Post 1153 av 7187 träffar
Reglering av mikrosimuleringsmodellen Fasit Prop. 2018/19:118
Ansvarig myndighet: Finansdepartementet
Dokument: Prop. 118
Regeringens proposition
2018/19:118
Reglering av mikrosimuleringsmodellen Fasit
Prop.
2018/19:118
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 25 april 2019
Stefan Löfven
Ardalan Shekarabi
(Finansdepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås att det ska införas en särskild lag som reglerar personuppgiftsbehandling i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar (Fasit) som Statistiska centralbyrån (SCB) förvaltar. Lagen ska komplettera Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) samt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Den föreslagna lagen ska inom sitt tillämpningsområde gälla i stället för bestämmelserna om personuppgiftsbehandling i lagen (2001:99) om den officiella statistiken.
Personuppgifter ska endast få behandlas i Fasit om de är nödvändiga för vissa i lagen angivna ändamål. Som huvudregel ska s.k. känsliga personuppgifter inte få behandlas i systemet. Lagen föreslås också innehålla bestämmelser om bl.a. särskilda skyddsåtgärder för att förhindra röjande av enskildas identitet, begränsningar av vissa av de registrerades rättigheter enligt dataskyddsförordningen samt bestämmelser om bevarande och gallring. Det föreslås även att SCB ska ha möjlighet att lämna ut ett särskilt urval av personuppgifter i Fasit, som inte är direkt hänförbara till den enskilde, till Riksdagsförvaltningen och Riksrevisionen samt Regeringskansliet och andra myndigheter under regeringen.
Den nya lagen föreslås träda i kraft den 1 augusti 2019.
Innehållsförteckning
1 Förslag till riksdagsbeslut 4
2 Förslag till lag om behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar 5
3 Ärendet och dess beredning 8
4 Mikrosimuleringsmodellen Fasit 8
4.1 Ändamål och användningsområde 8
4.2 Urvalet 9
4.3 Uppgiftskällor 10
4.4 Användarna 11
4.5 Utlämnande och tillgängliggörande 11
4.6 Uppdatering av Fasit 12
4.7 Statistiska centralbyråns uppdrag 12
4.8 Utvecklingsbehov 12
5 Dataskyddsförordningen och det svenska regelverket om dataskydd 13
5.1 Dataskyddsförordningen 13
5.2 Det svenska regelverket 16
6 Särskilt om personuppgiftsbehandlingar för statistiska ändamål 18
6.1 Bestämmelser i dataskyddsförordningen 18
6.2 Svenska bestämmelser om behandling av personuppgifter för framställning av statistik 19
7 Offentlighet och sekretess 20
7.1 Sekretess i statistikverksamhet 20
7.2 Utlämnande av uppgifter 21
8 En lag om behandling av personuppgifter i Fasit 22
8.1 Reglering av personuppgiftsbehandlingen i en särskild lag 22
8.2 Personuppgiftsansvar 27
8.3 Tillåtna ändamål 28
8.4 Behandling av vissa kategorier av personuppgifter 31
8.4.1 Behandling av känsliga personuppgifter och uppgifter om domar 31
8.4.2 Behandling av personnummer och samordningsnummer 35
8.5 Utlämnande av personuppgifter 35
8.5.1 Utlämnande av det särskilda urvalet 35
8.5.2 Möjligheten att bevara underlag för identifiering 37
8.5.3 Formerna för utlämnande av urvalet 39
8.6 Undantag från vissa av den registrerades rättigheter 40
8.7 Gallring och bevarande 45
8.8 Särskilda skyddsåtgärder 47
8.9 Sekretess 48
9 Ikraftträdande och övergångsbestämmelser 49
10 Konsekvenser 49
11 Författningskommentar 50
Bilaga 1 Sammanfattning av promemorian Reglering av mikrosimuleringsmodellen Fasit (Ds 2018:2) 55
Bilaga 2 Lagförslag i promemorian 56
Bilaga 3 Förteckning över remissinstanserna 59
Bilaga 4 Lagrådets yttrande 60
Utdrag ur protokoll vid regeringssammanträde den 25 april 2019. 61
1
Förslag till riksdagsbeslut
Regeringens förslag:
Riksdagen antar regeringens förslag till lag om behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar.
2 Förslag till lag om behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag ska tillämpas vid Statistiska centralbyråns behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar (Fasit) som myndigheten förvaltar.
Lagen ska också tillämpas vid myndigheters behandling av personuppgifter i det urval som har lämnats ut enligt 9 §.
Förhållandet till annan reglering
2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Vid behandling av personuppgifter enligt denna lag gäller inte lagen (2001:99) om den officiella statistiken.
Personuppgiftsansvar
3 § Statistiska centralbyrån är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till den.
Myndigheter som urvalet har lämnats ut till enligt 9 § är personuppgiftsansvariga för den behandling av personuppgifter som myndigheterna utför.
Ändamål
4 § Personuppgifter får behandlas i Fasit och i det urval som har lämnats ut enligt 9 § om det är nödvändigt för att
1. simulera och beräkna effekter av befintliga och nya regelverk samt andra förändringar inom skatte-, avgifts- och bidragssystemen och de offentliga välfärdstjänsterna, eller
2. ta fram statistik för analys av information inom skatte-, avgifts- och bidragssystemen och de offentliga välfärdstjänsterna.
5 § Utöver vad som anges i 4 § får Statistiska centralbyrån behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna förvalta och utveckla Fasit.
Behandling av vissa kategorier av personuppgifter
6 § Personuppgifter som avses i artikel 9.1 och artikel 10 i EU:s dataskyddsförordning får inte behandlas i Fasit eller i det urval som lämnas ut enligt 9 §.
Första stycket gäller dock inte uppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening och uppgifter om hälsa.
7 § Statistiska centralbyrån får behandla personnummer och samordningsnummer i Fasit.
Tillhandahållande av personuppgifter
8 § Statistiska centralbyrån ska ta fram ett särskilt urval av personuppgifter i Fasit som inte direkt kan hänföras till en fysisk person för utlämnande enligt 9 §.
9 § Urvalet enligt 8 § får på begäran lämnas ut av Statistiska centralbyrån till Riksdagsförvaltningen och Riksrevisionen samt Regeringskansliet och andra myndigheter under regeringen.
10 § När personuppgifter lämnas ut enligt 9 § får de förses med en beteckning (löpnummer) som hos Statistiska centralbyrån kan kopplas till personnummer eller samordningsnummer, om det är nödvändigt för ändamålet med mottagarens behandling.
En förteckning (kodnyckel) över löpnummer och personnummer eller samordningsnummer får bevaras hos Statistiska centralbyrån i högst ett år.
Statistiska centralbyrån får i enskilda fall besluta om att en kodnyckel får bevaras för längre tid.
Särskilda skyddsåtgärder
11 § Uppgifterna i Fasit får inte sammanföras med andra uppgifter i syfte att utröna en enskilds identitet. Detta gäller även uppgifter i ett sådant urval som har lämnats ut enligt 9 §.
Den som bryter mot bestämmelsen i första stycket ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken. I ringa fall döms det inte till ansvar.
Begränsningar av vissa rättigheter
12 § Artiklarna 16 och 18 i EU:s dataskyddsförordning om rätten till rättelse och rätten till begränsning av behandling av personuppgifter ska inte tillämpas vid Statistiska centralbyråns behandling av personuppgifter som omfattas av denna lag.
Bevarande och gallring
13 § Personuppgifter i Fasit ska gallras när de inte längre behövs för något av de ändamål som avses i 4 och 5 §§.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter får bevaras för arkivändamål eller för vetenskapliga eller historiska forskningsändamål.
Denna lag träder i kraft den 1 augusti 2019.
3 Ärendet och dess beredning
Statistiska centralbyrån (SCB) tillhandahåller inom ramen för sin statistikverksamhet mikrosimuleringsmodellen Fasit (fördelningsanalytiskt statistiksystem för inkomster och transfereringar). Fasit används för att utvärdera och beräkna effekterna av förändringar i skatte-, avgifts- och bidragssystemen för individer och hushåll. Modellen används av bl.a. Regeringskansliet och är ett viktigt verktyg för regeringens reformarbete.
I SCB:s regleringsbrev för 2013 gav regeringen myndigheten i uppdrag att redogöra för vilka rättsliga förhållanden som gäller för Fasit. Redogörelsen skulle bl.a. beskriva förutsättningarna för behandling av personuppgifter och utlämnande av material samt möjligheterna att utöka databasen med nya variabler och statistik. Om myndigheten bedömde att författningsregleringar var nödvändiga skulle sådana föreslås. I sin avrapportering (Fi2013/01292/SFÖ) anförde SCB att författningsändringar i större eller mindre omfattning var nödvändiga för att säkerställa både befintlig verksamhet och en vidareutveckling av Fasit.
Mot denna bakgrund har promemorian Reglering av mikrosimuleringsmodellen Fasit (Ds 2018:2) tagits fram i Regeringskansliet. I promemorian föreslås en ny lag och en ny förordning för behandling av personuppgifter i Fasit. Syftet med förslagen är att möjliggöra och säkerställa den personuppgiftsbehandling som krävs för ett ändamålsenligt Fasit, samtidigt som den enskildes fri- och rättigheter skyddas.
En sammanfattning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga i Finansdepartementet (Fi2018/00189/RS).
Lagrådet
Regeringen beslutade den 28 mars 2019 att inhämta Lagrådets yttrande över lagförslag som är likalydande med lagförslagen i denna proposition. Lagrådet lämnade förslagen utan erinran. Lagrådets yttrande finns i bilaga 4.
4 Mikrosimuleringsmodellen Fasit
4.1 Ändamål och användningsområde
Fasit används för att bedöma utfall och konsekvenser av reformer i det svenska välfärdssystemet. Den kan användas för att analysera såväl budget- som fördelningseffekter avseende skatte-, avgifts- och bidragsregler och ger möjlighet att se hela bilden av olika gruppers ekonomiska betingelser och vilka effekter förändringar får på de offentliga finanserna. Fasit kan också användas för att göra framskrivningar av t.ex. disponibel inkomst. Dessutom finns möjligheter att göra särskilda skräddarsydda statistikuttag.
Fasit tas fram i en basversion per år och uppdateras fyra gånger under året. Modellen består av två delar, dels databaser med s.k. mikrodata, dvs. uppgifter om enskilda individer, dels en uppsättning modellprogram som är uppbyggda av ett antal moduler som omfattar olika områden.
I Fasits databaser finns uppgifter från olika datakällor om bl.a. hushållens inkomster, avdrag, förmögenhet, boendekostnader, pensioner, sysselsättning och utgifter. I modellens moduler finns skatte- och transfereringssystemets regler programmerade, t.ex. skatte-, bidrags-, pensions- och arbetslöshetsregler. Sammankopplingen mellan databaserna och modulerna möjliggör simuleringar. Modellprogrammen körs i en given ordning för att slutligen t.ex. resultera i en beräkning av den disponibla inkomsten.
Omfattningen av antalet moduler i Fasit har över tiden utökats och breddats för att på ett mer fullständigt sätt kunna beräkna den disponibla inkomsten. Det gäller även de ingående databaserna, som i takt med nya modulers tillkomst krävt tillgång till nya data. De nuvarande modulerna är indelade i individmoduler och hushållsmoduler enligt följande.
- Individmoduler: efterlevandepension, ålderspension, sjuk- och aktivitetsersättning, arbetslöshet, sjukpenning, barnbidrag, flerbarnstillägg, studiestöd/studiemedel, föräldrapenning, 3:12-regeln, skatter och arbetsgivaravgifter, underhållsstöd, offentliga välfärdstjänster, tandvård och inkomstbegrepp.
- Hushållsmoduler: bostadsbidrag, bostadstillägg, särskilt bostadstillägg, äldreförsörjningsstöd, ekonomiskt bistånd (socialbidrag), barnomsorgsavgifter, äldreomsorgsavgifter, indirekt beskattning och inkomstbegrepp.
För att utföra simuleringar av framtida förhållanden behövs även prognosinformation för olika områden som påverkar skatte-, avgifts- och bidragssystemen. Dessa prognoser utgör ingångsvärden för flera parametrar som styr de framskrivningar som beräknas i modellen.
Fasits moduler och mikrodata utgör en helhet. Det innebär bl.a. att utveckling i form av tillförsel av nya mikrodata eller nya moduler kommer samtliga användare till del.
Den version av Fasit som tillgängliggörs för användare innehåller avidentifierade individ- och hushållsuppgifter, främst från urvalsundersökningen Hushållens ekonomi (HEK) och från Statistiskt analysregister (STAR). Med avidentifierade uppgifter avses här uppgifter som inte direkt kan härledas till en enskild eller uppgifter som är att jämföra med sådana. Eftersom HEK inte längre genomförs kommer visst material framöver i stället att hämtas från den totalräknade inkomstfördelningsstatistiken (TRIF).
4.2 Urvalet
STAR-urvalet har hämtats från inkomst- och taxeringsregistret. Urvalet omfattar 700 000 bostadshushåll, sammanlagt ca 2 miljoner individer. Urvalet är uppdelat på två strata (delmängder), en OSU-del (obundet slumpmässigt urval) och en totaldel. I totaldelen ingår samtliga individer med taxerad förvärv- och/eller kapitalinkomst över en viss nivå. Med hjälp av information från SCB:s register över totalbefolkningen (RTB) och folkbokföringsregistret bildas urvalspersonens hushåll och databasen kompletteras med dessa individer. Därefter kopplas individer och hushåll till administrativa register för att få information om inkomster, ersättningar, bidrag, skatter, sysselsättning, tjänstgöringsomfattning, yrke, omsorg i förskola m.m. Uppgifterna lagras på såväl individ- som hushållsnivå.
För att kunna simulera vissa delar av systemen behöver informationen lagras i olika hjälpregister där varje individ kan förekomma mer än en gång. Alla variabler används inte i befintliga simuleringar, men de kan behövas dels för att simulera regelförändringar, dels för att sammanställa en bakgrundsbeskrivning.
Även ett mindre urval, MSTAR, tas fram och används i modellen. Urvalet omfattar ca 31 000 bostadshushåll, sammanlagt ca 90 000 individer. På motsvarande sätt som STAR-urvalet är MSTAR uppdelat på olika strata. För MSTAR har uppdelningen gjorts på fem strata med hjälp av kapitalinkomster. I övrigt är MSTAR uppbyggt på motsvarande sätt som STAR och variabelinnehållet är detsamma.
4.3 Uppgiftskällor
En stor del av uppgifterna som ingår i databaserna i Fasit kommer från SCB:s statistikregister. Uppgifter hämtas även in från andra myndigheters statistik och administrativa register. Från SCB hämtas uppgifter från RTB, inkomst- och taxeringsregistret, kontrolluppgiftsregistret, standardiserade räkenskapsutdrag, utbildningsregistret, företagsdatabasen, konjunkturstatistiken om sjuklöner, transfereringsstatistiken, fastighetstaxeringen, folkbokföringen, yrkesregistret och strukturlönestatistik. Uppgifterna används av SCB för att framställa officiell statistik. En del av variablerna klassas som känsliga variabler, t.ex. variabler om sjukersättning. Från andra myndigheter inhämtas uppgifter enligt följande.
- Skatteverket: uppgifter om taxeringsvärde m.m.
- Centrala studiestödsnämnden (CSN): uppgifter om studieskuld, återbetalningstid, studiernas omfattning m.m.
- Försäkringskassan: uppgifter om föräldrapenning, underhållsstöd, sjukpenning, sjuk- och aktivitetsersättning, bostadstillägg för personer med sjuk- och aktivitetsersättning, bostadsbidrag, aktivitetsstöd och tandvårdsbehandling.
- Pensionsmyndigheten: uppgifter om ålders- och efterlevandepension och bostadstillägg.
- Inspektionen för arbetslöshetsförsäkringen: uppgifter om arbetslöshetsersättning.
- Socialstyrelsen: uppgifter om ekonomiskt bistånd och äldreomsorg.
Ett flertal av uppgifterna som begärs in finns redan i dag i SCB:s databaser, men de behöver inhämtas på en mer detaljerad nivå för att kunna användas i Fasit.
4.4 Användarna
Regeringskansliet, framför allt Finansdepartementet och Socialdepartementet, är den stora användaren av Fasit. Användare finns dock även hos Riksdagens utredningstjänst, Sveriges akademikers centralorganisation (Saco), Tjänstemännens centralorganisation (TCO), Landsorganisationen i Sverige (LO), Svenskt Näringsliv, Sveriges Kommuner och Landsting (SKL), Riksrevisionen, Försäkringskassan, Pensionsmyndigheten, Inspektionen för Socialförsäkringen, Konjunkturinstitutet, Riksgäldskontoret och Uppsala universitet. Vidare används Fasit ibland även av personer inom statliga utredningar och andra universitet.
Hos SCB finns i dagsläget ca 50 registrerade användare av Fasit via det s.k. MONA-systemet (Microdata Online Access), som är ett system för åtkomst till mikrodata på SCB som myndigheten använder sig av. Vid Regeringskansliet, som administrerar sin egen tilldelning av behörigheter till Fasit, finns ca 45 användare. Flertalet av dagens användare har haft tillgång till Fasit under lång tid.
SCB använder Fasit främst för att framställa statistik i myndighetens uppdragsverksamhet. Som exempel på sådana uppdrag kan nämnas simuleringar av effekter av förändrat uttag av tjänstepension, effekter av delat barnbidrag, tandvårdsprognoser, simuleringar av reformeffekter och beskrivning av funktionsnedsattas ekonomiska situation. Myndigheten använder även Fasit för att simulera fram nya variabler för statistikframställning och för vissa beräkningar till konsumentprisindex.
Inom Regeringskansliet används Fasit bl.a. för att utföra konsekvensanalyser av föreslagna politiska reformer.
4.5 Utlämnande och tillgängliggörande
En begäran om tillgång till simuleringsmodellen innebär ett utlämnande av mikrodata och föregås av en sekretessprövning. En sådan prövning görs för varje begäran. Flera användare har årliga s.k. prenumerationer, vilket innebär att det görs en ny prövning för varje ny årgång.
Endast uppgifter som inte är direkt hänförbara till en enskild lämnas ut av SCB, och ett sådant utlämnande sker via MONA-systemet. Den version som lämnats ut utgör ett urval av uppgifter från Fasit. Systemet ger användarna möjlighet att genom fjärråtkomst ta del av den utlämnande modellen som användaren kan göra beräkningarna i. Regeringskansliet har tillgång till samma version som andra användare, dock via en separat server i enlighet med en överenskommelse mellan Regeringskansliet och SCB. Även dessa uppgifter är avidentifierade. Ekonomistyrningsverket begär ut STAR-urvalet (endast mikrodata) som underlag till mikrosimulering i en egen simuleringsmodell. Även detta material levereras avidentifierat efter en sekretessprövning.
Vid utlämnande till enskilda upprättas sekretessförbehåll, som inskränker den enskilde individens rätt att lämna uppgifterna vidare och/eller möjligheten att utnyttja dem till annat än vad förbehållet föreskriver. Vid behörighetstilldelningen i MONA upprättas dessutom en användarförbindelse med varje användare.
4.6 Uppdatering av Fasit
Varje årsversion av Fasit består av en uppsättning modellprogram som är framtagna efter det regelverk som är aktuellt det avsedda året och beslutade förändringar för de kommande åren samt mikrodata för det aktuella året.
De uppdateringar av modellen som sker under året utgörs främst av nya ekonomiska prognoser. Vid uppdateringarna förs också de regeländringar som har beslutats av riksdagen eller regeringen in. Om regeländringarna kräver tillgång till nya uppgifter kompletteras STAR- och MSTAR-urvalen med dessa.
4.7 Statistiska centralbyråns uppdrag
SCB ansvarar enligt förordningen (2016:822) med instruktion för Statistiska centralbyrån för att bl.a. utveckla, framställa och sprida officiell statistik och annan statlig statistik samt för att samordna systemet för den officiella statistiken. Enligt förordningen ska myndigheten även, inom ramen för sin statistikverksamhet och i den utsträckning som det finns resurser för det, utföra uppdrag åt andra myndigheter. Myndigheten ska prioritera uppdrag som rör officiell statistik. Myndigheten får inom ramen för sin statistikverksamhet även åta sig uppdrag från andra uppdragsgivare än myndigheter. Av lagen (2001:99) och förordningen (2001:100) om den officiella statistiken följer att SCB ansvarar för framställning av officiell statistik inom ett antal uppräknande ämnes- och statistikområden.
För budgetåret 2019 har regeringen beslutat att målet för SCB:s anslagsfinansierade verksamhet bl.a. är att producera statistik av god kvalitet som är tillgänglig för användarna.
4.8 Utvecklingsbehov
Utvecklingen av Fasit har skett i samverkan mellan SCB och Regeringskansliet, oftast genom att SCB föreslagit en möjlig utvecklingsinsats som myndigheten därefter fått i uppdrag att genomföra. Behoven av att utveckla Fasit är stora och under åren har ett antal insatser genomförts för att aktualisera och bredda modellen.
År 2010 genomförde SCB en översyn av Fasit med fokus på metoder och teknik. I uppdraget ingick bl.a. att se över modellprogrammen, att utvärdera om de båda hushållsbegreppen kosthushåll och familjehushåll behövdes samt behovet av ytterligare innehåll.
På uppdrag av Regeringskansliet har SCB under flera år tillbaka lämnat en redovisning av offentliga välfärdstjänster. Uppdraget baseras på uppgifter om bl.a. individernas konsumtion av vissa välfärdstjänster samt kostnaderna för dessa. Detta medför att kostnaden för olika välfärdstjänster, som t.ex. barnomsorg, kan fördelas på individer och hushåll. Uti-från detta kan disponibel inkomst, inklusive värdet av de offentliga välfärdstjänsterna, beräknas.
Utöver den utveckling som angetts ovan har ett flertal förändringar gjorts för att uppnå ändamålet med Fasit. Även avgränsade uppdrag från enskilda departement och kommittéer har utförts.
Behovet av att utveckla Fasit kommer fortsatt att vara stort. Varje år sker mer eller mindre betydelsefulla förändringar i skatte-, avgifts- och bidragssystemen och av de offentliga välfärdstjänsterna. Genomförandet av reformerna föregås ofta av en debatt kring de ekonomiska effekterna för den enskilde och samhället. Systemen har blivit alltmer komplexa, varför debatten många gånger präglats av stor osäkerhet kring förändringarnas konsekvenser.
5 Dataskyddsförordningen och det svenska regelverket om dataskydd
5.1 Dataskyddsförordningen
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), kallad EU:s dataskyddsförordning, började tillämpas den 25 maj 2018 och utgör den generella regleringen av personuppgiftsbehandling inom EU. Enligt artikel 288 andra stycket i fördraget om Europeiska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Trots att dataskyddsförordningen är direkt tillämplig innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. I skäl 8 till förordningen anges också att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.
EU:s dataskyddsförordning syftar till att säkerställa en enhetlig skyddsnivå över hela unionen så att avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden undviks. Förordningen syftar även till att skapa rättslig säkerhet och öppenhet för ekonomiska aktörer, ge fysiska personer i alla medlemsstater samma rättigheter och skyldigheter och ålägga dem som ansvarar för personuppgifterna samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt (skäl 10 och 13 till förordningen).
Med personuppgifter avses enligt artikel 4 i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en s.k. identifierare, t.ex. ett namn, ett identifikationsnummer, en lokaliseringsuppgift, onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Dataskyddsförordningen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. I artikel 6.1 förordningen räknas dessa rättsliga grunder upp. Behandling är enligt denna bestämmelse laglig endast om och i den mån som åtminstone ett av följande villkor är uppfyllt:
- den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (a),
- behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (b),
- behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (c),
- behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (d),
- behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (e),
- behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (f).
Uppräkningen i artikel 6.1 är således uttömmande. Om ingen av de grunder som anges där är tillämplig är behandlingen inte laglig och får därmed inte utföras. De rättsliga grunderna är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga på en och samma behandling.
Utöver det grundläggande kravet på att all behandling måste vara laglig, i betydelsen att någon av de rättsliga grunder som anges i artikel 6.1 ska vara tillämplig, omgärdas varje behandling av personuppgifter också av andra krav. Principerna för behandling av personuppgifter, dvs. vilka allmänna krav som gäller för all personuppgiftsbehandling, anges i artikel 5.1 i dataskyddsförordningen. Bland annat uppställs krav på att uppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade samt att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål, och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål.
I artikel 9.1 anges att behandling av vissa särskilda kategorier av personuppgifter (känsliga personuppgifter) är förbjuden. De personuppgifter som avses är sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter som specifikt behandlas för att unikt identifiera individer eller uppgifter som rör hälsa eller sexualliv eller sexuell läggning. Bestämmelsen är direkt tillämplig och kräver inga åtgärder av medlemsstaterna.
Förbudet i artikel 9.1 är förenat med ett antal direkt tillämpliga undantag (se artikel 9.2-9.4). För att vissa av undantagen ska vara tillämpliga krävs dock att grunden för sådana behandlingar på olika sätt kommer till uttryck i unionsrätten eller i nationell rätt. Detta gäller bestämmelserna i artikel 9.2 b (arbetsrätt m.m.), 9.2 g (viktigt allmänt intresse), 9.2 h (hälso- och sjukvård m.m.), 9.2 i (folkhälsa) och 9.2 j (arkiv, forskning och statistik) samt artikel 9.3.
Artikel 10 reglerar personuppgiftsbehandling som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1. Sådana uppgifter får endast behandlas under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller nationell rätt, under förutsättning att lämpliga skyddsåtgärder vidtagits för de registrerades rättigheter och friheter.
Personnummer och samordningsnummer utgör inte känsliga personuppgifter i dataskyddsförordningens mening, men intar ändå en särställning genom att medlemsstaterna getts möjlighet att införa särskilda villkor för behandlingen (artikel 87). Villkoren ska i sådana fall säkerställa att identifikationsuppgifterna bara får användas med iakttagande av lämpliga skyddsåtgärder för de registrerades fri- och rättigheter.
I dataskyddsförordningens tredje kapitel behandlas den registrerades rättigheter. Kapitlet avser rätten till information (artiklarna 13 och 14) och tillgång till personuppgifter (artikel 15). Vidare regleras rätten till rättelse (artikel 16), radering (artikel 17), begränsning av behandling (artikel 18) och dataportabilitet (artikel 20). Slutligen behandlas rätten att göra invändningar (artikel 21) och att motsätta sig automatiskt individuellt beslutsfattande (artikel 22). I anslutning till dessa rättigheter finns bestämmelser om hur och när information ska lämnas (artikel 12) och bestämmelser om anmälningsskyldighet för det fall rättelse, radering eller begränsning av behandling sker (artikel 19).
Den registrerades rättigheter, med motsvarande skyldigheter för den personuppgiftsansvarige, är direkt tillämpliga. Rättigheterna är emellertid inte absoluta. I artikel 23.1 anges att såväl unionsrätten som en medlemsstats nationella rätt får begränsa tillämpningsområdet för vissa skyldigheter och rättigheter som föreskrivs i förordningen, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt angivna mål. Möjlighet att begränsa vissa av de registrerades rättigheter ges även i artikel 89.2, i fråga om behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Enligt artikel 89.3 får vissa rättigheter också begränsas vid behandling av personuppgifter för arkivändamål av allmänt intresse.
I artikel 11 finns särskilda bestämmelser om behandling som inte kräver identifiering. Av artikel 11.1 framgår att om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syftet att följa förordningen. Enligt artikel 11.2 ska den personuppgiftsansvarige, i de fall som avses i punkt 1, om det kan visas att denne inte är i stånd att identifiera den registrerade, om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 15-20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.
5.2 Det svenska regelverket
Skyddet för den personliga integriteten i regeringsformen (RF) stärktes den 1 januari 2011 genom ikraftträdandet av ett nytt andra stycke i 2 kap. 6 § RF. Regleringen innebär att var och en och gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får under vissa omständigheter enligt 2 kap. 20 och 21 §§ RF begränsas genom lag.
Som nämnts ovan innehåller EU:s dataskyddsförordning många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Sådana nationella bestämmelser har införts genom lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), som trädde i kraft samma dag som dataskyddsförordningen.
Dataskyddslagen utsträcker dataskyddsförordningens tillämpningsområde till att, med vissa undantag, gälla även vid behandling av personuppgifter som utgör led i en verksamhet som inte omfattas av unionsrätten (1 kap. 2 §).
Bestämmelser i annan lag eller förordning som rör behandling av personuppgifter, och som avviker från dataskyddslagen, ska ha företräde framför denna lag (1 kap. 6 §). Det kan t.ex. handla om bestämmelser som specificerar eller begränsar rätten att behandla känsliga personuppgifter i en viss verksamhet eller särskilda förfaranderegler. Sådana avvikande bestämmelser finns ofta i författningar som helt eller delvis innehåller bestämmelser om behandling av personuppgifter hos en viss myndighet, inom en viss sektor eller i ett visst sammanhang (prop. 2017/18:105 s. 186). Det innebär att dataskyddslagen kan kompletteras av s.k. registerförfattningar, dvs. författningar som reglerar behandling av personuppgifter på ett avgränsat område.
I 2 kap. dataskyddslagen finns särskilda bestämmelser om rättslig grund för behandling av personuppgifter som kompletterar regleringen i dataskyddsförordningen. I kapitlets två första paragrafer tydliggörs när personuppgifter får behandlas med stöd av artikel 6.1 c och 6.1 e i förordningen. I 2 kap. 1 § anges att personuppgifter får behandlas med stöd av artikel 6.1 c, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Behandling av personuppgifter med stöd av artikel 6.1 e får enligt 2 kap. 2 § ske om den är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Av artikel 6.3 första stycket följer att grunden för behandling som avses i artiklarna 6.1 c och 6.1 e ska fastställas i enlighet med unionsrätten eller den nationella rätten.
I dataskyddslagen har det också införts regler om när känsliga personuppgifter enligt artikel 9 i dataskyddsförordningen får behandlas. Bestämmelserna ska ses mot bakgrund av regleringen i artikel 9.2 om krav på innehållet i unionsrätten och medlemsstaternas nationella rätt. I dataskyddslagen anges bl.a. under vilka förutsättningar en myndighet får behandla känsliga personuppgifter i sin normala verksamhet och när behandling av sådana uppgifter får ske för statistiska ändamål (3 kap. 3 och 7 §§). I anslutning till detta anges att det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Även behandlingen av identifikationsuppgifter har reglerats särskilt i dataskyddslagen. Personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (3 kap. 10 §). Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten (3 kap. 11 §).
Dataskyddslagen innehåller även vissa särskilda bestämmelser om tillämpningen av dataskyddsförordningens artiklar om de registrerades rättigheter. Enligt 5 kap. 1 § dataskyddslagen gäller inte artiklarna 13-15 i dataskyddsförordningen om information och tillgång till personuppgifter sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som meddelats med stöd av författning. Om den personuppgiftsansvarige inte är en myndighet gäller undantaget för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL. Artikel 15 i dataskyddsförordningen om den registrerades rätt till tillgång gäller inte personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande (5 kap. 2 § dataskyddslagen). Slutligen får regeringen meddela ytterligare föreskrifter om begränsningar enligt artiklarna 23, 89.2 och 89.3 i dataskyddsförordningen (5 kap. 3 § dataskyddslagen).
6 Särskilt om personuppgiftsbehandlingar för statistiska ändamål
6.1 Bestämmelser i dataskyddsförordningen
Med statistik avses metoder för att samla in, bearbeta, utvärdera och analysera data eller information. Även resultatet av ett sådant arbete, ofta redovisat i numerisk form, benämns ofta statistik. I EU:s dataskyddsförordning avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Statistiska resultat kan i sin tur användas för olika ändamål, bl.a. vetenskapliga forskningsändamål. Sådana resultat består inte av personuppgifter, utan av aggregerade personuppgifter, och ska inte resultera i att uppgifterna används till stöd för åtgärder eller beslut som avser en särskild fysisk person (se skäl 162 till dataskyddsförordningen).
I dataskyddsförordningen finns ett antal bestämmelser som särskilt reglerar personuppgiftsbehandling för statistiska ändamål. Enligt artikel 5.1 b gäller t.ex. att vidarebehandling av personuppgifter för sådana ändamål inte ska anses oförenlig med de ursprungliga ändamålen. Om uppgifterna enbart kommer att behandlas för statistiska ändamål får dessa enligt artikel 5.1 e vidare lagras under en längre tid än vad som normalt gäller.
I artikel 14.1-4 i dataskyddsförordningen finns bestämmelser om den personuppgiftsansvariges informationsplikt när personuppgifter inte har erhållits från den registrerade. Dessa bestämmelser ska enligt artikel 14.5 b inte tillämpas i den utsträckning som tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt vid behandling för bl.a. statistiska ändamål i enlighet med artikel 89.1. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten. På motsvarande sätt anges i artikel 17.3 d att rätten att få uppgifter raderade inte gäller om uppgifterna behövs för sådan behandling som är nödvändig för bl.a. statistiska ändamål enligt artikel 89.1, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.
Artikel 89 i dataskyddsförordningen ställer krav på skyddsåtgärder vid behandling av personuppgifter för bl.a. statistikändamål, men ger också medlemsstaterna möjlighet till att föreskriva undantag från flera av de rättigheter som annars tillkommer den registrerade. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering, dvs. att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas, iakttas. Dessa åtgärder får inbegripa s.k. pseudonymisering, vilket innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att ändamålen kan uppfyllas på det sättet.
Enligt artikel 89.2 i dataskyddsförordningen får vid behandling för bl.a. statistiska ändamål undantag göras från de registrerades rätt till tillgång, till rättelse och till begränsning av behandling samt rätten att göra invändningar (se artikel 15, 16, 18 och 21), under förutsättning att vissa villkor uppfylls och skyddsåtgärder vidtas. Detta får dock bara göras i den utsträckning som rättigheterna sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de aktuella ändamålen och undantagen krävs för att uppnå dessa ändamål.
6.2 Svenska bestämmelser om behandling av personuppgifter för framställning av statistik
Behandling av personuppgifter för statistiska ändamål förekommer inom såväl den offentliga som den privata sektorn, både som en självständig verksamhet och som en uppföljande åtgärd till annan verksamhet. Viss statistik har sådan grundläggande betydelse för allmän information, utredningsverksamhet och forskning att den i Sverige utgör s.k. officiell statistik, vilket innebär att den omfattas av lagen om den officiella statistiken och förordningen om den officiella statistiken. Den officiella statistiken ska enligt denna reglering vara objektiv och allmänt tillgänglig samt framställas utifrån vetenskapliga metoder. Statistikprodukterna ska innehålla en redogörelse för vilken kvalitet som statistiken uppfyller. Vad som är officiell statistik, och vilken myndighet som ansvarar för den, anges i bilagan till förordningen om den officiella statistiken. I lagen och förordningen finns bestämmelser om skyldighet för bl.a. kommuner, landsting, näringsidkare, registrerade trossamfund och statliga myndigheter att lämna uppgifter som behövs för framställning av officiell statistik.
Lagen och förordningen om den officiella statistiken innehåller också vissa särskilda bestämmelser som gäller vid behandling av personuppgifter. Enligt 14 § lagen om den officiella statistiken får en statistikansvarig myndighet behandla personuppgifter för framställning av statistik om inte annat följer av 15 §. För sådan behandling är myndigheten personuppgiftsansvarig. Behandling av personuppgifter får också omfatta uppgift om personnummer. Enligt 15 § första stycket får känsliga personuppgifter behandlas om det följer av föreskrifter som regeringen meddelar. Sådana bestämmelser finns i 8 § förordningen om den officiella statistiken. Av 15 § andra stycket lagen om den officiella statistiken framgår att vid framställning av annan statistik än officiell statistik får känsliga personuppgifter som avses i artikel 9.1 och artikel 10 i dataskyddsförordningen också behandlas om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Behandling får också ske om den ingår i ett forskningsprojekt och behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Enligt 9 § förordningen om den officiella statistiken får uppgifter som behandlas för framställning av officiell statistik även behandlas för framställning av annan statistik och för forskning, om ändamålet med behandlingen inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
I 15 a § lagen om den officiella statistiken anges att artiklarna 16 och 18 i dataskyddsförordningen om rätten till rättelse och rätten till begränsning av behandling av personuppgifter inte gäller vid behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen.
Av 1 § tredje stycket lagen om den officiella statistiken framgår att bestämmelserna i 14-16 §§ och 19 § även gäller vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet.
7 Offentlighet och sekretess
Enligt regler i 2 kap. tryckfrihetsförordningen (TF) har var och en rätt att ta del av myndigheternas allmänna handlingar. De begränsningar som finns i handlingsoffentligheten ska noga anges i särskild lag, eller i annan lag som den särskilda lagen hänvisar till, 2 kap. 2 § andra stycket TF. Offentlighets- och sekretesslagen (2009:400), förkortad OSL, utgör den särskilda lagen. Endast om det är påkallat av hänsyn till vissa viktiga sekretessintressen kan rätten att ta del av allmänna handlingar begränsas.
Av 2 kap. 2-4 §§ OSL framgår att riksdagen, beslutande kommunala församlingar och sådana organ som avses i 2 kap. 3 och 4 §§ OSL ska jämställas med myndighet vid tillämpningen av OSL. Bestämmelser om tystnadsplikt finns också utanför OSL:s tillämpningsområde, exempelvis för anställda inom den privata hälso- och sjukvården och för advokater.
Sekretess gäller i förhållande till såväl enskilda som andra myndigheter. Sekretess gäller också mellan olika verksamhetsgrenar inom samma myndighet om de är att betrakta som självständiga i förhållande till varandra.
7.1 Sekretess i statistikverksamhet
Enligt 24 kap. 8 § OSL gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift om en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Motsvarande sekretess gäller i annan jämförbar undersökning som utförs av Riksrevisionen, Riksdagsförvaltningen eller Statskontoret, eller inom det statliga kommittéväsendet. Detsamma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning som regeringen meddelar föreskrifter om det. Uppgift som behövs för forsknings- eller statistikändamål, och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355). För uppgift i en allmän handling gäller sekretessen i högst 70 år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst i 20 år. Statistiksekretessen gäller oavsett varifrån uppgiften kommer. Det innebär att en uppgift som är offentlig hos en annan myndighet blir sekretesskyddad när den överförs till SCB för framställning av statistik.
Den starka statistiksekretess som gäller enligt 24 kap. 8 § OSL har tillkommit efter en intresseavvägning mellan å ena sidan insynsintresset och å andra sidan sekretessintresset. Medan insynsintresset är obetydligt är sekretessintresset påtagligt, och väger avsevärt tyngre. Det starka sekretesskyddet är viktigt för allmänhetens förtroende för SCB och är också en förutsättning för statistikverksamheten. Ett minskat förtroende kan påverka viljan att lämna uppgifter negativt och försämra uppgifternas kvalitet.
Sekretess gäller inom sådan särskild verksamhet hos myndighet som avser framställning av statistik, dvs. sådan statistikframställning som sker utan anknytning till något särskilt ärende. Framställning av statistik som underlag för ett beslut i ett visst ärende är inte att betrakta som någon sådan särskild verksamhet.
Det som är avgörande för om statistiksekretess gäller är om myndigheten har en särskild reglering, ordning eller organisation för framställning av statistik. Verksamheten ska vara avskild från annan verksamhet, t.ex. genom att den är organiserad som en egen enhet eller liknande. Avgörande är inte enhetens storlek eller det antal personer som sysselsätts där, utan hur statistiken och uppgifterna till denna hanteras i förhållande till myndighetens verksamhet i övrigt.
Uppgifter som i statistikverksamhet samlats in av en myndighet för en annan myndighets räkning skyddas av sekretess också hos den insamlande myndigheten.
Regeringen får föreskriva att sekretess enligt 24 kap. 8 § OSL ska gälla i annan jämförbar undersökning. Det är här fråga om olika utredningar och undersökningar som utförs utanför en särskild statistikverksamhet, men där man ansett att statistiksekretessen ändå bör gälla. Vilka undersökningar som omfattas anges i offentlighets- och sekretessförordningen (2009:641), förkortad OSF.
7.2 Utlämnande av uppgifter
För att SCB ska kunna lämna ut mikrodata krävs att något av undantagen i 24 kap. 8 § OSL är tillämpligt. Ett utlämnande kan också aktualiseras om någon sekretessbrytande bestämmelse i OSL eller i annan författning som OSL hänvisar till är tillämplig.
Undantagsregeln i 24 kap. 8 § tredje stycket OSL gör det möjligt att lämna ut material även för andra ändamål än forskning och statistik. Enligt bestämmelsen kan avidentifierat material lämnas ut, exempelvis till en utredningsenhet inom en myndighet för kvalificerat utrednings- och analysarbete.
Har den mottagande myndigheten själv en avskild statistikverksamhet skyddas uppgifterna av statistiksekretess även hos denna, vilket kan möjliggöra ett utlämnande, eftersom det då i många fall kan anses stå klart att ett utlämnande kan ske utan att det leder till skada eller men. Om det är fråga om en verksamhet som genomför undersökningar som är jämförbara med framtagande av statistik, och som behöver uppgifter på en detaljerad nivå, kan regeringen med stöd av 24 kap. 8 § andra stycket OSL särskilt föreskriva att statistiksekretess ska gälla för utredningen. Utlämnande av avidentifierade uppgifter för kvalificerat utrednings- eller analysarbete kan även ske till användare vid enskilda organisationer efter vederbörlig prövning, t.ex. till anställda vid de centrala fackliga organisationernas utredningsavdelningar. I sådana fall kan myndigheten besluta om ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den, och som undanröjer riskerna för skada eller men. Den enskilde omfattas därmed av en straffsanktionerad tystnadsplikt
8 En lag om behandling av personuppgifter i Fasit
8.1 Reglering av personuppgiftsbehandlingen i en särskild lag
Regeringens förslag: Personuppgiftsbehandlingen i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar (Fasit) ska regleras i en särskild lag. Den särskilda lagen ska tillämpas vid Statistiska centralbyråns behandling av personuppgifter i Fasit och vid behandling av personuppgifter i det urval som lämnas ut till i lagen utpekade myndigheter och andra myndigheter under regeringen.
Regeringens bedömning: Det bör utredas under vilka förutsättningar det är möjligt att reglera Statistiska centralbyråns utlämnande av särskilda urval av personuppgifter i Fasit till andra än myndigheter och förutsättningarna för behandlingen av personuppgifterna hos mottagarna.
Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att den särskilda lagen ska tillämpas vid behandling av personuppgifter i det urval av Fasit som lämnas ut av Statistiska centralbyrån, oavsett om det är en myndighet eller en enskild som behandlar uppgifterna.
Remissinstanserna: Samtliga remissinstanser som yttrat sig i frågan, utom Inspektionen för socialförsäkringen, Datainspektionen och Svenskt näringsliv, tillstyrker promemorians förslag eller har inte något att invända mot detta. Inspektionen för socialförsäkringen anser att det finns nackdelar med en reglering som omfattar behandling som sker i ett specifikt statistiksystem i stället för att utgå från och omfatta behandling för vissa ändamål hos vissa organisationer och myndigheter. En nackdel är enligt myndigheten att det, i takt med att systemet och SCB:s verksamhet utvecklas och ändras, uppstår oklarheter kring vilka uppgifter från vilka källor som får behandlas i systemet. Datainspektionen anser att användningen av Fasit synes ske för att fullgöra uppgifter av allmänt intresse. Myndigheten är därför tveksam till att privata aktörer kan stödja sig på en intresseavvägning enligt artikel 6.1 f i dataskyddsförordningen som rättslig grund för behandlingen. Enligt Datainspektionen är det vidare inte möjligt att med stöd av artikel 6.2-3 i EU:s dataskyddsförordning begränsa och reglera personuppgiftsbehandlingen på det sätt som föreslås i promemorian om privata aktörer ska tillämpa den rättsliga grunden i artikel 6.1 f. Datainspektionen ifrågasätter vidare om det finns ett rättsligt fastställt allmänt intresse för privata aktörer och andra myndigheter än SCB att behandla uppgifterna. Myndigheten menar vidare att det tydligt bör framgå av den föreslagna regleringen vilka som ska få använda Fasit för de ändamål och på det sätt som lagen anger. Svenskt näringsliv anser att det är otydligt om den föreslagna lagen avses utgöra ett sådant rättsligt stöd för användarnas behandling av personuppgifter som avses i 2 kap. 1 § dataskyddslagen. Om avsikten inte är att begränsa möjligheterna för arbetsmarknadens parter att använda Fasit är det enligt organisationen viktigt att detta regleras på ett tydligt sätt.
Skälen för regeringens förslag och bedömning
Behovet av en särskild reglering
SCB förvaltar Fasit inom ramen för sin statistikverksamhet. Förutom EU:s dataskyddsförordning och dataskyddslagen gäller lagen om den officiella statistiken och förordningen om den officiella statistiken vid SCB:s behandling av personuppgifter i den verksamheten. De myndigheter som är statistikansvariga myndigheter enligt lagen om den officiella statistiken måste vid användningen av Fasits urval också beakta motsvarande regelverk och samtidigt eventuella särskilda författningar som specifikt reglerar behandlingen av personuppgifter hos respektive myndighet. De övriga myndigheter och enskilda som använder Fasits urval ska tillämpa dataskyddsförordningen, dataskyddslagen och eventuella särskilda författningar om personuppgiftsbehandling.
De databaser som utgör grunden för Fasit innehåller ett stort antal uppgifter om individer och hushåll. Uppgifterna hämtas från såväl SCB:s statistikdatabaser som från andra myndigheters register. Det rör sig i viss utsträckning även om känsliga personuppgifter, t.ex. uppgifter kopplade till information om hälsa. I den utsträckning det är fråga om uppgifter som används för officiell statistik bör SCB:s behandling av personuppgifter i Fasit omfattas av bestämmelserna i lagen och förordningen om den officiella statistiken. Fasit innehåller dock även uppgifter som för närvarande inte används för framställning av officiell statistik, närmare bestämt registerdata som hämtas direkt från andra myndigheter till Fasit. Uppgifterna kan också finnas på en mer detaljerad nivå än vad som krävs för framställning av officiell statistik. Beträffande dessa uppgifter finns en oklarhet om den nuvarande regleringen ger stöd för SCB:s behandling av uppgifterna och den behandling som sker efter utlämnande av SCB. Myndigheter som ska lämna ut uppgifter till SCB kan till följd av detta ha svårt att avgöra om ett utlämnande kan ske. Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med dataskyddsförordningen eller dataskyddslagen (jfr 21 kap. 7 § OSL). Det kan därför ifrågasättas om den nuvarande regleringen är tillräcklig för den behandling som sker med hjälp av Fasit och inhämtandet av data till systemet.
Syftet med Fasit var från början att skapa ett simuleringsverktyg för regeringens reformarbete, men modellen används i dag av flera offentliga och privata aktörer för andra syften. Det finns ett betydande behov i samhället av en mikrosimuleringsmodell som Fasit. Simuleringarna i Fasit ger värdefull kunskap och information om komplexa förhållanden beträffande effekterna av ändringar i befintliga regelsystem. Med tanke på den mängd personuppgifter som finns i Fasit, och i det urval av Fasit som ska vara möjligt att lämna ut, finns anledning att tydliggöra för vilka ändamål modellen får användas och avgränsa vilka personuppgifter som får behandlas. Ett sådant regelverk bör vara utformat på så sätt att det ger stöd för behandlingen av personuppgifter i de databaser som ingår i Fasit, samtidigt som det tillgodoser skyddet för den enskildes personliga integritet.
Det kan konstateras att lagen om den officiella statistiken bara gäller för statistikansvariga myndigheter, samtidigt som Fasit i dag även används av myndigheter som inte är statistikansvariga myndigheter, exempelvis Regeringskansliet, samt av privata aktörer som intresseorganisationer och arbetstagar- och arbetsgivarorganisationer. I Fasit behandlas också personuppgifter som inte används för framtagande av den officiella statistiken. Regeringen anser därför, till skillnad från Inspektionen för socialförsäkringen, att övervägande skäl talar för att bestämmelser om behandling av personuppgifter i Fasit bör regleras i en särskild författning i stället för genom justeringar av gällande lagstiftning om den officiella statistiken. Lagen kommer i kombination med den reglering som styr varje enskild användares verksamhet att utgöra den rättsliga grunden för användarnas behandling av personuppgifter.
I Fasit behandlas en stor mängd uppgifter som direkt kan hänföras till enskilda, exempelvis uppgifter om sysselsättning, inkomster, fastighetsinnehav och utbetalda socialförsäkringsförmåner. Uppgifterna är även till viss del av känslig karaktär. Vid bedömningen av vad som kan anses utgöra ett betydande intrång enligt 2 kap. 6 § RF bör flera omständigheter vägas in, t.ex. uppgifternas karaktär och omfattning. Även sådana omständigheter som t.ex. ändamålet med behandlingen av uppgifterna och omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan vara av betydelse vid bedömningen.
Behandlingen i Fasit hos SCB sker med uppgift om identitet. Denna behandling kan sägas innebära en kartläggning av enskilda även om ändamålet med behandlingen är ett annat. Behandlingen sker emellertid inte i syfte att vidta åtgärder mot enskilda och materialet lämnas ut till andra i anonymiserad form. Vid en sammanvägd bedömning av uppgifternas karaktär och omfattning samt syftet med behandlingen bedömer regeringen att behandlingen inte är av sådan beskaffenhet att den får anses innefatta ett betydande intrång i enskildas personliga integritet. I det urval av Fasit som görs tillgängligt för andra än SCB saknas uppgift om identitet. Denna behandling av personuppgifter bedöms därför inte heller utgöra ett sådant betydande intrång i enskildas personliga integritet som avses i 2 kap. 6 § RF.
Regeringen bedömer sammantaget utifrån de skäl som redogjorts ovan att regleringen av Fasit bör samlas i en särskild lag, fortsättningsvis benämnd Fasitlagen. En sådan särskild reglering bidrar till en ökad tydlighet kring vad som ska gälla för den personuppgiftsbehandling som sker vid utvecklingen och användningen av Fasit.
Lagens tillämpningsområde för myndigheter
Enligt artikel 6.2 i EU:s dataskyddsförordning får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling för att efterleva artikelns punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX. De rättsliga grunderna för behandlingen enligt artikel 6.1 c och e ska enligt artikel 6.3 i dataskyddsförordningen vara fastställda i enlighet med unionsrätten eller den nationella rätten.
Den verksamhet som en statlig eller kommunal myndighet bedriver är av allmänt intresse. De åtgärder som myndigheterna vidtar i syfte att utföra sina uppdrag eller åligganden har också genom författning och regeringsbeslut en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler (jfr prop. 2017/18:105 s. 56 f.). Till skillnad från Datainspektionen anser regeringen således att myndigheter som utgångspunkt utför uppgifter av allmänt intresse som har fastställts i rättsordningen enligt artikel 6.1 e i dataskyddsförordningen. I vissa fall kan det för myndigheter också vara fråga om fullgörande av en fastställd rättslig förpliktelse enligt artikel 6.1 c. Som exempel på en myndighet som kan använda Fasits urval med stöd av den senare grunden kan nämnas Försäkringskassan, som enligt 2 § förordning (2009:1174) med instruktion för Försäkringskassan har till uppgift att bl.a. följa, analysera och förmedla socialförsäkringssystemets utveckling och effekter för enskilda och samhälle inom sitt verksamhetsområde. Ytterligare ett exempel är Konjunkturinstitutet, som bl.a. ska följa och analysera den ekonomiska utvecklingen inom och utom landet samt i anslutning till detta göra prognoser för den svenska ekonomin (1 § förordningen [2007:759] med instruktion för Konjunkturinstitutet). Av det som framgår av dessa myndigheters instruktioner följer även att myndigheterna fullgör sådana uppgifter av allmänt intresse som motiverar en användning av Fasit.
Begreppet myndighet används enligt förarbetena till regeringsformen för att beteckna organ som utövar offentlig makt och som är organiserade i offentligrättsliga former (prop. 1973:90 s. 233). Uttrycket används således i fråga om såväl domstolar som statliga och kommunala förvaltningsmyndigheter. Uttrycket omfattar även regeringen, men inte riksdagen eller de kommunala beslutande församlingarna. Regeringen har i samband med införandet av dataskyddslagen ansett att denna terminologi bör vara utgångspunkten vid tolkningen av begreppet myndighet i dataskyddsförordningen (prop. 2017/18:105 s. 46). Vid tillämpningen av Fasitlagen bör begreppet myndighet förstås på detta sätt.
Lagens tillämpningsområde för andra än myndigheter
I dagsläget används Fasits urval även av andra än myndigheter. Det rör sig exempelvis om forskare, SKL, centrala arbetstagar- och arbetsgivarorganisationer och andra intresseorganisationer. Enligt promemorian torde dessa enskilda användare generellt sett inte kunna använda sig av grunderna rättslig förpliktelse eller uppgift av allmänt intresse, eftersom de inte utför sådana uppgifter som fastställts i rättsordningen på det sätt som krävs. Dessa användares behandling måste enligt promemorian därför ha stöd i artikel 6.1 f i dataskyddsförordningen (intresseavvägning) för behandlingen av personuppgifter i Fasits urval.
Enligt skäl 10 till EU:s dataskyddsförordning bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna bör säkerställas i hela unionen. I samma skäl anges dock att vid behandling av personuppgifter för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa hur bestämmelserna i förordningen ska tillämpas. Möjligheterna för medlemsstaterna att införa sådana bestämmelser har kommit till specifikt uttryck i bl.a. artikel 6.2 och 6.3 i dataskyddsförordningen. Motsvarande befogenhet att införa specifika nationella bestämmelser saknas när det gäller övriga grunder för behandling i artikel 6 i förordningen. Det är således, som Datainspektionen påpekar, inte möjligt att med stöd av artikel 6.2 eller 6.3 reglera behandlingen av personuppgifter när behandlingen stödjer sig på andra grunder än de i artikel 6.1 c eller e.
Det är mot denna bakgrund inte möjligt att reglera behandlingen av personuppgifter hos privata aktörer i nationell lagstiftning om den sker på grundval av den rättsliga grund som föreslås i promemorian. Till skillnad från Datainspektionen bedömer regeringen vidare att det inte finns underlag för att i detta lagstiftningsärende fastställa en rättslig grund, allmänt intresse, i den tänkta regleringen för de enskilda användarna av Fasit. Den föreslagna lagen bör därför endast omfatta SCB:s behandling av personuppgifter i Fasit och myndigheters behandling av personuppgifter i det urval som lämnas ut.
Den föreslagna regleringen kommer således inte att omfatta personuppgiftsbehandlingen hos privata aktörer. Regeringen anser dock att det är av vikt att det utreds under vilka förutsättningar det är möjligt att närmare reglera utlämnandet av personuppgifter till dessa aktörer och deras behandling av uppgifterna. Samtidigt är det angeläget att regleringen av myndigheternas användning av Fasit kan införas så snart som möjligt. Regeringen har därför gett SCB i uppdrag att utreda under vilka förutsättningar det är möjligt att reglera utlämnandet av särskilda urval av personuppgifter i Fasit till andra än myndigheter och förutsättningarna för behandlingen av personuppgifterna hos mottagarna. Om SCB bedömer att en författningsreglering är möjlig ska myndigheten lämna förslag på hur denna bör utformas. Myndigheten ska även utreda och lämna förslag till åtgärder som syftar till att utveckla den del av myndighetens uppdragsverksamhet som innefattar en användning av Fasit.
8.2 Personuppgiftsansvar
Regeringens förslag: Statistiska centralbyrån ska ha ett utpekat personuppgiftsansvar för myndighetens behandling av personuppgifter i Fasit. Myndigheter som urvalet har lämnats ut till ska ha ett utpekat personuppgiftsansvar för den behandling av personuppgifter som myndigheterna utför.
Promemorians förslag överensstämmer delvis med regeringens. I promemorian görs bedömningen att en reglering av personuppgiftsansvaret hos användarna av Fasit inte är nödvändig.
Remissinstanserna: Ingen remissinstans har särskilt kommenterat förslaget.
Skälen för regeringens förslag: Begreppet personuppgiftsansvarig är centralt i EU:s dataskyddsförordning. I artikel 4 i förordningen definieras begreppet som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålet och medlen för behandlingen av personuppgifterna. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller nationell rätt kan det i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas vem som ska vara personuppgiftsansvarig. Dataskyddsförordningen ger alltså utrymme för en nationell reglering av personuppgiftsansvaret.
Personuppgiftsansvaret innebär i korthet ett skadestånds- och avgiftssanktionerat ansvar för att dataskyddsförordningens bestämmelser uppfylls. Det innebär t.ex. ett ansvar för att se till att behandlingen av personuppgifter inte sker i strid med de principer som gäller för behandling av personuppgifter, att det finns ett lagligt stöd för behandlingen, att behandlingen inte sker i större utsträckning än vad som är nödvändigt med hänsyn till det lagliga stöd som gäller för behandlingen och att de registrerades rättigheter uppfylls. Utöver dessa skyldigheter innehåller förordningen ett särskilt kapitel som reglerar en rad mer specifika skyldigheter som åligger den ansvarige.
Det är SCB som ska samla in och i övrigt behandla de uppgifter som behövs i Fasit och de databaser som ligger till grund för den del av modellen som görs tillgänglig för användare. Myndigheten ska också ansvara för att förvalta och utveckla Fasit. Det bör därför uttryckligen framgå av den nya lagen att ansvaret för behandlingen av personuppgifterna i Fasit ligger hos myndigheten.
I enlighet med dataskyddsförordningen är den myndighet som använder Fasits urval personuppgiftsansvarig för behandlingen av personuppgifterna efter att de har lämnats ut. Detta bör för tydlighets skull anges i lagen.
8.3 Tillåtna ändamål
Regeringens förslag: Uppgifterna i Fasit och i det urval som lämnas ut till användare ska få behandlas för simulering och beräkning av effekter av befintliga och nya regelverk samt andra förändringar inom skatte-, avgifts- och bidragssystemen och av de offentliga välfärdstjänsterna, samt för att ta fram statistik för analys av information inom dessa områden.
Statistiska centralbyrån ska även ha rätt att utföra sådan behandling av personuppgifter som är nödvändig för att myndigheten ska kunna förvalta och utveckla Fasit.
En generell förutsättning för att få behandla personuppgifter i Fasit och i utlämnade urval ska vara att personuppgiftsbehandling endast får ske om det är nödvändigt för att uppnå ändamålen.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Samtliga remissinstanser utom Socialstyrelsen instämmer i promemorians förslag eller har inga synpunkter på det. Socialstyrelsen påtalar att huvuddelen av de uppgifter som finns i myndighetens register rör hälsa och att det kommer vara svårt att bedöma SCB:s behov utifrån den föreslagna regleringen. Enligt Socialstyrelsen bör det finnas en uppräkning av vilka typer av uppgifter som får behandlas i Fasit.
Skälen för regeringens förslag
Tillåtna ändamål för behandlingen
Den omständigheten att behandlingen av personuppgifter har stöd i artikel 6.1 i EU:s dataskyddsförordning, dvs. att den har en rättslig grund, innebär inte att vilka uppgifter som helst kan behandlas eller att de kan behandlas på valfritt sätt. Den personuppgiftsansvarige måste även uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna i artikel 5. Ett av kraven som följer av artikel 5.1 är att personuppgifter endast ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål.
Dataskyddsförordningen ställer inte några absoluta krav på att särskilda ändamål ska vara fastställda i en författning, men det finns heller inget som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Det måste således alltid göras en avvägning mellan å ena sidan behovet av att uppgiften kan utföras på ett effektivt och rättssäkert sätt och å andra sidan den enskildes rätt till skydd för sina personuppgifter.
Ändamålsbestämmelser är en typ av sådana specifika bestämmelser som i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen anpassar tillämpningen av förordningen och säkerställer en laglig och rättvis behandling. Syftet med ändamålsbestämmelserna är att ange en yttersta ram inom vilken personuppgiftsbehandlingen får ske.
En reglering av tillåtna ändamål bör även införas i Fasitlagen. På detta sätt säkerställs en tydlig, laglig och rättvis behandling. En ändamålsspecificering torde även underlätta den utlämnandeprövning som SCB ska göra i samband med att Fasit lämnas ut till användare enligt lagen.
Syftet med Fasit har i huvudsak varit att tillgodose behovet av att ta fram statistik och genomföra simuleringar för att utvärdera effekterna av befintliga och föreslagna regelsystem inom området inkomster och transfereringar. Fasit används i dag också av Regeringskansliet för undersökningar om bl.a. fördelningseffekter av de offentliga välfärdssystemen. Offentliga välfärdstjänster avser välfärdssubventioner och förekommer framför allt inom områdena hälso- och sjukvård, utbildning och socialt skydd. För dessa behöver olika sammanställningar och analyser kunna göras för att på bästa sätt tillgodose exempelvis behovet av kunskap i samband med regelgivning. I Fasitlagen bör mot denna bakgrund anges att uppgifterna ska få behandlas för simulering och beräkning av effekter av befintliga och nya regelverk samt andra förändringar inom skatte-, avgifts- och bidragssystemen och för analyser av de offentliga välfärdstjänsterna. I detta ingår både att samla in och tillhandahålla uppgifter för ändamålet. De uppgifter som finns i Fasit används även utan modellprogrammen för simulering för att göra särskilt anpassade statistikuttag för analyser inom skatte-, avgifts- och bidragsområdet och av de offentliga välfärdstjänsterna. När Fasit nämns avses vanligtvis den simulering som görs genom att nyttja de två delar som modellen består av, dvs. mikrodata och modellprogrammen. För att tydliggöra att uppgifterna i Fasit får användas även för att ta fram särskilt anpassade statistikuttag bör det som ett särskilt ändamål anges att uppgifterna i Fasit får användas för framställning av statistik för analyser inom skatte-, avgifts- och bidragssystemen och av de offentliga välfärdstjänsterna. Med detta avses både framställning och tillhandahållande av statistik.
De ändamålsbestämmelser som i enlighet med vad som ovan anförts föreslås i Fasitlagen ska innehålla en uttömmande uppräkning av de ändamål för vilka personuppgiftsbehandlingen får ske.
För att SCB ska kunna fullgöra skyldigheten att förvalta och utveckla Fasit krävs en mer långtgående möjlighet för myndigheten än för övriga användare att hantera personuppgifter. För att skapa Fasits basår samt för att förvalta och utveckla modellen behöver SCB behandla och ha tillgång till uppgifter om totalbefolkningen med angivande av identitet. Tillgång till uppgifter av detta slag är också en förutsättning för att SCB ska kunna ta fram ett relevant och väl avvägt urval som kan lämnas ut till Fasits användare, dvs. Riksdagsförvaltningen, Riksrevisionen, Regeringskansliet och andra myndigheter under regeringen. Det är fråga om en stor mängd uppgifter om ett mycket stort antal identifierbara personer och deras hushåll, t.ex. uppgifter om hushållens inkomster, studieskulder, förmögenhet, boendekostnader, pensioner, sysselsättning samt uppgifter om utbetald föräldrapenning, underhållsstöd, sjukpenning, sjuk- och aktivitetsersättning, ekonomiskt bistånd och olika former av bidrag. Omfattningen av datamängden bestämmer kvaliteten på den analys som kan göras i Fasit. Detta gäller såväl storleken på populationen som antalet uppgifter inom området. För att modellen ska fungera optimalt bör det även i fortsättningen vara möjligt för SCB att behandla denna typ av uppgifter och andra tillkommande uppgifter. Stödet för en sådan behandling av personuppgifter bör regleras särskilt. En särskild och uttömmande ändamålsbestämmelse bör därför införas som ger SCB stöd för den behandling av personuppgifter som är nödvändig för förvaltning och utveckling av Fasit.
Ett krav på nödvändighet
Med hänsyn till omfattningen av personuppgifter i Fasit bör det finnas en grundläggande begränsning när det gäller vilka uppgifter som får behandlas. Av artikel 6 i dataskyddsförordningen framgår att behandling av personuppgifter är tillåten endast om behandlingen är nödvändig i förhållande till den rättsliga grunden. Samma rekvisit bör därför användas i Fasitlagens ändamålsbestämmelser. Behandling av personuppgifter får således inte ske slentrianmässigt, utan en bedömning av om behandlingen är nödvändig för det aktuella ändamålet måste göras innan en behandling påbörjas. Enligt Svenska Akademiens Ordbok betyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan underlåtas. Det unionsrättsliga begreppet har dock inte denna strikta innebörd. Nödvändighetsrekvisitet i artikel 7 i dataskyddsdirektivet har t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade i denna att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. Det bör därmed i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (jfr prop. 2017/18:105 s. 46 f.).
Om SCB begär att få vissa uppgifter från en myndighet för att använda i Fasit, bör den utlämnande myndigheten kunna utgå från att SCB avser att behandla uppgifterna för lagens ändamål. Enligt regeringen finns det inte skäl att med anledning av vad Socialstyrelsen har anfört införa någon uttömmande uppräkning i lagen av vilka uppgifter som får behandlas i Fasit. För vissa kategorier av personuppgifter bör det dock införas vissa specifika regler om vilka uppgifter som får behandlas i Fasit eller i det urval som lämnas ut till användare (se avsnitt 8.4).
Den föreslagna regleringen bedöms ge SCB och övriga användare ändamålsenliga möjligheter att behandla nödvändiga personuppgifter, samtidigt som risken för obefogade intrång i den personliga integriteten minskas.
8.4 Behandling av vissa kategorier av personuppgifter
8.4.1 Behandling av känsliga personuppgifter och uppgifter om domar
Regeringens förslag: Personuppgifter som avses i artikel 9.1 och artikel 10 i EU:s dataskyddsförordning får inte behandlas i Fasit eller i det urval som Statistiska centralbyrån får lämna ut med stöd av lagen. Trots detta ska dock uppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening och uppgifter om hälsa få behandlas i Fasit och i det urval som lämnas ut till användare.
Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås dock att det särskilt ska anges att de aktuella känsliga personuppgifterna får behandlas om de är nödvändiga för ändamålet med behandlingen.
Remissinstanserna: Samtliga remissinstanser som yttrat sig i frågan, utom Datainspektionen och Socialstyrelsen, tillstyrker förslaget eller har inte något att invända mot detta. Datainspektionen anser att det bör framgå av den föreslagna bestämmelsen att behandlingen sker med stöd av artikel 9.2 j i EU:s dataskyddsförordning. Vilket undantag i artikel 9 i förordningen som ska tillämpas har betydelse för tillämpningen av övriga bestämmelser i förordningen. Socialstyrelsen anser att det av lagen bör framgå att uppgifter i myndighetens hälsodataregister om innehållet i vården, som operationer och andra åtgärder, samt uppgifter om förskrivna och expedierade läkemedel inte får behandlas i Fasit.
Skälen för regeringens förslag: Enligt artikel 10 i EU:s dataskyddsförordning får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Det saknas behov av att behandla denna typ av uppgifter i Fasit och i det urval som SCB får lämna ut med stöd av lagen. Det bör därför framgå av Fasitlagen att sådana personuppgifter som avses i artikel 10 inte ska få behandlas.
Enligt artikel 9.1 i EU:s dataskyddsförordning är det förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Bestämmelsen är direkt tillämplig och kräver inga åtgärder av medlemsstaterna. Förordningens förbud ska enligt artikel 9.2 inte tillämpas om någon av de situationer som beskrivs i punkterna a-j föreligger. Något utrymme för medlemsstaterna att föreskriva ytterligare undantag från förbudet lämnas inte.
Känsliga personuppgifter får t.ex. behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse som har sin grund i unionslagstiftningen eller i en medlemsstats nationella lagstiftning (9.2 g). Detta undantag gäller under förutsättning att den lagstiftning som ger stöd för behandlingen står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I artikel 9.2 j regleras undantag från förbudet vid behandling som är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Där anges att förbudet inte gäller om behandlingen är nödvändig för något av dessa ändamål i enlighet med artikel 89.1, på grundval av medlemsstaternas nationella rätt, som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Medlemsstaterna får även när det gäller känsliga personuppgifter behålla eller införa mer specifika bestämmelser i fråga om behandling som sker med stöd av artikel 6.1 c och e (artikel 6.2 och skäl 10 och 51). I skäl 10 till dataskyddsförordningen anges att förordningen är avsedd att ge medlemsstaterna handlingsutrymme att specificera bestämmelser för behandlingen av känsliga uppgifter samt att förordningen inte utesluter att det fastställs närmare omständigheter och mer exakta villkor för laglig behandling av personuppgifter. I skäl 52 nämns att vissa undantag från förbudet att behandla känsliga personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder. I samband med införandet av dataskyddslagen anförde regeringen att det är uppenbart att det vid behandling av känsliga personuppgifter i de situationer som beskrivs i artikel 9.2 krävs ett annat stöd i rättsordningen, utöver det som dataskyddsförordningen ger. De särskilda krav som i respektive punkt ställs på det rättsliga stödet för behandlingen måste nämligen vara uppfyllda för att undantagen i artikel 9.2 ska vara tillämpliga. Dessa krav går utöver de som ställs på rättslig grund enligt artikel 6 (se prop. 2017/18:105 s. 75).
För behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse har det införts bestämmelser i 3 kap. 3 § första stycket dataskyddslagen som innebär att en myndighet eller ett annat organ som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter om uppgifterna har lämnats till den personuppgiftsansvarige och behandlingen krävs enligt lag. Dessutom får en myndighet behandla känsliga personuppgifter, om det är nödvändigt för handläggningen av ett ärende. Känsliga personuppgifter får också behandlas av en myndighet i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (prop. 2017/18:105 s. 83 f.). Vidare får känsliga personuppgifter enligt 3 kap. 7 § dataskyddslagen behandlas om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
Vad som är ett allmänt intresse respektive ett viktigt allmänt intresse är inte definierat i vare sig dataskyddsdirektivet eller dataskyddsförordningen, och begreppens innebörd har inte heller utvecklats närmare av EU-domstolen. I förarbetena till dataskyddslagen konstateras att det torde stå klart att verksamhet som innefattar myndighetsutövning utgör ett viktigt allmänt intresse. När det gäller myndigheters behandling måste det också anses utgöra ett viktigt allmänt intresse att svenska myndigheter, även utanför området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt (se prop. 2017/18:105 s. 83).
Behandlingen av personuppgifter i Fasit och dess urval utgör i sig ett viktigt samhällsintresse som motiverar behandlingen av vissa typer av känsliga personuppgifter. Fasit är bl.a. ett viktigt verktyg för regeringens reformarbete och för övriga avsedda myndigheters möjligheter att utföra uppgifter som följer av deras instruktioner. Det är således fråga om behandling av personuppgifter som är nödvändig för att de aktuella myndigheterna ska kunna bedriva sin verksamhet. Behandlingen av personuppgifter i Fasit och dess urval utgör därmed enligt regeringens bedömning ett sådant viktigt allmänt intresse som avses i artikel 9.2 g dataskyddsförordningen. Behandlingen görs även i viss utsträckning för sådana statistiska ändamål som avses i artikel 9.2 j. Flertalet av de som enligt lagen får ta del av uppgifterna i urvalet och Fasit skulle kunna behandla uppgifterna med stöd av 3 kap. 3 § och 3 kap. 7 § dataskyddslagen. Det är dock ur integritetsskäl viktigt att det av regleringen framgår vilka känsliga personuppgifter som ska få behandlas i Fasit. I 3 kap. 3 och 7 §§ dataskyddslagen finns en generell reglering av möjligheterna att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse respektive efter en nödvändighets- och proportionalitetsavvägning. Det aktuella behovet av behandling av personuppgifter är dock i det nu aktuella fallet avgränsat till enbart vissa kategorier av uppgifter (se nedan). Mot denna bakgrund finns det skäl att särskilt reglera behandlingen av känsliga personuppgifter i Fasit och det urval som lämnas ut. Regleringen innebär därmed en särreglering i förhållande till dataskyddslagen och innebär i förhållande till denna en inskränkning beträffande vilka kategorier av känsliga personuppgifter som får behandlas.
Behandlingen av känsliga personuppgifter i Fasit måste regleras på ett sätt som beaktar dataskyddsförordningens krav på proportionalitet och vara förenlig med det väsentliga innehållet i rätten till data samt innehålla skyddsåtgärder. Det är i princip omöjligt att på detaljnivå slå fast det framtida behovet av att i Fasit behandla känsliga personuppgifter. Behovet kan komma att förändras över tid och med kort varsel.
Regeringen bedömer, till skillnad från Datainspektionen, att ett förtydligande i lagtexten om i vilken artikel i dataskyddsförordningen stödet för att behandla känsliga personuppgifter finns inte är nödvändigt (jfr t.ex. prop. 2017/18:107 s. 29 f.).
För att kunna göra nödvändiga beräkningar av effekter av förändringar i skatte-, avgifts- och bidragssystemen samt de offentliga välfärdstjänsterna behöver Fasit innehålla känsliga personuppgifter inom områden som kan påverka systemen och som är en del av de offentliga välfärdstjänsterna. Fasit ska dock inte innehålla fler kategorier av känsliga personuppgifter än vad det faktiskt finns behov av för att säkerställa att det går att utföra tillförlitliga simuleringar inom centrala områden för skatte-, avgifts- och bidragssystemen.
Hittills har personuppgifter med koppling till den registrerades hälsa haft störst betydelse för modellen, exempelvis uppgifter om utbetalningar från socialförsäkrings- och välfärdssystemen. Det kan t.ex. handla om uppgifter om sjukpenning, sjuk- och aktivitetsersättning samt om tandvård- och läkemedelskostnader. Det är i huvudsak fråga om uppgifter beträffande avgifter och transfereringar kopplade till de angivna förmånerna. Däremot behövs normalt inte uppgifter om t.ex. diagnoser och liknande uppgifter om sjukdomar.
Även uppgifter om avgifter för medlemskap i arbetstagarorganisationer kan behöva behandlas, eftersom behandling av dessa är nödvändig för att bl.a. beräkna den disponibla inkomsten och statens kostnader för skattereduktioner. Vidare kan känsliga uppgifter behöva behandlas vid uppföljningar och utvärderingar av exempelvis etableringsreformer och övriga riktade insatser för personer som har invandrat till Sverige. Det kan då bli fråga om att behandla uppgifter som sammantagna avslöjar en persons etniska ursprung. Det finns ett stort behov av att simulera etableringsformer och andra riktade insatser till exempelvis personer som har invandrat till Sverige.
Enligt regeringens bedömning står också behandlingen av de aktuella uppgifterna i proportion till det eftersträvade syftet att kunna göra tillförlitliga simuleringar inom centrala områden för skatte-, avgifts- och bidragssystemen. Enligt lagen ska endast ett urval av personuppgifter i Fasit kunna lämnas ut av SCB och då i avidentifierat skick. Det finns också begränsningar i vilka som ska få ta del av urvalet och uppgifterna omfattas av stark sekretess. Uppgifterna i Fasit och i det urval som SCB lämnar ut till användarna ska inte heller få sammanföras med andra uppgifter i syfte att ta reda på en enskilds identitet. Sammantaget innebär detta att särskilda åtgärder vidtagits för att säkerställa den registrerades grundläggande rättigheter och intressen (se vidare avsnitt 8.4, 8.7 och 8.8).
Mot denna bakgrund anser regeringen att uppgifter som avslöjar facklig tillhörighet och etniskt ursprung bör få behandlas i Fasit, och i det urval som lämnas ut till användare. Enligt regeringens bedömning är det också tydligt att det finns behov av att i Fasit och det urval som lämnas ut, behandla uppgifter som rör hälsa. Med begreppet hälsa avses uppgifter som rör alla aspekter, såväl fysiska som psykiska, av en persons hälsa. Ett förtydligande i lagtexten av det slag som Socialstyrelsen föreslagit av hur begreppet hälsa närmare ska definieras bedöms inte vara nödvändigt. Uppgifter om innehållet i vård och uppgifter om läkemedel kommer normalt inte behöva behandlas för att kunna genomföra analyserna. Sådana uppgifter kan dock vara aktuella om de behövs i analyser för att simulera och beräkna effekter av befintliga och nya regelverk samt andra förändringar inom t.ex. offentliga välfärdstjänster.
Precis som för annan behandling av personuppgifter med stöd av Fasitlagen gäller att behandlingen måste vara nödvändig för något av de tillåtna ändamål som lagen ställer upp. Detta framgår redan av bestämmelserna som reglerar ändamålen och behöver därför inte regleras särskilt i bestämmelsen om behandling av känsliga personuppgifter.
8.4.2 Behandling av personnummer och samordningsnummer
Regeringens förslag: Statistiska centralbyrån ska ha rätt att behandla uppgifter om personnummer och samordningsnummer.
Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås att SCB ska ha rätt att behandla uppgifter om personnummer eller motsvarande identitetsbeteckning.
Remissinstanserna: Samtliga remissinstanser som har yttrat sig i frågan tillstyrker förslaget eller har inte något att invända mot detta.
Skälen för regeringens förslag: Enligt 3 kap. 10 § dataskyddslagen får personnummer och samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. I sektorsspecifik reglering kan behandling av personnummer och samordningsnummer tillåtas i andra fall än de som tillåts enligt bestämmelsen i dataskyddslagen. En avvikande bestämmelse måste dock leva upp till EU:s dataskyddsförordnings krav på lämpliga skyddsåtgärder för de registrerades fri- och rättigheter (se artikel 87 i dataskyddsförordningen och prop. 2017/18:105 s. 102).
Som anförts i avsnitt 8.3 behöver SCB ha tillgång till och kunna behandla uppgifter om totalbefolkningen med identitet i Fasit för att skapa Fasits basår samt för att förvalta och utveckla modellen. SCB:s rätt att behandla personuppgifter behöver därför omfatta personnummer och samordningsnummer. Med personnummer och samordningsnummer avses detsamma som i folkbokföringslagen (1991:481). Rätten att behandla personnummer och samordningsnummer är en direkt och nödvändig förutsättning och bedöms regelmässigt vara klart motiverad med hänsyn till ändamålen med personuppgiftsbehandlingen. En sådan reglering skapar också en tydlighet för den enskilde. Regleringen utgör alltså en särreglering i förhållande till dataskyddslagen.
I promemorian föreslås att SCB ska ha rätt att behandla uppgifter om personnummer eller motsvarande identitetsbeteckning. Eftersom någon annan form av identitetsbeteckning än personnummer och samordningsnummer inte finns för fysiska personer bör begreppet identitetsbeteckning bytas ut mot samordningsnummer.
8.5 Utlämnande av personuppgifter
8.5.1 Utlämnande av det särskilda urvalet
Regeringens förslag: Statistiska centralbyrån ska ta fram ett särskilt urval av personuppgifter i Fasit som inte direkt kan hänföras till en enskild. Urvalet får på begäran lämnas ut av Statistiska centralbyrån till Riksdagsförvaltningen och Riksrevisionen samt till Regeringskansliet och andra myndigheter under regeringen.
Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att regeringen ska meddela föreskrifter om vilka andra än statliga myndigheter som personuppgifter i Fasit ska kunna lämnas ut till. Vidare föreslås att det av lagtexten ska framgå att personuppgifter som lämnats ut endast får behandlas för de ändamål som framgår av lagen.
Remissinstanserna: Samtliga remissinstanser, utom Datainspektionen, Inspektionen för socialförsäkringen, SCB och Svenskt Näringsliv, tillstyrker promemorians förslag eller har inte något att invända mot detta. SCB är i och för sig positiv till att det i lag och förordning ska anges vilka organisationer som har rätt att använda Fasit, men anser att myndigheten bör ges rätt att avgöra vem som, efter sedvanlig utlämnandeprövning, ska ges tillgång till Fasit. SCB framhåller också att myndigheten för närvarande hanterar en mängd prövningar av utlämnande av mikrodata och inte bedömer att det finns skäl till att hantera Fasit annorlunda. Svenskt Näringsliv anser att det bör finnas tydligare beskrivningar av vilka som ska få ta del av Fasit. Datainspektionen ifrågasätter om de som ska ta del av Fasits urval har en fastställd rättslig grund för sin behandling av personuppgifter.
Skälen för regeringens förslag
SCB ska ta fram ett särskilt urval för utlämnande
I Fasit samlas en mycket stor mängd personuppgifter om enskilda identifierbara individer. För mikrosimulering och statistikframställning är det tillräckligt att användarna har tillgång till ett statistiskt väl avvägt urval av uppgifter. I dagsläget framställer SCB särskilda urval ur STAR och MSTAR som görs tillgängliga för användare (se vidare avsnitt 4.1 och 4.2). För att säkerställa att det även fortsättningsvis tas fram underlag av detta slag bör det i Fasitlagen föreskrivas att SCB ska vara skyldig att sammanställa ett sådant urval som kan göras tillgängligt för användarna. Det är samtidigt viktigt att i största möjliga mån minska integritetsriskerna för enskilda. I dagsläget är uppgifterna som lämnas ut anonymiserade eftersom uppgifterna inte ska användas för åtgärder eller beslut som avser fysiska personer. Så bör det vara även i fortsättningen, varför det av regleringen bör framgå att urvalet endast ska innehålla uppgifter som inte direkt kan hänföras till en person.
Till vilka ska urvalet få lämnas ut?
Fasit används i dag framför allt av Regeringskansliet och Riksdagsförvaltningen. Även andra statliga myndigheter har ett stort behov av modellen.
Regeringskansliet har enligt 7 kap. 1 § RF och 1 § förordningen (1996:1515) med instruktion för Regeringskansliet i uppdrag att bereda regeringsärenden och för att biträda regeringen och statsråden i deras verksamhet i övrigt. I det uppdraget ingår att ta fram underlag till regeringens beslut och utreda olika frågor. Merparten av arbetet i Regeringskansliet och dess departement kretsar kring lagstiftning och statens budget. Många gånger krävs utredningsunderlag med kort varsel. Fasit gör det möjligt att relativt snabbt beräkna ekonomiska utfall av gällande regler och att simulera utfall av alternativa regler och på så sätt detaljerat beskriva bl.a. utgiftsförändringar och fördelningseffekter. Bearbetningarna i Fasit sker med gängse statistiska metoder och resulterar i tabeller, medelvärden, makrotal, spridningstal och andra ekonomiska parametrar.
Inom Riksdagsförvaltningen används Fasit av riksdagens utredningstjänst. Riksdagsförvaltningen har till uppgift att bl.a. tillhandahålla resurser och service till riksdagsledamöterna och partikanslierna (se 1 § lagen [2011:745] med instruktion för Riksdagsförvaltningen). Riksdagen utgör landets lagstiftande makt och riksdagsarbetet består bl.a. i att behandla förslag till nya lagar. Riksdagens utredningstjänst använder Fasit för att göra bl.a. beräkningar av finansiella och fördelningspolitiska effekter av politiska beslut. Dessa beräkningar görs på uppdrag av enskilda riksdagsledamöter eller av partikanslier.
Enligt regeringens bedömning är användningen av Fasit i Regeringskansliet och Riksdagsförvaltningen nödvändig för att utföra den uppgift av allmänt intresse som respektive myndighet utför enligt sina instruktioner. Som utgångspunkt har också andra statliga myndigheter som i dag använder Fasit ett fastställt uppdrag som gör det nödvändigt för dem att använda Fasit för att fullgöra deras uppdrag (se även avsnitt 8.1). Dessa myndigheter har tillgång till urvalet utifrån denna utgångspunkt. Till skillnad från Datainspektionen bedömer således regeringen att det inte kan ifrågasättas om dessa myndigheter har fastställda rättsliga grunder för sin behandling av personuppgifterna. Mot denna bakgrund anser regeringen att det i lagen bör anges att SCB ska få lämna ut det anonymiserade urvalet till Riksdagsförvaltningen och Riksrevisionen samt Regeringskansliet och andra myndigheter under regeringen.
I enlighet med vad som anförts i avsnitt 8.1 bedömer regeringen att Fasitlagen för närvarande inte bör omfatta utlämnande till några ytterligare aktörer.
De personuppgifter som lämnas ut får endast behandlas för de ändamål som anges i lagen. Detta framgår redan av regleringen om lagens tillämpningsområde och tillåtna ändamål, varför något särskilt tillägg om detta i bestämmelsen om det särskilda urvalet, som föreslagits i promemorian, inte är nödvändigt.
8.5.2 Möjligheten att bevara underlag för identifiering
Regeringens förslag: När personuppgifter i Fasit lämnas ut får de förses med en beteckning (löpnummer) som hos Statistiska centralbyrån kan kopplas till personnummer eller samordningsnummer, om det är nödvändigt för ändamålet med mottagarens behandling.
En förteckning (kodnyckel) över löpnummer och personnummer eller samordningsnummer får bevaras hos Statistiska centralbyrån i högst ett år.
Statistiska centralbyrån får i enskilda fall besluta om att en kodnyckel får bevaras för längre tid.
Promemorians förslag överensstämmer delvis med regeringens. I promemorian hänvisas till personnummer eller motsvarande identitetsbeteckning. I promemorian föreslås även att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om att en kodnyckel får bevaras för längre tid om det finns särskilda skäl.
Remissinstanserna: Samtliga remissinstanser som yttrat sig i frågan, utom Datainspektionen, tillstyrker promemorians förslag eller har inte något att invända mot detta. Datainspektionen ifrågasätter att regeringen eller den myndighet som regeringen bestämmer ska kunna föreskriva en längre bevarandetid för kodnyckeln för att kunna utföra longitudinella statistiska studier. En sådan ytterligare behandling av personuppgifter faller utanför de föreslagna tillåtna ändamålen. Enligt myndigheten är det oklart vilket lagligt stöd som en sådan behandling har enligt EU:s dataskyddsförordning och hur den förhåller sig till kraven i 2 kap. 6 § RF.
Skälen för regeringens förslag: Enligt artikel 5 e i EU:s dataskyddsförordning får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter.
I det urval av Fasit som lämnas ut till användare finns enbart uppgifter som inte är direkt hänförbara till en enskild person. Endast SCB har tillgång till uppgifter om identitet. För att under året kunna uppdatera den urvalsmodell av Fasit som lämnas ut tar SCB årligen fram en kodnyckel. En sådan kodnyckel är nödvändig för att tillgodose behovet av att uppdatera och kvalitetssäkra modellen. Denna kodnyckel bör inte bevaras under längre tid än nödvändigt.
Eftersom ett nytt basår tas fram varje år finns endast behov av att bevara kodnyckeln under ett års tid. Att en kodnyckel bevaras under en kort tid minskar i stor utsträckning risken för integritetsintrång. Därigenom förhindras bl.a. möjligheten att lägga till nya data till de uppgifter som lämnats ut och möjligheten att identifiera en enskild blir i princip omöjlig efter det att kodnyckeln gallrats. En bestämmelse om att kodnyckeln endast får bevaras under högst ett år bör därför tas in i lagen.
Det kan i särskilda fall finnas behov av att bevara kodnyckeln under längre tid, exempelvis för longitudinella studier. Regeringen anser till skillnad från Datainspektionen att ett sådant bevarande ryms inom de tillåtna ändamålen med behandlingen. Den behandling som sker i samband med bevarandet av kodnyckeln är nödvändig för att återskapa ett specifikt basår, viket det kan finnas behov av i de fall en användare önskar undersöka förändringar över tid för specifika individer. Bevarandet av kodnyckeln säkerställer i detta sammanhang att samma individer verkligen ingår när SCB skapar ett urval som ska lämnas ut till användare. Urvalet ska sedan användas för sådan simulering och framställning av statistik som är tillåtna ändamål enligt lagen. SCB bör därför i enskilda fall få besluta om att en kodnyckel får bevaras för längre tid. Kodnyckeln får självfallet inte bevaras för ändamål som inte är tillåtna enligt lagen.
Som framgår av avsnitt 8.1 bedömer regeringen, till skillnad från Datainspektionen, att behandlingen av personuppgifter i Fasit inte innebär ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § RF.
I enlighet med vad som anförts i avsnitt 8.4.2 anser regeringen att begreppet identitetsbeteckning som anges i promemorians förslag bör bytas ut mot samordningsnummer.
8.5.3 Formerna för utlämnande av urvalet
Regeringens bedömning: Det behövs inga särskilda regler om elektroniskt tillgängliggörande av Fasit.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Inga remissinstanser som yttrat sig i frågan, förutom Datainspektionen, har några synpunkter på bedömningen. Datainspektionen anser att de rutiner för elektroniskt utlämnande som SCB använder i dag verkar vara lämpliga, men ifrågasätter att det helt överlåts till SCB att bedöma när och om dessa rutiner ska användas. Enligt Datainspektionen bör formen för elektroniskt utlämnande regleras i den föreslagna lagen för att uppfylla kraven på proportionalitet i EU:s dataskyddsförordning och regeringsformen.
Skälen för regeringens bedömning: I vissa registerförfattningar finns bestämmelser som reglerar om, i vilka fall och på vilket sätt personuppgifter får lämnas ut elektroniskt. Syftet med sådana bestämmelser är att inskränka möjligheterna för utomstående att genom överföringar av uppgifter i personregister förfoga över uppgifterna på ett sätt som innebär risker i integritetshänseende. I lagstiftningen görs i detta sammanhang ofta åtskillnad mellan utlämnande av uppgifter genom direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling.
Med direktåtkomst kan den som använder databasen via en dator på egen hand söka i denna och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet i databasen. Direktåtkomst kan även innebära att användaren ges möjlighet att hämta hem information till sitt eget system och bearbeta den där. Direktåtkomst har vidare ansetts innebära att uppgifter ur databasen lämnas ut utan att den utlämnande myndigheten i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut. Direktåtkomst innebär också ofta att mottagaren rent tekniskt ges tillgång till fler uppgifter än som faktiskt behövs för att uppnå ändamålen. För att detta ska vara tillåtet enligt offentlighets- och sekretesslagen krävs normalt att det finns sekretessbrytande bestämmelser med ett relativt omfattande tillämpningsområde, som inte endast reglerar vilka uppgifter som får behandlas, utan som även bryter sekretessen för sådana uppgifter som endast gjorts tekniskt tillgängliga.
Utlämnande av uppgifter på medium för automatiserad behandling kan exempelvis innebära att elektronisk information överförs via e-post, genom utlämnande av uppgifter på ett flyttbart lagringsmedium, t.ex. flashminne (s.k. USB-minne), eller genom en direkt överföring från ett datorsystem till ett annat. Högsta förvaltningsdomstolen har i ett rättsfall dragit slutsatsen att den avgränsning som görs av begreppet direktåtkomst genom tillämpningen av tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet kan användas även för att bestämma detta begrepp i andra sammanhang. Det avgörande för att det ska vara fråga om direktåtkomst blir därmed om upptagningen kan anses förvarad hos en myndighet i tryckfrihetsförordningens mening. I princip samtliga uppgifter som finns i Fasit behandlas elektroniskt av SCB. Utlämnande av urvalet av uppgifter sker normalt genom fjärranslutning till myndighetens MONA-system (se avsnitt 4). Ett utlämnande på annat sätt kräver enligt den beslutsordning som gäller vid myndigheten ett beslut av myndighetens generaldirektör. Det bör i detta sammanhang framhållas att mottagaren av uppgifterna i MONA-systemet inte har någon möjlighet att påverka innehållet i databasen. Innan varje utlämnande sker en noggrann prövning av om uppgifterna kan lämnas ut och varje utlämnande kräver ett godkännande av ansvarig avdelningschef vid SCB. Eftersom urvalet måste vara komplett för att modellen ska fungera kan användarna inte anses ha tillgång till fler uppgifter än nödvändigt. Rent tekniskt går utlämnandet till på det sättet att det skapas en kopia av det urval av databasen som ska lämnas ut och det är till den kopian som fjärranslutningen sker. Anslutningen sker således inte till själva grunddatabasen.
De myndigheter som använder sig av urvalet kan således inte på egen hand söka information i Fasitdatabasen, utan ett utlämnande förutsätter ett aktivt ställningstagande från SCB. Myndigheten får därigenom anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut. Det saknas därför behov av en sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen.
Vidare kan konstateras att SCB har väl utvecklade rutiner för utlämnandet av uppgifter och att utlämnandet sker på ett datatekniskt säkert sätt. Utlämnande i någon annan än elektronisk form är inte aktuellt. Regeringen delar mot denna bakgrund inte Datainspektionens bedömning att det finns behov av särskilda bestämmelser om elektroniskt tillgängliggörande av Fasit.
8.6 Undantag från vissa av den registrerades rättigheter
Regeringens förslag: Rätten till rättelse och rätten till begränsning av behandlingen av personuppgifter enligt EU:s dataskyddsförordning ska inte gälla vid Statistiska centralbyråns behandling av personuppgifter i Fasit.
Regeringens bedömning: Fasitlagen bör inte innehålla några särskilda bestämmelser om rätten till information, tillgång till personuppgifter, radering eller rätten att göra invändningar enligt dataskyddsförordningen.
Promemorians förslag och bedömning överensstämmer med regeringens.
Remissinstanserna: Samtliga remissinstanser som har yttrat sig i frågan tillstyrker förslaget och instämmer i bedömningen eller har inga synpunkter på dem.
Skälen för regeringens förslag och bedömning
Utgångspunkter
I EU:s dataskyddsförordning har den registrerades rättigheter förstärkts i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade har preciserats och utvidgats och det anges uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form. Enligt artiklarna 13 och 14 är den personuppgiftsansvarige skyldig att självmant tillhandahålla den registrerade information om behandlingen av personuppgifter. Den registrerade har vidare enligt artikel 15 rätt att på begäran få tillgång till de personuppgifter som behandlas och viss information. Enligt artikel 16 har den registrerade även rätt att på begäran få felaktiga personuppgifter rättade. Förutsättningarna för att den registrerade ska få sina personuppgifter raderade anges i artikel 17 (rätten att bli bortglömd). Vidare anges i artikel 18 att den registrerade under vissa omständigheter har rätt att kräva att behandlingen begränsas. Förordningen innehåller i artikel 20 en bestämmelse som ger den registrerade rätt att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet, om behandlingen grundar sig på den registrerades samtycke eller avtal med denne. Enligt artikel 21 har den registrerade rätt att göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 e eller f, dvs. som sker för att utföra en uppgift av allmänt intresse, i myndighetsutövning eller efter en intresseavvägning. Slutligen har den registrerade enligt huvudregeln i artikel 22 rätt att inte bli föremål för ett automatiserat individuellt beslutsfattande, inbegripet profilering. I artikel 23.1 i dataskyddsförordningen anges att såväl unionsrätten som en medlemsstats nationella rätt får begränsa tillämpningsområdet för vissa skyldigheter och rättigheter som föreskrivs i förordningen, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt angivna mål. Bestämmelsen motsvarar delvis artikel 13.1 i dataskyddsdirektivet. Möjlighet att begränsa vissa av de registrerades rättigheter ges även i artikel 89.2 i förordningen, i fråga om behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Enligt artikel 89.3 får vissa rättigheter också begränsas vid behandling av personuppgifter för arkivändamål av allmänt intresse. Sådana begränsningar måste ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa angivna viktiga intressen.
Dataskyddslagen innehåller vissa särskilda bestämmelser om tillämpningen av dataskyddsförordningens artiklar om de registrerades rättigheter. Enligt 5 kap. 1 § dataskyddslagen gäller inte artiklarna 13-15 i dataskyddsförordningen om information och tillgång till personuppgifter sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som meddelats med stöd av författning. Om den personuppgiftsansvarige inte är en myndighet gäller undantaget för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400). Artikel 15 i dataskyddsförordningen om den registrerades rätt till tillgång gäller inte personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande (5 kap. 2 § dataskyddslagen). Regeringen får meddela ytterligare föreskrifter om begränsningar enligt artiklarna 23, 89.2 och 89.3 i dataskyddsförordningen (5 kap. 3 § dataskyddslagen).
För att kunna förvalta och utveckla Fasit behöver SCB behandla personuppgifter med uppgift om identitet. Övriga användare kommer endast ha tillgång till anonymiserade uppgifter. Detta bör beaktas vid bedömningen av om det behövs inskränkningar av de rättigheter som den registrerade har enligt EU:s dataskyddsförordning.
En viktig utgångspunkt är att de registrerades rättigheter inte bör inskränkas i större utsträckning än vad som är absolut nödvändigt för att fullgöra verksamheten. SCB hanterar personuppgifterna i Fasit delvis för statistiska ändamål. Det finns därför anledning att låta den lagstiftning som gäller för framställning av officiell statistik vara vägledande vid bedömningen av om och i sådana fall vilka undantag som det kan finnas skäl att införa för behandlingen av personuppgifter i Fasit och i det urval som lämnas ut.
Rättigheter vid SCB:s behandling av uppgifter
Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige enligt artikel 13 i EU:s dataskyddsförordning självmant lämna viss information till den registrerade, bl.a. om ändamålen med och den rättsliga grunden för behandlingen. Den personuppgiftsansvariges skyldighet att förse den registrerade med sådan information i de fall personuppgifterna inte har erhållits från den registrerade anges i artikel 14. Enligt artikel 13.4 och 14.5 gäller vissa undantag från skyldigheten att lämna information. Rätten till information har inte särskilt reglerats i lagen om den officiella statistiken, vilket innebär att dataskyddsförordningens och dataskyddslagens bestämmelser är tillämpliga i nu aktuella delar. Med anledning av detta bedöms det inte finnas behov av att i Fasitlagen införa särskilda bestämmelser som begränsar den registrerades rätt till information när personuppgifterna behandlas hos SCB.
Enligt artikel 15 ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne behandlas. Om så är fallet har den registrerade rätt att få tillgång till personuppgifterna och information om behandlingen, bl.a. om ändamålen med behandlingen och de kategorier av personuppgifter som behandlingen gäller. Rättigheten motsvarar i stora delar vad som tidigare följde av 26 § första stycket personuppgiftslagen (1998:204) om rätten till s.k. registerutdrag. Den regleringen gällde även vid sådana behandlingar av personuppgifter som omfattas av lagen om den officiella statistiken. Det kan konstateras att bestämmelserna om registerutdrag i det sammanhanget har tillämpats under många år. I samband med dataskyddsförordningens ikraftträdande har inte heller frågan om den registrerades rätt till tillgång enligt artikel 15 särskilt reglerats i lagen om den officiella statistiken. Med hänsyn till detta bedömer regeringen att det inte finns behov av att i Fasitlagen införa något undantag från denna rättighet.
Artikel 16 anger att den registrerade ska ha rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Utöver rättelse ska dock den registrerade också enligt artikel 16, med beaktande av ändamålet med behandlingen, ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom ett kompletterande utlåtande. Vidare framgår av artikel 18 att den registrerade har rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas, bl.a. om den registrerade bestrider personuppgifternas korrekthet (under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera uppgifterna). Behandlingen kan också begränsas om den är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning. På motsvarande sätt kan behandlingen begränsas om den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen, men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Begränsning kan även aktualiseras i situationer då den registrerade i enlighet med artikel 21.1 har invänt mot en behandling av personuppgifter i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades skäl.
Av artikel 89.2 framgår att undantag från rättigheterna i artikel 16 och 18 får föreskrivas i medlemsstaternas nationella rätt vid behandling för statistiska ändamål, om sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och undantagen krävs för att uppnå dessa ändamål. Enligt artikel 23.1 e kan också tillämpningsområdet för rättigheterna enligt bl.a. artiklarna 16 och 18 begränsas i syfte att säkerställa andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. En sådan begränsning måste enligt samma artikel ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle.
SCB:s insamling av personuppgifter för att upprätta Fasits urval, förvalta Fasit och lämna ut Fasits urval är nödvändig bl.a. för de statistikuttag som Fasits användare kan göra med hjälp av urvalet. Behandlingen innebär därmed en behandling för statistiska ändamål. Vidare tillgodoser SCB:s förvaltning och utveckling av Fasit samt utlämnande till myndigheter viktiga allmänna intressen, exempelvis att kvalitetssäkra lagstiftning inom skatteområdet och social trygghet. Uppgifterna i Fasit får inte behandlas i syfte att kartlägga eller vidta åtgärder i fråga om enskilda individer. Den registrerades intresse av att begränsa behandlingen av vissa uppgifter eller att rätta en felaktig uppgift bör därför vara högst begränsat. En sådan ordning skulle vidare riskera att göra det omöjligt eller mycket svårare för SCB att förvalta och utveckla Fasit med god kvalitet. Regeringen bedömer mot denna bakgrund att det finns förutsättningar för att med stöd av artikel 23.1 e och 89.2 göra undantag från rättigheterna i artikel 16 och 18 vid SCB:s personuppgiftsbehandling i Fasit.
I artikel 17 i dataskyddsförordningen finns bestämmelser om rätt till radering ("rätten att bli bortglömd") som innebär att den registrerade under vissa förhållanden ska ha rätt att av den personuppgiftsansvarige få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter. Av artikel 17.3 b framgår att rätten till radering inte gäller i den utsträckning som behandlingen är nödvändig för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Rätten till radering gäller inte heller om behandlingen är nödvändig för statistiska ändamål enligt artikel 89.1, i den utsträckning som rätten omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen (artikel 17.3 d). Behandlingen av personuppgifter i Fasit får anses ske under sådana förhållanden som avses i artikel 17.3 b och d. Under dessa omständigheter, och med beaktande av att någon begränsning i fråga om utplåning av uppgifter inte har införts i lagen om den officiella statistiken, finns det inte anledning att i Fasitlagen begränsa rätten till radering.
Av artikel 21.1 i dataskyddsförordningen framgår att den registrerade ska ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. En möjlighet för den registrerade att invända mot behandlingen av personuppgifter skulle, på samma sätt som rätten till rättelse och begränsning, kunna begränsa SCB:s möjligheter att upprätta och förvalta Fasit. Som utgångspunkt finns det därför anledning att begränsa den registrerades möjlighet att göra invändningar. Eftersom SCB enligt sin instruktion kommer att vara skyldig att förvalta och utveckla Fasit utför myndigheten en nödvändig personuppgiftsbehandling för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c. I de fallen gäller inte rätten att göra invändningar i artikel 21 i dataskyddsförordningen. Sammantaget behöver något undantag från artikel 21 vid SCB:s behandling inte införas i Fasitlagen.
Rättigheter vid användarnas behandling
Myndigheter som använder Fasit kommer till skillnad från SCB inte att ha möjlighet att vidta någon åtgärd för att identifiera den registrerade eftersom uppgifterna lämnas ut i avidentifierat skick. Detta får betydelse för de registrerades rättigheter enligt dataskyddsförordningen. Myndigheterna kan för det första inte tillhandahålla sådan information till den registrerade som avses i artikel 14. Det finns således inte någon anledning att göra undantag från rättigheterna i artikel 14 vid den behandling som sker hos Fasits användare.
Att Fasits användare inte kan identifiera den registrerade innebär även att användarna kommer sakna möjlighet att rätta, komplettera eller radera personuppgifterna eller att begränsa personuppgiftsbehandlingen. Användaren kommer inte heller kunna ge en registrerad tillgång till de personuppgifter som behandlas. Det följer därmed av artikel 11.2 att artiklarna 15-18 inte gäller vid behandlingen av personuppgifter i Fasits urval. Det behövs således inte någon särskild reglering för att göra undantag från dessa artiklar.
Rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen omfattas inte av det direkt tillämpliga undantaget i artikel 11.2. Enligt artikel 21.6 gäller rätten dock inte vid behandling för statistiska ändamål i enlighet med artikel 89.1, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse, dvs. med rättslig grund i artikel 6.1 e. I avsnitt 8.1 görs bedömningen att artikel 6.1 e i huvudsak kommer utgöra den rättsliga grunden för användarna vid behandling av personuppgifter i Fasit. För behandling hos användarna som sker för statistiska ändamål gäller således inte rätten att göra invändningar.
När behandling sker för att simulera och beräkna effekter av befintliga och nya regelverk samt andra förändringar inom skatte-, avgifts- och bidragssystemen och de offentliga välfärdstjänsterna är det inte lika tydligt att det är fråga om behandling för statistiska ändamål. Om det inte införs något undantag kan därmed rätten att göra invändningar gälla vid den behandlingen. Användarna av urvalet kan dock som konstaterats inte identifiera de registrerade och de ändamål som behandlingen sker för kräver inte heller att de registrerade identifieras. Av artikel 11.1 framgår också att användarna inte är tvungna att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa dataskyddsförordningen. Eftersom användarna således varken kan eller är tvungna att identifiera den registrerade saknar de i praktiken möjlighet att vidta någon åtgärd för det fall någon skulle invända mot behandlingen. Något undantag från artikel 21 bör därför inte föreskrivas.
8.7 Gallring och bevarande
Regeringens förslag: Personuppgifter i Fasit ska gallras när de inte längre behövs för sitt ändamål.
Det ska av en upplysningsbestämmelse framgå att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att uppgifter får bevaras för arkivändamål eller för vetenskapliga eller historiska forskningsändamål.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Samtliga remissinstanser som yttrat sig i frågan, förutom CSN, tillstyrker förslaget eller har inte något att invända mot detta. CSN anser att det inte av förslaget framgår vad som gäller i fråga om gallring av personuppgifter i det urval som har lämnats ut till myndigheter.
Skälen för regeringens förslag: Grundläggande bestämmelser om bevarande och gallring hos myndigheter och om vissa andra organs arkiv samt arkivmyndigheterna finns i arkivlagen (1990:782) och arkivförordningen (1991:446). Av arkivlagen framgår att en myndighets arkiv bildas av bl.a. de allmänna handlingarna från myndighetens verksamhet. I lagen fastställs att myndigheternas arkiv är en del av det nationella kulturarvet. Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov (3 § tredje stycket arkivlagen). Allmänna handlingar får gallras, men i samband med detta måste alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose de ovan angivna ändamålen. Det material som inte gallras ska tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, och forskningens behov. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser (10 §). I 14 § arkivförordningen anges att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.
I lagen om den officiella statistiken finns särskilda bestämmelser om gallring hos statistikansvariga myndigheter. Av 19 § framgår att personuppgifter ska gallras när de inte längre behövs för sitt ändamål och att regeringen eller den myndighet som regeringen bestämmer får föreskriva om undantag från den skyldigheten om gallring skulle äventyra arkivens roll som en del av det nationella kulturarvet eller strida mot forskningens behov. I samband med detta ska behovet av skydd för den enskildes personliga integritet särskilt beaktas. I förordningen om den officiella statistiken anges att innan en statistikansvarig myndighet gallrar uppgifter enligt 19 § lagen om den officiella statistiken ska regeringen underrätta Riksarkivet. Den senare myndigheten får meddela föreskrifter om undantag från gallring enligt samma lag.
Varje årgång av Fasit innehåller en stor mängd personuppgifter som är direkt hänförliga till en enskild person. Det kan således konstateras att det är fråga om en omfattande behandling av integritetskänsliga uppgifter som det kan finnas behov av att bevara över tid. Samtidigt finns ett intresse att bevara uppgifterna för det nationella kulturarvet och i viss utsträckning för forskning, dvs. intressen som arkivlagstiftningen syftar till att skydda. Det bör därför säkerställas att det finns tydligt reglerat i vilken utsträckning som uppgifterna i Fasit får bevaras.
Utgångspunkten bör vara att personuppgifterna i Fasit ska gallras när de inte längre behövs för de ändamål som uppgifterna får behandlas för enligt lagen. Det står dock klart att uppgifterna i de olika basåren i Fasit kan behöva sparas under lång tid, eftersom Fasit används för att jämföra utfallet av regelförändringar mellan olika år. SCB, som förvaltar och utvecklar Fasit, får anses ha bäst förutsättningar att bedöma när uppgifterna inte behövs för lagens ändamål. I Fasitlagen bör mot denna bakgrund inte någon bortre tidsgräns anges för när uppgifterna ska tas bort ur Fasit. Denna fråga bör i stället SCB ta ställning till.
Regleringen bör också ta hänsyn till de intressen som arkivlagstiftningen syftar till att skydda. I vilken utsträckning som personuppgifter ska bevaras bör avgöras efter en avvägning mellan å ena sidan den enskildes intresse av skydd för sin personliga integritet och å andra sidan forsknings- och kulturintressena (jfr prop. 2000/01:27 s. 58). Vid denna avvägning krävs både insikt och kunskap om ämnesområdena och en överblick över arkivbildningen i landet för att besluten i de enskilda fallen ska bli väl avvägda. En alltför ambitiös gallring kan förorsaka skador som aldrig går att reparera. Vidare kräver arbetet sakkunskap som inte finns i Regeringskansliet. På samma sätt som gäller enligt lagstiftningen om den officiella statistiken bör avvägningarna därför i stor utsträckning överlåtas till Riksarkivet att avgöra. Regeringen eller den myndigheten som regeringen bestämmer kan enligt 8 kap. 7 § RF få meddela föreskrifter om att uppgifter får bevaras för arkivändamål eller för vetenskapliga eller historiska forskningsändamål. En upplysningsbestämmelse om detta bör tas in i den nya lagen.
När SCB ger tillgång till urvalet sker det huvudsakligen genom att mottagaren ges åtkomst till avidentifierade mikrodata via det s.k. MONA-systemet (se avsnitt 4). Uppgifterna lagras inte elektroniskt direkt hos mottagaren. Om SCB gallrar uppgifter i Fasit kommer det således att få genomslag i den mikrodata som användarna ges tillgång till. Med beaktande av detta saknas det anledning att införa särskilda bestämmelser om gallring hos Fasits användare.
8.8 Särskilda skyddsåtgärder
Regeringens förslag: Uppgifterna i Fasit och i det urval som Statistiska centralbyrån lämnar ut till de i lagen utpekade myndigheterna och andra myndigheter under regeringen ska inte få sammanföras med andra uppgifter i syfte att ta reda på en enskilds identitet. Den som bryter mot detta ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken. I ringa fall ska det inte dömas till ansvar.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans har särskilt kommenterat förslaget.
Skälen för regeringens förslag: För att en behandling av känsliga personuppgifter ska vara tillåten av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i EU:s dataskyddsförordning krävs enligt vad som anförts i avsnitt 8.4 att unionsrätten eller den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. För att en behandling av känsliga personuppgifter ska vara tillåten för statistiska ändamål krävs enligt artikel 9.2 j i EU:s dataskyddsförordning, att unionsrätten eller den nationella rätten innehåller bestämmelser om lämpliga och särskilda skyddsåtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Behandling av personuppgifter för statistiska ändamål ska även enligt artikel 89.1 omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.
Den i avsnitt 8.4.1 föreslagna begränsningen av vilka känsliga personuppgifter som får behandlas, och villkoren för att få behandla uppgifter i Fasit, kan i sig anses utgöra skyddsåtgärder i dataskyddsförordningens mening. En annan viktig skyddsåtgärd, som följer av den föreslagna regleringen och som också framhålls i dataskyddsförordningen, är att uppgifterna som lämnas ut inte kommer att vara direkt hänförbara till en enskild person. För Fasit kommer det vidare efter en kortare tid inte att finnas någon kodnyckel som gör det möjligt att tillföra ytterligare uppgifter. Personuppgifterna omgärdas även av särskilda skyddsåtgärder i form av bestämmelser om absolut sekretess och gallring (se avsnitt 8.7 och 8.9).
För att ytterligare skydda den enskildes integritet bör även s.k. bakvägsidentifiering vara förbjuden. Det bör därför i lagen föreskrivas att uppgifterna i Fasit inte får sammanföras med andra uppgifter i syfte att ta reda på en enskilds identitet. I dag finns en straffrättslig reglering av denna innebörd i 6 och 26 §§ lagen om den officiella statistiken. Eftersom lagen om den officiella statistiken inte kommer att gälla vid behandling av personuppgifter i Fasit behöver, för att befästa skyddet av enskildas integritet, en särskild straffbestämmelse införas i Fasitlagen. För att säkerställa att ansvar utdöms endast för klart straffvärda förfaranden bör straff inte utdömas i ringa fall.
Genom det skydd som redogjorts för ovan bedöms den föreslagna regleringen väl uppfylla de krav på särskilda åtgärder som dataskyddsförordningen ställer upp. Åtgärderna säkerställer även så långt som möjligt att kravet på tekniska och organisatoriska åtgärder uppfylls.
8.9 Sekretess
Regeringens bedömning: Den befintliga regleringen i offentlighets- och sekretesslagen är tillräcklig för att uppfylla kraven på sekretess och tystnadsplikt för uppgifterna i Fasit.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Endast Datainspektionen har särskilt kommenterat regeringens bedömning. Datainspektionen ifrågasätter att sekretesskyddet för den enskilde överlåts på SCB och anser att det bör införas en författningsreglerad tystnadsplikt för privata aktörer.
Skälen för regeringens bedömning: Som framgår av avsnitt 7.1 omfattas uppgifterna i Fasit hos SCB av sekretess enligt 24 kap. 8 § OSL. Ett urval av Fasit lämnas dock ut för behandling av andra än SCB. I viss utsträckning används Fasit för statistikändamål, men till större del används simuleringsmodellen för andra jämförbara undersökningar i OSL:s mening. Användningen av modellen förutsätter inte uppgifter om identitet och några uppgifter som är direkt hänförbara till en enskild ska inte heller lämnas ut av SCB. Det är således fråga om situationer där det finns möjlighet att lämna ut uppgifter efter en prövning av om det står klart att ett röjande av uppgifterna inte medför att de enskilda eller någon närstående lider skada eller men. Vid den bedömningen har sekretesskyddet hos den användare som tar emot uppgifterna stor betydelse. I dagsläget lämnas Fasit ut till myndigheter som har en verksamhet som omfattas av 24 kap. 8 § OSL och 7 § OSF samt till andra användare med förbehåll enligt 10 kap. 14 § OSL.
Eftersom Fasitlagen inte kommer att omfatta utlämnande till och behandlingen hos privata användare saknas skäl att överväga ett förslag till en bestämmelse om tystnadsplikt av det slag som Datainspektionen efterfrågat.
Mot denna bakgrund finns det inte behov av att ändra den befintliga sekretessregleringen i samband med införandet av Fasitlagen.
9 Ikraftträdande och övergångsbestämmelser
Regeringens förslag: Författningsförslagen ska träda i kraft den 1 augusti 2019.
Regeringens bedömning: Det finns inte behov av några särskilda övergångsbestämmelser.
Promemorians förslag och bedömning överensstämmer inte med regeringens. I promemorian föreslås att författningsförslagen ska träda i kraft den 1 januari 2019. I promemorian redovisas inte någon bedömning av behoven av övergångsbestämmelser.
Remissinstanserna: Ingen av remissinstanserna har kommenterat förslaget.
Skälen för regeringens förslag och bedömning: Den nu föreslagna regleringen bör träda i kraft så snart som möjligt. Det föreslås därför att lagen ska träda i kraft den 1 augusti 2019.
Det bedöms inte finnas något behov av övergångsbestämmelser
10 Konsekvenser
Regeringens bedömning: Genom förslagen får Statistiska centralbyrån ett uttryckligt rättsligt stöd för att behandla personuppgifter i Fasit, vilket ökar förutsägbarheten för såväl användare som uppgiftslämnande myndigheter. Förslagen ger även Statistiska centralbyrån förutsättningar att förvalta och utveckla Fasit på ett effektivt och rättssäkert sätt.
Förslagen medför inte behov av ytterligare medel för Statistiska centralbyrån och andra myndigheter som ska tillämpa den nya regleringen.
Förslagen innebär inte några åtaganden eller kostnader för företag.
Förslagen medför att Fasit inte kommer att kunna lämnas ut till privata användare.
Genom att förtydliga stödet för Fasit och förbättra modellen skapas bättre förutsättningar för ökad ekonomisk jämställdhet.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans har särskilt kommenterat bedömningen.
Skälen för regeringens bedömning
En tydligare reglering av möjligheterna att behandla personuppgifter
De förslag som lämnas i denna proposition klargör förutsättningarna för framställning av statistik och mikrosimulering inom skatte-, avgifts- och bidragsområdet och de offentliga välfärdssystemen. Genom förslagen får SCB ett uttryckligt rättsligt stöd för att behandla personuppgifter i Fasit, vilket ökar förutsägbarheten för såväl användare som uppgiftslämnande myndigheter.
Vid utformningen av förslagen har bestämmelserna i EU:s dataskyddsförordning beaktats och förslagen syftar till att komplettera och precisera personuppgiftsbehandlingen på det sätt som är möjligt enligt förordningen, med utgångspunkt i de allmänna principerna i artikel 5. Särskild hänsyn har tagits till integritetsaspekterna. Skyddet för den personliga integriteten bedöms stärkas genom att personuppgiftshanteringen genom regleringen blir avgränsad och transparent. I de fall som undantag från dataskyddsförordningens bestämmelser föreslagits har andra berättigade intressen ansetts väga tyngre än skyddet för den personliga integriteten. Undantagen bedöms inte utgöra otillbörliga intrång i den personliga integriteten. I de fall som den personliga integriteten teoretiskt sett skulle kunna försvagas genom förslagen, bedöms försvagningarna inte innebära otillbörliga intrång i den personliga integriteten.
Den föreslagna regleringen kommer inte att omfatta utlämnande av Fasit till andra än myndigheter. De privata aktörer som i dag använder sig av Fasit kommer alltså inte ha fortsatt tillgång till personuppgifterna. Detta bedöms inte ha några samhällsekonomiska effekter eftersom privata användare fortsättningsvis kan ta del av Fasit genom att ge SCB i uppdrag att behandla uppgifterna åt dem. De privata aktörerna får då del av resultaten om än inte av själva uppgifterna.
Förslagen ger SCB förutsättningar att förvalta och utveckla Fasit på ett effektivt och rättssäkert sätt.
Ekonomiska konsekvenser
De merkostnader som förslaget medför i nuläget kan finansieras inom SCB:s befintliga anslagsram. Förslagen medför i övrigt inte behov av ytterligare medel för de myndigheter som ska tillämpa den nya regleringen.
Övriga konsekvenser
Förslagen bedöms inte innebära några åtaganden eller kostnader för företag. Fasit gör det möjligt att bedöma utfall och konsekvenser av reformer i det svenska offentliga välfärdssystemet för kvinnor och män. Att förtydliga stödet för Fasit och förbättra modellen bidrar därmed till att skapa bättre förutsättningar för ökad ekonomisk jämställdhet.
11 Författningskommentar
1 §
Paragrafen behandlas i avsnitt 8.1.
I paragrafen anges lagens tillämpningsområde. Av första stycket framgår att lagen ska tillämpas vid SCB:s behandling av personuppgifter i Fasit.
I andra stycket anges att lagen även ska tillämpas vid den personuppgiftsbehandling som sker av myndigheter i det urval som lämnas ut enligt 9 §. Detta medför att vissa bestämmelser, däribland 2, 4, 6, och 11 §§, ska tillämpas av de myndigheter som använder sig av urvalet.
2 §
I paragrafens första stycke anges att lagen innehåller kompletterande bestämmelser till EU:s dataskyddsförordning. Det innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen som är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Den föreslagna lagen innehåller sådana kompletterande bestämmelser.
Andra stycket upplyser om hur lagen förhåller sig till lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Den senare lagen kommer också att gälla vid sådan behandling av personuppgifter som följer av 1 §. Detta gäller dock endast om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till lagen.
Tredje stycket anger att lagen gäller i stället för lagen om den officiella statistiken vid behandling av personuppgifter i Fasit eller i det urval som lämnas ut. Det innebär bl.a. att lagens bestämmelser om utlämnande av uppgifter blir tillämpliga om en statistikansvarig myndighet begär att få ut uppgifter ur Fasit för att behandla dessa för officiell statistik. I ett sådant fall får endast ett urval av personuppgifter som inte är direkt hänförbara till den enskilde lämnas ut. Den uppgiftsskyldighet som regleras i 6 § förordningen om den officiella statistiken gäller således inte uppgifter i Fasit.
3 §
Paragrafen behandlas i avsnitt 8.2.
Enligt paragrafens första stycke är SCB personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i Fasit.
Av andra stycket framgår att de myndigheter som får del av urvalet av Fasit är personuppgiftsansvariga för den behandling av personuppgifter som de utför i urvalet.
Med personuppgiftsansvaret följer skyldigheter enligt dataskyddsförordningen.
4 §
Paragrafen behandlas i avsnitt 8.3.
Paragrafen anger de ändamål för vilka personuppgifter i Fasit får behandlas. Bestämmelsen gäller för SCB:s behandling i Fasit och den behandling som användarna utför i det urval som lämnats ut enligt 9 §. Genom ändamålen anges den yttre ramen för behandlingen (jfr artikel 5.1 b i dataskyddsförordningen). Ändamålen är utformade utifrån Fasits användningsområde och avser att täcka in den personuppgiftsbehandling som sker i dag. Att SCB även får behandla personuppgifterna i Fasit för att bl.a. förvalta systemet, skapa ett urval av pseudonymiserade uppgifter och lämna ut detta urval framgår av 5, 8 och 9 §§.
Av punkt 1 framgår att uppgifterna i Fasit får behandlas för att simulera och beräkna effekter av befintliga och nya regelverk samt andra förändringar inom skatte-, avgifts- och bidragssystemen, dvs. inom området inkomster och transfereringar. Även effekter av förändringar av de offentliga välfärdstjänsterna, som inte avser inkomster och transfereringar, omfattas av ändamålet. Med offentliga välfärdstjänster avses exempelvis sjukvård, äldreomsorg, skola, hem för vård och boende för barn och ungdomar samt stöd och service till personer med funktionsnedsättning. Med simulering avses bl.a. att med beräkningar och prognoser utifrån givna eller fiktiva förhållanden skapa ett resultat som inte nödvändigtvis stämmer överens med verkligheten. Avsikten är att möjliggöra analyser av budgetförslag och fördelningseffekter inom de angivna områdena.
Ändamålen i punkt 2 avser framtagande och tillhandahållande av all form av statistik, förutom officiell statistik, inom de angivna områdena. Bestämmelsen möjliggör framtagande av mer skräddarsydda statistikuttag inom det angivna området.
Som grundläggande förutsättning för att behandling ska få ske gäller att behandlingen ska vara nödvändig för ändamålen. Genom denna begränsning klargörs att det inte är tillåtet att behandla personuppgifter som inte är relevanta att behandla för de aktuella ändamålen.
5 §
Paragrafen behandlas i avsnitt 8.3.
I paragrafen ges SCB möjlighet att, utöver vad som anges i 4 §, behandla personuppgifter om det är nödvändigt för att förvalta och utveckla Fasit. Denna möjlighet är bl.a. nödvändig för att myndigheten ska kunna ta fram och skapa basår och för att få fram en korrekt urvalsram för den version av Fasit som ska göras tillgänglig för användare. Förvaltning och utveckling av modellen kräver bl.a. behandling av uppgifter om identitet. Det krävs även att populationens storlek och antalet uppgifter inom respektive område omfattar fler uppgifter än vad som krävs för de ändamål som anges i 4 §. Detaljerade uppgifter är också en förutsättning för att kunna sammanlägga känsliga uppgifter, t.ex. genom att lägga samman uppgifter om medborgarskap eller födelseland till kategorier av länder, vilket kan var tillräckligt för att tillgodose användarnas behov. Detta bidrar till att minska integritetsintrånget för enskilda eftersom användarna därigenom inte får tillgång till fler känsliga personuppgifter än de behöver. Vid bedömningen av vilka behandlingar som är nödvändiga för att utveckla Fasit bör beaktas att systemet inte kan användas för några andra ändamål än vad som anges i 4 §.
6 §
Paragrafen behandlas i avsnitt 8.4.1.
I paragrafen regleras förutsättningarna för behandling av s.k. känsliga personuppgifter och personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott.
I första stycket anges att behandling av känsliga personuppgifter och personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott är förbjuden. Begränsningen gäller för all behandling av personuppgifter inom ramen för lagens tillämpningsområde.
Av andra stycket framgår dock att tre kategorier av känsliga personuppgifter får behandlas. Det är fråga om uppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa. Dessa uppgifter förekommer i såväl Fasit som det urval som SCB lämnar ut till användarna enligt 9 §. På samma sätt som vid behandling av andra personuppgifter enligt lagen gäller att dessa känsliga personuppgifter endast får behandlas om de är nödvändiga för de ändamål som anges i 4 §.
7 §
Paragrafen behandlas i avsnitt 8.4.2.
Av paragrafen framgår att endast SCB får behandla personnummer och samordningsnummer.
8 §
Paragrafen behandlas i avsnitt 8.5.
Paragrafen reglerar SCB:s skyldighet att skapa ett särskilt underlag av uppgifter, ett s.k. urval, för de ändamål som anges i 4 §. Urvalet får endast avse de uppgifter som är nödvändiga för att de angivna ändamålen ska kunna uppnås och får endast innefatta uppgifter som inte är direkt hänförbara till en fysisk person. Uppgifterna får dock vara försedda med en beteckning som hos SCB kan kopplas samman med personnummer eller samordningsnummer, ett s.k. löpnummer (se 10 §). Det är det framtagna urvalet som efter sekretessprövning kan lämnas ut till användarna enligt 9 §.
9 §
Paragrafen behandlas i avsnitt 8.5.1.
Enligt paragrafen får det urval av personuppgifter som SCB ska ta fram enligt 8 § lämnas ut till Riksdagsförvaltningen och Riksrevisionen samt Regeringskansliet och andra myndigheter under regeringen. Bestämmelsen utgör inte någon begränsning av myndighetens skyldigheter enligt tryckfrihetsförordningen att lämna ut allmänna handlingar.
10 §
Paragrafen behandlas i avsnitt 8.5.2.
Enligt första stycket får SCB förse de uppgifter som lämnas ut enligt 9 § med s.k. löpnummer, om det är nödvändigt för ändamålet med mottagarens behandling. Genom att uppgifterna förses med löpnummer kan SCB uppdatera uppgifterna under året med hjälp av den kodnyckel som myndigheten använt för att skapa nummerserien.
Enligt andra stycket får kodnyckeln bevaras i ett år.
Tredje stycket ger SCB befogenhet att i enskilda fall besluta om en längre bevarandetid än ett år för kodnyckeln. Sådana beslut kan exempelvis fattas om ett bevarande är nödvändigt för att genomföra en longitudinell statistisk studie.
11 §
Paragrafen behandlas i avsnitt 8.8.
Enligt paragrafens första stycke får uppgifter i Fasit inte sammanföras med andra uppgifter i syfte att identifiera någon enskild. Detsamma gäller de uppgifter som finns i det urval som har lämnats ut till användarna enligt 9 §.
Enligt andra stycket ska den som bryter mot förbudet i första stycket dömas för olovlig identifiering till böter eller fängelse i högst ett år. Den som brutit mot förbudet ska dock inte dömas till ansvar enligt bestämmelsen om gärningen är ringa eller straffsanktionerad enligt brottsbalken.
Paragrafen motsvarar vad som gäller enligt 6 och 26 §§ lagen om den officiella statistiken (jfr prop. 2000/01:27 s. 61, 70 och 74).
12 §
Paragrafen behandlas i avsnitt 8.6.
Paragrafen innehåller undantag från vissa av de rättigheter som den registrerade har enligt EU:s dataskyddsförordning. Av paragrafen framgår att rättigheterna i artiklarna 16 och 18 i dataskyddsförordningen, dvs. rätten till rättelse och rätten till begränsning av behandlingen av personuppgifter, inte gäller vid SCB:s behandling av personuppgifter enligt lagen.
13 §
Paragrafen behandlas i avsnitt 8.7.
Paragrafen innehåller de särskilda bestämmelser om bevarande och gallring som ska gälla inom lagens tillämpningsområde.
Som huvudregel gäller enligt första stycket att personuppgifterna ska gallras när de inte längre behövs för de ändamål som anges i 4 och 5 §§. Kravet på gallring är uppfyllt om personuppgifterna avidentifieras så att de inte längre kan knytas till den enskilde. När det gäller uppgifter som fått ett löpnummer kan det räcka med att kodnyckeln förstörs. Det får dock inte vara möjligt att genom s.k. bakvägsidentifiering identifiera den registrerade.
Enligt andra stycket kan regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om att uppgifter får bevaras för arkivändamål eller för vetenskapliga eller historiska forskningsändamål.
Sammanfattning av promemorian Reglering av mikrosimuleringsmodellen Fasit (Ds 2018:2)
I promemorian föreslås en ny lag för behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar (Fasit).
Syftet med förslaget är att möjliggöra och säkerställa den personuppgiftsbehandling som krävs för ett ändamålsenligt Fasit, samtidigt som den enskildes fri- och rättigheter skyddas. Den föreslagna lagen ger en grund för behandling av de personuppgifter som behövs för att tillgodose ändamålen med statistiksystemet. Uppgifterna i systemet ska få behandlas för bl.a. analyser och beräkningar av effekter av förändringar inom skatte-, avgifts- och bidragssystemen och av de offentliga välfärdstjänsterna. Särskilda kategorier av personuppgifter, s.k. känsliga personuppgifter, som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa ska få behandlas i Fasit. Även användarna föreslås få behandla dessa uppgifter. Det föreslås att endast ett särskilt urval av uppgifter som inte är direkt hänförbara till den enskilde ska få lämnas ut till andra användare. Lagen innehåller också bestämmelser om bl.a. särskilda skyddsåtgärder, begränsningar av vissa rättigheter och skyldigheter samt bestämmelser om bevarande och gallring.
Vidare föreslås att myndigheter under regeringen ska vara skyldiga att lämna uppgifter till Statistiska centralbyrån (SCB), som är den myndighet som ska ansvara för att förvalta och utveckla Fasit. Lagen ska komplettera Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Den nu föreslagna lagen ska gälla i stället för lagen om den officiella statistiken vid behandling av uppgifter i Fasit. Den dataskyddslag som regeringen föreslagit i lagrådsremissen Ny dataskyddslag ska dock gälla om inte annat följer av den nu föreslagna lagen eller föreskrifter som har meddelats i anslutning till den.
Författningsförslagen föreslås träda i kraft den 1 januari 2019.
Lagförslag i promemorian
Förslag till lag om behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag ska tillämpas vid behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar (Fasit) som Statistiska centralbyrån förvaltar.
Lagen ska också tillämpas vid behandling av personuppgifter som har lämnats ut enligt 9 §.
Förhållandet till annan reglering
2 § Vid behandling av personuppgifter enligt denna lag gäller inte lagen (2001:99) om den officiella statistiken.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i det följande benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.
Personuppgiftsansvar
3 § Statistiska centralbyrån är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till den.
Ändamål
4 § Personuppgifter får behandlas i Fasit om det är nödvändigt för att
1. simulera och beräkna effekter av befintliga och nya regelverk samt andra förändringar inom skatte-, avgifts- och bidragssystemen och de offentliga välfärdstjänsterna, och
2. ta fram statistik för analys av information inom skatte-, avgifts- och bidragssystemen och de offentliga välfärdstjänsterna.
5 § Statistiska centralbyrån får utöver ändamålen i 4 § behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna förvalta och utveckla Fasit.
Särskilda kategorier av personuppgifter
6 § Personuppgifter som avses i artiklarna 9.1 och 10 i EU:s dataskyddsförordning får inte behandlas i Fasit eller i det urval som lämnas ut enligt 9 §.
Trots första stycket får uppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening och uppgifter om hälsa behandlas, om uppgifterna är nödvändiga för ändamålet med behandlingen.
7 § Statistiska centralbyrån får behandla personnummer eller motsvarande identitetsbeteckningar i Fasit.
Tillhandahållande av personuppgifter
8 § Statistiska centralbyrån ska ta fram ett särskilt urval av personuppgifter i Fasit som inte direkt kan hänföras till en enskild för utlämnande enligt 9 §.
9 § Urvalet enligt 8 § får på begäran lämnas ut till Riksdagsförvaltningen och Riksrevisionen samt Regeringskansliet och andra myndigheter under regeringen.
Regeringen får meddela föreskrifter om att urvalet enligt 8 § får lämnas ut till andra än dem som anges i första stycket.
Personuppgifter som lämnats ut enligt första eller andra stycket får endast behandlas för de ändamål som anges i 4 §.
10 § När personuppgifter lämnas ut enligt 9 § får de förses med en beteckning (löpnummer) som hos Statistiska centralbyrån kan kopplas till personnummer eller motsvarande identitetsbeteckning, om det är nödvändigt för ändamålet med mottagarens behandling.
En förteckning (kodnyckel) över löpnummer och personnummer eller motsvarande identitetsbeteckning får bevaras hos Statistiska centralbyrån i högst ett år.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att en kodnyckel får bevaras för längre tid om det finns särskilda skäl.
Särskilda skyddsåtgärder
11 § Uppgifterna i Fasit får inte sammanföras med andra uppgifter i syfte att utröna en enskilds identitet. Detta gäller även uppgifter i ett sådant urval som har lämnats ut enligt 9 §.
Den som bryter mot bestämmelsen i första stycket ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken. I ringa fall döms det inte till ansvar.
Begränsningar av vissa rättigheter och skyldigheter
12 § Artiklarna 16 och 18 i EU:s dataskyddsförordning ska inte tillämpas vid Statistiska centralbyråns behandling av personuppgifter som omfattas av denna lag.
Bevarande och gallring
13 § Personuppgifter i Fasit ska gallras när de inte längre behövs för något av de ändamål som avses i 4 och 5 §§.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om eller i ett enskilt fall besluta att uppgifter får bevaras för arkivändamål eller för vetenskapliga eller historiska forskningsändamål.
Denna lag träder i kraft den 1 januari 2019.
Förteckning över remissinstanserna
Efter remiss har yttrande över Finansdepartements promemoria Reglering av mikrosimuleringsmodellen Fasit (Ds 2018:2) kommit in från Sveriges riksbank, Datainspektionen, Försäkringskassan, Socialstyrelsen, Myndigheten för vård- och omsorgsanalys, Inspektionen för socialförsäkringen, Tandvårds- och läkemedelsförmånsverket, Pensionsmyndigheten, Riksgäldskontoret, Ekonomistyrningsverket, Skatteverket, Konjunkturinstitutet, Statistiska centralbyrån, Vetenskapsrådet, Centrala studiestödsnämnden, Riksarkivet, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Inspektionen för arbetslöshetsförsäkringen, Landsorganisationen i Sverige, Svenskt Näringsliv, Sveriges akademikers centralorganisation, Sveriges Kommuner och Landsting och Tjänstemännens centralorganisation.
Riksrevisionen, Riksdagsförvaltningen (Riksdagens utredningstjänst) och Uppsala universitet har inbjudits att lämna synpunkter, men avstått från att yttra sig eller inte avhörts.
Yttranden har dessutom inkommit från Svenska Bankföreningen och Svensk Försäkring.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2019-04-09
Närvarande: F.d. justitierådet Ella Nyström samt justitieråden Erik Nymansson och Thomas Bull
Reglering av mikrosimuleringsmodellen Fasit
Enligt en lagrådsremiss den 28 mars 2019 har regeringen (Finansdepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar.
Förslaget har inför Lagrådet föredragits av rättssakkunnige Fredrik Vogel, biträdd av departementsrådet Jonas Iversen.
Lagrådet lämnar förslaget utan erinran.
Finansdepartementet
Utdrag ur protokoll vid regeringssammanträde den 25 april 2019
Närvarande: statsminister Löfven, ordförande, och statsråden Lövin,
Y Johansson, M Johansson, Baylan, Hultqvist, Andersson, Bolund, Shekarabi, Ygeman, Linde, Ekström, Eneroth, Dahlgren, Nilsson, Ernkrans, Lindhagen, Lind
Föredragande: statsrådet Shekarabi
Regeringen beslutar proposition 2018/19:118 Reglering av mikrosimuleringsmodellen Fasit