeringen får meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till.
I paragrafen anges de primära ändamålen för vilka personuppgiftsbehandling i en forskningsdatabas som omfattas av lagen ska vara tillåten.
I första stycket anges de övergripande och primära ändamålen, som personuppgiftsbehandling i en forskningsdatabas ska vara tillåten för.
Av första punkten framgår att personuppgifter får behandlas för ändamålet att skapa underlag för flera framtida forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen. Att regeringen får meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för framgår av andra stycket. Skapandet av underlag till forskning i en forskningsdatabas är enligt första punkten framåtsyftande. Det handlar inte om att skapa underlag för redan definierade forskningsprojekt, utan om att bygga upp en resurs för flera framtida forskningsprojekt. Av 2 § framgår att detta ska vara forskningsdatabasens primära syfte. Med uttrycket ”skapa underlag” avses olika former av behandlingar som krävs för att kunna föra en fungerande forskningsdatabas, exempelvis att rekrytera enskilda till att ingå i forskningsdatabasen och samla in, registrera, bevara och uppdatera personuppgifter i databasen.
Enligt andra punkten är ett primärt ändamål att lämna ut personuppgifter till sådana forskningsprojekt som anges i första stycket 1, dvs. projekt som gäller forskning inom för forskningsdatabasen angivna forskningsområden. Att regeringen får meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till framgår av andra stycket. Det är således de i förordning preciserade ändamålen med personuppgiftsbehandlingen i en forskningsdatabas, i form av de där angivna forskningsområdena, som sätter ramarna för till vilka forskningsprojekt personuppgifter får lämnas ut. I 3 kap. i lagen anges särskilda villkor som gäller för utlämnande av uppgifter från en forskningsdatabas till forskningsprojekt.
I tredje punkten anges det sista primära ändamålet, vilket är att personuppgifter får behandlas för att lämnas ut till forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen även om projekten redan har påbörjats innan forskningsdatabasen inrättats. Det kan krävas ett kompletterande etikgodkännande för ett forskningsprojekt enligt lagen (2003:460) om etikprövning av forskning som avser människor för en sådan kompletterande insamling.
I andra stycket finns ett bemyndigande för regeringen att meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till. I förordning kommer det följaktligen att finnas mer preciserade ändamål som utgör ramen för vilka uppgifter som får behandlas i verksamhet med en forskningsdatabas. Det finns inget hinder mot att forskningsområden beskrivs på så sätt att de skapar utrymme för tvärvetenskaplig forskning.
Övervägandena finns i avsnitt 6.3.7.
3 § Personuppgifter som samlats in och behandlas enligt 2 § får därutöver bara behandlas för
1. utlämnande som anges i 3 kap. 2, 3 och 5 §§, och
2. arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål när de inte längre behövs för ändamål som avses i 2 § första stycket.
Paragrafen reglerar de sekundära ändamål som personuppgifter får behandlas för i en forskningsdatabas som omfattas av lagen.
Av bestämmelsen framgår för vilka ytterligare ändamål, utöver de primära ändamål som anges i 2 §, som redan insamlade personuppgifter får behandlas enligt lagen. Ordet ”bara” innebär att de sekundära ändamålen är uttömmande angivna. Detta innebär en begränsning av artikel 5.1 b andra meningen i dataskyddsförordningen. Av artikel 5.1 b första meningen framgår att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Av artikel 5.1 b andra meningen, det s.k. forskningsundantaget, framgår att ytterligare behandling för bland annat vetenskapliga och historiska forskningsändamål inte ska anses oförenlig med de ursprungliga ändamålen. Bestämmelsen i 3 § innebär en begränsning av forskningsundantaget. Regeringen har inte heller möjlighet att utvidga den uttömmande ändamålsbestämningen som följer av lagen, utan kan endast snäva in densamma genom att precisera till vilket eller vilka forskningsområden som forskningsdatabasen ska skapa underlag för och lämna ut uppgifter till (se 2 § andra stycket).
Av paragrafen framgår att personuppgifterna bl.a. får behandlas för de sekundära ändamål som anges i 3 kap. 2 och 5 §§.
Enligt 3 kap. 2 § får personuppgifter lämnas ut till en forskningshuvudman som fått uppgifter från en forskningsdatabas och det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed.
Om uppgifter som lämnats ut till ett forskningsprojekt är pseudonymiserade eller skyddade på likvärdigt sätt, får enligt 3 kap. 5 § kompletterande uppgifter för att identifiera en registrerad lämnas ut till en myndighet, om det är nödvändigt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till det forskningsprojekt som utlämnandet från forskningsdatabasen skett till.
Utöver vad som anges ovan får personuppgifter bara behandlas för att lämnas ut om det finns en skyldighet enligt lag eller förordning att göra det (3 kap. 3 §) samt, när uppgifterna inte längre behövs för ändamål som avses i 2 § första stycket, behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, t.ex. för att arkiveras eller överlämnas till en arkivmyndighet.
Övervägandena finns i avsnitt 6.3.7.
Villkor för behandling av personuppgifter i forskningsdatabaser
4 § Personuppgifter får bara behandlas i en forskningsdatabas om den registrerade har samtyckt till det, om inte annat följer av denna lag.
Paragrafen innehåller ett grundläggande krav på samtycke för behandling av personuppgifter i en forskningsdatabas som omfattas av lagen.
Enligt 1 kap. 2 § gäller lagen behandling av personuppgifter i sådana forskningsdatabaser där insamling av personuppgifter sker genom registrerades frivilliga medverkan. Den frivilliga medverkan manifesteras dels genom huvudregeln i denna paragraf om krav på samtycke till behandlingen, dels genom bestämmelser om information och möjlighet för den registrerade att motsätta sig viss behandling av personuppgifter, s.k. opt-out, se 6 och 7 §§. Den enskilde har också rätt att ta tillbaka sitt samtycke, se 8 §. Kraven på frivillig medverkan är villkor för att personuppgifter ska få behandlas i en forskningsdatabas som omfattas av lagen. Kraven är inte den rättsliga grunden för behandlingen av personuppgifter i forskningsdatabasen. Det är i stället uppgift av allmänt intresse enligt artikel 6.1 e dataskyddsförordningen som är den rättsliga grunden för behandling av personuppgifter i verksamhet med en forskningsdatabas enligt lagen. Kraven på frivillig medverkan är sådana villkor för behandlingen av personuppgifter som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är möjligt att ha i nationell rätt när den rättsliga grunden för behandlingen är uppgift av allmänt intresse och kraven är att se som skyddsåtgärder.
Av 1 kap. 5 § andra stycket framgår att termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning. Samtycke av den registrerade definieras i artikel 4.11 i dataskyddsförordningen som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. I 9 § framgår vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen innan personen lämnar samtycke.
Huvudregeln om samtycke gäller oavsett om personuppgifterna i forskningsdatabasen inhämtats genom medverkan av den registrerade eller genom kompletterande insamling från andra källor. Samtycke bör inhämtas redan i samband med den inledande kontakten med den vars uppgifter avses bli registrerade i forskningsdatabasen.
Kravet på samtycke gäller inte om annat följer av lagen. De fall då personuppgifter får behandlas utan samtycke framgår av 5 och 6 §§.
Övervägandena finns i avsnitt 7.1.1.
5 § I verksamheten med en forskningsdatabas får det utan samtycke samlas in och behandlas sådana personuppgifter som är nödvändiga för att kunna identifiera och kontakta en person i en urvalsgrupp med förfrågan om medverkan i forskningsdatabasen. Sådan behandling får inte pågå under längre tid än vad som är nödvändigt.
I paragrafen regleras ett av undantagen från huvudregeln i 4 § att personuppgifter bara får behandlas om den registrerade har samtyckt till det.
Bestämmelsen gör det möjligt att utan samtycke samla in och behandla sådana personuppgifter som är nödvändiga för att kunna identifiera och göra ett urval av personer, vilkas medverkan är önskvärd i forskningsdatabasen och, därefter, kunna ta kontakt med de utvalda för att informera och efterfråga personernas inställning till medverkan i databasen. Kravet på nödvändighet markerar att dataskyddsförordningens princip om uppgiftsminimering ska beaktas. Behandlingen av personuppgifter ska i detta skede inte pågå under längre tid än nödvändigt. Går det inte att få kontakt med en person trots försök är det inte nödvändigt att därefter fortsätta behandla personuppgifterna. Det går dock bra att i en förfrågan om medverkan även ställa frågan om personen, för det fall denna inte vill ingå i forskningsdatabasen, vill medverka i en bortfallsanalys i verksamheten med forskningsdatabasen. I så fall görs analysen i syfte att skapa underlag för flera framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden och är tillåten enligt 2 § första stycket 1.
Övervägandena finns i avsnitt 7.1.1.
6 § Kompletterande insamling av uppgifter från andra källor än de som angavs i samband med att samtycke till behandling i forskningsdatabasen lämnades får göras utan samtycke bara om den registrerade informerats om insamlingen och inte uttryckligen motsätter sig denna.
I paragrafen finns det andra undantaget från huvudregeln i 4 § att personuppgifter bara får behandlas om den registrerade har samtyckt till det.
Kravet att personuppgifter bara får behandlas om den registrerade har samtyckt till det gäller även i fråga om komplettering av uppgifter från andra källor än den registrerade själv, såsom myndighetsregister, patientjournaler eller annat. Bestämmelsen innebär en lättnad när det gäller kravet på samtycke när det är fråga om kompletterande insamling av uppgifter från källor som inte angavs redan i samband med att samtycke till behandling i forskningsdatabasen lämnades. Sådan kompletterande insamling får ske utan förnyat inhämtande av samtycke bara om den registrerade har informerats om insamlingen och inte uttryckligen motsatt sig denna. Bestämmelsen tar sikte på de situationer där det finns ett behov av att komplettera insamlingen till en forskningsdatabas med uppgifter från andra källor än de som den registrerade informerades om redan i samband med att samtycke till behandlingen lämnades. Ett sådant exempel är att det i tiden efter att samtycke lämnas tillkommer ett nytt myndighetsregister som bedöms ha relevans för de särskilt angivna ändamålen för behandlingen i en viss forskningsdatabas, dvs. för det eller de forskningsområden som forskningsdatabasen ska skapa underlag för och lämna ut uppgifter till.
Enligt bestämmelsen ska den registrerade få information om den planerade insamlingen från andra källor och ges möjlighet att motsätta sig densamma genom eget aktivt agerande (opt-out). Kravet på information innebär inte att den personuppgiftsansvarige måste upprätta en faktisk kontakt med varje registrerad. Det är tillräckligt att information lämnas genom att den personuppgiftsansvarige på sin webbplats eller annat forum som registrerade känner till redovisar vilka kompletterande uppgifter som planeras att inhämtas, och därvid ger den registrerade möjlighet att motsätta sig insamlingen. Det bör där tydligt framgå hur en registrerad som vill motsätta sig kompletteringen ska gå till väga och inom vilken tidsram denne förväntas höra av sig. För att den registrerade ska känna till var information om kompletterande information kan sökas och ha möjlighet att motsätta sig insamlingen anges i 9 § att den registrerade, innan samtycke till att dennes personuppgifter behandlas i forskningsdatabasen lämnas, ska få information om att denne kommer att informeras om kompletterande insamling av uppgifter blir aktuell och på vilket sätt sådan information kommer att lämnas. Om den registrerade först senare motsätter sig den kompletterande insamlingen av uppgifter efter att den påbörjats, ska detta ses som att den registrerade har återtagit sitt samtycke till behandling av dessa uppgifter och hanteras enligt 8 §.
Övervägandena finns i avsnitt 7.1.2.
7 § Personuppgifter som samlats in med samtycke från den registrerades vårdnadshavare får bara fortsätta behandlas efter att den registrerade blivit myndig om den registrerade informerats om behandlingen och inte uttryckligen motsätter sig den.
Sådan information om uppgifter som samlats in med samtycke från den registrerades vårdnadshavare och om möjligheten att motsätta sig den ska vara direkt riktad till den registrerade och lämnas senast den 1 mars året efter det att den registrerade fyllt 18 år.
Information behöver inte lämnas om den personuppgiftsansvarige inte med rimliga ansträngningar kan nå den registrerade.
Paragrafen reglerar situationen där personuppgifter, som samlats in och behandlats med samtycke från den registrerades vårdnadshavare innan den registrerade själv uppnått en sådan ålder och mognad att denne själv kan samtycka till behandlingen, fortfarande behandlas i en forskningsdatabas när de registrerade uppnår myndighetsålder, dvs. fyller 18 år.
Av första stycket framgår att sådana personuppgifter bara får fortsätta behandlas efter att den registrerade blivit myndig om den registrerade själv informerats om behandlingen och inte uttryckligen motsätter sig denna. Liksom i 6 § är det fråga om ett opt-out-förfarande där den nu myndiga personen ges tillfälle att motsätta sig fortsatt behandling i forskningsdatabasen av personuppgifter som samlats in med samtycke från vårdnadshavare. Bestämmelsen syftar till att, så långt möjligt, säkerställa att det även efter myndighetsdagen är fråga om en frivillig medverkan i forskningsdatabasen.
I fråga om samtycke till personuppgiftsbehandling för ett barn gäller de vanliga reglerna i föräldrabalken. Ett barns vårdnadshavare har en rätt och skyldighet att bestämma i frågor som rör barnets personliga angelägenheter (6 kap. 11 § föräldrabalken). Av samma paragraf framgår också att hänsyn ska tas till barnets synpunkter och önskemål i takt med dess stigande ålder och utveckling. Om barnet står under vårdnad av två vårdnadshavare gäller detta dem tillsammans (6 kap. 13 § föräldrabalken).
Enligt andra stycket ska informationen vara direkt riktad till den registrerade och lämnas senast den 1 mars året efter det att den registrerade fyllt 18 år. Att informationen ska lämnas senast ett visst datum gör det möjligt för den personuppgiftsansvarige att samordna sitt arbete med att informera alla nyblivna 18-åringar. Uppgifter som har samlats in före den registrerades 18-årsdag har samlats in med samtycke av dennes vårdnadshavare. Detta samtycke är giltigt så länge det inte har återkallats av vårdnadshavaren eller den underårige själv. Behandlingen av dessa uppgifter kan fortsätta i avvaktan på att den registrerade som blivit myndig har informerats och inte uttryckligen motsatt sig behandlingen. När det däremot gäller insamling av nya uppgifter om den registrerade efter att denne blivit myndig är sådana uppgifter att se som kompletterande uppgifter eftersom uppgifter om den registrerade finns i databasen sedan tidigare. För att sådana uppgifter ska få samlas in krävs som huvudregel samtycke från den registrerade enligt 4 §. Utan samtycke får insamling av sådana kompletterande uppgifter bara ske om den registrerade informerats om insamlingen och inte uttryckligen motsatt sig den enligt 6 §.
Att informationen ska vara direkt riktad till den registrerade innebär att det i dessa fall inte är tillräckligt att informationen läggs ut på den personuppgiftsansvariges webbplats eller liknande. Informationsskyldigheten kan uppfyllas genom t.ex. ett mejl eller ett brev ställt direkt till den registrerade. Informationen till den registrerade bör skickas tillsammans med tydlig vägledning om hur mottagaren ska gå till väga för att meddela den personuppgiftsansvarige att denne motsätter sig fortsatt behandling. Det ställs dock i lagtexten inte något krav på att den personuppgiftsansvarige ska ha fått en bekräftelse på att den registrerade faktiskt tagit emot informationen.
I tredje stycket finns en ventil. Enligt detta stycke behöver information inte lämnas om den personuppgiftsansvarige inte med rimliga ansträngningar kan nå den registrerade. Informationsskyldigheten bör alltid kunna uppfyllas genom att ett brev skickas till en elektronisk brevlåda, om den registrerade har en sådan, eller till den registrerades folkbokföringsadress. Det kan dock hända att den registrerade har emigrerat och därför inte är folkbokförd i Sverige. Den personuppgiftsansvarige kan då hämta uppgifter från Skatteverkets system för distribution av folkbokföringsuppgifter till samhället (Navet) eller det statliga personadressregistret (SPAR) för att undersöka om det finns uppgifter om en adress i utlandet för den som emigrerat. Om den registrerade inte har någon elektronisk brevlåda och inte heller är folkbokförd i Sverige eller har anmält en uppgift om adress i utlandet och den personuppgiftsansvarige inte heller har tillgång till någon annan adress till den registrerade får den personuppgiftsansvarige anses ha gjort rimliga ansträngningar och kan därefter fortsätta att behandla den registrerades personuppgifter i forskningsdatabasen utifrån att lämnade samtycken fortsätter att gälla så länge den registrerade inte hör av sig och motsätter sig fortsatt behandling.
Övervägandena finns i avsnitt 7.1.3.
8 § Den registrerade har rätt att när som helst återta sitt samtycke till att hans eller hennes personuppgifter behandlas i en forskningsdatabas.
Om den registrerade återtar sitt samtycke får uppgifter om den registrerade därefter inte behandlas för att lämnas ut till forskningsprojekt.
Om den registrerade begär det ska den personuppgiftsansvarige underrätta de personuppgiftsansvariga för de forskningsprojekt som uppgifterna om den registrerade har lämnats ut till om att den registrerade har återtagit sitt samtycke till behandling av personuppgifter i forskningsdatabasen.
I paragrafen regleras den registrerades rätt att återta sitt samtycke till att dennes personuppgifter behandlas i en forskningsdatabas.
Enligt första stycket har en registrerad rätt att när som helst återta sitt samtycke till att hans eller hennes personuppgifter behandlas i forskningsdatabasen. Rätten att återta sitt samtycke är en följd av att personuppgiftsbehandlingen i en forskningsdatabas som omfattas av lagen bygger på den registrerades frivilliga medverkan.
Av andra stycket framgår att innebörden av att den registrerade återtar sitt samtycke är att därefter får uppgifter om denne inte behandlas för att lämnas ut till forskningsprojekt. Uppgifterna om en registrerad som återtagit sitt samtycke ska inte raderas utan finnas kvar bl.a. för att kunna lämnas ut för ändamålet att utreda oredlighet i forskning enligt 3 kap. 2 §. Uppgifter i forskningsdatabasen ska också kunna behandlas för att bevaras i enlighet med arkivlagstiftningen. Gallring får ske i den omfattning som gäller enligt arkivlagstiftningen och föreskrifter som Riksarkivet meddelar.
Om den registrerade begär det ska den personuppgiftsansvarige enligt tredje stycket underrätta de personuppgiftsansvariga för de forskningsprojekt som uppgifterna om den registrerade har lämnats ut till om att den registrerade har återtagit sitt samtycke till behandling av personuppgifter i forskningsdatabasen. Den registrerade har enligt 3 kap. 8 § rätt att få information om vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut till. Om en registrerad återtar sitt samtycke till att dennes personuppgifter behandlas i en forskningsdatabas finns det därmed möjlighet för den registrerade, om denne vill det, att själv kontakta de forskningsprojekt som uppgifter lämnats ut till och begära att få avsluta sin medverkan även i forskningsprojekten. Därefter får frågan om radering av uppgifterna om den registrerade i pågående forskningsprojekt hanteras utifrån de förutsättningar som gäller för det aktuella forskningsprojektet och regleringen i EU:s dataskyddsförordning. Rätten till radering behandlas i artikel 17 i dataskyddsförordningen.
Övervägandena finns i avsnitt 7.1.6.
9 § Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska en person, innan han eller hon lämnar samtycke enligt 4 § eller i samband med att han eller hon får sådan information som avses i 7 §, även informeras om
1. att all registrering och medverkan i verksamheten vid forskningsdatabasen är frivillig och att en registrerad när som helst kan avbryta sin medverkan helt eller delvis, och återta sitt samtycke samt om effekten av att samtycket återtas enligt 8 §,
2. vilka slags uppgifter som får registreras i forskningsdatabasen,
3. att en registrerad kommer att informeras om kompletterande insamling av uppgifter enligt 6 § blir aktuell och på vilket sätt sådan information kommer att lämnas,
4. de sekretess- och säkerhetsbestämmelser som gäller för forskningsdatabasen,
5. sin rätt att begära att få information om vilka forskningsprojekt uppgifter om honom eller henne lämnats ut till,
6. vilken myndighet som har tillsyn över att behandlingen av personuppgifter sker på ett lagenligt sätt, och
7. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § dataskyddslagen till skadestånd vid behandling av personuppgifter i strid med denna lag.
I paragrafen anges vilken information som en person ska få innan han eller hon lämnar samtycke enligt 4 §, dvs. innan han eller hon lämnar samtycke till att hans eller hennes personuppgifter behandlas i en forskningsdatabas. Paragrafen reglerar också vilken information som en registrerad, vars personuppgifter har behandlats med stöd av vårdnadshavarens samtycke, ska få utöver sådan information som den registrerade enligt 7 § ska få senast den 1 mars året efter att han eller hon fyllt 18 år.
Personen i fråga ska få den information som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Därutöver ska enligt första punkten information lämnas om att all registrering och medverkan i verksamheten vid forskningsdatabasen är frivillig, att en registrerad när som helst kan avbryta sin medverkan helt eller delvis och återta sitt samtycke samt om effekten av att samtycket återtas enligt 8 §.
Av andra punkten framgår att informationen även ska avse vilka slags uppgifter som får registreras i forskningsdatabasen (angående tillåtet innehåll i en forskningsdatabas, se 10 och 11 §§).
Enligt tredje punkten ska informationen avse att en registrerad kommer att informeras om kompletterande insamling av uppgifter enligt 6 § blir aktuell och på vilket sätt sådan information i så fall kommer att lämnas.
Av fjärde punkten framgår att informationen ska avse de sekretessbestämmelser som gäller för forskningsdatabasen (angående detta, se kommentaren till 15 §) samt information om vilka säkerhetsbestämmelser som gäller för forskningsdatabasen. En sådan bestämmelse finns i artikel 32 i dataskyddsförordningen.
Informationen ska enligt femte punkten även avse rätten att begära att få information om till vilka forskningsprojekt uppgifter om en registrerad har lämnats ut (angående denna rätt, se kommentaren till 8 § tredje stycket).
Enligt sjätte punkten ska information även lämnas om vilken myndighet som är tillsynsmyndighet. Det är enligt 3 § förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning Integritetsskyddsmyndigheten.
Slutligen ska information enligt sjunde punkten lämnas om rätten till skadestånd vid behandling av personuppgifter i strid med lagen. Denna rätt är reglerad i artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § dataskyddslagen.
Det har inte föreskrivits någon särskild form för lämnandet av informationen, men det är den personuppgiftsansvarige som har bevisbördan för att angiven information har lämnats.
Övervägandena finns i avsnitt 7.1.4.
Tillåtet innehåll
10 § I en forskningsdatabas får det i fråga om personuppgifter bara finnas
1. uppgifter som den registrerade har lämnat i syfte att de ska ingå i forskningsdatabasen,
2. uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i forskningsdatabasen,
3. uppgifter om, och resultatet från, undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen,
4. kontaktinformation till den registrerade,
5. kompletterande uppgifter om den registrerade som har inhämtats från andra källor,
6. kategoriseringar av sådana uppgifter som avses i 1–5,
7. identitetsbeteckningar för de registrerade (kodnycklar eller motsvarande information för identifiering), och
8. uppgifter om utlämnande som har skett till forskning.
I paragrafen regleras uttömmande vilka personuppgifter som får finnas i en forskningsdatabas enligt lagen.
För all registrering i forskningsdatabasen gäller principen om uppgiftsminimering enligt dataskyddsförordningen, även vid tillämpningen av denna paragraf.
Enligt första–tredje punkterna får det i forskningsdatabasen finnas sådana uppgifter som den registrerade har lämnat i syfte att de ska ingå i forskningsdatabasen, uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i forskningsdatabasen och uppgifter om och resultatet från undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen. Det handlar alltså om sådana uppgifter som tillförts registret genom den registrerades frivilliga medverkan. När den registrerade är ett barn framgår det av föräldrabalken att ett barns vårdnadshavare har rätt och skyldighet att bestämma i barnets personliga angelägenheter (6 kap. 11 och 13 §§ föräldrabalken), men att barnets vårdnadshavare i takt med barnets stigande ålder och utveckling ska ta allt större hänsyn till barnets synpunkter och önskemål (6 kap. 13 § föräldrabalken). Med uppgifter som har lämnats av den registrerade avses således även uppgifter om en minderårig som lämnats av hans eller hennes vårdnadshavare. Med upptagningar avses bild- eller ljudinformation, t.ex. röntgenbilder. Med undersökningar avses bl.a. mätningar av de registrerades fysiologiska egenskaper, som t.ex. syn, hörsel, lungfunktion och blodtryck. Med uppgifter om upptagningar eller uppgifter om och resultatet från undersökningar avses t.ex. analysresultat och administrativa uppgifter om bl.a. tillfället för upptagningen eller undersökningen, mängden material i ett prov, hur det är märkt och på vilken plats det förvaras.
Enligt fjärde punkten får forskningsdatabasen också innehålla kontaktinformation till den registrerade. Med detta avses all slags information om var den registrerade befinner sig och hur denne kan nås. Om den registrerade är underårig innefattar kontaktinformationen även uppgifter om den registrerades vårdnadshavare.
Som framgår av 2 kap. 5 § får kontaktuppgifter i viss utsträckning och under en begränsad tid i rekryterande syfte behandlas i verksamheten med en forskningsdatabas, utan den registrerades samtycke.
I forskningsdatabasen tillåts även, enligt femte punkten, att kompletterande uppgifter som har inhämtats från andra källor registreras. Med andra källor avses i första hand myndighetsregister, vars uppgifter bedöms relevanta att komplettera den primära insamlingen med. För sådan insamling uppställs enligt 4 § krav på samtycke eller, enligt 6 §, krav på information och en möjlighet till opt-out för den registrerade.
Av sjätte punkten framgår att även kategoriseringar av ovan nämnda uppgifter får finnas i forskningsdatabasen.
Enligt sjunde punkten får också identitetsbeteckningar för de registrerade finnas i en forskningsdatabas. Med sådana beteckningar avses kodnycklar eller motsvarande information som behövs för att identifiera en registrerad vars uppgifter är pseudonymiserade i forskningsdatabasen eller som har lämnats ut i pseudonymiserat skick.
Slutligen får, enligt åttonde punkten, forskningsdatabasen innehålla uppgifter om utlämnande som har skett till forskning. Det handlar om sådana uppgifter som behövs för att tillgodose den registrerades rätt till information på begäran enligt 3 kap. 8 §.
Övervägandena finns i avsnitt 7.2.1.
11 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g och j i EU:s dataskyddsförordning behandlas i verksamheten med en med en forskningsdatabas om det är nödvändigt för de ändamål som anges i 2, 3 och 5 §§.
Genetiska uppgifter och personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får dock bara behandlas i en forskningsdatabas om regeringen har meddelat föreskrifter om det.
Paragrafen reglerar behandlingen av känsliga personuppgifter och personuppgifter som rör lagöverträdelser i verksamheten med en forskningsdatabas som omfattas av lagen.
Enligt första stycket får personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, dvs. känsliga personuppgifter, behandlas i verksamheten med en forskningsdatabas om det är nödvändigt för de ändamål som personuppgifter får behandlas för i verksamheten med en forskningsdatabas enligt 2, 3 och 5 §§.
Enligt 2 § första stycket får personuppgifter samlas in och i övrigt behandlas i verksamhet med en forskningsdatabas för de övergripande ändamålen att skapa underlag för flera framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden och lämna ut uppgifter dels till sådana forskningsprojekt, dels till forskningsprojekt inom för forskningsdatabasen angivna forskningsområden även om projekten redan påbörjats innan forskningsdatabasen inrättats. Regeringen avser att i förordning meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till (se 2 § andra stycket). Av artikel 9.2 j i EU:s dataskyddsförordning följer att en behandling av känsliga personuppgifter är tillåten om behandlingen är nödvändig för bl.a. vetenskapliga forskningsändamål. Detta innebär att behandlingen av känsliga personuppgifter i en forskningsdatabas ska vara nödvändig för det forskningsändamål som angivits för forskningsdatabasen, dvs. det eller de forskningsområde som regeringen har angivit i föreskrifter för forskningsdatabasen.
I 3 §, som det också hänvisas till i första stycket och som består av två punkter, anges att personuppgifter som samlats in och behandlas enligt 2 § därutöver bara får behandlas för utlämnande som anges i 3 kap. 2, 3 och 5 §§ (3 § första punkten) och, när de inte längre behövs för ändamål som avses i 2 § första stycket, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (3 § andra punkten). Behandling av känsliga personuppgifter vid utlämnade enligt 3 § första punkten är tillåten enligt artikel 9.2 g eller j i dataskyddsförordningen och behandling enligt 3 § andra punkten är tillåten enligt artikel 9.2 j dataskyddsförordningen.
Enligt 5 §, som det också hänvisas till i första stycket, får sådana personuppgifter samlas in och behandlas som är nödvändiga för att kunna identifiera en person i en urvalsgrupp med förfrågan om medverkan i en forskningsdatabas. Sådan behandling får inte pågå under längre tid än vad som är nödvändigt. Känsliga personuppgifter får behandlas i samband med en sådan förfrågan med stöd av artikel 9.2 j dataskyddsförordningen.
Enligt andra stycket får genetiska uppgifter och personuppgifter som avses i artikel 10 i dataskyddsförordningen, dvs. lagöverträdelser, bara behandlas i en forskningsdatabas om regeringen har meddelat föreskrifter om det.
Av 1 kap. 5 § andra stycket framgår att termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning. Genetiska uppgifter definieras i artikel 4.13 i dataskyddsförordningen som alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilken ger unik information om denna fysiska persons fysiologi eller hälsa, och vilka framförallt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga. Enligt artikel 10 dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras av under kontroll av en myndighet eller bl.a. då behandling är tillåten enligt medlemsstaternas nationella rätt.
Övervägandena finns i avsnitt 7.2.2.
Integritetsskydd inom verksamheten
12 § Den som arbetar vid ett lärosäte där det finns en verksamhet med en forskningsdatabas får ta del av personuppgifter i den verksamheten endast om han eller hon arbetar i verksamheten och behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter med forskningsdatabasen.
Paragrafen reglerar tillgången till personuppgifter hos ett lärosäte där det finns en verksamhet med en forskningsdatabas.
Bestämmelsen, som riktar sig omedelbart till den som arbetar vid ett lärosäte där det finns en verksamhet med en forskningsdatabas, innebär att han eller hon får ta del av personuppgifter i den verksamheten endast om han eller hon arbetar i verksamheten och behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter med forskningsdatabasen. Den interna gränsen mellan verksamheten med forskningsdatabasen och samma lärosätes forskningsverksamhet måste således upprätthållas. Den som obehörigen skaffar sig tillgång till uppgifterna kan göra sig skyldig till straffbar handling, exempelvis dataintrång enligt 4 kap. 9 c § brottsbalken.
Övervägandena finns i avsnitt 7.3.
13 § Den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter om registrerade i verksamheten med en forskningsdatabas. Sådan åtkomst ska begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter i verksamheten med forskningsdatabasen.
Paragrafen innehåller en bestämmelse om behörighetsstyrning avseende intern elektronisk åtkomst.
Behörighetsstyrning är en teknisk och organisatorisk åtgärd för att skydda personuppgifter i en forskningsdatabas och verksamheten runt den. Enligt bestämmelsen ska den personuppgiftsansvarige bestämma villkoren för tilldelning av behörighet för elektronisk åtkomst till personuppgifter om registrerade i verksamheten. Med detta avses användares faktiska möjligheter att ta del av uppgifter i forskningsdatabasen genom elektronisk åtkomst. Åtkomsten ska begränsas till vad var och en av anställda eller uppdragstagare i verksamheten behöver för att fullgöra sina arbetsuppgifter i verksamheten med forskningsdatabasen. Med uppdragstagare kan också avses personuppgiftsbiträde.
Till skillnad från föregående paragraf riktar sig denna bestämmelse till den personuppgiftsansvarige och reglerar hans eller hennes ansvar att begränsa sina anställdas och uppdragstagares interna elektroniska åtkomst till personuppgifter. I praktiken kommer det att handla om en skyldighet för den personuppgiftsansvarige att ta ställning till vilken närmare information varje befattningshavare faktiskt behöver för att kunna utföra sina arbetsuppgifter och begränsa tillgången utifrån detta. Exempelvis kan den personuppgiftsansvarige ta ställning till om tillgången till identitetsuppgifter eller kodnycklar, eller vissa andra särskilt känsliga delar av databasen, ska kräva en särskild behörighetsnivå.
Övervägandena finns i avsnitt 7.3.
14 § Den personuppgiftsansvarige ska se till att elektronisk åtkomst till personuppgifter dokumenteras och kan kontrolleras.
Den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av den i första stycket upprättade dokumentationen i syfte att kontrollera om någon obehörigen kommit åt personuppgifter i forskningsdatabasen.
Paragrafen reglerar dokumentation och kontroll av elektronisk åtkomst.
Bestämmelsen i första stycket innebär att den personuppgiftsansvarige ska se till att elektronisk åtkomst till personuppgifter dokumenteras och kan kontrolleras. Med detta åsyftas att det ska finnas behandlingshistorik, loggning, avseende åtkomst till personuppgifter.
I andra stycket anges att den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av den i första stycket upprättade dokumentationen i syfte att kontrollera om någon obehörigen kommit åt personuppgifter i forskningsdatabasen. Det är alltså inte tillräckligt med kontroller endast då obehörig åtkomst misstänks ha förekommit i ett konkret fall.
Övervägandena finns i avsnitt 7.3.
Sekretess
15 § I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess för huvudmän för en forskningsdatabas och för anställda och uppdragstagare hos en sådan huvudman i verksamhet med forskningsdatabasen.
Paragrafen innehåller en upplysning om att det i offentlighets- och sekretesslagen (2009:400), förkortad OSL, finns bestämmelser om sekretess i verksamhet med en forskningsdatabas. Bestämmelserna finns i 24 kap. 2 a § OSL.
Därutöver finns i OSL en bestämmelse som innebär att den tystnadsplikt som följer av 24 kap. 2 a § inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
För de som tar emot uppgifter från en forskningsdatabas finns det bestämmelser om överföring av sekretess och bestämmelser om tystnadsplikt för sådana uppgifter som mottagits, se 24 kap. 2 b § OSL och 3 kap. 7 § denna lag och kommentaren till den paragrafen.
Det finns vidare en bestämmelse i 24 kap. 8 § tredje stycket OSL som innebär att uppgift som omfattas av s.k. statistiksekretess enligt 24 kap. 8 § första stycket och som behövs i en forskningsdatabas enligt denna lag får lämnas ut till forskningsdatabasen, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.
Övervägandena finns i avsnitt 10.
3 kap. Utlämnande av uppgifter från en forskningsdatabas
Villkor för utlämnande
1 § Utlämnande av personuppgifter till ett forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 och utlämnande av uppgifter om avlidna till ett sådant projekt får bara ske till fysiska eller juridiska personer som ska tillämpa offentlighets- och sekretesslagen (2009:400) eller fysiska personer som omfattas av tystnadsplikt enligt 3 kap. 7 § denna lag.
Ytterligare en förutsättning för att personuppgifter ska få lämnas ut från en forskningsdatabas till forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 är att både forskningen och behandlingen av personuppgifter i forskningen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, om forskningen omfattas av den lagens krav på etikprövning.
I paragrafen anges villkor för utlämnande av personuppgifter och uppgifter om avlidna från en forskningsdatabas till forskningsprojekt. Uppgifter om avlidna är inte personuppgifter i dataskyddsförordningens mening (skäl 27). Paragrafen har utformats efter synpunkter från Lagrådet.
Av första stycket framgår att utlämnande av personuppgifter till ett forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 och utlämnande av uppgifter om avlidna till ett sådant projekt bara får ske till fysiska eller juridiska personer som ska tillämpa offentlighets- och sekretesslagen (2009:400), förkortad OSL, eller fysiska personer som omfattas av tystnadsplikt enligt 3 kap. 7 § denna lag.
Sekretess gäller enligt 24 kap. 2 a § OSL i verksamhet som avser förande av eller uttag ur en forskningsdatabas enligt denna lag för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde. Uppgifter om enskilda avser i OSL både uppgifter om levande och avlidna. Med att uppgift kan hänföras till den enskilde avses att uppgifterna kan kopplas ihop med den enskilde genom t.ex. namn eller personnummer eller motsvarande identitetsbeteckning. I nämnda paragrafs andra stycke anges några undantag då sekretessen inte hindrar att uppgifter lämnas ut. Det finns vidare en bestämmelse om överföring av sekretess i 24 kap. 2 b § OSL som innebär att om en myndighet får en uppgift från en verksamhet med en forskningsdatabas så överförs sekretessen till den mottagande myndigheten. Sekretess innebär ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL). Enligt 24 kap. 9 § OSL inskränker den tystnadsplikt som följer av 2 a § samma kapitel rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. Enligt 2 kap. 1 § OSL gäller ett förbud att röja eller utnyttja en uppgift enligt OSL för myndigheter samt för en person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, på grund av tjänsteplikt, eller på annan liknande grund. Organ som finns angivna i bilagan till OSL ska vid tillämpningen av lagen jämställas med myndigheter när det gäller verksamhet som anges i bilagan (2 kap. 4 § OSL). Det gäller bl.a. vissa enskilda utbildningsanordnare som Chalmers tekniska högskola AB och Hälsohögskolan i Jönköping AB m.fl. bolag som ingår i Jönköping University.
I 3 kap. 7 § finns en bestämmelse om tystnadsplikt för personuppgifter och uppgifter om avlidna som mottagits från en forskningsdatabas. Tystnadsplikten gäller för forskningshuvudmän som inte omfattas av bestämmelserna i OSL och för den som är eller har varit verksam hos en sådan huvudman.
Att bestämmelsen i första stycket om utlämnande gäller såväl personuppgifter som uppgifter om avlidna innebär att denna bestämmelse i likhet med bestämmelserna i 3 kap. 2, 3, 5 och 7 §§ har ett vidare tillämpningsområde än övriga bestämmelser i lagen, vilka endast gäller behandling av personuppgifter.
När det gäller internationella forskningsprojekt så krävs, så snart något moment i genomförandefasen ska ske i Sverige och den delen omfattas av tillämpningsområdet för lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) ett etikgodkännande för den del av forskningen som ska utföras i Sverige. På motsvarande sätt bör uppgifter i en forskningsdatabas som förs med stöd av lagen om vissa forskningsdatabaser kunna lämnas till den svenska deltagaren i det gränsöverskridande forskningsprojektet, men denne kommer att vara bunden av sekretessen eller tystnadsplikten i förhållande till sådana personer i projektet som inte lyder under svensk lag. Detta bör dock inte hindra ett internationellt samarbete så länge som de uppgifter som den svenska deltagaren i forskningsprojektet lämnar ut till personer som inte lyder under svensk lag har bearbetats på ett sådant sätt att de inte längre utgör personuppgifter eller identifierande uppgifter om avlidna.
Av andra stycket framgår att ytterligare en förutsättning för att personuppgifter ska få lämnas ut från en forskningsdatabas till forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 är att både forskningen och behandlingen av personuppgifter i forskningen har godkänts enligt etikprövningslagen, om forskningen omfattas av den lagens krav på etikprövning. Enligt 3 § i etikprövningslagen krävs etikprövning och godkännande av forskning som innefattar behandling av känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter), liksom av forskning som innefattar behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Beskrivningen av lagöverträdelser i 3 § etikprövningslagen är något vidare än vad som föreskrivs i artikel 10 i dataskyddsförordningen i det att även friande domar och administrativa frihetsberövanden omfattas av kravet på etikprövning. Vid etikprövning kan beslut om godkännande förenas med villkor som kan få betydelse för exempelvis vilka slags uppgifter som får behandlas i projektet eller vilka sambearbetningar som får göras, se kommentaren till 3 kap. 5 §. Detta medför att forskare normalt måste bifoga Etikprövningsmyndighetens beslut till en ansökan om att få ut uppgifter från en forskningsdatabas. Det krävs inte etikgodkännande för utlämnande till forskningsprojekt där forskningen inte innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m., och som följaktligen inte omfattas av etikprövningslagen.
Övervägandena finns i avsnitt 8.1.1 och 8.1.2.
2 § Personuppgifter och uppgifter om avlidna får också lämnas ut till en forskningshuvudman som fått uppgifter från en forskningsdatabas, om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed.
Paragrafen reglerar utlämnande av personuppgifter och uppgifter om avlidna till utredningar om oredlighet i forskning eller annan avvikelse från god forskningssed. Paragrafen har utformats efter synpunkter från Lagrådet.
Enligt bestämmelsen får personuppgifter och uppgifter om avlidna lämnas ut till en forskningshuvudman för ett forskningsprojekt som fått uppgifter från en forskningsdatabas, om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed. Med forskningshuvudman avses i denna lag detsamma som i 2 § lagen (2003:460) om etikprövning av forskning som avser människor, dvs. en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs. Med utredning av oredlighet i forskning avses i första hand sådan utredning som krävs för prövning enligt lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning. Enligt den lagen prövas oredlighet av en särskild nämnd men forskningshuvudmän har ett initialt ansvar för att utreda om det finns misstankar om oredlighet som ska överlämnas för prövning av nämnden. Vidare är forskningshuvudmän skyldiga att lämna nämnden upplysningar och handlingar som nämnden begär. För dessa syften kan det behövas uppgifter från forskningsdatabasen för granskning och jämförelse med vad som kommit fram om forskningsprojektet i fråga. Med utredning av annan avvikelse från god forskningssed avses utredning för prövning enligt 1 kap. 3 a § högskolelagen (1992:1434) och 1 kap. 17 § högskoleförordningen (1993:100). Även i sådana fall kan forskningshuvudmän behöva tillgång till uppgifterna från forskningsdatabasen. De nu nämnda regleringarna gäller bara för statliga lärosäten. Även enskilda forskningshuvudmän ges dock möjligheter att få ut uppgifter från forskningsdatabasen för motsvarande utredningar i den egna verksamheten. För allt utlämnande enligt paragrafen ska uppgifterna vara behövliga för utredning inför nyss nämnda prövningar. Det kräver att forskningshuvudmännen vid sin begäran om utfående av uppgifter enligt bestämmelsen anger varför de behöver tillgång till uppgifterna för att kunna utreda misstankar.
I lagen om ansvar för god forskningssed och prövning av oredlighet i forskning definieras oredlighet i forskning som en allvarlig avvikelse från god forskningssed i form av fabricering, förfalskning eller plagiering som begås med uppsåt eller av grov oaktsamhet vid planering, genomförande eller rapportering (2 §). Det finns inte någon definition av begreppet god forskningssed i författning. Vad som utgör god forskningssed är ofta fastställt i kodexar och policydokument och kan variera mellan olika forskningsområden. Det kan också finnas lagkrav som måste följas. Uttrycket kan sägas innefatta de samlade etiska kraven på hur forskning bör bedrivas. Att följa god forskningssed innebär bl.a. att inte vara oredlig och inte bryta mot lagar och erkända forskningsetiska normer.
Att utlämnande av uppgifter enligt paragrafen gäller såväl personuppgifter som uppgifter om avlidna innebär att denna bestämmelse, i likhet med bestämmelserna i 3 kap. 1 § första stycket, 3, 5 och 7 §§ har ett vidare tillämpningsområde än övriga bestämmelser i lagen, vilka endast gäller behandling av personuppgifter.
Övervägandena finns i avsnitt 8.1.3.
3 § Personuppgifter och uppgifter om avlidna får, utöver vad som följer av 2 och 5 §§ samt 2 kap. 2 § första stycket 2 eller 3, bara lämnas ut om det finns en skyldighet att göra det enligt lag eller förordning.
Bestämmelsen reglerar utlämnande av personuppgifter och uppgifter om avlidna från en forskningsdatabas när det finns en skyldighet enligt lag eller förordning att göra det. Paragrafen har utformats efter synpunkter från Lagrådet.
Enligt bestämmelsen får personuppgifter och uppgifter om avlidna, utöver vad som följer av 2 och 5 §§ samt 2 kap. 2 § första stycket 2 eller 3, lämnas ut bara om det finns en skyldighet enligt lag eller förordning att göra det. Det finns en uppgiftsskyldighet enligt dataskyddsförordningen gentemot den registrerade som enligt artikel 15.3 har rätt att få en kopia av behandlade personuppgifter. Härutöver finns en skyldighet att lämna ut allmänna handlingar, till den registrerade eller annan, enligt tryckfrihetsförordningen. Enligt 24 kap. 2 a § offentlighets- och sekretesslagen (2009:400), förkortad OSL, gäller sekretess i verksamhet som avser förande av och uttag ur en forskningsdatabas enligt denna lag för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde. Sekretessen hindrar dock inte att uppgifter, såväl personuppgifter som uppgifter om avlidna, lämnas ut i den utsträckning som framgår av denna lag eller anslutande förordning. Därutöver får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Det kan vidare handla om en skyldighet att lämna uppgifter till tillsynsmyndighet eller om föreskriven uppgiftsskyldighet till annan myndighet. Enligt 10 kap. 28 § första stycket OSL hindrar inte sekretess att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Enligt en bestämmelse om överföring av sekretess i 24 kap. 2 b § OSL förs sekretessen enligt 24 kap. 2 a § över till en mottagande myndighet som får uppgifter från den som bedriver verksamhet enligt lagen om vissa forskningsdatabaser. En generell uppgiftsskyldighet som inte bryter sekretessen finns i 6 kap. 5 § OSL. Enligt den bestämmelsen ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.
Att utlämnande av uppgifter enligt paragrafen gäller såväl personuppgifter som uppgifter om avlidna innebär att denna bestämmelse, i likhet med bestämmelserna i 3 kap. 1 § första stycket, 2, 5 och 7 §§ har ett vidare tillämpningsområde än övriga bestämmelser i lagen, vilka endast gäller behandling av personuppgifter.
Övervägandena finns i avsnitt 8.1.4.
Formen för utlämnande
4 § Utlämnande enligt 2 § och 2 kap. 2 § första stycket 2 eller 3 får bara avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Personuppgifter får dock vara direkt identifierbara vid utlämnandet om det är nödvändigt för att uppfylla ändamålet med den forskning eller den utredning som uppgifterna ska lämnas ut till.
Paragrafen reglerar ett krav på att personuppgifter som lämnas ut från en forskningsdatabas ska vara pseudonymiserade eller skyddade på annat likvärdigt sätt.
I första stycket föreskrivs en huvudregel om pseudonymisering eller annat likvärdigt skydd vid utlämnande av personuppgifter till ett forskningsprojekt eller för utredning om oredlighet i forskning eller annan avvikelse från god forskningssed. Enligt 1 kap. 5 § har termer och uttryck i denna lag samma betydelse som i EU:s dataskyddsförordning. Med pseudonymisering avses enligt artikel 4.5 dataskyddsförordningen att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Dessa kompletterande uppgifter ska förvaras separat och vara föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. Vanligast förekommande är användandet av en s.k. kodnyckel, som innebär att direkta identifikatorer såsom personnummer eller namn ersätts av en annan beteckning, och där nyckeln används för att koppla beteckningen till den fysiska personens verkliga identitetsuppgifter. Med att personuppgifterna ska vara skyddade på likvärdigt sätt menas att det bör åligga den personuppgiftsansvarige att välja en skyddsåtgärd som, i samma utsträckning som pseudonymisering, uppfyller kravet på att förhindra att den registrerade sammankopplas med sina identifierande personuppgifter. Exempel på sådana åtgärder är olika typer av randomisering eller generalisering.
I andra stycket föreskrivs ett undantag som innebär att personuppgifter får vara direkt identifierbara vid utlämnandet om det är nödvändigt för att uppfylla ändamålet med den forskning eller den utredning som uppgifterna ska lämnas ut till. För tolkning av vad som här avses med kravet på nödvändighet kan ledning sökas i dataskyddsförordningens skäl 39, där det anges att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. Det innebär att utlämnande av uppgifter som inte är pseudonymiserade eller skyddade på likvärdigt sätt endast får ske om ändamålet med den aktuella forskningen inte rimligen kan uppnås på annat sätt. Så kan exempelvis vara fallet om forskare i forskningsprojektet planerar att ta kontakt med forskningspersoner för att exempelvis tillfråga dem om medverkan i enkät eller dylikt. Det torde i allmänhet framgå av en vid etikprövning godkänd forskningsplan om behandling av personuppgifter som är direkt identifierbara avses ingå i projektet. Det kan också framgå av ett villkor i ett beslut från Etikprövningsmyndigheten om en sådan del av ett forskningsprojekt med behandling av personuppgifter som är direkt identifierbara inte godkänts eller om den har begränsats på något sätt.
Övervägandena finns i avsnitt 8.2.1.
5 § Om personuppgifter som har lämnats ut till ett forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 eller uppgifter om avlidna som har lämnats ut till ett sådant projekt är pseudonymiserade eller skyddade på likvärdigt sätt, får kompletterande uppgifter för att identifiera en registrerad, inbegripet de registrerades personnummer eller motsvarande identitetsbeteckning, lämnas ut till en myndighet, om det är nödvändigt för att myndigheten ska kunna lämna ut uppgifter om samma personer till det forskningsprojekt som uppgifter har lämnats ut till.
Paragrafen reglerar möjligheten att från en forskningsdatabas, som har lämnat ut uppgifter till ett forskningsprojekt, lämna ut personuppgifter eller uppgifter om avlidna till en myndighet för att den myndigheten ska kunna lämna ut uppgifter om samma personer till forskningsprojektet. Paragrafen har utformats efter synpunkter från Lagrådet.
Enligt 4 § ska de personuppgifter som lämnas ut från en forskningsdatabas till ett forskningsprojekt som huvudregel vara pseudonymiserade eller skyddade på annat likvärdigt sätt. Även uppgifter om avlidna som lämnas ut kan vara skyddade på likvärdigt sätt. Om en forskningshuvudman, som har fått uppgifter från en forskningsdatabas, vänder sig till en myndighet för att få ut kompletterande uppgifter om samma personer från ett visst myndighetsregister, behöver de uppgifter som huvudmannen får därifrån kunna kopplas till de personuppgifter eller uppgifter om avlidna som huvudmannen har fått från forskningsdatabasen. Den myndighet som för forskningsdatabasen måste för detta syfte ha identifierbara personuppgifter eller uppgifter om avlidna och/eller en kodnyckel. Av bestämmelsen i denna paragraf följer att det är tillåtet att från en forskningsdatabas lämna ut en kodnyckel eller liknande förteckning med kompletterande uppgifter för att identifiera en registrerad eller en avliden, inbegripet de registrerades personnummer eller motsvarande identitetsbeteckning, till en myndighet, om det är nödvändigt för att den myndigheten ska kunna lämna ut uppgifter om samma personer till samma forskningsprojekt som forskningsdatabasen har lämnat pseudonymiserade personuppgifter till. Den andra myndigheten kan ofta vara en statistikansvarig myndighet.
Att utlämnande av kompletterande uppgifter enligt paragrafen gäller såväl personuppgifter som uppgifter om avlidna innebär att denna bestämmelse, i likhet med bestämmelserna i 3 kap. 1 § första stycket, 2, 3 och 7 §§, har ett vidare tillämpningsområde än övriga bestämmelser i lagen, vilka endast gäller behandling av personuppgifter.
De identifierbara personuppgifter som lämnas ut till myndigheten kommer att vara skyddade av sekretess, antingen överförd sådan enligt 24 kap. 2 b § offentlighets- och sekretesslagen (2009:400), förkortad OSL, eller enligt en primär sekretessbestämmelse hos den mottagande myndigheten, t.ex. 24 kap. 8 § OSL. Om det handlar om känsliga personuppgifter kommer forskningsprojektet och dess inhämtande av kompletterande uppgifter från myndighetsregister att ha bedömts och godkänts av Etikprövningsmyndigheten, se 3 kap. 1 § andra stycket.
Övervägandena finns i avsnitt 8.2.2.
6 § Den personuppgiftsansvarige ska bevara en förteckning över de kompletterande uppgifter som behövs för att identifiera en registrerad så länge som det är nödvändigt.
I paragrafen stadgas en skyldighet för den personuppgiftsansvarige att bevara en förteckning över kompletterande uppgifter (kodnycklar eller liknande) som behövs för att identifiera en registrerad.
Enligt 4 § ska uppgifter som lämnas ut från en forskningsdatabas som huvudregel vara pseudonymiserade eller skyddade på likvärdigt sätt. Vid pseudonymisering kommer uppgifter att lämnas ut i kodad form, där personuppgifterna inför utlämning förses med en beteckning som hos den personuppgiftsansvarige för forskningsdatabasen kan kopplas till den registrerades personnummer eller motsvarande identitetsbeteckning. För att i ett senare skede, exempelvis vid en förnyad begäran om utlämnande av uppgifter avseende samma registrerade som tidigare, kunna koppla redan utlämnade uppgifter till identifierbara personuppgifter som finns i forskningsdatabasen behöver det i forskningsdatabasen bevaras en förteckning över kompletterande uppgifter som behövs för att identifiera en registrerad (kodnycklar o. dyl.). En sådan förteckning behövs också för att en forskningsdatabas, som har lämnat ut uppgifter till ett forskningsprojekt, ska kunna lämna ut uppgifter enligt 5 § till en myndighet för att den myndigheten ska kunna lämna ut uppgifter om samma personer till forskningsprojektet.
Enligt bestämmelsen ska en sådan förteckning bevaras hos den personuppgiftsansvarige så länge som det är nödvändigt. Det är ändamålen med behandlingen av personuppgifterna som avgör hur länge personuppgifterna får bevaras i identifierbart skick. Vid bedömningen av om ett bevarande är nödvändigt eller inte ska hänsyn tas dels till integritetsaspekter, dels till forskningsvärldens intressen av och önskemål om långsiktigt bevarande för att kunna genomföra longitudinella studier eller för att senare forskningsprojekt ska kunna göra uppföljande studier av ett tidigare projekt. Det sistnämnda kräver en fungerande dialog mellan den personuppgiftsansvarige och de forskningshuvudmän som kan tänkas ha intresse av sådant långsiktigt bevarande.
Övervägandena finns i avsnitt 8.2.3.
Tystnadsplikt för uppgifter som mottagits från en forskningsdatabas
7 § En enskild forskningshuvudman som är en fysisk person eller den som är eller har varit verksam hos en enskild forskningshuvudman som är en juridisk person som inte anges i bilagan till offentlighets- och sekretesslagen (2009:400) får inte obehörigen röja vad denne har fått veta om enskilds personliga förhållanden genom personuppgifter eller uppgifter om avlidna som mottagits från en forskningsdatabas.
I det allmännas verksamhet och för sådana organ som anges i bilagan till offentlighets- och sekretesslagen (2009:400) gäller den lagen.
Paragrafen har utformats efter synpunkter från Lagrådet. Paragrafen reglerar tystnadsplikt för en enskild forskningshuvudman som är en fysisk person och för den som är verksam eller har varit verksam hos en enskild forskningshuvudman som inte anges i bilagan till offentlighets- och sekretesslagen, förkortad OSL, och som mottagit uppgifter från en forskningsdatabas. Paragrafen innehåller också en erinran om att i det allmännas verksamhet, dvs. hos lärosäten som är myndigheter, och för enskilda lärosäten som är intagna i bilagan till OSL gäller den lagen.
Enligt bestämmelsen i första stycket får en enskild forskningshuvudman som är en fysisk person eller den som är verksam eller har varit verksam hos en enskild forskningshuvudman som inte anges i bilagan till OSL inte obehörigen röja vad denne har fått veta om enskilds personliga förhållanden genom personuppgifter eller uppgifter om avlidna som mottagits från en forskningsdatabas. Med forskningshuvudman avses i denna lag detsamma som i 2 § lagen (2003:460) om etikprövning av forskning som avser människor, dvs. en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs (se kommentaren till 3 kap. 2 §). En forskningsdatabas som omfattas av lagens tillämpningsområde kan innehålla personuppgifter, se 2 kap. 10 § denna lag, men den kan också innehålla uppgifter som inte är personuppgifter, t.ex. uppgifter om avlidna. Samtliga sådana uppgifter omfattas av absolut sekretess enligt 24 kap. 2 a § första stycket OSL. Personuppgifter kan lämnas ut till en forskningshuvudman eller annan med tillämpning av 2 kap. 2 § första stycket 2 eller 3 och 3 kap. 1–3 och 5 §§ denna lag. För utlämnande av uppgifter om avlidna gäller vad som anges i 3 kap. 1 § första stycket, 2, 3 och 5 §§ denna lag. Sekretess enligt 24 kap. 2 a § OSL hindrar inte sådana utlämnanden (se andra stycket första meningen samma paragraf). Enligt 3 kap. 1 § första stycket får utlämnande av personuppgifter till ett forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 och utlämnande av uppgifter om avlidna till ett sådant projekt bara ske till fysiska eller juridiska personer som ska tillämpa OSL eller fysiska personer som omfattas av tystnadsplikt enligt denna paragraf. Att tystnadsplikten enligt denna paragraf gäller såväl personuppgifter som uppgifter om avlidna innebär att denna bestämmelse, i likhet med bestämmelserna i 3 kap. 1, 2, 3 och 5 §§ har ett vidare tillämpningsområde än övriga bestämmelser i lagen, vilka endast gäller behandling av personuppgifter.
Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning eller att uppgiften lämnas ut till den registrerade själv. Det är inte heller fråga om obehörigt röjande om utlämnande sker i en situation när motsvarande uppgifter skulle ha fått lämnas ut enligt OSL.
I 44 kap. 5 § OSL finns en bestämmelse som innebär att tystnadsplikten enligt denna paragraf inskränker den grundlagsskyddade rätten att meddela och offentliggöra uppgifter.
I andra stycket erinras om att tystnadspliktsbestämmelsen i första stycket inte gäller för myndigheter eller lärosäten som är intagna i bilagan till OSL och som mottagit uppgifter från en forskningsdatabas. För dem gäller i stället den överförda sekretess som regleras i 24 kap. 2 b § OSL. Detsamma gäller för personer som är anställda eller har ett uppdrag hos en sådan myndighet eller ett sådant lärosäte som anges i bilagan till OSL, se 2 kap. 1 § OSL.
Övervägandena finns i avsnitt 10.4.
Information om utlämnande till forskning
8 § Den registrerade har rätt att på begäran få information om vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut till.
Paragrafen reglerar den registrerades rätt att på begäran få information om vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut till.
Bestämmelsen är en specificering av den registrerades rätt enligt artikel 15.1 c i dataskyddsförordningen, till information om de mottagare eller kategorier av mottagare till vilka personuppgifter har lämnats ut eller ska lämnas ut. I bestämmelsen förtydligas att rätten inte bara gäller vilka forskningshuvudmän som tagit emot uppgifter utan även till vilka forskningsprojekt utlämnande skett. Det har inte föreskrivits någon särskild form för lämnandet av informationen. För en registrerad som är underårig, och inte har nått en sådan ålder och mognad att han eller hon själv kan ta ställning till frågan, får en begäran om att få information göras av den registrerades vårdnadshavare. Bestämmelser om hur information och kommunikation med den registrerade ska gå till finns i artikel 12 i dataskyddsförordningen.
Av 2 kap. 10 § 9 framgår att det i en forskningsdatabas får finnas uppgifter om utlämnande som har skett till forskning. Den personuppgiftsansvarige får registrera uppgifter i den utsträckning som behövs för att tillgodose den registrerades rätt enligt förevarande paragraf.
Övervägandena finns i avsnitt 8.3.
Direktåtkomst
9 § Personuppgifter får inte lämnas ut genom direktåtkomst annat än till den registrerade själv.
Bestämmelsen reglerar möjligheten till så kallad direktåtkomst. Av bestämmelsen följer ett förbud mot direktåtkomst med ett undantag. Den registrerade får medges direktåtkomst till personuppgifter rörande sig själv.
Med uttrycket direktåtkomst avses en speciell form av elektroniskt utlämnande av uppgifter till annan. Det åsyftar i regel att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, men utan att påverka innehållet i registret eller databasen. Med direktåtkomst avses således en elektronisk åtkomst till personuppgifter som innefattar ett utlämnande av uppgifterna till den som har åtkomsten. Paragrafen innebär att det inte är tillåtet att genom direktåtkomst lämna ut personuppgifter enligt 2 kap. 2 § första stycket, 3 kap. 2, 3 eller 5 §. Detta gäller oavsett om det är fråga om utlämnande till andra myndigheter eller om det är fråga om utlämnande till sådana anställda eller uppdragstagare hos den personuppgiftsansvarige som arbetar med sådan forskning som avses i 2 kap. 2 § första stycket. Bestämmelsen hindrar inte att personuppgifter lämnas ut i elektronisk form på annat sätt än genom direktåtkomst, t.ex. genom s.k. utlämnande på medium för automatiserad behandling.
Av bestämmelsen följer att den registrerade får medges direktåtkomst till personuppgifter rörande sig själv. Bestämmelsen innebär inte någon rätt för denne till direktåtkomst, utan endast en möjlighet för personuppgiftsansvariga att kunna ge det om lärosätet har de tekniska och organisatoriska möjligheterna därtill och anser det säkert och lämpligt.
Övervägandena finns i avsnitt 8.4.
4 kap. Ytterligare föreskrifter
1 § Regeringen får meddela ytterligare föreskrifter om
1. begränsningar av vilka personuppgifter som får behandlas i en forskningsdatabas, och
2. begränsningar i fråga om utlämnande från en forskningsdatabas.
Paragrafen innehåller bemyndiganden för regeringen att meddela ytterligare föreskrifter som innebär begränsningar i vissa avseenden i förhållande till vad som följer av lagens bestämmelser när det gäller den behandling av personuppgifter som får ske i sådana forskningsdatabaser som förs med stöd av lagen och begränsningar i fråga om utlämnande av uppgifter från en forskningsdatabas.
Av 1 kap. 4 § framgår att regeringen får meddela föreskrifter om vilka forskningsdatabaser som får föras enligt lagen och vilket lärosäte som får föra forskningsdatabasen. Enligt 2 kap. 2 § andra stycket får regeringen meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till. Dessutom får enligt 2 kap. 11 § genetiska uppgifter och personuppgifter som avser lagöverträdelser finnas i en forskningsdatabas bara om regeringen har meddelat föreskrifter om det.
I första punkten anges att regeringen därutöver får meddela föreskrifter om begränsningar av vilka personuppgifter som får behandlas i en forskningsdatabas. Det kan handla om att begränsa tillåtet innehåll i en forskningsdatabas enligt 2 kap. 10 §, exempelvis genom att för en viss forskningsdatabas inte tillåta kompletterande insamling från andra källor eller inte tillåta behandling av känsliga personuppgifter. Det kan också röra sig om att uppställa krav på pseudonymisering redan vid registrering i forskningsdatabasen.
I andra punkten bemyndigas regeringen att föreskriva ytterligare begränsningar i fråga om utlämnande av personuppgifter från forskningsdatabasen. Det kan handla om att föreskriva att utlämnande bara får ske till forskningsprojekt som bedrivs hos vissa forskningshuvudmän eller att direkt identifierbara uppgifter inte får lämnas ut.
Övervägandena finns i avsnitt 7.2.1 och 8.1.1.
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 1 januari 2025.
2. Bestämmelserna i 2 kap. 4–11 §§ gäller inte för sådana uppgifter som registrerats i tiden innan verksamheten med en forskningsdatabas kommit att omfattas av denna lags tillämpningsområde. Bestämmelsen i 2 kap. 7 § ska dock tillämpas i fråga om den som blir myndig först därefter.
Enligt punkt 1 ska lagen träda i kraft den 1 januari 2025. Den tidsbegränsade lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa som gäller till utgången av 2024 ersätts därigenom av en permanent och mer generell reglering.
I punkt 2 finns en övergångsbestämmelse med innebörden att lagens bestämmelser om information till och samtycke från registrerade samt tillåtet innehåll inte ska tillämpas på sådana uppgifter som registrerats i tiden innan en verksamhet med en forskningsdatabas kommit att omfattas av lagens tillämpningsområde. Sådana äldre uppgifter kommer inte heller att omfattas av bestämmelsen om att den som registrerats som underårig som regel ska informeras om personuppgiftsbehandlingen i forskningsdatabasen och ges tillfälle att motsätta sig den. Detta gäller dock inte om den registrerade blivit myndig efter att lagen blivit tillämplig. Det sagda innebär att lagen kan bli tillämplig på en databas utan att äldre uppgifter behöver rensas bort eller att information behöver lämnas och samtycken behöver inhämtas när det gäller sådana uppgifter. Däremot kommer lagens bestämmelser i övrigt att gälla även för sådana äldre personuppgifter från och med den dag som regeringen med stöd av bemyndigandet i 1 kap. 4 § meddelar föreskrifter om att forskningsdatabasen får föras enligt lagen och vilket lärosäte som får föra forskningsdatabasen. Exempelvis gäller detta bestämmelserna om tillåtna ändamål, integritetsskydd inom verksamheten och vilka utlämnanden som framgent får ske. För insamlande och behandling av nya uppgifter gäller samtliga bestämmelser i lagen.
Övervägandena finns i avsnitt 13.1.
Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
24 kap.
2 a § Sekretess gäller i verksamhet som avser förande av eller uttag ur en forskningsdatabas som förs med stöd av lagen (2024:000) om vissa forskningsdatabaser för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde.
Sekretessen hindrar inte att uppgift lämnas ut i den utsträckning som framgår av 2 kap. 2 § första stycket 2 och 3 samt 3 kap. 1–3 och 5 §§ den lag som avses i första stycket och i förordning som meddelats i anslutning till lagen. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Paragrafen reglerar i dag sekretessen för uppgifter i verksamhet som avser förande av eller uttag ur register enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.
Första stycket ändras så att det gäller absolut sekretess i verksamhet som avser förande av eller uttag ur en forskningsdatabas som förs med stöd av lagen om vissa forskningsdatabaser för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde. I verksamheten med en forskningsdatabas kan det t.ex. förekomma uppgifter om personer som huvudmannen för forskningsdatabasen avser att tillfråga om de vill medverka i databasen (se 2 kap. 5 § lagen om vissa forskningsdatabaser). I en forskningsdatabas kan det, förutom personuppgifter (se 2 kap. 10 § lagen om vissa forskningsdatabaser), förekomma även andra uppgifter som faller utanför tillämpningsområdet för de bestämmelser i lagen om vissa forskningsdatabaser som enbart avser behandling av personuppgifter. Det kan t.ex. gälla uppgifter om avlidna. Även sådana uppgifter omfattas av sekretessen enligt denna paragraf då de finns i verksamheten med forskningsdatabasen. Av 9 § första stycket framgår att den tystnadsplikt som följer av sekretessen inskränker den grundlagsskyddade rätten att meddela och offentliggöra uppgifter.
Andra stycket första meningen ändras så att den sekretessbrytande bestämmelsen innebär att uppgifter som avses i första stycket får lämnas ut i den utsträckning som framgår av 2 kap. 2 § första stycket 2 och 3 samt 3 kap. 1–3 och 5 §§ lagen om vissa forskningsdatabaser och i förordning som meddelats i anslutning till den lagen, se kommentaren till de bestämmelserna.
Sekretessen enligt första stycket är undantagen från tillämpningsområdet för den s.k. generalklausulen i 10 kap. 27 § OSL, som anger att en sekretessbelagd uppgift får lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Sekretessen kan dock brytas i vissa andra fall som framgår i 10 kap. OSL, se exempelvis 10 kap. 23 §. I och med att sekretessen är absolut kan utlämnande dock inte ske med förbehåll enligt 10 kap. 14 § OSL.
Övervägandena finns i avsnitt 10.3.
2 b § Får en myndighet en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt lagen (2024:000) om vissa forskningsdatabaser, blir 2 a § tillämplig även hos den mottagande myndigheten.
Paragrafen innehåller en bestämmelse om överföring av sekretess. Bestämmelsen ändras med anledning av ändringen i 2 a § till att avse överföring av sekretess vid utlämnande av uppgifter från den som bedriver verksamhet enligt lagen om vissa forskningsdatabaser till en myndighet.
Bestämmelsen innebär att om ett lärosäte, som har staten som huvudman eller som är intagen i bilagan till OSL, bedriver verksamhet med en forskningsdatabas enligt lagen om vissa forskningsdatabaser och lämnar ut uppgifter som är sekretessreglerade enligt 2 a § till en myndighet eller ett organ som är intaget i bilagan till OSL, så blir sekretessbestämmelsen tillämplig hos den mottagande myndigheten eller organet. Så kan exempelvis bli fallet om ett lärosäte med stöd av 2 kap. 2 § och 3 kap. 1 § lagen om vissa forskningsdatabaser lämnar ut uppgifter till ett forskningsprojekt som bedrivs av en myndighet, av ett lärosäte som är en myndighet eller som anges i bilagan till OSL eller om uppgifter lämnas ut till ett forskningsprojekt som bedrivs inom en annan självständig verksamhetsgren inom lärosätet (se 8 kap. 2 § OSL). Så blir också fallet om lärosätet lämnar ut kompletterande uppgifter för att identifiera en registrerad, inbegripet de registrerades personnummer eller motsvarande identitetsbeteckning, dvs. en kodnyckel eller liknande, till en myndighet enligt 3 kap. 5 § lagen om vissa forskningsdatabaser.
Om uppgifter lämnas ut enligt 2 kap. 2 § första stycket 2 eller 3 § lagen om vissa forskningsdatabaser till ett forskningsprojekt som bedrivs vid en forskningshuvudman som tillämpar denna lag, kommer parallella bestämmelser om överföring av sekretess att gälla, dels den nu kommenterade, dels den generella bestämmelsen om överföring av sekretess till forskningsverksamhet i 11 kap. 3 § denna lag. Vidare kan det hos forskningshuvudmannen gälla primär sekretess enligt 24 kap. 8 § andra stycket andra meningen och 7 § offentlighets- och sekretessförordningen (2009:641). Vid konkurrens mellan bestämmelsen om överföring av sekretessen i denna paragraf och en primär sekretessbestämmelse hos en mottagande myndighet följer det av 7 kap. 3 § att den sekretessbestämmelse enligt vilken uppgiften är sekretessbelagd har företräde framför en sekretessbestämmelse enligt vilken uppgiften ska lämnas ut.
Övervägandena finns i avsnitt 10.3.
8 § Sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde.
Motsvarande sekretess gäller i annan jämförbar undersökning som utförs av Riksrevisionen, av riksdagsförvaltningen, av Statskontoret eller inom det statliga kommittéväsendet. Detsamma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det.
Uppgift som behövs för forsknings- eller statistikändamål eller uppgift som behövs i en forskningsdatabas som förs med stöd av lagen (2024:000) om vissa forskningsdatabaser och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355).
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år.
Paragrafen innehåller bestämmelser om statistiksekretess.
Enligt huvudregeln i första stycket gäller absolut sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller enligt andra stycket i annan jämförbar undersökning som utförs av Riksrevisionen, av riksdagsförvaltningen, av Statskontoret eller inom det statliga kommittéväsendet samt annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det. Sådana undersökningar kan avse forskning vid lärosäten och andra myndigheter, se 7 § offentlighets- och sekretessförordningen (2009:641).
Genom ett tillägg i tredje stycket första meningen utvidgas tillämpningsområdet för undantagen från den absoluta statistiksekretessen till att avse inte bara uppgifter som behövs för forsknings- eller statistikändamål utan också uppgifter som behövs i en forskningsdatabas som förs med stöd av lagen om vissa forskningsdatabaser. Med ”uppgifter som behövs” avses alla typer av uppgifter som behövs i en sådan forskningsdatabas oavsett om det är fråga om personuppgifter eller om det är fråga om uppgifter om avlidna. Enligt bestämmelserna i detta stycke får uppgift som behövs i en nu aktuell forskningsdatabas lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Undantaget innebär en prövning i två steg. Det handlar dels om forskningsdatabasens behov av uppgiften, dels om en skadeprövning enligt det föreskrivna omvända skaderekvisitet.
Vid begäran från en forskningsdatabas om att få ut personuppgifter ska det, enligt lagen om vissa forskningsdatabaser, vara fråga om uppgifter som kompletterar redan behandlade uppgifter i forskningsdatabasen. Med att uppgiften behövs i en forskningsdatabas avses att kompletteringen med de efterfrågade uppgifterna ökar eller upprätthåller kvaliteten eller det vetenskapliga värdet av forskningsdatabasen. Det ankommer på det personuppgiftsansvariga lärosätet att göra en sådan behovsprövning innan komplettering begärs. Lärosätet ska även göra en motsvarande prövning inför att uppgifter om avlidna begärs ut. Den utlämnande myndigheten bör pröva att lärosätet har gjort sådana behovsprövningar.
Den utlämnande myndigheten ska vidare pröva frågan om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. När det gäller uppgifter som utgör personuppgifter ska det beaktas att en forskningsdatabas enligt lagen om vissa forskningsdatabaser bygger på enskildas frivilliga medverkan och att det som huvudregel krävs samtycke för insamling av personuppgifter från andra källor än den enskilde och att det annars krävs att den registrerade informerats om den kompletterande insamlingen och inte har motsatt sig den, s.k. opt-out (se 2 kap. 4, 6 och 7 §§ lagen om vissa forskningsdatabaser). När samtycke föreligger får den enskilde anses ha eftergett den sekretess som kan gälla för uppgifter från källor som samtycket omfattar (jfr 12 kap. 2 § denna lag). I ett sådant fall behöver det inte göras någon prövning enligt nu aktuell bestämmelse före utlämnandet. När det är fråga om en situation där den registrerade har informerats om den kommande kompletteringen av uppgifter och inte har motsatt sig den inom den uppsatta tidsramen ska det dels beaktas den möjlighet till insyn i och kontroll över personuppgiftsbehandlingen som den registrerade har enligt lagen om vissa forskningsdatabaser, dels att den sekretess som gäller enligt 24 kap. 2 a § denna lag i en verksamhet med en forskningsdatabas i princip motsvarar sekretessen enligt denna paragraf, dels att utlämnande av uppgifter från en forskningsdatabas enligt 3 kap. 1 § första stycket lagen om vissa forskningsdatabaser bara får ske till fysiska eller juridiska personer som ska tillämpa denna lag eller till fysiska personer som omfattas av tystnadsplikt enligt 3 kap. 7 § lagen om vissa forskningsdatabaser, dels att det i 24 kap. 2 b § finns en bestämmelse om överföring av sekretess vid utlämnande av uppgifter från en forskningsdatabas. I de fall den enskilde inte har motsatt sig den kompletterande insamlingen till forskningsdatabasen, bör således en skadeprövning enligt det omvända skaderekvisitet, med hänsyn till nu nämnda omständigheter, normalt leda till bedömningen att det står klart att uppgifterna kan lämnas ut till forskningsdatabasen utan att den enskilde eller någon närstående till denne lider skada eller men.
När det gäller uppgifter om avlidna framgår det av förarbetena till denna lag att sekretessen till skydd för den enskilde själv är väsentligt svagare än för levande personer (prop. 1979/80:2 del A s. 84). Sekretess kan dock gälla om uppgiften kan anses kränka den frid som bör tillkomma den avlidne t.ex. för integritetskänsliga uppgifter som det med fog kan antas att den enskilde inte velat skulle komma till någon annans kännedom ens efter hans eller hennes död (RÅ 2007 ref 16). Om en enskild före sin död samtyckt till att uppgifter om honom eller henne får ingå i en viss forskningsdatabas, och sekretesstiden fortfarande löper, kan därmed utgångspunkten många gånger vara att även uppgifter om personen som tillkommit efter hans eller hennes död kan lämnas ut till den forskningsdatabasen. Oavsett om ett sådant samtycke lämnats eller inte ska också det skydd som ges genom ovan redovisad sekretessreglering och tystnadsplikt beaktas.
Övervägandena finns i avsnitt 10.5.
9 § Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
I paragrafen finns bestämmelser om när den tystnadsplikt som följer av sekretessbestämmelser i kapitlet inskränker rätten att meddela och offentliggöra uppgifter.
Ändringen av paragrafen består i att andra stycket, som innebär att den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke, tas bort eftersom 2 § som behandlar sekretess i verksamhet som avser förande av eller uttag ur register som förs enligt lagen (1999:353) om rättspsykiatriskt forskningsregister upphör att gälla. Att inskränkningen fortfarande ska gälla i fråga om uppgift som hänför sig till verksamhet som avsett förande av eller uttag ur det rättspsykiatriska forskningsregistret framgår av en övergångsbestämmelse.
Övervägandena finns i avsnitt 10.3.
44 kap.
5 § Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1
och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer
1. av beslut som har meddelats med stöd av 7 § lagen (1999:988) om
förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,
2. av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder
inför och vid extraordinära händelser i fredstid och höjd beredskap,
3. av 4 kap. 16 § försäkringsrörelselagen (2010:2043),
4. av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och
tjänstepensionsinstituts verksamhet i Sverige,
5. av 32 § lagen (2020:62) om hemlig dataavläsning,
6. av 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk
bearbetning eller lagring av uppgifter, och
7. av 3 kap. 7 § lagen (2024:000) om vissa forskningsdatabaser.
Paragrafen reglerar i vilka fall tystnadsplikt i vissa författningar inskränker den grundlagsskyddade rätten att meddela och offentliggöra uppgifter.
Sjunde punkten är ny. I 3 kap. 7 § lagen om vissa forskningsdatabaser föreskrivs att en enskild forskningshuvudman som är en fysisk person eller den som är eller har varit verksam hos en enskild forskningshuvudman som inte anges i offentlighets- och sekretesslagen (2009:400) inte obehörigen får röja vad denne har fått veta om enskilds personliga förhållanden genom uppgifter som mottagits från en forskningsdatabas. Av sjunde punkten framgår att den tystnadsplikten är en sådan tystnadsplikt som inskränker rätten att meddela och offentliggöra uppgifter.
Övervägandena finns i avsnitt 10.3.
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 1 januari 2025.
2. Den upphävda bestämmelsen i 24 kap. 2 § gäller fortfarande i fråga om uppgifter i verksamhet som avsett förande av eller uttag ur register som förts enligt den upphävda lagen (1999:353) om rättspsykiatriskt forskningsregister.
3. Bestämmelsen i 24 kap. 2 a § i den äldre lydelsen ska vara fortsatt tillämplig på sådana uppgifter som före ikraftträdandet av lagen (2024:000) om vissa forskningsdatabaser har lämnats ut med överföring av sekretessen i 2 a § enligt bestämmelsen i 2 b § i den äldre lydelsen.
4. Den inskränkning i rätten att meddela och offentliggöra uppgifter enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen som följer av 24 kap. 9 § i den äldre lydelsen gäller fortfarande för uppgift i verksamhet som avsett förande av eller uttag ur register som förts enligt den upphävda lagen (1999:353) om rättspsykiatriskt forskningsregister.
Enligt bestämmelsen i punkt 1 ska lagen träda i kraft den 1 januari 2025.
Punkt 2 avser bestämmelserna i 24 kap. 2 §, som innebär att viss sekretess gäller i verksamhet som avser förande av eller uttag ur register som förs enligt lagen (1999:353) om rättspsykiatriskt forskningsregister för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden som har tillförts registret, och som upphör att gälla den 1 januari 2025. Andra punkten innebär att uppgifter som omfattas av den upphävda bestämmelsen i 24 kap. 2 § fortfarande gäller i fråga om uppgifter i verksamhet som avsett förande av eller uttag ur register som förts enligt den upphävda lagen (1999:353) om rättspsykiatriskt forskningsregister.
Punkt 3 avser uppgifter som lämnats ut med stöd av de bestämmelser om sekretess som gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde (24 kap. 2 a §). Lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen) är tidsbegränsad och upphör att gälla vid utgången av 2024. Punkten 3 innebär att sekretessbestämmelsen i 24 kap. 2 a § i den äldre lydelsen ska vara fortsatt tillämplig på sådana uppgifter som före ikraftträdandet av lagen (2024:000) om vissa forskningsdatabaser har lämnats ut med överföring av sekretessen i 2 a § enligt bestämmelsen i 2 b § i den äldre lydelsen.
Punkt 4 avser 24 kap. 9 § andra stycket, som innebär att den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke. Bestämmelserna i 24 kap. 2 § upphör att gälla den 1 januari 2025 och i konsekvens med vad som föreskrivs i övergångsbestämmelsen i andra punkten föreskrivs i fjärde punkten att den inskränkning i rätten att meddela och offentliggöra uppgifter enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen som följer av 24 kap. 9 § i den äldre lydelsen fortfarande gäller för uppgift som hänför sig till verksamhet som avsett förande av eller uttag ur register som förts enligt den upphävda lagen om rättspsykiatriskt forskningsregister.
Övervägandena finns i avsnitt 13.2.
Förslaget till lag om ändring i lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter
1 kap.
5 § Denna lag gäller inte när personuppgifter behandlas med stöd av
1. lagen (2003:460) om etikprövning av forskning som avser människor,
2. patientdatalagen (2008:355), eller
3. lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
Paragrafen klargör lagens förhållande till vissa andra författningar.
Eftersom lagen (1999:353) om rättspsykiatriskt forskningsregister upphävs (se avsnitt 2.3) görs en följdändring i denna lag. Ändringen innebär att den första punkten som anger att lagen inte gäller när personuppgifter behandlas med stöd av lagen om rättspsykiatriskt forskningsregister tas bort. De övriga punkterna omnumreras till följd av detta.
Övervägandena finns i avsnitt 9.
Sammanfattning av promemorian Långsiktig reglering av forskningsdatabaser (U2022/04089)
Promemorians huvudsakliga innehåll
I denna promemoria lämnas ett förslag om en långsiktig reglering av vissa forskningsdatabaser. Vid framtagandet av förslaget har Registerforskningsutredningens respektive Forskningsdatautredningens förslag till lagar om forskningsdatabaser jämte remissutfallet avseende dessa förslag beaktats.
Bakgrund
I början av 2010-talet kom det att uppmärksammas att det fanns en rättslig problematik när det gäller registerbaserad forskning, nämligen svårigheter att skapa forskningsdatabaser av infrastrukturkaraktär med personuppgifter som kan utgöra underlag för flera olika framtida forskningsprojekt. Sådana kan inte prövas enligt etikprövningslagen, eftersom de inte avser ett avgränsat forskningsprojekt, och flera statistikansvariga myndigheter, däribland Statistiska centralbyrån, anser inte det möjligt att lämna ut uppgifter till sådana databaser. Även Integritetsskyddsmyndigheten (dåvarande Datainspektionen) hade rättsliga invändningar mot skapandet av sådana forskningsdatabaser som man menade inte uppfyllde dataskyddsregleringens krav på specificerade ändamålsbeskrivningar, vilket i sin tur medförde att enskilda inte kunde lämna något giltigt samtycke till att registreras i sådana databaser.
Problematiken ställdes på sin spets i samband med Karolinska institutets projekt LifeGene i vilket personuppgifter samlades in från enskilda för att de senare skulle utgöra underlag för kommande, etikgodkända forskningsprojekt om sambanden arv, miljö och hälsa. Det sökta etikgodkännandet av forskningsdatabasen kunde inte fås eftersom det inte handlade om ett konkret forskningsprojekt och Integritetsskyddsmyndigheten förelade Karolinska institutet att upphöra med personuppgiftsbehandlingen för ”framtida forskning” såsom stridande mot då gällande personuppgiftslagens (1998:204) krav på preciserade ändamål.
Detta kom så småningom att leda till införandet av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa, LifeGene-lagen, med en anslutande förordning. Vidare gavs ett uppdrag till Registerforskningsutredningen att bland annat analysera den nämnda problematiken och lämna förslag. LifeGene-lagen gjordes tidsbegränsad i avvaktan på utredningens förslag.
År 2014 lämnade Registerforskningsutredningen förslag på bland annat en lag om forskningsdatabaser (Unik kunskap genom registerforskning, SOU 2014:45). Vid remissomgången kritiserades förslaget av vissa remissinstanser medan det välkomnades av andra. Förslaget var vidare inte anpassat till EU:s dataskyddsförordning, vilket bedömdes kräva ytterligare analyser. Regeringen gav därför Forskningsdatautredningen i uppdrag att vidarebereda det tidigare utredningsförslaget. Utredningen lämnade genom sitt slutbetänkande år 2018 sitt förslag till lag om forskningsdatabaser (Rätt att forska – Långsiktig reglering av forskningsdatabaser, SOU 2018:36). Även detta mottogs med dels kritik, dels gillande av remissinstanser varför frågeställningarna blivit föremål för ytterligare beredning. De båda utredningarnas förslag redovisas tämligen ingående i kapitel 2.
Under tiden frågan om en långsiktig reglering av forskningsdatabaser har utretts och förslagen har beretts har giltighetstiden för den tillfälliga LifeGene-lagen förlängts. Den gäller nu till den 31 december 2023.
En generell lag om vissa forskningsdatabaser
Utgångspunkter för en långsiktig reglering
Även i denna promemoria används begreppet forskningsdatabas för beskrivning av register eller annan samling av personuppgifter som syftar till att skapa underlag för framtida ännu inte definierade forskningsprojekt. Det är värdefullt för forskningen om sådana forskningsdatabaser kan inrättas och utvecklas. Dessa, liksom en del redan befintliga centrala uppgiftssamlingar behöver dock, i likhet med LifeGene, ett tydligt rättsligt stöd för sin personuppgiftsbehandling. Det föreslås därför en långsiktig generell reglering som syftar till att ge ett sådant rättsligt stöd samtidigt som den tillvaratar intresset av ett gott integritetsskydd i verksamhet med forskningsdatabaser.
En långsiktig reglering bör dock inte möjliggöra uppbyggnad av forskningsdatabaser som i huvudsak innehåller personuppgifter som hämtats från statistikansvariga myndigheters register eller andra myndighetsregister. Behovet av en sådan ”reproduktion” är inte så starkt att det överväger de integritetsrisker som uppstår. En långsiktig reglering bör i stället omfatta forskningsdatabaser som baserar sig på de registrerades frivilliga medverkan och som, i huvudsak, består av personuppgifter som samlas in från dem själva eller med deras aktiva medverkan.
Vidare bör en reglering vara inriktad på sådana forskningsdatabaser som är centrala i den meningen att de är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv, och då inte bara för forskningsprojekt som forskningshuvudmannen ansvarar för utan även för forskningsprojekt som bedrivs av andra inom ramen för det eller de forskningsområden som varje forskningsdatabas skapar underlag för (se vidare nedan). Det är universitet och högskolor vid vilka forskning bedrivs som bedöms ha den kapacitet som krävs för att utveckla och förvalta forskningsdatabaser av det beskrivna slaget och som därför bör ges möjlighet att göra detta genom en ny reglering.
I promemorian görs bedömningen att personuppgiftsbehandling i en forskningsdatabas utgör vad som i dataskyddsförordningens mening är personuppgiftsbehandling för vetenskapliga forskningsändamål. Genom den föreslagna lagstiftningen kommer det stå klart att den rättsliga grunden för personuppgiftsbehandling i verksamhet med en forskningsdatabas är utförande av uppgift av allmänt intresse. Registrerades frivilliga medverkan och lämnade samtycke blir därvid, dataskyddsrättsligt, en särskild skyddsåtgärd, dvs. inte en rättslig grund.
Den nya regleringens konstruktion
Den föreslagna långsiktiga regleringen för forskningsdatabaser innebär ett förslag till ramlag, lag om vissa forskningsdatabaser, som innehåller en i förhållande till dataskyddsförordningen och dataskyddslagen kompletterande särreglering för personuppgiftsbehandlingen i de forskningsdatabaser som omfattas av lagens tillämpningsområde. I lagen finns generella bestämmelser för forskningsdatabaserna.
Ingen forskningsdatabas träffas per automatik av regleringen utan det blir regeringens uppgift att genom föreskrifter i förordning peka ut såväl vilka forskningsdatabaser av det ovan beskrivna slaget som får föras enligt lagen som vilka lärosäten som får föra dem. Dessutom är det regeringen som genom föreskrifter avgränsar vilket eller vilka forskningsområden varje forskningsdatabas skapar underlag för och tillhandahåller uppgifter till.
I lagen ges bestämmelser om tillåtet innehåll i en forskningsdatabas av vilka framgår att databasen i allt väsentligt ska byggas upp av personuppgifter som registrerade själva lämnat eller medverkat till att de registreras. I viss utsträckning ska kompletterande insamling från andra källor tillåtas, exempelvis från myndighetsregister eller vårddokumentation. Vidare får genetiska uppgifter och uppgifter om lagöverträdelser behandlas bara om regeringen tillåter det genom föreskrifter i förordning. Regeringen kan i övrigt begränsa vilka slags personuppgifter som får behandlas.
I lagen regleras uttömmande för vilka ändamål personuppgifter får behandlas i en forskningsdatabas. De primära ändamålen är att just skapa underlag för olika framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden samt att lämna ut uppgifter till sådana forskningsprojekt. Sekundära ändamål för behandling av redan insamlade ändamål är utlämnande till dels forskningshuvudmän i samband med utredning av oredlighet i forskning eller annan avvikelse från god forskningssed, dels fullgörande av uppgiftsskyldighet enligt lag eller förordning. I det sistnämnda ingår att personuppgifter om den registrerade alltid kan lämnas ut till denne. Dessutom får kodnyckel eller liknande lämnas ut till annan myndighet för att den myndigheten i sin tur ska kunna lämna uppgifter till ett forskningsprojekt om samma personer som projektet redan fått uppgifter om från forskningsdatabasen. Vid utlämnande till annan ska personuppgifter som huvudregel vara pseudonymiserade eller skyddade på likvärdigt sätt. Regeringen kan föreskriva olika begränsningar gällande utlämnande av personuppgifter. Bara den registrerade själv kan medges direktåtkomst till uppgifter om sig själv i forskningsdatabasen.
I lagen föreslås bestämmelser som syftar till att skapa ett integritetsskydd inom verksamheten hos ett lärosäte med en forskningsdatabas. Det handlar om dels bestämmelser som begränsar tillgången till personuppgifter, dels krav på personuppgiftsansvarigt lärosäte att dokumentera elektronisk åtkomst och kontrollera om obehörig åtkomst förekommit.
Den registrerades insyn och kontroll
Genom olika bestämmelser i lagen, som kompletterar eller närmare specificerar bestämmelser i dataskyddsförordningen, garanteras att den registrerade medverkan i forskningsdatabasen bygger på frivillighet och transparens alldeles oavsett att den rättsliga grunden för behandlingen, utförande av en uppgift av allmänt intresse, inte alltid kräver detta.
Till en början uppställs krav på att utförlig information till registrerade ska ges innan samtycke till medverkan i forskningsdatabasen lämnas. Om kompletterande insamling från andra källor blir aktuell efter registrering och som registrerade inte på förhand fått information vid rekryteringen till databasen, ska registrerade informeras ånyo och ges tillfälle att motsätta sig kompletteringen. Registrerade ges också rätt att när som helst begära att registrerade personuppgifter om honom eller henne raderas eller få information om till vilka forskningsprojekt uppgifter om denne har lämnats ut.
För den som registrerades som underårig i en forskningsdatabas innan han eller hon själv kunde samtycka till registreringen föreslås en ordning som innebär att denne efter att ha fyllt 18 år ska informeras om personuppgiftsbehandlingen. Personuppgifter om denne får fortsätta att behandlas om den nu myndiga registrerade inte aktivt motsätter sig den genom ett meddelande till personuppgiftsansvarigt lärosäte.
Reglering i förordning
Till den föreslagna ramlagen lämnas förslag till en anslutande förordning med närmare bestämmelser för forskningsdatabasen LifeGene och forskningsdatabasen Tvillingregistret (som också drivs av Karolinska institutet). Dessa närmare bestämmelser reglerar vilka forskningsområden som gäller för dessa databaser och avgränsar därmed vilka slags forskningsprojekt som kan bli mottagare av personuppgifter från forskningsdatabasen. Vidare regleras bland annat en del begränsningar i fråga om dels vilka personuppgifter som är tillåtna att lämna ut, dels till vilka slags mottagare utlämnande får ske.
Lagen om rättspsykiatriskt forskningsregister upphävs
Rättsmedicinalverket har sedan år 2000 kunnat föra ett register med stöd av lagen (1999:353) om rättspsykiatriskt forskningsregister. Registret har emellertid inte uppdaterats de senaste 15 åren och har nyligen avvecklats helt. Anledningen till detta är att registret visade sig ha ett ringa värde för den rättspsykiatriska verksamheten och forskningen. Då det inte längre finns något behov av den registerföring som lagen tillåter, föreslås att lagen upphävs.
Sekretessfrågor
Sekretessreglering gällande forskningsdatabaser m.m.
Forskningsdatabasers innehåll kommer att vara i hög grad integritetskänsliga. Det handlar om personuppgifter som samlats in på grundval av registrerades förtroende för verksamheten och utan samband med myndighetsutövning. Ett starkt sekretesskydd är därför motiverat. Ett sådant skydd finns redan i 24 kap. 2 a och 2 b §§ OSL för uppgifter om enskilds personliga förhållanden som behandlas enligt LifeGene-lagen. Den regleringen är ändamålsenligt utformad och bör, med vissa förändringar i bestämmelserna, få ett vidare tillämpningsområde så att den omfattar de forskningsdatabaser som kommer att omfattas av den nya ramlagen. Sådana ändringar föreslås i promemorian. Det innebär att bland annat följande sekretessförhållanden kommer att gälla för dessa forskningsdatabaser.
Absolut sekretess ska gälla i verksamhet som avser förande av eller uttag ur en forskningsdatabas enligt lagen om vissa forskningsdatabaser för uppgift som avser enskilds personliga förhållanden. Uppgift ska dock få lämnas ut i den utsträckning som framgår av den lagen. Vidare ska uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde få lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. För en uppgift i en allmän handling ska sekretessen gälla i högst 70 år. Den tystnadsplikt som följer av sekretessbestämmelsen ska inskränka den grundlagsfästa rätten att meddela och offentliggöra uppgifter.
Om en uppgift som omfattas av den nya sekretessbestämmelsen överförs till en annan myndighet, ska sekretessbestämmelsen bli tillämplig även hos den mottagande myndigheten.
Det ska vara möjligt att bryta sekretessen vid misstanke om vissa allvarligare brott enligt vissa bestämmelser i offentlighets- och sekretesslagen. Sekretessen ska vidare undantas från den s.k. generalklausulens (10 kap. 27 § OSL) tillämpningsområde.
Tystnadsplikt hos forskningshuvudmän
För att ge ett motsvarande skydd hos enskilda forskningshuvudmän för forskningsprojekt, som mottar uppgifter men inte omfattas av offentlighets- och sekretesslagen, införs en bestämmelse om tystnadsplikt för den som arbetar eller har arbetat hos en sådan huvudman och därigenom fått kännedom om enskilds personliga förhållanden genom personuppgifter som mottagits från en forskningsdatabas. Även denna tystnadsplikt ska inskränka rätten att meddela och offentliggöra uppgifter.
Ändring i statistiksekretessen
Tillämpningsområdet för bestämmelserna i 24 kap. 8 § tredje stycket OSL om undantag från den absoluta statistiksekretessen föreslås utvidgas till att också omfatta uppgift som behövs i en forskningsdatabas som förs med stöd av lagen om vissa forskningsdatabaser. Tanken med förslaget är att underlätta för statistikansvariga myndigheter att tillmötesgå ansökningar från forskningsdatabaser om befogade kompletteringar genom utfående av uppgifter från dessa myndigheters register.
Bestämmelsen om sekretess för uppgifter i det rättspsykiatriska forskningsregistret upphävs och en övergångsbestämmelse ger fortsatt sekretesskydd
I 24 kap. 2 § OSL finns en sekretessbestämmelse för det rättspsykiatriska forskningsregistret. Det gäller en presumtion för sekretess för uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden och tystnadsplikten enligt sekretessbestämmelsen inskränker, genom reglering i 24 kap. 9 § andra stycket OSL, som huvudregel rätten att meddela och offentliggöra uppgifter. Det finns ett visst kvarstående behov av att kunna skydda de integritetskänsliga personuppgifter som förekommit i verksamheten med registret även om lagen om registret upphävs och registret har avvecklats. Det handlar främst om tystnadsplikten för dessa uppgifter och överförd sekretess till forskningshuvudmän för forskningsprojekt som fått uppgifter från registret. Då lagen (1999:353) om rättspsykiatriskt forskningsregister föreslås upphävas bör även sekretessbestämmelsen upphävas och det fortsatta sekretesskydd som det finns behov av tillgodoses genom en övergångsbestämmelse.
Ikraftträdande
Förslaget till lag om vissa forskningsdatabaser med anslutande förordning och ändringarna i offentlighets- och sekretesslagen föreslås träda ikraft den 1 januari 2024.
En övergångsbestämmelse införs till lagen om vissa forskningsdatabaser som innebär att den nya ramlagens bestämmelser om information till och samtycke från registrerade samt tillåtet innehåll inte ska tillämpas på personuppgifter som registrerats i tiden innan verksamheten som bedrivs i forskningsdatabasen omfattas av lagens tillämpningsområde. Sådana ”gamla” personuppgifter kan alltså fortsätta att behandlas i forskningsdatabasen efter det att databasen omfattas av lagen, trots att behandlingen av personuppgifterna kan ha skett på ett sätt som inte överensstämmer med lagens bestämmelser om samtycke, information och innehåll och utan att några särskilda åtgärder behöver vidtas i det avseendet.
LifeGene-lagen och den anslutande förordningen blir överflödiga och föreslås upphävas samtidigt med ikraftträdandet av den nya lagstiftningen. Även lagen om rättspsykiatriskt forskningsregister föreslås upphävas då.
Promemorians lagförslag
Förslag till lag om vissa forskningsdatabaser
1 kap. Inledande bestämmelser
Lagens syfte
1 § Syftet med denna lag är att
1. ge lärosäten möjlighet att i forskningsdatabaser skapa underlag för flera framtida forskningsprojekt som inte är definierade när databasen byggs upp eller när insamling av personuppgifter till denna annars görs, och
2. säkerställa att registrerades personliga integritet skyddas vid den insamling och övriga behandling av personuppgifter som görs i verksamhet med dessa forskningsdatabaser.
Lagens tillämpningsområde
2 § Lagen gäller behandling av personuppgifter i verksamhet med sådana forskningsdatabaser där insamling och registrering av personuppgifter görs i register eller annan samling med personuppgifter genom registrerades frivilliga medverkan och där forskningsdatabasernas syfte att skapa underlag för flera framtida forskningsprojekt är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka forskningsdatabaser som får föras enligt lagen.
3 § Behandling av personuppgifter i en forskningsdatabas får bara utföras i verksamhet som bedrivs vid ett lärosäte som är
1. ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller
2. en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) jämställs med myndighet i sin verksamhet med forskningsdatabasen.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka lärosäten som får behandla personuppgifter enligt denna lag.
Förhållandet till annan dataskyddsreglering
4 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.
5 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds-förordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
2 kap. Behandling av personuppgifter
Personuppgiftsansvar
1 § Det lärosäte som för en forskningsdatabas är personuppgiftsansvarig för den behandling av personuppgifter som utförs i verksamheten med forskningsdatabasen.
Ändamål
2 § Personuppgifter får samlas in och i övrigt behandlas i verksamhet med en forskningsdatabas för de övergripande ändamålen att
1. skapa underlag för flera framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden, och
2. lämna ut uppgifter till sådana forskningsprojekt som anges i 1.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till.
3 § Personuppgifter som samlats in och behandlas enligt 2 § första stycket får därefter behandlas bara för utlämnande som anges i 3 kap. 2, 3 och 5 §§ samt bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Samtycke och information vid behandling av personuppgifter
4 § Personuppgifter i en forskningsdatabas får behandlas bara om den registrerade har samtyckt till det, om inte annat följer av denna lag.
5 § Utan samtycke får sådana personuppgifter samlas in och behandlas som är nödvändiga för att kunna välja ut och kontakta en person i en urvalsgrupp med förfrågan om medverkan i en forskningsdatabas. Sådan behandling får inte pågå under längre tid än vad som är nödvändigt.
6 § Kompletterande insamling av uppgifter från andra källor än de som kunnat definieras redan i samband med att samtycke till behandling i forskningsdatabasen lämnas får göras utan samtycke bara om den registrerade informerats om insamlingen och inte uttryckligen motsätter sig denna.
7 § Personuppgifter som samlats in innan den registrerade uppnått en sådan ålder och mognad att denne själv kan samtycka till behandlingen, och sam-tycke i stället lämnats av den registrerades vårdnadshavare, får efter att den registrerade blivit myndig, fortsätta behandlas bara om den registrerade informerats om behandlingen och inte uttryckligen motsätter sig denna. Sådan information ska lämnas inom ett år från myndighetsdagen. Information behöver dock inte lämnas om den personuppgiftsansvarige inte med rimliga ansträngningar kan nå den registrerade.
8 § Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den registrerade, innan denne lämnar samtycke enligt 4 § eller i samband med att denne får sådan information som avses i 7 §, även informeras om
1. att all registrering och medverkan i verksamheten vid forskningsdatabasen är frivillig och att den registrerade när som helst kan avbryta sin medverkan helt eller delvis samt begära att registrerade uppgifter raderas,
2. vilka slags uppgifter som får registreras i forskningsdatabasen,
3. de sekretess- och säkerhetsbestämmelser som gäller för forskningsdatabasen,
4. sin rätt att begära att få information om till vilka forskningsprojekt uppgifter om denne lämnats ut,
5. vilken myndighet som har tillsyn över att behandlingen av personuppgifter sker på ett lagenligt sätt, och
6. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § dataskyddslagen till skadestånd vid behandling av personuppgifter i strid med denna lag.
Tillåtet innehåll
9 § I en forskningsdatabas får det i fråga om personuppgifter bara finnas
1. uppgifter som den registrerade själv har lämnat i syfte att de ska ingå i forskningsdatabasen,
2. uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i forskningsdatabasen,
3. uppgifter om undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen,
4. kontaktinformation till den registrerade,
5. kompletterande uppgifter som inhämtats från andra källor,
6. kategoriseringar av sådana uppgifter som avses i 1–5,
7. identitetsbeteckningar avseende de registrerade (kodnycklar eller motsvarande information för identifiering), och
8. uppgifter om utlämnande som har skett till forskning.
10 § Genetiska uppgifter och personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får finnas i en forskningsdatabas bara om regeringen har meddelat föreskrifter om det.
Integritetsskydd inom verksamheten
11 § Den som arbetar i verksamhet med en forskningsdatabas får ta del av personuppgifter i verksamheten bara om denne behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter med forskningsdatabasen.
12 § Den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter om registrerade i verksamheten med en forskningsdatabas. Sådan åtkomst ska begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter i verksamheten med forskningsdatabasen.
13 § Den personuppgiftsansvarige ska se till att elektronisk åtkomst till personuppgifter dokumenteras och kan kontrolleras.
Den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av den i första stycket upprättade dokumentationen i syfte att kontrollera om någon obehörigen kommit åt personuppgifter i forskningsdatabasen.
Radering efter begäran
14 § Den registrerade har rätt att när som helst begära att uppgifter om denne raderas från forskningsdatabasen. Vid en sådan begäran ska den personuppgiftsansvarige vara skyldig att radera personuppgifterna så snart som möjligt.
3 kap. Särskilt om utlämnande av personuppgifter
Villkor för utlämnande
1 § En förutsättning för att personuppgifter ska kunna lämnas ut från en forskningsdatabas till forskningsprojekt enligt 2 kap. 2 § första stycket 2 är att både forskningen och behandlingen av personuppgifter i forskningen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, om forskningen omfattas av den lagens krav på etikprövning.
Om forskningen ska utföras i annat land men hade krävt ett sådant godkännande som anges i första stycket om den utförts i Sverige, får utlämnande göras bara om forskningen har granskats etiskt och godkänts i ett motsvarande förfarande i det andra landet.
2 § Personuppgifter får också lämnas ut till en forskningshuvudman för forskning som fått uppgifter från en forskningsdatabas, om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed.
3 § Personuppgifter får, utöver vad som följer av 2 och 5 §§ samt 2 kap. 2 § första stycket 2, bara lämnas ut om det finns en skyldighet enligt lag eller förordning att göra det.
Pseudonymiserade uppgifter m.m.
4 § Utlämnande enligt 2 § och 2 kap. 2 § första stycket 2 får bara avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Personuppgifter får dock vara direkt identifierbara vid utlämnandet om det är nödvändigt för att uppfylla ändamålet med den forskning eller den utredning som uppgifterna ska lämnas ut till.
5 § Om personuppgifter som lämnats ut enligt 2 kap. 2 § första stycket 2 är pseudonymiserade eller skyddade på likvärdigt sätt, får kompletterande uppgifter för att identifiera en registrerad, inbegripet de registrerades personnummer eller motsvarande identitetsbeteckning, lämnas ut till en annan myndighet, om det är nödvändigt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till det forskningsprojekt som utlämnande har gjorts till.
6 § En förteckning över kompletterande uppgifter som behövs för att identifiera en registrerad ska bevaras hos den personuppgiftsansvarige under så lång tid som den personuppgiftsansvarige anser nödvändigt.
Tystnadsplikt
7 § Den som arbetar eller har arbetat hos en forskningshuvudman får inte obehörigen röja vad denne har fått veta om enskilds personliga förhållanden genom personuppgifter som mottagits från en forskningsdatabas vid utlämnande enligt 2 § eller 2 kap. 2 § första stycket 2.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
Information om utlämnande till forskning
8 § Den registrerade har rätt att på begäran få information om till vilka forskningsprojekt uppgifter om denne har lämnats ut.
Direktåtkomst
9 § Personuppgifter får inte lämnas ut genom direktåtkomst annat än till den registrerade själv.
4 kap. Ytterligare föreskrifter
1 § Utöver vad som följer av bestämmelserna ovan kan regeringen med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. begränsningar av vilka personuppgifter som får behandlas i en forskningsdatabas,
2. begränsningar i fråga om utlämnande från en forskningsdatabas, och
3. gallring av personuppgifter som inte längre behövs för att kunna lämnas ut enligt 2 kap. 2 § första stycket 2.
1. Denna lag träder i kraft den 1 januari 2024.
2. Genom lagen upphävs lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.
3. Bestämmelserna i 2 kap. 4–10 §§ gäller inte för sådana uppgifter som registrerats i en forskningsdatabas i tiden innan verksamheten med forskningsdatabasen omfattas av denna lags tillämpningsområde. Bestämmelsen i 2 kap. 7 § ska dock tillämpas i fråga om den som blir myndig först därefter.
Förslag till lag om upphävande av lagen (1999:353) om rättspsykiatriskt forskningsregister
Härigenom föreskrivs att lagen (1999:353) om rättspsykiatriskt forskningsregister ska upphöra att gälla vid utgången av 2023.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 24 kap. 2 § ska upphöra att gälla,
dels att rubriken närmast före 24 kap. 2 § ska utgå,
dels att 24 kap. 2 a, 2 b, 8 och 9 §§ och 44 kap. 5 § samt rubriken närmast före 24 kap. 2 a § ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
24 kap.
Vissa register för forskning om vad arv och miljö betyder för människors hälsa
Vissa forskningsdatabaser
Förande av och uttag ur register
Förande av och uttag ur forskningsdatabaser
2 a §
Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde.
Sekretess gäller i verksamhet som avser förande av eller uttag ur en forskningsdatabas enligt lagen (2023:000) om vissa forskningsdatabaser för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde.
Sekretessen hindrar inte att uppgift lämnas ut i den utsträckning som framgår av den lag som avses i första stycket. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
2 b §
Får en myndighet en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa, blir 2 a § tillämplig även hos den mottagande myndigheten.
Får en myndighet en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt lagen (2023:000) om vissa forskningsdatabaser, blir 2 a § tillämplig även hos den mottagande myndigheten.
8 §
Sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde.
Motsvarande sekretess gäller i annan jämförbar undersökning som utförs av Riksrevisionen, av riksdagsförvaltningen, av Statskontoret eller inom det statliga kommittéväsendet. Detsamma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det.
Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355).
Uppgift som behövs för forsknings- eller statistikändamål eller i en forskningsdatabas enligt lagen (2023:000) om vissa forskningsdatabaser och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355).
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år.
9 §
Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
44 kap.
5 §
Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer
1. av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,
2. av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,
3. av 4 kap. 16 § försäkringsrörelselagen (2010:2043),
4. av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige,
5. av 32 § lagen (2020:62) om hemlig dataavläsning,
6. av 11 a § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen, och
7. av 4 kap. 23 a § tullagen (2016:253).
Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer
1. av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,
2. av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,
3. av 4 kap. 16 § försäkringsrörelselagen (2010:2043),
4. av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige,
5. av 32 § lagen (2020:62) om hemlig dataavläsning,
6. av 11 a § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen,
7. av 4 kap. 23 a § tullagen (2016:253), och
8. av 3 kap. 7 § lagen (2023:000) om vissa forskningsdatabaser.
1. Denna lag träder i kraft den 1 januari 2024.
2. Den upphävda bestämmelsen i 24 kap. 2 § gäller fortfarande i fråga om uppgifter som hänför sig till verksamhet som avsett förande av eller uttag ur register som förts enligt den upphävda lagen (1999:353) om rättspsykiatriskt forskningsregister.
3. Bestämmelsen i 24 kap. 2 a § i dess tidigare lydelse ska vara fortsatt tillämplig på sådana uppgifter som före ikraftträdandet av lagen (2023:000) om vissa forskningsdatabaser har lämnats ut med överföring av sekretessen i 2 a § enligt bestämmelsen i 2 b § i dess tidigare lydelse.
4. Den inskränkning i rätten att meddela och offentliggöra uppgifter enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen som följer av 24 kap. 9 § i sin äldre lydelse gäller fortfarande för uppgift som hänför sig till verksamhet som avsett förande av eller uttag ur register som förts enligt den upphävda lagen (1999:353) om rättspsykiatriskt forskningsregister.
Förteckning över remissinstanserna
Efter remiss har yttrande inkommit från Biobank Sverige, Brottsförebyggande rådet, Cancerfonden – Riksföreningen mot Cancer, Chalmers Tekniska Högskola AB, Etikprövningsmyndigheten, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Försvarshögskolan, Försvarsmakten. Försäkringskassan, Förvaltningsrätten i Göteborg, Gymnastik- och idrottshögskolan, Göteborgs universitet, Hjärt-Lungfonden, Högskolan i Halmstad, Inspektionen för socialförsäkringen, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Institutet för språk och folkminnen, Integritetsskyddsmyndigheten, Justitiekanslern, Kammarrätten i Stockholm, Karlstads universitet, Karolinska institutet, Kungl. biblioteket, Kungl. Tekniska högskolan, Kungl. Vetenskapsakademien, Linköpings universitet, Linnéuniversitetet, Livsmedelsverket, Luleå tekniska universitet, Lunds universitet, Läkemedelsindustriföreningen, Läkemedelsverket, Malmö universitet, Medlingsinstitutet, Mittuniversitetet, Myndigheten för digital förvaltning, Myndigheten för samhällsskydd och beredskap, Myndigheten för vård- och omsorgsanalys, Mälardalens universitet, Naturhistoriska riksmuseet, Naturvårdsverket, Polismyndigheten, Region Blekinge, Region Dalarna, Region Halland, Region Jämtland Härjedalen, Region Jönköpings län, Region Kalmar, Region Kronoberg, Region Stockholm, Region Sörmland, Region Värmland, Region Västerbotten, Region Västernorrland, Region Västmanland, Region Örebro län, Region Östergötland, Riksantikvarieämbetet, Riksarkivet, Rymdstyrelsen, Rättsmedicinalverket, Skogsstyrelsen, Socialstyrelsen, Statens energimyndighet, Statens jordbruksverk, Statens medicinsk-etiska råd, Statens veterinärmedicinska anstalt, Statens väg- och transportforskningsinstitut, Statistiska centralbyrån, Stiftelsen Högskolan i Jönköping, Stiftelsen Institutet för framtidsstudier, Stiftelsen Svenska Filminstitutet, Stockholms kommun, Stockholms universitet, Svenska journalistförbundet, Svenska läkaresällskapet, Sveriges Kommuner och Regioner, Säkerhetspolisen, Totalförsvarets forskningsinstitut, Trafikanalys, Umeå universitet, Uppsala universitet, Verket för innovationssystem, Vetenskap och Allmänhet, Vetenskapsrådet, Västra Götalandsregionen och Örebro universitet.
Därutöver har yttranden inkommit från: E-hälsomyndigheten, Genomic Medicine Sweden, Kriminalvården, Svensk förening för otorhinolaryngologi, huvud- och halskirurgi och Svensk plastikkirurgisk förening.
Följande remissinstanser har meddelat att de avstår från att yttra sig eller inte inkommit med något yttrande: Borlänge kommun, Falköpings kommun, Gotlands kommun, Högskolan i Borås, Inera AB, Kalmar kommun, Kiruna kommun, KK-stiftelsen, Kungl. Ingenjörsvetenskapsakademien, Kungl. Skogs- och Lantbruksakademien, Kungl. Vitterhets Historie och Antikvitets akademien, Luleå kommun, Lunds kommun, Marie Cederschiöld högskola AB, Myndigheten för tillväxtpolitiska utvärderingar och analyser, Partille kommun, Region Gotland, Region Gävleborg, Region Norrbotten, Region Skåne, Region Uppsala, RISE Research Institutes of Sweden, Riksdagens ombudsmän (JO), Riksrevisionen, Skolforskningsinstitutet, Statens beredning för medicinsk och social utvärdering, Statens Centrum för arkitektur och design, Stiftelsen för strategisk forskning, Stockholm Center for Civil Society Studies, Sundsvall kommun, Svenskt Näringsliv, Sveriges geologiska undersökning, Sveriges lantbruksuniversitet, Sveriges universitets- och högskoleförbund, Sweden Bio, Swedish Labtech, Swedish Medtech, Södertälje kommun och Tidningsutgivarna (TU).
Lagrådsremissens lagförslag
Förslag till lag om vissa forskningsdatabaser
Härigenom föreskrivs följande.
1 kap. Inledande bestämmelser
Lagens syfte
1 § Syftet med denna lag är att
1. ge lärosäten möjlighet att i forskningsdatabaser skapa underlag för flera framtida forskningsprojekt som inte är definierade när databasen byggs upp eller när insamling av personuppgifter till denna annars görs, och
2. säkerställa att de registrerades personliga integritet skyddas vid den insamling och övriga behandling av personuppgifter som görs i verksamhet med dessa forskningsdatabaser.
Lagens tillämpningsområde
2 § Lagen gäller vid behandling av personuppgifter i verksamheter med sådana forskningsdatabaser
1. där insamlingen och registreringen av personuppgifter görs genom de registrerades frivilliga medverkan,
2. vars huvudsakliga syfte är att skapa underlag för flera framtida forskningsprojekt, och
3. som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv.
3 § Behandling av personuppgifter i en sådan forskningsdatabas som avses i 2 § får utföras i verksamhet som bedrivs vid ett lärosäte som är
1. ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller
2. en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) och bilagan till samma lag ska jämställas med myndigheter i sin verksamhet med forskningsdatabasen.
4 § Regeringen får meddela föreskrifter om
1. vilka forskningsdatabaser som får föras enligt lagen, och
2. vilket lärosäte som får föra forskningsdatabasen.
Förhållandet till annan dataskyddsreglering
5 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.
6 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
2 kap. Behandling av personuppgifter
Personuppgiftsansvar
1 § Det lärosäte som för en forskningsdatabas är personuppgiftsansvarigt för den behandling av personuppgifter som utförs i verksamheten med forskningsdatabasen.
Ändamål
2 § Personuppgifter får samlas in och i övrigt behandlas i verksamhet med en forskningsdatabas för de övergripande ändamålen att
1. skapa underlag för flera framtida forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen,
2. lämna ut uppgifter till sådana forskningsprojekt som anges i 1, och
3. lämna ut uppgifter till forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen även om projekten redan påbörjats innan forskningsdatabasen inrättats.
Regeringen får meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till.
3 § Personuppgifter som samlats in och behandlas enligt 2 § får därutöver bara behandlas för
1. utlämnande som anges i 3 kap. 2, 3 och 5 §§ och,
2. arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål när de inte längre behövs för ändamål som avses i 2 § första stycket.
Villkor för behandlingen av personuppgifter i forskningsdatabaser
4 § Personuppgifter får bara behandlas i en forskningsdatabas om den registrerade har samtyckt till det, om inte annat följer av denna lag.
5 § I verksamheten med en forskningsdatabas får det utan samtycke samlas in och behandlas sådana personuppgifter som är nödvändiga för att kunna identifiera och kontakta en person i en urvalsgrupp med förfrågan om medverkan i en forskningsdatabas. Sådan behandling får inte pågå under längre tid än vad som är nödvändigt.
6 § Kompletterande insamling av uppgifter från andra källor än de som angavs redan i samband med att samtycke till behandling i forskningsdatabasen lämnades får göras utan samtycke bara om den registrerade informerats om insamlingen och inte uttryckligen motsätter sig denna.
7 § Personuppgifter som samlats in med samtycke från den registrerades vårdnadshavare får bara fortsätta behandlas efter att den registrerade blivit myndig om den registrerade informerats om behandlingen och inte uttryckligen motsätter sig den.
Sådan information om uppgifter som samlats in med samtycke från den registrerades vårdnadshavare och om möjligheten att motsätta sig den ska vara direkt riktad till den registrerade och lämnas senast den 1 mars året efter det att den registrerade fyllt 18 år.
Informationen behöver inte lämnas om den personuppgiftsansvarige inte med rimliga ansträngningar kan nå den registrerade.
8 § Den registrerade har rätt att när som helst återta sitt samtycke till att hans eller hennes personuppgifter behandlas i en forskningsdatabas.
Om den registrerade återtar sitt samtycke får uppgifter om den registrerade därefter inte behandlas för att lämnas ut till forskningsprojekt.
Om den registrerade begär det ska den personuppgiftsansvarige underrätta de personuppgiftsansvariga för de forskningsprojekt som uppgifterna om den registrerade har lämnats ut till om att den registrerade har återtagit sitt samtycke till behandling av personuppgifter i forskningsdatabasen.
9 § Utöver vad som framgår av artiklarna 13 och 14 i EU:s data-skyddsförordning ska en person, innan han eller hon lämnar samtycke enligt 4 § eller i samband med att han eller hon får sådan information som avses i 7 §, även informeras om
1. att all registrering och medverkan i verksamheten vid forskningsdatabasen är frivillig och att en registrerad när som helst kan avbryta sin medverkan helt eller delvis, och återta sitt samtycke samt om effekten av att samtycket återtas enligt 8 §,
2. vilka slags uppgifter som får registreras i forskningsdatabasen,
3. att en registrerad kommer att informeras om kompletterande insamling av uppgifter enligt 6 § blir aktuell och på vilket sätt sådan information kommer att lämnas,
4. de sekretess- och säkerhetsbestämmelser som gäller för forskningsdatabasen,
5. sin rätt att begära att få information om vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut till,
6. vilken myndighet som har tillsyn över att behandlingen av personuppgifter sker på ett lagenligt sätt, och
7. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § dataskyddslagen till skadestånd vid behandling av personuppgifter i strid med denna lag.
Tillåtet innehåll
10 § I en forskningsdatabas får det i fråga om personuppgifter bara finnas
1. uppgifter som den registrerade har lämnat i syfte att de ska ingå i forskningsdatabasen,
2. uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i forskningsdatabasen,
3. uppgifter om, och resultatet från, undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen,
4. kontaktinformation till den registrerade,
5. kompletterande uppgifter om den registrerade som inhämtats från andra källor,
6. kategoriseringar av sådana uppgifter som avses i 1–5,
7. identitetsbeteckningar för de registrerade (kodnycklar eller motsvarande information för identifiering), och
8. uppgifter om utlämnande som har skett till forskning.
11 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g och j i EU:s dataskyddsförordning behandlas i verksamheten med en forskningsdatabas om det är nödvändigt för de ändamål som anges i 2, 3 och 5 §§.
Genetiska uppgifter och personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får dock bara behandlas i en forskningsdatabas om regeringen har meddelat föreskrifter om det.
Integritetsskydd inom verksamheten
12 § Den som arbetar vid ett lärosäte där det finns en verksamhet med en forskningsdatabas får ta del av personuppgifter i den verksamheten endast om han eller hon arbetar i verksamheten och behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter med forskningsdatabasen.
13 § Den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter om registrerade i verksamheten med en forskningsdatabas. Sådan åtkomst ska begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter i verksamheten med forskningsdatabasen.
14 § Den personuppgiftsansvarige ska se till att elektronisk åtkomst till personuppgifter dokumenteras och kan kontrolleras.
Den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av den i första stycket upprättade dokumentationen i syfte att kontrollera om någon obehörigen kommit åt personuppgifter i forskningsdatabasen.
Sekretess
15 § I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess för huvudmän för en forskningsdatabas och för anställda och uppdragstagare hos en sådan huvudman i verksamhet med forskningsdatabasen.
3 kap. Särskilt om utlämnande av personuppgifter
Villkor för utlämnande
1 § Utlämnande av uppgifter till ett forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 får bara ske till fysiska eller juridiska personer som ska tillämpa offentlighets- och sekretesslagen (2009:400) eller fysiska personer som omfattas av tystnadsplikt enligt 3 kap. 7 § denna lag.
Ytterligare en förutsättning för att personuppgifter ska få lämnas ut från en forskningsdatabas till forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 är att både forskningen och behandlingen av personuppgifter i forskningen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, om forskningen omfattas av den lagens krav på etikprövning.
2 § Personuppgifter får också lämnas ut till en forskningshuvudman som fått uppgifter från en forskningsdatabas, om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed.
3 § Personuppgifter får, utöver vad som följer av 2 och 5 §§ samt 2 kap. 2 § första stycket 2 eller 3, bara lämnas ut om det finns en skyldighet att göra det enligt lag eller förordning.
Formen för utlämnande
4 § Utlämnande enligt 2 § och 2 kap. 2 § första stycket 2 eller 3 får bara avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Personuppgifter får dock vara direkt identifierbara vid utlämnandet om det är nödvändigt för att uppfylla ändamålet med den forskning eller den utredning som uppgifterna ska lämnas ut till.
5 § Om personuppgifter som lämnats ut enligt 2 kap. 2 § första stycket 2 eller 3 är pseudonymiserade eller skyddade på likvärdigt sätt, får kompletterande uppgifter för att identifiera en registrerad, inbegripet de registrerades personnummer eller motsvarande identitetsbeteckning, lämnas ut till en myndighet, om det är nödvändigt för att myndigheten ska kunna lämna ut uppgifter om samma personer till det forskningsprojekt som uppgifter har lämnats ut till.
6 § Den personuppgiftsansvarige ska bevara en förteckning över de kompletterande uppgifter som behövs för att identifiera en registrerad så länge som det är nödvändigt.
Tystnadsplikt för uppgifter som mottagits från en forskningsdatabas
7 § En enskild forskningshuvudman som är en fysisk person eller den som är eller har varit verksam hos en enskild forskningshuvudman som är en juridisk person som inte anges i bilagan till offentlighets- och sekretesslagen (2009:400) får inte obehörigen röja vad denne har fått veta om enskilds personliga förhållanden genom uppgifter som mottagits från en forskningsdatabas.
I det allmännas verksamhet och för sådana organ som anges i bilagan till offentlighets- och sekretesslagen (2009:400) gäller den lagen.
Information om utlämnande till forskning
8 § Den registrerade har rätt att på begäran få information om vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut till.
Direktåtkomst
9 § Personuppgifter får inte lämnas ut genom direktåtkomst annat än till den registrerade själv.
4 kap. Ytterligare föreskrifter
1 § Regeringen får meddela ytterligare föreskrifter om
1. begränsningar av vilka personuppgifter som får behandlas i en forskningsdatabas, och
2. begränsningar i fråga om utlämnande från en forskningsdatabas.
1. Denna lag träder i kraft den 1 januari 2025.
2. Bestämmelserna i 2 kap. 4–11 §§ gäller inte för sådana uppgifter som registrerats i tiden innan verksamheten med en forskningsdatabas kommit att omfattas av denna lags tillämpningsområde. Bestämmelsen i 2 kap. 7 § ska dock tillämpas i fråga om den som blir myndig först därefter.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 24 kap. 2 § ska upphöra att gälla,
dels att rubriken närmast före 24 kap. 2 § ska utgå,
dels att 24 kap. 2 a, 2 b, 8 och 9 §§, 44 kap. 5 § och rubrikerna närmast före 24 kap. 2 a § ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
24 kap.
Vissa register för forskning om vad arv och miljö betyder för människors hälsa
Vissa forskningsdatabaser
Förande av och uttag ur register
Förande av och uttag ur forskningsdatabaser
2 a §
Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde.
Sekretess gäller i verksamhet som avser förande av eller uttag ur en forskningsdatabas som förs med stöd av lagen (2024:000) om vissa forskningsdatabaser för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde.
Sekretessen hindrar inte att uppgift lämnas ut i den utsträckning som framgår av den lag som avses i första stycket. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
Sekretessen hindrar inte att uppgift lämnas ut i den utsträckning som framgår av 2 kap. 2 § första stycket 2 och 3 samt 3 kap. 1–3 och 5 §§ den lag som avses i första stycket och i förordning som meddelats i anslutning till lagen, eller att uppgift som avser en avliden lämnas ut under motsvarande förutsättningar som anges där. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
2 b §
Får en myndighet en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa, blir 2 a § tillämplig även hos den mottagande myndigheten.
Får en myndighet en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt lagen (2024:000) om vissa forskningsdatabaser, blir 2 a § tillämplig även hos den mottagande myndigheten.
8 §
Sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde.
Motsvarande sekretess gäller i annan jämförbar undersökning som utförs av Riksrevisionen, av riksdagsförvaltningen, av Statskontoret eller inom det statliga kommittéväsendet. Detsamma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det.
Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355).
Uppgift som behövs för forsknings- eller statistikändamål eller uppgift som behövs i en forskningsdatabas som förs med stöd av lagen (2024:000) om vissa forskningsdatabaser och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355).
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år.
9 §
Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
44 kap.
5 §
Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer
1. av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,
2. av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,
3. av 4 kap. 16 § försäkringsrörelselagen (2010:2043),
4. av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige,
5. av 32 § lagen (2020:62) om hemlig dataavläsning, och
5. av 32 § lagen (2020:62) om hemlig dataavläsning,
6. av 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
6. av 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter, och
7. av 3 kap. 7 § lagen (2024:000) om vissa forskningsdatabaser.
1. Denna lag träder i kraft den 1 januari 2025.
2. Den upphävda bestämmelsen i 24 kap. 2 § gäller fortfarande i fråga om uppgifter i verksamhet som avsett förande av eller uttag ur register som förts enligt den upphävda lagen (1999:353) om rättspsykiatriskt forskningsregister.
3. Bestämmelsen i 24 kap. 2 a § i den äldre lydelsen ska vara fortsatt tillämplig på sådana uppgifter som före ikraftträdandet av lagen (2024:000) om vissa forskningsdatabaser har lämnats ut med överföring av sekretessen i 2 a § enligt bestämmelsen i 2 b § i den äldre lydelsen.
4. Den inskränkning i rätten att meddela och offentliggöra uppgifter enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen som följer av 24 kap. 9 § i den äldre lydelsen gäller fortfarande för uppgift i verksamhet som avsett förande av eller uttag ur register som förts enligt den upphävda lagen (1999:353) om rättspsykiatriskt forskningsregister.
Förslag till lag om upphävande av lagen (1999:353) om rättspsykiatriskt forskningsregister
Härigenom föreskrivs att lagen (1999:353) om rättspsykiatriskt forskningsregister ska upphöra att gälla vid utgången av 2024.
Förslag till lag om ändring i lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter
Härigenom föreskrivs att 1 kap. 5 § lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
5 §1
Denna lag gäller inte när personuppgifter behandlas med stöd av
1. lagen (1999:353) om rättspsykiatriskt forskningsregister,
2. lagen (2003:460) om etikprövning av forskning som avser människor,
1. lagen (2003:460) om etikprövning av forskning som avser människor,
3. patientdatalagen (2008:355), eller
2. patientdatalagen (2008:355), eller
4. lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
3. lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
Denna lag träder i kraft den 1 januari 2025.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2024-09-10
Närvarande: F.d. justitierådet Annika Brickman samt justitieråden Svante O. Johansson och Johan Danelius
Långsiktig reglering av vissa forskningsdatabaser
Enligt en lagrådsremiss den 15 augusti 2024 har regeringen (Utbildningsdepartementet) beslutat inhämta Lagrådets yttrande
över förslag till
lag om vissa forskningsdatabaser,
lag om ändring i offentlighets- och sekretesslagen (2009:400),
lag om upphävande av lagen (1999:353) om rättspsykiatriskt forskningsregister,
lag om ändring i lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter.
Förslagen har inför Lagrådet föredragits av ämnesrådet Tyri Öhman, biträdd av ämnessakkunniga Maria Wästfelt.
Förslagen föranleder följande yttrande.
Förslaget till lag om vissa forskningsdatabaser
1 kap. 2 §
I paragrafen anges att lagen är tillämplig vid viss närmare angiven behandling av personuppgifter. Vid föredragningen har det emellertid upplysts att vissa bestämmelser i lagen är tänkta att vara tillämpliga även på uppgifter om avlidna, som inte faller under begreppet personuppgifter. Detta framgår också på något ställe av författnings-kommentaren (se kommentaren till 3 kap. 7 §). I lagtexten markeras detta, enligt vad som vidare har upplysts, genom att uttrycket ”uppgift” ibland används i stället för ”personuppgift”.
Enligt Lagrådet bör det framgå av 1 kap. 2 § att lagen i vissa delar har ett vidare tillämpningsområde än vad som anges i den föreslagna lydelsen av paragrafen. Det bör också på lämpligt sätt tydliggöras vilka enskilda bestämmelser som är tillämpliga på uppgifter om avlidna och vilka som är tillämpliga endast på personuppgifter.
Som ett exempel där distinktionen mellan de olika uppgiftstyperna inte framstår som klar kan nämnas 3 kap. 1 §, där första stycket reglerar utlämnande av ”uppgifter” medan andra stycket anger ytterligare förutsättningar för att ”personuppgifter” ska få lämnas ut. Om avsikten är att bestämmelserna i de olika styckena ska ha olika tillämpningsområden, bör detta framgå på ett tydligare sätt. Om detta inte är avsikten, bör terminologin ändras.
2 kap. 3 §
I paragrafen anges vilka ändamål, utöver de primära ändamål som anges i 2 kap. 2 §, som redan insamlade uppgifter får behandlas för. I författningskommentaren anges att paragrafen innebär att den så kallade finalitetsprincipen enligt artikel 5.1 b i dataskyddsförordningen inte gäller. Lagrådet konstaterar att det inte är möjligt att i en nationell lag helt åsidosätta denna princip, vars innebörd är att personuppgifter som samlats in för vissa ändamål inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål. Däremot torde det vara möjligt att begränsa vad som också anges i artikel 5.1 b om att viss ytterligare behandling inte ska anses vara oförenlig med de ursprungliga ändamålen. Lagrådet uppfattar den föreslagna lagtexten som att det är i det senare avseendet – och inte i förhållande till finalitetsprincipen som sådan – som regleringen innebär en viss begränsning.
Eftersom det som sägs i författningskommentaren väcker frågor om hur den föreslagna regleringen förhåller sig till finalitetsprincipen, anser Lagrådet att det finns ett behov av klargöranden i det fortsatta lagstiftningsarbetet.
3 kap. 1 §
Se Lagrådets synpunkter under 1 kap. 2 §.
Utbildningsdepartementet
Utdrag ur protokoll vid regeringssammanträde den 26 september 2024
Närvarande: statsminister Kristersson, ordförande, och statsråden Busch, Svantesson, J Pehrson, Waltersson Grönvall, Jonson, Strömmer, Forssmed, Tenje, Forssell, Slottner, M Persson, Wykman, Kullgren, Brandberg, Bohlin, Carlson, Pourmokhtari, Rosencrantz
Föredragande: statsrådet Pehrson
Regeringen beslutar proposition Långsiktig reglering av vissa forskningsdatabaser