Regeringskansliets rättsdatabaser

Regeringskansliets rättsdatabaser innehåller lagar, förordningar, kommittédirektiv och kommittéregistret.

Testa betasidan för Regeringskansliets rättsdatabaser

Söker du efter lagar och förordningar? Testa gärna betasidan för den nya webbplatsen för Regeringskansliets rättsdatabaser.

Klicka här för att komma dit

 
Post 1279 av 7191 träffar
Propositionsnummer · 2017/18:298 · Hämta Doc · Hämta Pdf
Behandling av personuppgifter för forskningsändamål Prop. 2017/18:298
Ansvarig myndighet: Utbildningsdepartementet
Dokument: Prop. 298
Regeringens proposition 2017/18:298 Behandling av personuppgifter för forskningsändamål Prop. 2017/18:298 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 6 september 2018 Stefan Löfven Helene Hellmark Knutsson (Utbildningsdepartementet) Propositionens huvudsakliga innehåll I propositionen föreslås vissa ändringar i svensk rätt med anledning av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Det föreslås ändringar i - lagen (1999:353) om rättspsykiatriskt forskningsregister, - lagen (2003:460) om etikprövning av forskning som avser människor, - offentlighets- och sekretesslagen (2009:400), - lagen (2013:794) om vissa register för forskning om vad arv och miljö - betyder för människors hälsa, och - lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Anpassningarna i dessa lagar syftar till att möjliggöra en fortsatt behandling av personuppgifter för forskningsändamål som är ändamålsenlig samtidigt som den enskildes fri- och rättigheter skyddas, oavsett om behandlingen utförs av offentliga eller privata forskningsutförare. Lagändringarna föreslås träda i kraft den 1 januari 2019. Innehållsförteckning 1 Förslag till riksdagsbeslut 8 2 Lagtext 9 2.1 Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister 9 2.2 Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor 11 2.3 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) 13 2.4 Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa 14 2.5 Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning 16 3 Ärendet och dess beredning 17 4 Ändringar i EU-rätten medför behov av ändringar i den svenska regleringen av behandling av personuppgifter 18 4.1 Dataskyddsdirektivet har ersatts av en dataskyddsförordning 18 4.2 Dataskyddsförordningen är direkt tillämplig men kan kompletteras i nationell rätt 20 4.3 Dataskyddsförordningen kompletteras av en ny svensk övergripande lag och förordning om dataskydd 21 4.4 Dataskyddsförordningen behöver även kompletteras med svenska bestämmelser på forskningsområdet 21 4.5 Vad har gällt hittills enligt dataskyddsdirektivet och personuppgiftslagen? 22 4.6 Likheter och skillnader mellan dataskyddsförordningen och dataskyddsdirektivet 24 4.7 Regeringsformen avgör om en kompletterande svensk reglering ska införas på lag- eller förordningsnivå 27 5 Vilka är forskningsutförare? 28 6 I dataskyddsförordningen används begreppet forskningsändamål 29 7 De rättsliga grunderna för behandling av personuppgifter för forskningsändamål 29 7.1 Tre rättsliga grunder är främst aktuella 30 7.1.1 Samtycke 30 7.1.2 Uppgift av allmänt intresse 32 7.1.3 Intresseavvägning 38 7.2 Möjligheterna för olika forskningsutförare att åberopa olika rättsliga grunder 39 7.2.1 Samtycke 39 7.2.2 Uppgift av allmänt intresse 43 7.2.3 Intresseavvägning 56 7.3 Det behövs inte någon upplysningsbestämmelse i nationell rätt om artikel 6.1 58 8 Principer som måste följas vid behandling av personuppgifter för forskningsändamål 59 8.1 Grundläggande principer för personuppgiftsbehandling 59 8.2 När och hur kan redan insamlade uppgifter behandlas ytterligare för forskningsändamål? 60 9 Det behövs kompletterande nationella bestämmelser om skyddsåtgärder som ska gälla vid all behandling av personuppgifter för forskningsändamål 62 9.1 Vilka krav på skyddsåtgärder ställs i dataskyddsförordningen? 62 9.2 Skyddsåtgärder bör föreskrivas i svensk rätt 65 9.3 Uppgifter ska inte få användas för att vidta åtgärder i fråga om den registrerade 65 9.4 Det följer direkt av dataskyddsförordningen att personuppgifter bör pseudonymiseras eller omfattas av andra lämpliga skyddsåtgärder 70 9.5 Det följer direkt av dataskyddsförordningen att den registrerade kan invända mot behandling 74 9.6 All personuppgiftsbehandling för forskningsändamål ska inte etikprövas 78 9.6.1 Etikprövning är en skyddsåtgärd vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser 78 9.6.2 Tillämpningsområdet för kravet på etikprövning bör inte utvidgas 80 10 Det behövs kompletterande nationella bestämmelser för behandling av känsliga personuppgifter 83 10.1 Förbudet mot behandling av känsliga personuppgifter utvidgas 83 10.2 Dataskyddsförordningen möjliggör behandling av känsliga personuppgifter för forskningsändamål 83 10.3 Etikprövning ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter för forskningsändamål 84 10.4 Etisk granskning ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter vid forskning inom ramen för kliniska läkemedelsprövningar 91 11 Det behövs kompletterande nationella bestämmelser om skyddsåtgärder för behandling av personuppgifter om lagöverträdelser 96 11.1 Dataskyddsförordningen möjliggör en kompletterande nationell reglering för personuppgifter om lagöverträdelser 96 11.2 Etikprövning ska vara en skyddsåtgärd vid behandling av personuppgifter om lagöverträdelser för forskningsändamål 97 12 Det krävs följdändringar i bestämmelserna om etikprövningslagens tillämpningsområde 101 13 Bör det föreskrivas undantag från vissa av de rättigheter som den registrerade har? 103 13.1 Dataskyddsförordningen möjliggör undantag från vissa rättigheter 103 13.2 Undantaget från informationsskyldigheten när personuppgifter lämnas ut för forskningsändamål följer direkt av dataskyddsförordningen och svensk rätt 105 13.3 Bör det föreskrivas undantag från rätten till tillgång? 115 13.3.1 Om innehållet i rättigheten 115 13.3.2 Det bör inte föreskrivas undantag från rätten till tillgång 116 13.4 Bör det föreskrivas undantag från rätten till rättelse? 119 13.4.1 Om innehållet i rättigheten 119 13.4.2 Det bör inte föreskrivas undantag från rätten till rättelse 120 13.5 Bör det föreskrivas undantag från rätten till begränsning av behandling? 123 13.5.1 Om innehållet i rättigheten 123 13.5.2 Det bör inte föreskrivas undantag från rätten till begränsning av behandling 124 13.6 Bör det föreskrivas undantag från rätten att göra invändningar? 127 13.6.1 Om innehållet i rättigheten 127 13.6.2 Det bör inte föreskrivas undantag från rätten att göra invändningar 128 14 Behöver ytterligare anpassningar göras i etikprövningslagen? 131 14.1 Inga ytterligare anpassningar behöver göras i etikprövningslagen 131 14.2 Rättsligt stöd för personuppgiftsbehandling i etikprövningsnämndernas verksamhet 134 15 Vilka behov finns det av sektorslagstiftning på forskningsområdet? 135 15.1 Det behövs för närvarande inte någon forskningsdatalag 135 15.2 Sekretess ska gälla för uppgifter som behandlas i strid med personuppgiftsregleringen 140 16 Anpassningar av vissa registerförfattningar 144 16.1 Lagen om rättspsykiatriskt forskningsregister ska anpassas till dataskyddsförordningen 144 16.1.1 Innehållet i lagen och Forskningsdatautredningens uppdrag 144 16.1.2 Lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen 145 16.1.3 Lagens inledande bestämmelser bör behållas 147 16.1.4 Hänvisningar till personuppgiftslagen ska tas bort 148 16.1.5 Det ska tas in hänvisningar till dataskyddsförordningen och dataskyddslagen 149 16.1.6 Ändamålsbestämmelserna bör behållas 151 16.1.7 Det bör även fortsättningsvis anges vilka personuppgifter som får finnas i registret 153 16.1.8 Andra myndigheters uppgiftsskyldighet bör behållas 156 16.1.9 Bestämmelsen om direktåtkomst bör behållas 156 16.1.10 Bestämmelsen om vilken information som ska lämnas ska anpassas 157 16.1.11 Bestämmelsen om utlämnande av uppgifter bör behållas 159 16.1.12 Upplysningen om sekretess bör behållas 160 16.1.13 Bestämmelsen om rättelse och skadestånd ska upphävas 160 16.1.14 Bestämmelsen om överklagande ska upphävas 161 16.2 Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas till dataskyddsförordningen 162 16.2.1 Innehållet i lagen 162 16.2.2 Lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen 163 16.2.3 Bestämmelsen om lagens syfte bör behållas 166 16.2.4 Bestämmelsen om lagens tillämpningsområde bör behållas 166 16.2.5 Hänvisningarna till personuppgiftslagen ska tas bort 168 16.2.6 Det ska tas in hänvisningar till dataskyddsförordningen och dataskyddslagen 168 16.2.7 Bestämmelsen om vilka som är personuppgiftsansvariga bör behållas 171 16.2.8 Ändamålsbestämmelserna bör behållas 172 16.2.9 Det bör även fortsättningsvis anges vilka personuppgifter som får finnas i registret 174 16.2.10 Begränsningen av intern elektronisk åtkomst bör behållas 175 16.2.11 Förbudet mot direktåtkomst bör behållas 176 16.2.12 Bestämmelsen om gallring ska anpassas 177 16.2.13 Bestämmelsen om rättelse ska upphävas 178 16.2.14 Bestämmelsen om samtycke och information ska anpassas 179 16.2.15 Bestämmelsen om information om utlämnande till forskning bör behållas 181 16.2.16 Bestämmelsen om utplåning ska upphävas 182 16.2.17 Bestämmelsen om skadestånd ska upphävas 183 17 Ikraftträdande- och övergångsbestämmelser 184 17.1 Lagändringarna ska träda i kraft den 1 januari 2019 184 17.2 Övergångsbestämmelser behövs inte 186 18 Konsekvenser 187 18.1 Övergripande konsekvenser 187 18.2 Konsekvenser för den personliga integriteten 188 18.3 Ekonomiska konsekvenser och konsekvenser i övrigt 188 19 Författningskommentar 189 19.1 Förslaget till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister 189 19.2 Förslaget till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor 190 19.3 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) 191 19.4 Förslaget till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa 192 19.5 Förslaget till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning 194 Bilaga 1 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) 196 Bilaga 2 Rättelse till Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) 284 Bilaga 3 Sammanfattning av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50) 298 Bilaga 4 Betänkandets lagförslag 307 Bilaga 5 Förteckning över remissinstanserna 318 Bilaga 6 Lagförslagen i utkastet till lagrådsremiss Behandling av personuppgifter för forskningsändamål 320 Bilaga 7 Förteckning över remissinstanserna 328 Bilaga 8 Lagrådsremissens lagförslag 329 Bilaga 9 Lagrådets yttrande 336 Utdrag ur protokoll vid regeringssammanträde den 6 september 2018 337 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till 1. lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister, 2. lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor, 3. lag om ändring i offentlighets- och sekretesslagen (2009:400), 4. lag om ändring i lagen (2013:794 om vissa register för forskning om vad arv och miljö betyder för människors hälsa, 5. lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. 2 Lagtext Regeringen har följande förslag till lagtext. 2.1 Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister dels att 15 och 16 §§ ska upphöra att gälla, dels att rubrikerna närmast före 15 och 16 §§ ska utgå, dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 2 a §, av följande lydelse. Nuvarande lydelse Förhållandet till personuppgiftslagen Föreslagen lydelse Förhållandet till annan dataskyddsreglering 2 § Om inget annat följer av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. 2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag. 12 § När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret skall Rättsmedicinalverket lämna den registrerade information om behandlingen. Informationen skall innehålla upplysningar om 1. att Rättsmedicinalverket är personuppgiftsansvarigt för behandlingen, 2. ändamålen med behandlingen, 3. vilken typ av uppgifter behandlingen avser, 4. mottagarna av uppgifterna, 5. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen, 6. bestämmelserna i personuppgiftslagen (1998:204) om information som skall lämnas efter ansökan samt om rättelse och skadestånd, samt 7. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen. När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna information om behandlingen till den registrerade. Utöver vad som framgår av artikel 14 i EU:s dataskyddsförordning ska informationen innehålla upplysningar om 1. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen, 2. bestämmelserna i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning om den registrerades rätt till skadestånd, och 3. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen. Denna lag träder i kraft den 1 januari 2019. 2.2 Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor dels att 12 § ska upphöra att gälla, dels att rubriken närmast före 12 § ska utgå, dels att 2 och 3 §§ ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 § I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå, forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs, forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i 3 § personuppgiftslagen (1998:204). behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. 3 § Denna lag ska tillämpas på forskning som innefattar behandling av 1. känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller 2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen. 1. personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller 2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Denna lag träder i kraft den 1 januari 2019. 2.3 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) Härigenom föreskrivs att 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 21 kap. 7 § Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, eller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med 1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, 2. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, eller 3. 6 § lagen (2003:460) om etikprövning av forskning som avser människor. Denna lag träder i kraft den 1 januari 2019. 2.4 Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa dels att 13, 16 och 17 §§ ska upphöra att gälla, dels att rubrikerna närmast före 13, 16 och 17 §§ ska utgå, dels att 3, 12 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 3 a §, av följande lydelse. Nuvarande lydelse Förhållandet till personuppgiftslagen Föreslagen lydelse Förhållandet till annan dataskyddsreglering 3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning. 3 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. 14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag. Innan en person lämnar sitt samtycke enligt första stycket ska han eller hon ha informerats om Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om 1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis, 2. för vilka ändamål behandling kan ske enligt 5-7 §§ och vilka uppgifter som får registreras enligt 9 §, 2. vilka uppgifter som får registreras enligt 9 §, 3. de sekretess- och säkerhetsbestämmelser som gäller för registret, 4. vem som är personuppgifts-ansvarig, 5. hur länge uppgifterna sparas, 6. rätten till rättelse av uppgifterna, 7. rätten till information enligt 15 § denna lag och 26 § personuppgiftslagen (1998:204), 8. vilken myndighet som har tillsyn över att denna lag följs, 9. rätten till skadestånd, och 10. rätten att få uppgifter utplånade. 4. rätten till information enligt 15 § denna lag, 5. vilken myndighet som har tillsyn över att denna lag följs, och 6. rätten till skadestånd. Denna lag träder i kraft den 1 januari 2019. 2.5 Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning Härigenom föreskrivs att det i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska införas en ny paragraf, 4 kap. 3 §, och närmast före 4 kap. 3 § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. Forskning 3 § Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna lag träder i kraft den 1 januari 2019. 3 Ärendet och dess beredning I april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen, som har börjat tillämpas den 25 maj 2018, finns i svensk lydelse i bilaga 1 med beslutade rättelser i bilaga 2. Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utredare, som bl.a. fick i uppdrag att analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver dels regleringen i dataskyddsförordningen, dels den generella reglering som den redan tillsatta Dataskyddsutredningen (Ju 2016:04) hade i uppdrag att föreslå med anledning av dataskyddsförordningen. I den nya utredningens uppdrag ingick också att föreslå nödvändiga anpassningar till dataskyddsförordningen av vissa registerspecifika författningar på forskningsområdet (dir. 2016:65). Utredningen, som antog namnet Forskningsdatautredningen, presenterade i juni 2017 delbetänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). En sammanfattning av betänkandet finns i bilaga 3. Utredningens lagförslag finns i bilaga 4. Utredningens betänkande har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Remissvaren och en sammanställning av dessa finns tillgängliga i Utbildningsdepartementet (dnr U2017/02644/F). Regeringskansliet (Utbildningsdepartementet) tog därefter fram en promemoria som kompletterar delbetänkandet. I promemorian lämnas förslag avseende tillämpningsområdet för den forskningsdatalag som Forskningsdatautredningen har föreslagit. Promemorian har remitterats. Promemorian och remissvaren finns tillgängliga i Utbildningsdepartementet (dnr U2017/04494/F). Ett utkast till lagrådsremiss togs därefter fram inom Regeringskansliet (Utbildningsdepartementet). I utkastet gjordes bedömningen att den av Forskningsdatautredningen föreslagna forskningsdatalagen inte ska genomföras utan att endast nödvändiga anpassningar av befintliga lagar till dataskyddsförordningen ska genomföras för närvarande. De lagändringar som föreslogs i utkastet baserades med ett undantag och med små justeringar på Forskningsdatautredningens förslag i delbetänkandet. Ett förslag till ändring i offentlighets- och sekretesslagen (2009:400) fanns inte med i delbetänkandet. Detta förslag är en nödvändig följdändring för att ingen ändring i sak ska uppstå till följd av att personuppgiftslagen (1998:204) upphört att gälla i samband med att dataskyddsförordningen börjat tillämpas. Utkastet till lagrådsremiss remitterades den 4 april till den 4 maj 2018. Utkastets lagförslag finns i bilaga 6 och en förteckning över remissinstanserna finns i bilaga 7. Remissvaren finns tillgängliga i Utbildningsdepartementet (dnr U2018/01639/F). De förslag som regeringen lagt fram i lagrådsremissen överensstämmer i sak med utkastet till lagrådsremiss. Regeringens avsikt är alltjämt att föreslå nödvändiga anpassningar till dataskyddsförordningen. Fortsatt arbete med de aktuella författningarna kommer bl.a. att ske i samband med beredningen av förslagen i betänkandet Etikprövning - en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104) och Forskningsdatautredningens slutbetänkande Rätt att forska - Långsiktig reglering av forskningsdatabaser (SOU 2018:36). Lagrådet Regeringen beslutade den 28 juni 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 8. Lagrådets yttrande finns i bilaga 9. Lagrådet har lämnat förslagen utan erinran. I förhållande till lagrådsremissens lagförslag har en hänvisning i 14 § lagen (2013:794) om vissa register om vad arv och miljö betyder för människors hälsa till dataskyddsförordningen tagits bort. 4 Ändringar i EU-rätten medför behov av ändringar i den svenska regleringen av behandling av personuppgifter 4.1 Dataskyddsdirektivet har ersatts av en dataskyddsförordning Fram till den 25 maj 2018 har offentliga och privata forskningsutförare behandlat personuppgifter i huvudsak med stöd av personuppgiftslagen (1998:204), förkortad PUL. Från och med denna dag gäller i stället Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), som är direkt tillämplig i EU:s medlemsstater. Dataskyddsförordningen föregicks av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. Det direktivet hade i Sverige genomförts genom PUL. Sedan dataskyddsdirektivet beslutades har den ekonomiska och sociala integrationen på EU:s inre marknad lett till en betydande ökning av gränsöverskridande flöden av personuppgifter. Vidare har den snabba tekniska utvecklingen och globaliseringen skapat nya utmaningar i fråga om skyddet av personuppgifter. Dataskyddsdirektivet har inte förhindrat bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av EU. Skillnader i nivån på skyddet av personuppgifter har ansetts förhindra det fria flödet av personuppgifter och utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten. Dataskyddsförordningen syftar till att säkerställa en enhetlig skyddsnivå över hela unionen så att avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden undviks. Förordningen syftar även till att skapa rättslig säkerhet och öppenhet för ekonomiska aktörer, ge fysiska personer i alla medlemsstater samma rättigheter och skyldigheter och ålägga dem som ansvarar för personuppgifterna samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt (skäl 10 och 13 till dataskyddsförordningen). Som framgått upphörde dataskyddsdirektivet att gälla från och med den 25 maj 2018 (artiklarna 99.2 och 94.1 i dataskyddsförordningen). Samma datum upphävdes PUL och en ny lag som innehåller bestämmelser som kompletterar dataskyddsförordningen och är av generell karaktär trädde i kraft, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Den nya lagen benämns i det följande dataskyddslagen. Det förekommer hänvisningar till PUL i ett stort antal författningar som reglerar personuppgiftsbehandling inom olika områden. I propositionen Ny dataskyddslag 2017/18:105, har regeringen konstaterat att arbetet med att anpassa svensk lagstiftning till den nya EU-regleringen är mycket omfattande och delvis mycket komplicerat och att allt detta arbete inte kommer att vara helt avslutat den 25 maj 2018. Eftersom det således kommer att finnas ett antal författningar med hänvisningar till PUL som ännu inte har hunnit ändras när PUL upphör att gälla har det införts en övergångsbestämmelse till dataskyddslagen som anger att den upphävda lagen, PUL, fortfarande ska gälla i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. På forskningsområdet finns sådana hänvisningar i lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (2003:460) om etikprövning av forskning som avser människor och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. I fall som omfattas av dessa lagar fortsätter alltså PUL att gälla i den utsträckning lagarna hänvisar till PUL fram till dess att en ändring i lagarna träder i kraft. Det numera upphävda dataskyddsdirektivet grundade sig på Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konventionen kompletteras av ett antal rekommendationer som har antagits av ministerkommittén om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. Under 2010 inledde Europarådet en översyn av dataskyddskonventionen. Förhandlingarna om en modernisering av dataskyddskonventionen har nyligen avslutats. Ändringsprotokollet till konventionen som förhandlingarna resulterat i har ännu inte trätt i kraft. Ändringarna har skett med beaktande av regleringen i den nya dataskyddsförordningen, som antogs under tiden förhandlingarna om dataskyddskonventionen pågick. Dataskyddsdirektivet hade ett begränsat tillämpningsområde. Det var inte tillämpligt på t.ex. behandling som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område. PUL gjordes dock, till skillnad från direktivet, generellt tillämplig och var därför tillämplig även utanför EU-rättens område. Skälet för detta var att den svenska dataskyddsreglering som gällde före införandet av PUL i princip var generellt tillämplig på all automatisk behandling av personregister, med vissa undantag. När den dåvarande datalagen (1973:289) skulle ersättas av PUL, ansågs det lämpligt att även den nya lagen skulle omfatta sådan verksamhet som faller utanför EU-rätten (prop. 1997/98:44 s. 40 f). PUL skulle dock inte tillämpas om avvikande bestämmelser fanns i annan lag eller förordning, dvs. PUL var subsidiär i förhållande till annan författningsreglering. Dataskyddsförordningen har i likhet med dataskyddsdirektivet ett begränsat tillämpningsområde. Vid sidan av dataskyddsförordningen gäller Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 4.2 Dataskyddsförordningen är direkt tillämplig men kan kompletteras i nationell rätt Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna (artikel 99.2). Att en EU-förordning ska ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat framgår också av Fördraget om Europeiska unionens funktionssätt (artikel 288 andra stycket). Till skillnad från EU-direktiv ska alltså EU-förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser. Även om dataskyddsförordningen är direkt tillämplig i medlemsstaterna, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Möjligheten till kompletterande nationella bestämmelser gäller framför allt behandling av personuppgifter inom den offentliga sektorn i respektive medlemsstat. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bl.a. när det handlar om behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2). När det gäller behandling av personuppgifter för forskningsändamål både förutsätter och möjliggör förordningen en kompletterande nationell reglering (artiklarna 9.2 j och 89). Förordningen har därmed i vissa delar en direktivliknande karaktär. Om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8). 4.3 Dataskyddsförordningen kompletteras av en ny svensk övergripande lag och förordning om dataskydd Som nämnts i avsnitt 4.1 trädde den nya övergripande lagen om dataskydd, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), i kraft den 25 maj 2018. Genom lagen upphävdes PUL men det finns som nämnts övergångsbestämmelser för vissa fall då PUL fortfarande ska gälla. Genom namnet på lagen betonas att lagen inte är heltäckande, utan endast utgör komplement till dataskyddsförordningen. På motsvarande sätt som PUL hade ett vidare tillämpningsområde än dataskyddsdirektivet, finns det en bestämmelse i dataskyddslagen som utsträcker dataskyddsförordningens tillämpningsområde (1 kap. 2 §). Dataskyddslagen innehåller bl.a. bestämmelser som förtydligar innehållet i dataskyddsförordningens bestämmelser och kompletterar dataskyddsförordningen i vissa delar. Bestämmelser i annan lag eller förordning som rör behandling av personuppgifter och som avviker från dataskyddslagen ska ha företräde framför dataskyddslagen (1 kap. 6 §), dvs. dataskyddslagen är subsidiär till andra författningar. Det innebär att dataskyddslagen, på motsvarande sätt som PUL, kan kompletteras av s.k. registerförfattningar, dvs. författningar som reglerar behandling av personuppgifter på ett avgränsat område. 4.4 Dataskyddsförordningen behöver även kompletteras med svenska bestämmelser på forskningsområdet För att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål behöver dataskyddsförordningen och dataskyddslagen kompletteras. De frågor som regeringen ser behov av att reglera, eller i vilka riksdagen bör informeras om regeringens bedömning, är främst förekomsten av rättslig grund för att olika forskningsaktörer ska kunna behandla personuppgifter för forskningsändamål (avsnitt 7), skyddsåtgärder vid all behandling av personuppgifter för forskningsändamål (avsnitt 9), behandling av s.k. känsliga personuppgifter för forskningsändamål (avsnitt 10), behandling av personuppgifter som rör lagöverträdelser för forskningsändamål (avsnitt 11) och undantag från artiklar i dataskyddsförordningen som reglerar den registrerades rättigheter (avsnitt 13). Vidare behöver anpassningar göras i lagen (2003:460) om etikprövning av forskning som avser människor, vissa registerförfattningar på forskningsområdet och i offentlighets- och sekretesslagen (2009:400), se avsnitt 14-16. Då den nya dataskyddsförordningen till stor del baseras på dataskyddsdirektivets struktur och innehåll ges nedan först en kortfattad redogörelse för vad som gällt hittills enligt dataskyddsdirektivet och PUL (avsnitt 4.5). Därefter ges en kort beskrivning av vilka nyheter dataskyddsförordningens reglering innebär (avsnitt 4.6). 4.5 Vad har gällt hittills enligt dataskyddsdirektivet och personuppgiftslagen? Dataskyddsdirektivet Dataskyddsdirektivet syftade till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter. Det syftade även till att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna fick inom den ram som gavs i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Huvuddragen i direktivet var följande. Direktivet gällde för sådan behandling av personuppgifter som helt eller delvis sker på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Med behandling av personuppgifter avsågs varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (artiklarna 2 b och 3.1 i dataskyddsdirektivet). Direktivet var inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, t.ex. behandling som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område. Direktivet var inte heller tillämpligt på behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål undantogs från direktivets materiella bestämmelser (artiklarna 3.2 och 9). Medlemsstaterna skulle enligt direktivet föreskriva vissa principer för uppgifternas kvalitet. Dessa innebar bl.a. följande. Personuppgifter skulle behandlas på ett korrekt och lagligt sätt. Uppgifterna fick samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och de fick inte senare användas på ett sätt som var oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål skulle dock inte anses oförenligt med det ursprungliga ändamålet, förutsatt att medlemsstaterna beslutat om lämpliga skyddsåtgärder. Medlemsstaterna skulle vidare föreskriva att personuppgifter endast fick behandlas i bl.a. följande fall: när samtycke lämnats, när det var nödvändigt för att fullgöra ett avtal i vilket den registrerade var part, när det fanns en i författning reglerad förpliktelse att behandling av uppgifterna skulle göras, när det var nödvändigt för att skydda den enskildes grundläggande intressen, när det var nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller som ett led i myndighetsutövning eller efter en avvägning mellan de berättigade intressen som fanns för behandlingen och den registrerades rättigheter och intressen (artiklarna 6 och 7). Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt uppgifter som rör hälsa och sexualliv (s.k. känsliga personuppgifter) fick som huvudregel inte behandlas. Det fanns dock vissa undantag, bl.a. om den enskilde uttryckligen samtyckt, för ideella föreningars medlemsregister, för hälso- och sjukvårdens administration och vid författningsreglerade skyldigheter. Medlemsstaterna fick i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet än dem som angavs i direktivet, dock endast under förutsättning att det skedde av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtogs. Medlemsstaterna skulle vidare bestämma på vilka villkor nationella identifikationsnummer fick behandlas. Vidare fick uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder bara behandlas i vissa angivna fall (artikel 8). Med registeransvarig avsågs den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Med registerförare avsågs den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning (artikel 2 d och 2 e). Enligt direktivet skulle, när personuppgifter samlades in, den registrerade informeras bl.a. om vem som var registeransvarig och vad uppgifterna skulle användas till. All behandling av personuppgifter skulle enligt huvudregeln anmälas till en tillsynsmyndighet. Behandling av personuppgifter som innebar särskilda integritetsrisker fick inte förekomma utan att tillsynsmyndigheten först gett tillstånd till detta. Den registrerade hade rätt att få sina rättigheter enligt den nationella lagen prövad av tillsynsmyndigheten och domstol. Överföring av personuppgifter till ett tredje land fick i princip endast ske om det mottagande landet hade en acceptabel skyddsnivå (se bl.a. artiklarna 10, 18-20, 22 och 25). Personuppgiftslagen Dataskyddsdirektivet genomfördes, som angetts ovan, i svensk rätt huvudsakligen genom PUL. Bestämmelserna i PUL hade till syfte att skydda människor mot att deras personliga integritet kränktes genom behandling av personuppgifter. PUL följde i princip dataskyddsdirektivets struktur. Liksom direktivet innehöll PUL bestämmelser om behandling av personuppgifter som var helt eller delvis automatiserad, men även annan behandling av personuppgifter om uppgifterna ingick i eller var avsedda att ingå i en strukturerad samling av personuppgifter som var tillgängliga för sökning eller sammanställning enligt särskilda kriterier. PUL gällde både myndigheter och enskilda som behandlade personuppgifter på detta sätt. Lagen gällde dock inte för sådan behandling av personuppgifter som en fysisk person utförde som ett led i en verksamhet av rent privat natur (5 och 6 §§ PUL). Liksom direktivet innehöll PUL bl.a. grundläggande krav på behandling av personuppgifter, när behandling av personuppgifter var tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m., skyldighet att lämna information till den registrerade och att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte hade behandlats i enlighet med lagen (t.ex. 9, 10, 13, 16, 21 och 23-28 §§.) De som i direktivet benämndes som registeransvarig och registerförare motsvarades i PUL av personuppgiftsansvarig och personuppgiftsbiträde (3 §). 4.6 Likheter och skillnader mellan dataskyddsförordningen och dataskyddsdirektivet Som nämnts baseras dataskyddsförordningen till stor del på dataskyddsdirektivets struktur och innehåll. Precis som dataskyddsdirektivet, ska dataskyddsförordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Definitionerna av begreppen personuppgifter och behandling i dataskyddsförordningen har, jämfört med dataskyddsdirektivets definitioner, endast justerats något redaktionellt och kompletterats med något ytterligare exempel på vad som utgör personuppgifter respektive behandling (artikel 4.1 och 4.2). Definitionerna av personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen motsvarar definitionerna av registeransvarig och registerförare i dataskyddsdirektivet (artikel 4.7 och 4.8). I likhet med dataskyddsdirektivet innehåller dataskyddsförordningen grundläggande principer för behandling av personuppgifter som i stort sett är oförändrade, en reglering av när behandling av personuppgifter är tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud i vissa fall, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m. och bestämmelser om information till den registrerade (t.ex. artiklarna 5, 6, 9, 10 och 12-15.) Jämfört med dataskyddsdirektivet medför dock dataskyddsförordningen bl.a. de förändringar som beskrivs nedan. Tillämpningsområdet har utvidgats Dataskyddsförordningen ska tillämpas på behandling av personuppgifter som görs inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen (artikel 3.1). Vidare ska dataskyddsförordningen, i likhet med dataskyddsdirektivet, också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten (artikel 3.3). En skillnad jämfört med dataskyddsdirektivets ordalydelse är dock att förordningen under vissa omständigheter även ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen. Detta gäller om behandlingen avser registrerade som befinner sig i unionen, under förutsättning att behandlingen har anknytning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen (artikel 3.2). Den registrerades rättigheter har förstärkts Den registrerades rättigheter har förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. I förhållande till dataskyddsdirektivet har den information som ska tillhandahållas den registrerade preciserats och utvidgats och det anges bl.a. uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form. Det finns liksom i dataskyddsdirektivet en rätt till s.k. registerutdrag och en rätt till rättelse av felaktiga uppgifter. Rätten till radering (utplåning) av uppgifter har förtydligats. En rätt till begränsning av behandling har vidare ersatt rätten till blockering av uppgifter. Det finns också, liksom enligt dataskyddsdirektivet, en rätt för den registrerade att invända mot behandling av personuppgifter som rör honom eller henne (artiklarna 12-23). Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet (artikel 20). Ett krav på samtycke har införts för situationer när informationssamhällets tjänster erbjuds barn När det gäller barn införs ett krav på att samtycke ges eller behandlingen godkänns av barnets vårdnadshavare när informationssamhällets tjänster erbjuds direkt till ett barn under 16 år. Medlemsstaterna får dock föreskriva en lägre ålder, men inte under 13 år (artikel 8). Enligt dataskyddslagen gäller en åldersgräns på 13 år (2 kap. 4 § dataskyddslagen). Barns särställning och särskilda utsatthet poängteras också på flera ställen i dataskyddsförordningen. En skyldighet att anmäla personuppgiftsincidenter har införts Genom dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter, såvida inte vissa villkor är uppfyllda (artikel 33). Ett krav på konsekvensanalyser har ersatt en allmän anmälningsskyldighet Genom dataskyddsförordningen införs även ett krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter (artikel 35). Den allmänna anmälningsskyldigheten till tillsynsmyndigheten har däremot tagits bort. Det finns ingen missbruksregel och vissa förändringar har gjorts av de rättsliga grunderna för personuppgiftsbehandling Genom att dataskyddsförordningen börjat tillämpas finns den så kallade missbruksregeln i 5 a § PUL inte längre kvar. Såväl dataskyddsdirektivet som PUL innebar att behandling av personuppgifter förutsatte tillämpning av ett antal s.k. hanteringsregler. Missbruksregeln innebar att vissa av dessa hanteringsregler inte behövde tillämpas på behandling av personuppgifter som inte ingick i eller var avsedda att ingå i en samling av personuppgifter som strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Detta gällde dock endast under förutsättning att behandlingen inte innebar en kränkning av den registrerades personliga integritet. Bestämmelsen tillkom för att förenkla regleringen av personuppgiftsbehandling och bestämmelsen hade ett relativt vitt tillämpningsområde (jfr HFD 2015 ref. 3). Någon motsvarighet till missbruksregeln finns dock inte i dataskyddsförordningen. Enligt dataskyddsförordningen är det vidare inte tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan de berättigade intressen som finns för behandlingen och den registrerades rättigheter och intressen (artikel 6.1). I skäl 43 till dataskyddsförordningen förtydligas också att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är begränsat. Ett nytt krav är vidare att den rättsliga grund som personuppgiftsbehandlingen stödjer sig på i vissa fall ska vara fastställd i enlighet med unionsrätten eller i nationell rätt. Detta gäller om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Hur rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning fastställs i enlighet med svensk rätt förtydligas i 2 kap. 1 och 2 §§ i dataskyddslagen. Frågan om rättsliga grunder för behandling av personuppgifter för forskningsändamål behandlas i avsnitt 7. Förändringar när det gäller känsliga personuppgifter och lagöverträdelser Det har också skett vissa ändringar i fråga om vilka uppgifter som omfattas av förbudet mot behandling av känsliga personuppgifter och i fråga om vilka uppgifter om lagöverträdelser som får behandlas. Det redogörs närmare för dessa förändringar i avsnitt 10 och 11. Kompletterande nationella bestämmelser om behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser samt personnummer och samordningsnummer finns i 3 kap. dataskyddslagen. Frågan om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser för forskningsändamål behandlas i avsnitt 10 och 11. Förhållandet till offentlighetsprincipen har blivit tydligare Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregleringen har blivit tydligare i dataskyddsförordningen. Detta har skett genom en uttrycklig och direkt tillämplig bestämmelse om att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen (artikel 86). Härigenom möjliggörs alltså en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter. Ett tydliggörande av bl.a. detta finns i 1 kap. 7 § dataskyddslagen. Administrativa sanktionsavgifter och andra åtgärder som syftar till en enhetlig tillämpning har införts Genom förordningen införs ett nytt gemensamt system med administrativa sanktionsavgifter som ska tas ut vid vissa typer av överträdelser av förordningen. Kompletterande nationella bestämmelser om sanktionsavgifter finns i 6 kap. 2-7 §§ dataskyddslagen. Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, till exempel genom åtgärder som godkännande av uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra. Det införs också en ny princip om en enda kontaktpunkt, som ska underlätta för personuppgiftsansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det införs även ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen även i enskilda fall (t.ex. artiklarna 40, 43, 57, 68-76 och 83). Särskilda bestämmelser med villkor för behandling av personuppgifter för vetenskapliga och historiska forskningsändamål har införts I dataskyddsförordningen finns det några bestämmelser som särskilt reglerar villkor för behandling av personuppgifter för vetenskapliga och historiska forskningsändamål. Behandling av personuppgifter för sådana ändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Om personuppgifter behandlas för sådana ändamål får det under vissa förutsättningar i unionsrätten eller medlemsstaternas nationella rätt föreskrivas undantag från vissa av de artiklar i förordningen som reglerar de rättigheter den registrerade har för att ha kontroll över sina uppgifter (artikel 89). Ett särskilt undantag från förbudet att behandla känsliga personuppgifter finns också om behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål (artikel 9.2 j). 4.7 Regeringsformen avgör om en kompletterande svensk reglering ska införas på lag- eller förordningsnivå När det gäller införande av svensk reglering som kompletterar dataskyddsförordningen behöver regeringsformens (RF) grundläggande bestämmelser till skydd för den personliga integriteten beaktas. Tidigare gällde att varje medborgare, i den utsträckning som närmare anges i lag, skulle skyddas mot att hans personliga integritet kränks genom att uppgifter om denne registreras med hjälp av automatisk databehandling (tidigare 2 kap. 3 § andra stycket RF). Bestämmelsen gav dock inte något individuellt rättighetsskydd för enskilda, utan innebar enbart att lagstiftaren var skyldig att i lag upprätthålla någon form av skydd för den personliga integriteten i fråga om automatiserad behandling av personuppgifter. Till följd av en grundlagsändring som trädde i kraft den 1 januari 2011 gäller numera att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta skydd kan dock begränsas genom lag (2 kap. 6 § andra stycket och 20 § första stycket 2 RF). Vid införandet av nya bestämmelser som avser behandling av personuppgifter behöver därmed bedömas om regleringen utgör ett sådant betydande intrång som kräver lagform, eller om regleringen kan införas på förordningsnivå. Förarbetena till grundlagsbestämmelsen ger ledning vid en sådan bedömning (prop. 2009/10:80 s. 171 f). 5 Vilka är forskningsutförare? Forskningsutförare inom det offentligrättsliga området En stor del av den forskning i Sverige som bedrivs av offentligrättsliga forskningsutförare bedrivs vid universitet och högskolor, men det bedrivs omfattande forskningsverksamhet också vid många andra offentliga organ. Enligt 2 kap. 18 § andra stycket RF är forskningens frihet skyddad enligt bestämmelser som meddelas i lag. För universitet och högskolor med staten som huvudman framgår det av högskolelagen (1992:1434) att de ska bedriva forskning. Där anges det att staten som huvudman ska anordna högskolor för utbildning som vilar på vetenskaplig eller konstnärlig grund samt på beprövad erfarenhet, och forskning och konstnärlig forskning samt utvecklingsarbete (1 kap. 2 §). Av högskolelagen framgår också forskningens frihet. Som allmänna principer för forskning som bedrivs av dessa utförare gäller att forskningsproblem får fritt väljas, forskningsmetoder får fritt utvecklas och forskningsresultat får fritt publiceras (1 kap. 6 §). I högskolornas uppgift ska det ingå att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta. Flera andra statliga myndigheter har forskningsuppgifter inom ramen för sin ordinarie verksamhet och i såväl kommuner som landsting pågår forskning där personuppgifter används. Förvaltningsmyndigheters uppgifter framgår i huvudsak av författningar och författningsenliga beslut, till exempel myndighetsinstruktioner i förordningsform och regleringsbrev. Verksamheten vid kommuner och landsting är reglerad i RF, kommunallagen (2017:725) och speciallagstiftning inom till exempel skola, miljö och vård- och omsorg. Kommuner och landsting har även viss rätt att meddela egna lokala föreskrifter. Forskningsutförare inom det privaträttsliga området Bland privaträttsliga aktörer som utför forskning ska först enskilda utbildningsanordnare nämnas. Enskilda utbildningsanordnare är lärosäten som drivs av andra huvudmän än staten, till exempel av företag, stiftelser eller föreningar. Vissa enskilda utbildningsanordnare har rätt att utfärda examina enligt lagen (1993:729) om tillstånd att utfärda vissa examina, och bedriver sin verksamhet på samma sätt som högskolor med staten som huvudman. Enskilda utbildningsanordnare som bedriver forskning är till exempel Chalmers Tekniska Högskola, Handelshögskolan i Stockholm och Jönköping University. Dessa är alla privaträttsliga forskningsutförare. För de enskilda utbildningsanordnarna anges det emellertid inte i lagen om tillstånd att utfärda vissa examina att de har en uppgift att bedriva forskning. Forskning bedrivs även i betydande omfattning hos privata företag och stiftelser. Läkemedelsföretag är ett exempel på forskningsutförare som bedriver forskning med omfattande användning av personuppgifter. 6 I dataskyddsförordningen används begreppet forskningsändamål När villkoren för personuppgiftsbehandling inom forskning regleras särskilt i dataskyddsförordningen används i stort sett genomgående termen vetenskapliga eller historiska forskningsändamål. I vissa fall talas det enbart om forskningsändamål. Till ledning för tolkningen av detta begrepp anges det att begreppet vetenskapliga forskningsändamål bör i förordningen ges en vid tolkning och omfatta t.ex. teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Även studier som utförs av ett allmänt intresse inom folkhälsoområdet bör omfattas av begreppet (skäl 159). Historiska forskningsändamål omfattar historiska och genealogiska ändamål (skäl 160). Termen vetenskapliga och historiska forskningsändamål är alltså ett unionsrättsligt begrepp. 7 De rättsliga grunderna för behandling av personuppgifter för forskningsändamål Som framgått av avsnitt 4.6 får behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde bara göras om det finns en tillämplig rättslig grund. De rättsliga grunder som är relevanta när det gäller behandling av personuppgifter för forskningsändamål är främst att 1. den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (samtycke, artikel 6.1 a), 2. behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (uppgift av allmänt intresse, artikel 6.1 e), och 3. behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning, artikel 6.1 f). I något fall kan också den rättsliga grunden att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (rättslig förpliktelse, artikel 6.1 c) vara aktuell. Uppräkningen av rättsliga grunder i artikel 6.1 är uttömmande. Om ingen av de rättsliga grunderna i artikeln är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga på en och samma behandling. Som framgått av avsnitt 4.6 är skillnaderna mot vad som gällde enligt dataskyddsdirektivet och PUL bl.a. att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är mer begränsat enligt dataskyddsförordningen, att det enligt dataskyddsförordningen inte är tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning, och att bl.a. den rättsliga grunden uppgift av allmänt intresse och myndighetsutövning ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt skäl 41 i dataskyddsförordningen bör den rättsliga grunden vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den. Nedan ges en närmare redogörelse för de rättsliga grunderna samtycke, uppgift av allmänt intresse och intresseavvägning (avsnitt 7.1). Därefter behandlas vilka förutsättningar offentligrättsliga respektive privaträttsliga forskningsutförare har att stödja sin behandling av personuppgifter på dessa grunder (avsnitt 7.2). I avsnitt 10.4 behandlas forskning i form av klinisk läkemedelsprövning och användandet av den rättsliga grunden rättslig förpliktelse i samband med sådan forskning. 7.1 Tre rättsliga grunder är främst aktuella 7.1.1 Samtycke Om en behandling grundar sig på samtycke ska den personuppgiftsans-varige kunna visa att den registrerade har samtyckt till att dennes person-uppgifter behandlas för ett eller flera specifika ändamål (artiklarna 6.1 a och 7.1). Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11). Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32). En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lättillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42). Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43). För forskningens del är också vad som anges i skäl 33 i dataskyddsförordningen av betydelse. Där konstateras det att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta. Artikel 29-gruppen, som är EU:s oberoende rådgivande instans för dataskydd och skydd för privatlivet och som består av en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna, en företrädare för EU-kommissionen och den europeiske datatillsynsmannen, har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en uppgift av allmänt intresse snarare än samtycke (Yttrande 15/2011 om definitionen av begreppet samtycke Artikel 29-gruppen s. 13-14 och 16-17). Artikel 29-gruppen har också antagit riktlinjer om samtycke enligt dataskyddsförordningen, som kompletterar tidigare yttranden gällande samtycke (Guidelines on Consent under Regulation 2016/679, wp259rev.01, antagna den 10 april 2018). Europeiska dataskyddsstyrelsen, som har i uppgift att se till att dataskyddsförordningen tillämpas enhetligt, har den 25 maj 2018 beslutat att stödja dessa riktlinjer. Av riktlinjerna framgår att existerande yttranden fortfarande har relevans då de grundläggande förutsättningarna för personuppgiftsbehandling enligt dataskyddsdirektivet är desamma som enligt dataskyddsförordningen. Generellt framhåller arbetsgruppen i riktlinjerna att ett samtycke är giltigt endast om den registrerade har en reell valmöjlighet och det inte finns någon risk för att den registrerade blir bedragen, utsätts för hot eller tvång eller andra negativa konsekvenser om han eller hon inte samtycker. Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. I propositionen Ny dataskyddslag (prop. 2017/18:105) gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (a. prop., s. 57). 7.1.2 Uppgift av allmänt intresse Enligt artikel 6.1 e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för be-handlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Av artikel 6.3 sista meningen framgår att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Vilka uppgifter är av allmänt intresse? Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte har definierats vare sig i dataskyddsdirektivet eller i dataskyddsförordningen och innebörden har heller inte ännu utvecklats av EU-domstolen. Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 till dataskyddsförordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Det kan konstateras att begreppet också finns i motsvarande bestämmelser i det upphävda dataskyddsdirektivet (artikel 7 e) och i den upphävda PUL (10 § d) och att ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser. Som anförts i propositionen Ny dataskyddslag gör regeringen bedömningen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. På motsvarande sätt är de obligatoriska uppgifter som ålagts kommuner och landsting att utföra av allmänt intresse. Detta måste enligt regeringens mening gälla även i dataskyddsförordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse. Begreppet uppgift av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i dataskyddsförordningen (den rättsliga grunden rättslig förpliktelse) behöver den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig. Som en följd av det kommunala självstyret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid enligt kommunallagen (2017:725) begränsad till angelägenheter av just allmänt intresse. Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna. Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas tillhandahållande av bostäder och fritids- och idrottsanläggningar, åtgärder för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obligatorisk uppgift). Vissa myndigheter, t.ex. Lantmäteriet, har av riksdagen eller regeringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet måste enligt regeringens mening anses vara motiverad av ett allmänt intresse. Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är således av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer. Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör. När det gäller frågan om forskning ska anses vara en uppgift av allmänt intresse kan konstateras att vetenskaplig forskning i dataskyddsdirektivets skäl 34 framhålls som ett exempel på viktigt allmänt intresse som kan motivera undantag från förbudet att behandla känsliga personuppgifter. I förarbetena till PUL exemplifieras arbetsuppgifter som kan vara av allmänt intresse med till exempel arkivering, forskning och framställning av statistik. Något utförligare resonemang när det gäller just forskning som en uppgift av allmänt intresse ges inte. Det konstateras vidare att arbetsuppgiften kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte är något hinder för bedömningen av om en arbetsuppgift är av allmänt intresse att någon kan tjäna pengar på att utföra den (SOU 1997:39 s. 364). I propositionen Ny dataskyddslag anser regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse (s. 56). Detta för att myndigheternas verksamhet ska kunna fungera även i fortsättningen mot bakgrund av dataskyddsförordningens begränsningar för myndigheter att tillämpa såväl samtycke som intresseavvägning som rättsliga grunder för att behandla personuppgifter inom ramen för sin verksamhet (se närmare om detta i avsnitt 7.2.1 och 7.2.3). Sammanfattningsvis bör presumtionen vara att uppgiften att forska är en uppgift av allmänt intresse även i dataskyddsförordningens mening. Detta innebär att sådan behandling av personuppgifter för forskningsändamål som har tillåtits med stöd av 10 § d PUL, dvs. på den grunden att den har ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, också får anses som nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. En väsentlig förändring i förhållande till vad som gäller enligt PUL är emellertid att det inte räcker med att behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse - uppgiften måste också vara fastställd i enlighet med gällande rätt. Vad avses med att den rättsliga grunden ska vara fastställd i nationell rätt? I propositionen Ny dataskyddslag framhålls att kraven i artikel 6.3 på att grunden för behandlingen ska fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, inte innebär att det krävs en reglering i den nationella rätten av den personuppgiftsbehandling som ska ske med stöd av artikel 6.1.e utan det som måste ha stöd i rättsordningen är i stället uppgiften av allmänt intresse, dvs. i nu aktuellt fall uppgiften att forska. Något motsvarande krav på att grunden för behandlingen ska vara fastställd i unionsrätt eller nationell rätt när det är fråga om bl.a. uppgift av allmänt intresse finns inte i dataskyddsdirektivet. Det har därför t.ex. ansetts möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om uppgiften inte är fastställd i författning eller liknande. Detta har bl.a. inneburit att grunden uppgift av allmänt intresse har kunnat åberopas av enskilda som utför sådana uppgifter utan författningsstöd, t.ex. privata forskningsutförare. I detta avseende innebär dataskyddsförordningen en väsentlig förändring i förhållande till vad som gäller idag. Att grunden för en behandling ska vara fastställd i nationell rätt är visserligen en nyhet i förhållande till dataskyddsdirektivet, men i nämnda proposition konstateras att det inte är någon nyhet när det gäller svenska myndigheters behandling av personuppgifter, då legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat (s. 49 f.). Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26 s. 59). Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. När det gäller den bestämmelse i artikel 6.3 som anger att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas konstateras i nämnda proposition att bestämmelsen motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna har Europakonventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att dataskyddsförordningens krav i art. 6.3 är uppfyllt i fråga om bl.a. de uppgifter av allmänt intresse som fastställs i enlighet med svensk rätt. Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med RF:s bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Statliga myndigheter får sina uppdrag och befogenheter av riksdag och regering - i myndighetsinstruktioner, regleringsbrev och andra regeringsbeslut. På motsvarande sätt följer de kommunala myndigheternas obligatoriska uppgifter av åligganden som fastställts i lag eller förordning. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden. En behandling av personuppgifter måste dock i det enskilda fallet vara nödvändig i förhållande till uppgiften av allmänt intresse och följa de grundläggande principer som gäller för personuppgiftsbehandling i artikel 5 (se mer om nödvändighetsrekvisitet nedan och om nämnda principer i avsnitt 8). Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 § i den nya förvaltningslagen (2017:900), där det anges att en åtgärd aldrig får vara mer långtgående än vad som behövs och att den får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot. Såväl offentliga som privata aktörer kan tillämpa den rättsliga grunden uppgift av allmänt intresse Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det saknar då betydelse om en privat aktör utför verksamheten på direkt uppdrag av en myndighet eller på eget initiativ. Avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende förskoleverksamhet och skola, hälso- och sjukvård samt stöd och service till funktionshindrade. Inom den traditionellt statliga sektorn kan nämnas rikstäckande infrastruktur, kommunikation och energiförsörjning. Ibland bedrivs verksamheten alltjämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fristående från den offentliga sektorn. I flera av dessa fall är verksamheten av kommersiell karaktär och bygger i viss utsträckning på avtal med den registrerade. I den mån behandling av personuppgifter är nödvändig kan den i sådana fall ske med stöd av artikel 6.1 b i dataskyddsförordningen (den rättsliga grunden avtal), även om uppgiften inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs dock uppgiften i bl.a. hälso- och sjukvårdslagen (2017:30). På motsvarande sätt regleras uppgiften att tillhandahålla stöd och service till funktionshindrade av lagen (1993:387) om stöd och service till vissa funktionshindrade och uppgiften att tillhandahålla insatser inom socialtjänsten av socialtjänstlagen (2001:453). Skolväsendets uppgifter fastställs i skollagen (2010:800), som gäller för både offentliga och enskilda anordnare av sådan utbildning som regleras i den lagen. De uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande måste anses vara av denna karaktär oavsett om de faktiskt utförs i myndighetens egen regi eller om de genom utkontraktering eller entreprenad utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså även den privata utföraren, entreprenören eller det kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet som avser en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen. Det bör noteras att en uppdragstagare som är personuppgiftsbiträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen. När det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen eller genom att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten. Reglering i dataskyddslagen Av skäl 41 i dataskyddsförordningen kan man dra slutsatsen att den rättsliga grunden inte måste fastställas i en av riksdagen beslutad lag men däremot att grunden måste vara fastställd i laga ordning, dvs. på ett konstitutionellt korrekt sätt. Vad detta konkret innebär i svensk rätt när det gäller uppgift av allmänt intresse har preciserats 2 kap. 2 § 1 dataskyddslagen. Enligt den bestämmelsen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Av skäl 41 i dataskyddsförordningen framgår också att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart (propositionen Ny dataskyddslag, s. 51). På forskningsområdet innebär detta att uppgiften att forska måste vara reglerad i den nationella rätten på det sätt som framgår av 2 kap. 2 § 1 dataskyddslagen för att den rättsliga grunden i artikel 6.1 e ska vara tillämplig och kunna åberopas. Det ställs däremot inte något krav enligt dataskyddsförordningen på att uppgiften att forska ska vara fastställd för respektive forskningsutförare i separata författningar. Nödvändighetsrekvisitet Som nämnts ovan får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6 1 e). Syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse (artikel 6.3). Nödvändighetsrekvisitet har även gällt enligt artiklarna 6 och 7 i dataskyddsdirektivet och 10 § PUL. Enligt Svenska Akademiens Ordbok betyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan underlåtas. Det unionsrättsliga begreppet har dock inte denna strikta innebörd. Nödvändighetsrekvisitet i dataskyddsdirektivet har t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag. Att det ska vara nödvändigt att behandla en uppgift ska enligt regeringens bedömning således inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock - som all offentlig förvaltning - vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resultatinriktad nivå kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i dataskyddsförordningens mening. Kravet på att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (propositionen Ny dataskyddslag s. 46 f. och 60). För forskningens del innebär nödvändighetsrekvisitet i artikel 6.1 i dataskyddsförordningen att personuppgiftsbehandlingen måste vara nödvändig för att forskningen ska kunna utföras, men utifrån en rimlighetsbedömning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forskningssammanhang bör den rimlighetsbedömningen även kunna omfatta bedömningen av huruvida användandet av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet. 7.1.3 Intresseavvägning Behandling av personuppgifter är enligt dataskyddsförordningen även laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (artikel 6.1 f första stycket). Motsvarande grund har enligt dataskyddsdirektivet och PUL även kunnat tillämpas av myndigheter. I artikel 6.1 andra stycket i dataskyddsförordningen klargörs dock att den rättsliga grunden intresseavvägning inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Vid den rättsliga grunden intresseavvägning ska behandlingen av personuppgifter vara nödvändig för ett ändamål som rör ett berättigat intresse. Nödvändighetsrekvisitet har behandlats i avsnitt 7.1.2. Av skäl 47 till dataskyddsförordningen framgår att vid bedömningen av om den rättsliga grunden intresseavvägning kan tillämpas ska den registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige beaktas. Som exempel på när en personuppgiftsansvarig kan ha ett berättigat intresse nämns att det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige, t.ex. att den registrerade är kund hos eller arbetar för den personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning som inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med detta rimligen kan förvänta sig att en behandling kan komma att ske. Den registrerades intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig någon ytterligare behandling. Sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personuppgiftsansvarig. Behandling av personuppgifter för direkt marknadsföring kan betraktas som ett berättigat intresse (skäl 47 till dataskyddsförordningen). Som nämnts tidigare framhålls vetenskaplig forskning i dataskyddsdirektivets skäl 34 som ett exempel på viktigt allmänt intresse som kan motivera undantag från förbudet att behandla känsliga personuppgifter. I förarbetena till personuppgiftslagen exemplifieras vidare arbetsuppgifter som kan vara av allmänt intresse med till exempel arkivering, forskning och framställning av statistik. Det konstateras vidare att arbetsuppgiften kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte är något hinder för bedömningen av om en arbetsuppgift är av allmänt intresse att någon kan tjäna pengar på att utföra den (SOU 1997:39 s. 364). Enligt regeringens uppfattning bör en uppgift, som bedöms vara av allmänt intresse men som inte har fastställts i unionsrätten eller nationell rätt, i många fall kunna anses vara ett berättigat intresse enligt artikel 6.1 f. Artikel 29-gruppen har när det gäller dataskyddsdirektivet uttalat att intresset måste vara tillräckligt tydligt angett för att kunna vägas mot den registrerades intressen och grundläggande rättigheter. Intressets art kan variera. Vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Andra intressen kan vara mindre akuta för samhället som helhet eller åtminstone kan samhällseffekterna av dessa vara blandade. Begreppet berättigat intresse kan omfatta ett brett spektrum av intressen. Bland de vanligaste sammanhang där frågan om berättigat intresse i den mening som avses i artikel 7 i dataskyddsdirektivet kan uppstå nämner Artikel 29-gruppen behandling för historiska, vetenskapliga eller statistiska ändamål och behandling för forskningsändamål (Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG). Eftersom artikel 6.1 f i dataskyddsförordningen motsvarar artikel 7 f i dataskyddsdirektivet bör vägledning kunna sökas i detta yttrande även när det gäller tillämpningen av artikel 6.1 f. Som nämnts ovan följer det dock av artikel 6.1 andra stycket dataskyddsförordningen att myndigheter, bl.a. universitet och högskolor med statlig huvudman, inte längre får åberopa denna grund för personuppgiftsbehandling när de fullgör sina uppgifter. 7.2 Möjligheterna för olika forskningsutförare att åberopa olika rättsliga grunder 7.2.1 Samtycke Regeringens bedömning: Dataskyddsförordningen bör normalt inte innebära något hinder för forskningsutförare att använda samtycke som rättslig grund för sin personuppgiftsbehandling. Det måste dock beaktas om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt, särskilt när den personuppgiftsansvarige är en offentligrättslig forskningsutförare. Utredningens bedömning överensstämmer i sak med regeringens bedömning. Utredningen gjorde fler bedömningar med inriktning på olika aspekter av ett giltigt samtycke. Remissinstanserna: Ingen remissinstans yttrar sig i frågan om utredningens bedömning av olika forskningsutförares möjlighet att använda den rättsliga grunden samtycke. De flesta remissinstanser som yttrar sig delar i huvudsak utredningens bedömning av innebörden av samtycke. Några remissinstanser, bl.a. Mittuniversitetet och Skåne läns landsting, problematiserar kring samtyckens giltighet vid ett ojämlikt förhållande mellan den personuppgiftsansvarige och den registrerade. Umeå universitet anser att en diskussion borde ha förts kring hur äldre samtycken som inhämtats innan dataskyddsdirektivet infördes ska hanteras. Flera remissinstanser, Verket för innovationssystem (Vinnova), Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), Läkemedelsindustriföreningen och Cancerfonden, tar upp frågan om tolkningen av skäl 33 i dataskyddsförordningen och vikten av att kunna använda s.k. breda samtycken i forskningen. Några remissinstanser kommenterar också utredningens bedömning när det gäller ytterligare behandling av personuppgifter som inhämtats med stöd av samtycke. Vinnova och IFAU anser att möjligheten att ytterligare behandla personuppgifter som inhämtats med samtycke bör regleras. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Datainspektionen konstaterar att samtycke kan användas som rättslig grund så länge det inte är fråga om ett ojämlikt förhållande. Inspektionen anser att man bör iaktta försiktighet när man gör en bedömning av om samtycke kan utgöra en rättslig grund och framhåller att det inte enbart är i de situationer där det råder ett direkt maktförhållande mellan den personuppgiftsansvarige och den registrerade som möjligheten att använda samtycke är begränsad. Lunds universitet framhåller att samtycke kan vara problematiskt när den registrerade upplever sig beroende av den personuppgiftsansvarige. Universitet anser att det krävs en mer ingående analys av när ett betydande ojämlikhetsförhållande föreligger. Skälen för regeringens bedömning Offentligrättsliga forskningsutförare Alla personuppgiftsansvariga som vill använda den rättsliga grunden samtycke för sin personuppgiftsbehandling har att beakta förutsättningarna som angivits i avsnitt 7.1.1 för att ett giltigt samtycke ska föreligga. Kravet på frivillighet som gäller för att ett samtycke ska vara giltigt är formulerat på samma sätt i dataskyddsförordningen som i PUL. Det faktum att det kan råda en betydande ojämlikhet i förhållandet mellan den personuppgiftsansvarige och den som har att lämna samtycke har föranlett införandet av skäl 43 i dataskyddsförordningen. Där anges det att för att säkerställa att samtycket lämnas frivilligt bör samtycket inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal - inbegripet tillhandahållandet av en tjänst - är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande. I ett yttrande om samtycke har Artikel 29-gruppen uttalat att inom den offentliga sektorn är behandlingen av uppgifter normalt knuten till fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse och att då använda samtycke från den berörda individen för att legitimera behandlingen av uppgifterna är inte en lämplig rättslig grund (Yttrande 15/2011 om definitionen av begreppet samtycke). Artikel 29-gruppen pekar på att detta är särskilt tydligt när det gäller hur personuppgifter behandlas av offentliga myndigheter som har officiella maktbefogenheter, till exempel rättsvårdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiära och rättsliga aktiviteter. Polismyndigheterna kan inte utgå från att enskilda personer ska samtycka till åtgärder som inte anges i eller inte skulle tillåtas enligt gällande lag. Som nämnts i avsnitt 7.1.1 har Artikel 29-gruppen antagit Guidelines on Consent under Regulation 2016/679, som kompletterar tidigare yttranden. Artikel 29-gruppen uttalar i vägledningen att det generellt är osannolikt att offentliga myndigheter kan förlita sig på den rättsliga grunden samtycke eftersom det ofta föreligger ett sådant ojämlikt maktförhållande mellan myndigheten som är personuppgiftsansvarig och den registrerade. I många fall har inte den registrerade något alternativ förutom att acceptera myndighetens villkor för behandling av personuppgifter. Arbetsgruppen anser därför att andra rättsliga grunder i princip är lämpligare att använda än samtycke för offentliga myndigheter. Arbetsgruppen anger emellertid i vägledningen att det inte är helt uteslutet att offentliga myndigheter kan använda samtycke enligt dataskyddsförordningen, utan att det kan vara lämpligt under vissa omständigheter (Guidelines on Consent under Regulation 2016/679, s. 6). När det gäller offentliga forskningsutförare kan det enligt regeringens bedömning förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För statliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid en sådan inrättning. En myndighet kan således inte anses utöva påtryckning gentemot en individ enbart därför att det är fråga om en myndighet, om den inte har några verktyg för att direkt eller indirekt utöva påtryckningar. En undersökning där ett representativt urval av personer ur totalbefolkningen tillfrågas om de vill delta som en del av ett forskningsprojekt bör t.ex. kunna utföras med samtycke som rättslig grund även av ett universitet eller högskola med statlig huvudman. En sådan situation som avses i skäl 43 kan dock föreligga exempelvis om lärosätet avser att forska med hjälp av personuppgifter som gäller studenter eller anställda vid universitetet. I en sådan situation kan det ifrågasättas om ett giltigt, frivilligt, samtycke kan inhämtas och om forskningsutföraren kan använda sig av denna rättsliga grund. Kommuner och landsting har myndighetsuppgifter gentemot sina invånare. De driver bland annat utbildningsverksamhet, hälso- och sjukvård, meddelar bygglov och andra tillstånd, samt har beskattningsrätt. Här finns åtskilliga situationer där en ojämlik relation kan föreligga. När det gäller behandling av personuppgifter för forskningsändamål har hälso- och sjukvårdens regionala och nationella kvalitetsregister, som handhas av landstingen, en särskilt stor och ökande betydelse. Behandling av personuppgifter i sådana register regleras i 7 kap. patientdatalagen (2008:355). Enligt 7 kap. 2 § får personuppgifter inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt. Det finns vidare en särskild reglering i 7 kap. 2 a § för en enskild som inte endast tillfälligt saknar förmåga att ta ställning i denna fråga. Sammanfattningsvis anser regeringen att formuleringen i skäl 43 innebär en begränsning av offentliga forskningsutförares möjlighet att använda sig av samtycke som rättslig grund, men det föreligger inte alltid ett hinder för sådana forskningsutförare att använda samtycke som rättslig grund. När de tar ställning till frågan med stöd av vilken rättslig grund personuppgiftsbehandling i ett forskningsprojekt ska ske behöver de särskilt beakta om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt och det därmed inte är möjligt att använda samtycke som rättslig grund utan en annan rättslig grund bör väljas. Det ankommer på den personuppgiftsansvarige att för varje forskningsprojekt göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas. Privaträttsliga forskningsutförare Även privaträttsliga forskningsutförare måste beakta att förutsättningarna för ett giltigt samtycke är uppfyllda när de tar ställning till vilken rättslig grund personuppgiftsbehandling i ett projekt ska grundas på och om det är lämpligt att använda sig av samtycke. Regeringens bedömning är att utgångspunkten när det gäller privaträttsliga forskningsutförare är att det normalt inte råder betydande ojämlikhet mellan dem som personuppgiftsansvariga och registrerade när personuppgifter behandlas för forskningsändamål. För enskilda utbildningsanordnare bör väsentligen samma resonemang om fall där en betydande ojämlikhet skulle kunna föreligga kunna föras som för universiteten och högskolorna med offentlig huvudman. Företag, stiftelser och andra medlemsorganisationer som utför forskning bör kunna använda samtycke för alla som inte har någon anknytning till organisationen, genom att vara exempelvis anställda, intressenter och/eller medlemmar. En sådan särskild situation enligt skäl 43 då samtycke inte kan anses ha lämnats frivilligt kan vara när den personuppgiftsansvarige vill använda ett anställningsregister för andra ändamål än det ursprungligen avsedda. Sammanfattningsvis bör formuleringen i skäl 43 normalt inte innebära hinder för privaträttsliga forskningsutförare att använda samtycke för personuppgiftsbehandling för forskningsändamål. Även privaträttsliga forskningsutförare behöver emellertid beakta om det kan föreligga en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt och det därmed inte är möjligt att använda samtycke som rättslig grund för personuppgiftsbehandlingen i ett forskningsprojekt. Det ankommer på den personuppgiftsansvarige att för varje forskningsprojekt göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas. Äldre samtycken När det gäller redan inhämtade samtycken och frågan om giltigheten av sådana samtycken framgår det av skäl 171 i dataskyddsförordningen att om en personuppgiftsbehandling grundar sig på samtycke enligt dataskyddsdirektivet är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen ifråga efter det att förordningen börjat tillämpas, om det sätt på vilket samtycket gavs överensstämmer med villkoren i förordningen. Det behöver alltså ske en kontroll av att lämnade samtycken skett på ett sätt som krävs för att ett giltigt samtycke ska föreligga enligt dataskyddsförordningen för att avgöra om behandlingen kan fortsätta med stöd av samtycket eller om ett nytt samtycke behöver inhämtas. När det gäller ännu äldre samtycken framgår det av övergångsbestämmelserna till PUL att ett samtycke som hade lämnats för en behandling innan PUL trädde i kraft skulle gälla även efter ikraftträdandet om samtycket uppfyllde kraven i PUL (p. 6 i ikraftträdande- och övergångsbestämmelserna). PUL är baserad på dataskyddsdirektivet. Det får enligt regeringens uppfattning förutsättas att en bedömning gjorts av om ett sådant samtycke är förenligt med PUL och därmed dataskyddsdirektivet och att ett nytt samtycke inhämtats om samtycket inte bedömts uppfylla kraven i PUL. Enligt regeringens uppfattning bör dessa samtycken därför kunna hanteras på samma sätt som samtycken enligt dataskyddsdirektivet, dvs. att en kontroll görs av om det sätt på vilket samtycket gavs överensstämmer med villkoren i dataskyddsförordningen. 7.2.2 Uppgift av allmänt intresse Regeringens bedömning: För universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt genom bestämmelser i högskolelagen. För andra statliga myndigheter som har en tydligt författningsreglerad uppgift att bedriva forskning, är också forskningsuppgiften fastställd i svensk rätt. Dessa forskningsutförare kan därmed tillämpa den rättsliga grunden uppgift av allmänt intresse i dataskyddsförordningen vid behandling av personuppgifter som är nödvändig för att utföra forskningen. När det gäller kommuner och landsting kan forskningsuppgiften vara fastställd genom beslut om verksamheten i kommunen som fattats i enlighet med bestämmelserna i kommunallagen. Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behandling av personuppgifter som är nödvändig för att utföra forskningen. En privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt om det krävs tillstånd för forskningsprojektet enligt t.ex. etikprövningslagen och forskningsutföraren har fått de tillstånd som krävs. I övrigt är privata forskningsutförares uppgift att forska inte fastställd i svensk rätt. Det bör inte införas en bestämmelse i lag där det anges att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare. Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen berör inte frågan om tillstånd från myndigheter för att bedriva forskning. Utredningen har föreslagit att det ska införas en bestämmelse i lag som anger att personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen ska få behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse samt att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare. Remissinstanserna: I stort sett alla remissinstanser som yttrar sig tillstyrker, ställer sig positiva till eller har ingen invändning mot att en bestämmelse som reglerar forskning som uppgift av allmänt intresse för såväl offentligrättsliga som privaträttsliga forskningsutförare införs i lag. Detta gäller bl.a. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), Forskningsrådet för hälsa, arbetsliv och välfärd (Forte), Sveriges Kommuner och Landsting (SKL) och flertalet landsting. Uppsala universitet tillstyrker förslaget och konstaterar att själva uppgiften att bedriva forskning måste vara fastställd enligt gällande rätt och att så redan är fallet för universitet och högskolor. För andra offentliga forskningsutförare, enskilda näringsidkare såsom läkemedelsföretag och andra juridiska personer saknas en reglering som står i överensstämmelse med dataskyddsförordningen. Genom de föreslagna bestämmelserna ges nu en sådan precisering vilket gör det möjligt också för dessa forskningsutförare att åberopa allmänt intresse som rättslig grund. Dessa forskningsutförare bedriver redan idag ett viktigt vetenskapligt arbete eller utvecklingsarbete på vetenskaplig grund och bör när det gäller behandling av personuppgifter för forskningsändamål behandlas lika som statliga universitet och högskolor. Kalmar läns landsting delar utredningens uppfattning att kommunallagens bestämmelser om att kommuner och landsting själva får ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar, inte är tillräckligt tydlig, preciserad och förutsägbar för att uppfylla dataskyddsförordningens krav vid fastställande av rättslig grund. Landstinget anser därför att det i nationell rätt bör förtydligas att offentliga forskningsutförare som landsting/regioner ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse. Vetenskapsrådet anser att forskning oavsett om den utförs av en offentlig eller privat forskningsutförare är en uppgift av allmänt intresse. Mot bakgrund av myndighetens uppgift att förbättra förutsättningarna för registerforskning i Sverige anser myndigheten att det är av avgörande betydelse att även privata forskningsutförare kan behandla personuppgifter utan samtycke. Vetenskapsrådet betonar därför vikten av att det i nationell lagstiftning slås fast att även privata forskningsutförare kan använda sig av den rättsliga grunden allmänt intresse. Verket för innovationssystem (Vinnova) anser att det i lag bör möjliggöras att offentligrättsliga och privaträttsliga forskningsutförare likställs när det gäller möjligheten att åberopa artikel 6.1 e som rättslig grund för personuppgiftsbehandling för forskningsändamål. Skälen är att det i dagens forskningssamhälle saknas en skarp gräns mellan offentliga och privata forskningsutförare, att samverkan mellan olika forskningsutförare är en viktig del av nuvarande forskningslandskap och att privaträttsliga forskningsutförare utför en betydande del forskning som kan anses vara uppgift av allmänt intresse. Mittuniversitetet vill lyfta fram det absolut nödvändiga i att genomföra den del av förslaget som innebär att även privata forskningsutförare ges möjlighet till att använda den rättsliga grunden "uppgift av allmänt intresse" vid forskning som innebär personuppgiftshantering. Om förslaget inte genomförs kommer för allmänheten betydelsefull forskning som sker inom den privata sektorn, exempelvis inom läkemedelsindustrin, annars försvåras eller i värsta fall omöjliggöras. Detta oavsett om denna forskning sker enbart inom den privaträttsliga sfären eller om den sker i samarbete med någon högskola eller något universitet. Enligt Pensionsmyndigheten är det uppenbart att den forskning som bedrivs enligt bestämmelserna i högskolelagen (1992:1434) är exempel på en sådan uppgift av allmänt intresse som avses i dataskyddsförordningen. Enligt myndigheten skulle det dock kunna anses vara mer tveksamt om privat oreglerad forskningsverksamhet kan anses underkastad en sådan reglering. Enligt Pensionsmyndighetens uppfattning är det därför av stor vikt att det i det fortsatta beredningsarbetet säkerställs att även sådan forskningsverksamhet är reglerad på ett sådant sätt att den anses fastställd i enlighet med dataskyddsförordningens krav. Malmö högskola påpekar att utredningens förslag tillåter en mycket vid grupp att utföra forskning av allmänt intresse och forskningsutföraren ska själv avgöra vad som är allmänt intresse, vilket lämnar möjlighet till fel och direkt missbruk. Att tillåta allt från enskilda näringsidkare och uppåt att bedriva forskning och samtidigt överlåta avgörandet av vad som är av allmänt intresse kan vara en risk. Chalmers tekniska högskola efterlyser en tydligare vägledning rörande vilken forskning som är av allmänt intresse. Datainspektionen avstyrker utredningens förslag avseende 6 § i den föreslagna forskningsdatalagen. Inspektionen anför att 6 § i den föreslagna forskningsdatalagen synes reglera vem som får utföra forskning av allmänt intresse och utgör enligt vad utredningen anfört, den i nationell rätt fastställda grunden för att utföra en uppgift av allmänt intresse. Datainspektionen anser inte att den föreslagna bestämmelsen är en i nationell rätt fastställd uppgift, utan bestämmelsen återger i första meningen en del av dataskyddsförordningens krav och i sista meningen anges olika subjekt som får bedriva forskning av allmänt intresse. Datainspektionen konstaterar att friheten att forska inte är en fråga som rör dataskydd och att någon uppgift att forska inte ges i den aktuella bestämmelsen. Inspektionen kan därmed inte se att denna reglering tillför något materiellt. Mot denna bakgrund ifrågasätter Datainspektionen om 6 § forskningsdatalagen egentligen inte endast kan anses utgöra enbart ett återgivande av de regler som gäller direkt enligt artikel 6.1 e i förordningen. Eftersom bestämmelsen inte utgör ett förtydligande i enlighet med skäl 8 i förordningen anser Datainspektionen att bestämmelsen saknar stöd i dataskyddsförordningen. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga synpunkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss. Detta gäller bl.a. Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern, Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Centrala etikprövningsnämnden, Brottsförebyggande rådet, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndigheten, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgivarverket, Jönköping University, Örebro universitet, Kungl. Biblioteket och Riksarkivet. Bland de som ställer sig positiva till förslagen och bedömningarna finns Högskolan i Borås, Karlstads universitet, Karolinska institutet och Malmö universitet. Göteborgs universitet ställer sig helt och fullt bakom bedömningarna i utkastet till lagrådsremiss. Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser som helhet att förslagen i lagrådsremissen väl tillgodoser forskningens intressen av att kunna använda personuppgifter och att den typ av forskning som Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om väl forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver. När det gäller bedömningarna av olika forskningsutförares möjligheter att använda sig av olika rättsliga grunder framhåller ett antal remissinstanser, Mittuniversitetet, Umeå universitet, Vetenskapsrådet, Forskningsrådet för miljö, areella näringar och samhällsbyggande (Formas) och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), vikten av att privaträttsliga forskningsutförare kan använda sig av den rättsliga grunden uppgift av allmänt intresse och att det är problematiskt att offentligrättsliga och privaträttsliga forskningsutförare får olika förutsättningar, vilket de bl.a. anser försvårar samarbete mellan olika forskningsutförare och ger privaträttsliga forskningsutförare sämre konkurrensförutsättningar. Stockholms universitet anser att det är olyckligt att privata forskningsutförares behandling av personuppgifter ska fördelas på skilda rättsliga grunder beroende på om känsliga personuppgifter behandlas eller inte. Kommerskollegium ställer sig frågande till bedömningen att inte införa någon rättslig grund i form av uppgift av allmänt intresse för privata forskningsutförare som bedriver forskningsprojekt som inte involverar känsliga personuppgifter eller uppgifter om lagöverträdelser. Verket för innovationssystem (Vinnova) framhåller att det är av yttersta vikt att ingen åtskillnad görs i lagstiftning mellan offentligrättsliga och privata forskningshuvudmän. Flera remissinstanser, Datainspektionen, Lunds universitet, Stockholms universitet, Regionala etikprövningsnämnden i Lund, Regionala etikprövningsnämnden i Uppsala och Regionala etikprövningsnämnden i Umeå ifrågasätter bedömningen att ett beslut enligt etikprövningslagen och eventuellt andra tillämpliga författningar ger en sådan grund för behandlingen som är fastställd i enlighet med nationell rätt enligt artikel 6.3 i dataskyddsförordningen. Läkemedelsindustriföreningen framför att detta är potentiellt en väl fungerande ordning för forskning som förutsätter beslut av en etikprövningsnämnd men påpekar att det inte fungerar för all forskning. Föreningen anser att för sådan forskning som består i klinisk läkemedelsprövning behövs en annan lösning vad gäller rättslig grund och anger att ett sätt att lösa frågan vore att tydliggöra från lagstiftarens sida att klinisk läkemedelsforskning kan åberopa uppgift av allmänt intresse som rättslig grund i den mån denna forskning kräver myndighetstillstånd enligt annan lagstiftning, som tillstånd enligt läkemedelslagen eller det framtida, särskilda regelverket som ska gälla för etisk granskning av kliniska läkemedelsprövningar. Flera remissinstanser tar också upp bedömningen att kommuner och landsting kan tillämpa den rättsliga grunden uppgift av allmänt intresse i de fall forskningsuppgiften är fastställd genom beslut om verksamheten i kommunen som fattats i enlighet med bestämmelserna i kommunallagen och bedömningen att bestämmelsen i 18 kap. 2 § hälso- och sjukvårdslagen på hälso- och sjukvårdsområdet och folkhälsoområdet uppfyller dataskyddsförordningens krav på att en reglering ska vara tydlig, precis och förutsägbar för att en uppgift av allmänt intresse ska vara fastställd i nationell rätt. Sveriges Kommuner och Landsting (SKL) delar bedömningen när det gäller bestämmelsen i hälso- och sjukvårdslagen och forskning inom det området, men anser att kommuner och landsting bör kunna samverka med varandra och med berörda universitet och högskolor på motsvarande sätt som inom hälso- och sjukvården på andra områden och att det därför finns skäl för att införa särskilt författningsstöd om att forskning är en uppgift för kommuner och landsting även på andra områden än inom hälso- och sjukvården. Även Stockholms läns landsting anför att i vissa fall är forskningsuppgiften inte fastställd i nationell rätt på sådant sätt att den utan vidare kan hänföras till den rättsliga grunden uppgift av allmänt intresse. Det handlar om fakultativa forskningsuppgifter, där landstingets engagemang i forskningen stöds på den allmänna kommunal kompetensen snarare än på lagstöd i positiv bemärkelse. Med beaktande av landstingets roll vid medicinsk och annan forskning finns det enligt landstinget ett kvarvarande behov av att mer utförligt utreda och förklara förslagens konsekvenser. En särskild fråga är enligt landstinget behovet och räckvidden av sådana särskilda beslut av landstingsfullmäktige som kan bli nödvändiga för att den rättsliga grunden uppgift av allmänt intresse ska kunna tillämpas. Kalmar läns landsting och Västra Götalands läns landsting anser att det finns en risk för osäkerhet kring vilken typ av beslut som krävs och för att bestämmelserna i dataskyddsförordningen inte uppfylls med avseende på kravet om tydlighet, precision och förutsägbarhet för att den rättsliga grunden ska anses vara fastställd. Kalmar läns landsting anser därför att det i nationell rätt bör förtydligas att offentliga forskningsutförare som landsting/regioner ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse och Västra Götalands läns landsting anser att regeringen bör föreslå en ny forskningsdatalag där det klart framgår att forskning av allmänt intresse får utföras. Datainspektionen anser mot bakgrund av att bestämmelsen i 18 kap. 2 § hälso- och sjukvårdslagen aktualiserar en stor mängd känsliga samt integritetskänsliga personuppgifter är den ett exempel på bestämmelse där det kan ifrågasättas om den uppfyller kraven på precision. Chalmers tekniska högskola anser inte att det tillfredsställande kommer till uttryck att högskolans forskningsuppgift är fastställd i enlighet med rättsordningen och att förslaget således inte med önskvärd tydlighet säkerställer högskolans förutsättningar att behandla personuppgifter inom forskningsverksamheten. Högskolan framhåller också att det är väsentligt att högskolans forskning ges förutsättningar att utföras på jämställda villkor med statliga högskolor. Skälen för regeringens bedömning Offentligrättsliga forskningsutförare Som framgått av avsnitt 7.1.2 är det regeringens bedömning att presumtionen är att uppgiften att forska är en uppgift av allmänt intresse även i dataskyddsförordningens mening. För att den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse, ska vara tillämplig och kunna åberopas krävs emellertid enligt artikel 6.3 att uppgiften är fastställd i enlighet med unionsrätten eller den nationella rätten. Vad detta innebär har behandlats i avsnitt 7.1.2. I 2 kap. 18 § andra stycket RF fastslås att forskningens frihet är skyddad enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434) reglerar verksamhet vid universitet och högskolor under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagen anges forskning som en huvuduppgift. I 1 kap. 3 a § samma lag ställs det krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten och 1 kap. 6 § reglerar just forskningens frihet genom att det anges allmänna principer för den delen av högskolornas verksamhet. För forskningen ska gälla att forskningsproblem får fritt väljas, forskningsmetoder får fritt utvecklas och forskningsresultat får fritt publiceras. Regeringens bedömning är därför att för universitet och högskolor med staten som huvudman är forskningsuppgiften fastställd i svensk lag och de kan därför behandla personuppgifter som är nödvändiga för att utföra forskningen med stöd av artikel 6.1 e. Utöver universitet och högskolor behandlar många statliga myndigheter personuppgifter för forskningsändamål. Dessa myndigheters möjligheter att behandla personuppgifter för forskningsändamål med stöd av artikel 6.1 e är beroende av vilket uppdrag och vilka uppgifter som har ålagts respektive myndighet i gällande rätt. Flera myndigheter har en förordningsreglerad uppgift som omfattar forskning, se t.ex. 2 § förordningen (2007:1170) med instruktion för Brottsförebyggande rådet eller 4 § förordningen (2013:1020) med instruktion för Folkhälsomyndigheten. Uppgiften att forska kan även regleras på annat sätt, t.ex. direkt i lag eller genom särskilda regeringsbeslut. Om uppgiften att forska är tydligt fastställd på detta sätt för en myndighet har myndigheten möjlighet att grunda behandling av personuppgifter som är nödvändig för att utföra forskningen på att det är en uppgift av allmänt intresse enligt artikel 6.1 e. Statliga forskningsinstitut drivs ofta i myndighetsform, vilket medför att samma resonemang kan föras för dem som för myndigheter i allmänhet. Exempel på sådana forskningsinstitut är Institutet för rymdfysik och Totalförsvarets forskningsinstitut. Det finns dock även forskningsinstitut som drivs i aktiebolagsform med staten som delägare helt eller delvis. RISE (Research Institutes of Sweden) är ett exempel på nätverk av teknikinriktade forskningsinstitut som samverkar med akademi, näringsliv och samhälle. För sådana organ är det bedömningarna beträffande privaträttsliga forskningsutförare som är relevanta (se nedan). Verksamheten vid kommuner och landsting är reglerad i RF, kommunallagen (2017:725) och speciallagstiftning för t.ex. skola, miljö och vård- och omsorg. Kommuner och landsting har även viss rätt att meddela egna lokala föreskrifter. När det gäller kommunernas verksamhet anges det i 14 kap. 2 § RF att kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Närmare bestämmelser om detta finns i lag. På samma grund sköter kommunerna även de övriga angelägenheter som bestäms i lag. Kommunallagen reglerar såväl kommuner som landsting på en övergripande nivå. Där anges att kommuner och landsting får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar. Kommuner och landsting får inte ha hand om sådana angelägenheter som enbart staten, en annan kommun, ett annat landsting eller någon annan ska ha hand om. Forskning och innovation är en viktig del av många landstings och kommuners utvecklingsarbete. Nämnas kan att enligt hälso- och sjukvårdslagen (2017:30) ska landsting och kommuner medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Landsting och kommuner ska i dessa frågor, i den omfattning som behövs, samverka med varandra och med berörda universitet och högskolor (18 kap. 2 § hälso- och sjukvårdslagen). Enligt 2 kap. 2 § 1 dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Formuleringen omfattar även uppgifter som med stöd av kommunallagen har getts till kommunala myndigheter och kommunala bolag genom beslut i fullmäktige. På hälso- och sjukvårdsområdet och folkhälsoområdet bedömer regeringen till skillnad från Datainspektionen att ovan nämnda bestämmelser i hälso- och sjukvårdslagen uppfyller dataskyddsförordningens krav på att en reglering ska vara tydlig, precis och förutsägbar för att en uppgift av allmänt intresse ska vara fastställd i nationell rätt. Forskning hör i övrigt till området där landsting och kommuner kan göra frivilliga åtaganden inom ramen för sin befogenhet. Att som bl.a. SKL föreslår i författning fastställa att forskning är en uppgift för kommuner och landsting inom andra områden skulle innebära att nya uppgifter läggs på kommunerna, vilket med hänsyn till den kommunala självstyrelsen kräver särskilda överväganden som det saknas underlag för i detta lagstiftningsärende. För att kommuner och landsting i övrigt ska kunna använda sig av den rättsliga grunden uppgift av allmänt intresse när de bedriver forskning är det enligt regeringens uppfattning av vikt att de beaktar att forskningsuppgiften anges tydligt i de beslut om verksamheten som fattas av fullmäktige så att forskningsuppgiften därigenom kan anses vara fastställd i nationell rätt. Det är varje personuppgiftsansvarigs ansvar att se till att det finns en laglig grund för den behandling av personuppgifter som den personuppgiftsansvarige avser att göra och därmed kommunernas ansvar att se till att de kommunala beslut som kan behövas för att forskningsuppgiften ska anses vara fastställd och den rättsliga grunden uppgift av allmänt intresse kunna användas får en tillräckligt tydlig och precis utformning. Privaträttsliga forskningsutförare Forskning bedrivs även av privata forskningsutförare. Forskningsuppgiften är emellertid inte fastställd i nationell rätt för dessa aktörer på motsvarande sätt som för de flesta offentligrättsliga forskningsutförare. Forskningsdatautredningen har i sitt delbetänkande föreslagit att det ska införas kompletterande nationella bestämmelser för behandling av personuppgifter för forskningsändamål i en forskningsdatalag. Utredningen har bl.a. föreslagit att det i den lagen ska införas bestämmelser som bl.a. anger att personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse och att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare. När det gäller den av utredningen föreslagna bestämmelsen om att offentliga och privata forskningsutförare får utföra forskning av allmänt intresse gör regeringen följande bedömning. Som framgått innebär regleringen i dataskyddsförordningen en påtaglig skillnad i förhållande till dataskyddsdirektivet på så vis att enligt direktivet kan behandling av personuppgifter utföras på den rättliga grunden allmänt intresse, även om den uppgift som föranleder personuppgiftsbehandlingen, i nu aktuellt fall uppgiften att forska, inte är fastställd i nationell rätt eller unionsrätt. Det innebär att det hittills inte har spelat någon roll om forskningsutföraren har varit en myndighet eller en enskild fysisk eller juridisk person. Utgångpunkten har ändå varit att uppgiften att forska är en uppgift av allmänt intresse. Som framgår av avsnitt 7.1.2 räcker det dock enligt dataskyddsförordningen inte att uppgiften är av allmänt intresse. Den måste också vara fastställd i nationell rätt eller unionsrätt. Som framgår av avsnitt 7.1.2 är myndigheters uppgifter fastställda i nationell eller unionsrätten eftersom legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. För enskilda är inte utgångpunkten att de behöver rättsligt stöd för sina handlingar utan för dem gäller att allt som inte är förbjudet eller på annat sätt reglerat är tillåtet. För privata forskningsutförare innebär det att de har rätt att forska fritt så länge staten inte har uppställt krav på tillstånd för viss forskning eller forskningen innefattar brottslig verksamhet etc. Vad dataskyddsförordningens krav på att en uppgift ska vara fastställd i nationell rätt eller i unionsrätten för att den ska anses vara en uppgift av allmänt intresse i den mening som avses i artikel 6.1.e innebär framgår av 2 kap. 2 § 1 dataskyddslagen. Enligt den bestämmelsen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Flera skäl talar för att det skulle finnas ett behov av en reglering där forskningsuppgiften fastställs för privaträttsliga forskningsutförare för att göra det möjligt för dem att använda sig av den rättsliga grunden uppgift av allmänt intresse. Även forskning som bedrivs av privata utförare kan anses vara en uppgift av allmänt intresse. Som exempel kan nämnas att högskolor kan bedrivas i både offentlig och privat form. Forskningsuppgiften är i praktiken likvärdig vid de båda verksamheterna. Forskning bedrivs vidare ofta i samverkan mellan offentliga och privata forskningsutförare. Det är också av vikt att såväl offentliga som privata forskningsutförare har möjlighet att behandla personuppgifter för att genomföra storskaliga registerbaserade studier inom exempelvis hälsoområdet. Sådana studier är av stor betydelse för ökad kunskap om t.ex. sjukdomsorsaker och behandlingsmetoder. Det är inte alltid möjligt eller ens lämpligt att inhämta samtycke för behandling av personuppgifter för forskningsändamål i studier som omfattar flera hundra tusen personer. Detta innebär att såväl offentliga som privata forskningsutförare behöver ha möjligheter att behandla personuppgifter även utan samtycke. Av det som anförts ovan kan slutsatsen dras att frågan om att reglera forskning som en uppgift av allmänt intresse har störst betydelse för de privaträttsliga forskningsutförarna. För offentligrättsliga forskningsutförare, som universitet och högskolor med staten som huvudman och statliga myndigheter som har i uppgift att forska, är forskningsuppgiften i de flesta fall redan reglerad i författning eller kan regleras i författning. Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Kommuner och landsting får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar. De har möjlighet att genom beslut om reglementen för verksamheten se till att forskningsuppgiften blir fastställd i enlighet med rättsordningen i Sverige och de kan då basera personuppgiftsbehandling som är nödvändig för att utföra forskningsuppgiften på den rättsliga grunden uppgift av allmänt intresse. För privaträttsliga forskningsutförare är däremot uppgiften att forska som huvudregel inte reglerad. Forskningsdatautredningens förslag innebär att det ska införas bestämmelser av vilka det framgår dels under vilka förutsättningar personuppgifter får behandlas för forskningsändamål (om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse), dels att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare. Detta innebär att forskningsutföraren själv även fortsatt skulle ha att bedöma om den forskning som utförs är av allmänt intresse, och om personuppgiftsbehandlingen är nödvändig för att utföra forskningen. Av skäl 41 i dataskyddsförordningen framgår att en rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den. Forskningsdatautredningen lyfter i detta sammanhang fram att det av skäl 33 framgår att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Av skäl 159 framgår dessutom att behandling av personuppgifter för vetenskapliga forskningsändamål bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga forskningsändamål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse, bör de allmänna reglerna i dataskyddsförordningen tillämpas på dessa åtgärder. Mot denna bakgrund är det Forskningsdatautredningens bedömning att det är förenligt med dataskyddsförordningens vidsträckta syn på personuppgiftsbehandling för forskningsändamål att fastställa den rättsliga grunden forskning som en uppgift av allmänt intresse i en forskningsdatalag som är tillämplig för alla slags forskningsutförare som bedriver sådan forskning. Forskningsdatautredningen framhåller också att det av skäl 45 i dataskyddsförordningen framgår att det bör regleras huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse ska vara en myndighet, eller annan som omfattas av offentligrättslig lagstiftning, eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning. Majoriteten av remissinstanserna är positiva till utredningens förslag. Malmö högskola är dock kritisk till att forskningsutföraren själv ska få avgöra vad som är allmänt intresse och Chalmers tekniska högskola efterlyser en tydligare vägledning rörande vilken forskning som är av allmänt intresse. Datainspektionen avstyrker förslaget. Inspektionen anser att den första meningen i den föreslagna lagtexten enbart innebär ett återgivande av vad som redan framgår av dataskyddsförordningen. När det gäller den föreslagna andra meningen anför Datainspektionen att friheten att forska inte är en fråga som rör dataskydd samt att någon uppgift att forska inte ges i den aktuella bestämmelsen. Inspektionen kan därmed inte se att den föreslagna regleringen tillför något materiellt. Regeringen delar Datainspektionens uppfattning att den första meningen i den föreslagna paragrafen endast innebär ett återgivande av vad som redan framgår av dataskyddsförordningen. När det gäller den föreslagna andra meningen i lagtexten att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare anför Datainspektionen att denna bestämmelse inte innebär att en uppgift att forska ges. När det gäller denna bestämmelse anser regeringen att en jämförelse kan, såvitt gäller privata forskningsutförare, göras med regleringen av personuppgiftsbehandling i enskilda arkiv i dataskyddslagen (2 kap. 3 § första stycket). Den regleringen innebär bl.a. att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse. Regeringen har i förarbetena till den bestämmelsen tagit ställning för att en föreskrift som tillåter en personuppgiftsansvarig att behandla personuppgifter för arkivändamål av allmänt intresse ger det stöd i den svenska rättsordningen som krävs enligt artikel 6.3 (prop. 2017/18:105 s. 113). Regleringen avseende enskilda arkiv har dock en helt annan detaljeringsgrad än det förslag som Forskningsdatautredningen har lämnat beträffande privata forskningsutförare. I propositionen Ny dataskyddslag anges att en föreskrift som tillåter att t.ex. en förening behandlar personuppgifter för arkivändamål av allmänt intresse i sig innebär att föreningen erkänns ha befogenhet att bedriva arkivverksamhet av allmänt intresse. Det anges vidare att regeringen har för avsikt att delegera föreskriftsrätten i dataskyddslagen till Riksarkivet, eftersom det är den myndighet som har bäst förutsättningar att bedöma vilka kriterier som ska vara uppfyllda för att en arkivverksamhet ska anses vara av allmänt intresse i dataskyddsförordningens mening. Riksarkivet bör enligt regeringen dock ha en skyldighet att höra Datainspektionen innan föreskrifter meddelas. Vidare bör Riksarkivet vid behov inhämta synpunkter från den enskilda arkivsektorn i allmänhet och de berörda personuppgiftsansvariga i synnerhet. Med anledning av Riksarkivets önskemål om förtydligande av vad föreskrifterna i praktiken ska reglera har regeringen angett att föreskrifterna skulle kunna innehålla generella bestämmelser som bör gälla för all arkivverksamhet av allmänt intresse som inte omfattas av arkivlagstiftningen, i linje med vad som anges i skäl 158, samt att de berörda personuppgiftsansvariga skulle kunna anges i en bilaga till föreskrifterna, med angivande av den verksamhet som bedöms vara av allmänt intresse. I förekommande fall kan begränsningar avseende de generella bestämmelserna eller särskilda villkor för tillämpningen anges. I propositionen anges vidare att det är tänkbart att det kan uppstå enstaka situationer där föreskriftsformen inte är lämplig, men där det ändå finns skäl att tillåta behandling av personuppgifter för arkivändamål av allmänt intresse. Det har därför införts bestämmelser i dataskyddslagen som innebär dels att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse, dels att den myndighet som regeringen bestämmer även i enskilda fall får besluta att sådana personuppgiftsansvariga får behandla personuppgifter för arkivändamål av allmänt intresse. Ett sådant beslut får förenas med villkor (2 kap. 3 § dataskyddslagen). Regeringen konstaterar vidare att en översyn av arkivväsendet inletts. En särskild utredare har fått i uppdrag att bl.a. analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet. Utredaren ska även utreda om de enskilda arkivens hantering av personuppgifter kräver ytterligare författningsstöd samt analysera Riksarkivets och övriga arkivmyndigheters roll och uppgifter i relation till de enskilda arkiven och vid behov lämna förslag på hur dessa kan förändras (dir. 2017:106). Regeringen framhåller därför i propositionen Ny dataskyddslag att den ordning som föreslås i det lagstiftningsärendet avseende enskildas behandling av personuppgifter för arkivändamål av allmänt intresse kan komma att bli en övergångslösning. För att uppgiften att forska ska anses fastställd för privata forskningsutförare på motsvarande sätt som för enskilda arkiv krävs alltså att det på något av de sätt som anges i 2 kap. 2 § dataskyddslagen, dvs. i lag eller annan författning, i kollektivavtal eller i beslut som har meddelats med stöd av lag eller annan författning, fastställs vilka privata forskningsutförare som har i uppgift att forska. Först då kan de utföra sådan personuppgiftsbehandling som är nödvändig för den i den nationella rätten fastställda forskningsuppgiften med stöd av artikel 6.1 e i dataskyddsförordningen. Vid en jämförelse mellan den detaljerade reglering som föreslås för enskilda arkiv och den reglering som Forskningsdatautredningen föreslår för bl.a. privata forskningsutförare anser regeringen att Forskningsdatautredningens förslag inte uppfyller de krav som anges i EU-förordningen för att det ska vara fråga om en i nationell rätt fastställd uppgift. Vid överväganden om privata forskningsutförares forskningsuppgift ska fastställas i t.ex. föreskrifter eller beslut anser regeringen vidare att hänsyn måste tas till att även privat finansierad forskning måste omfattas av forskningens frihet. Regeringen anser vidare att en uppdelning i "forskning" och "forskning av allmänt intresse" är olycklig utifrån principerna om forskningens frihet och att en sådan uppdelning skapar en mängd frågor. Som nämnts i avsnitt 7.1.2 är enligt regeringen presumtionen att forskning är av allmänt intresse. Detta är centralt utifrån principerna om forskningens frihet. En presumtion kan dock brytas. De fall då staten har ansett sig behöva reglera forskning är då frågan uppstår om forskningen är etiskt försvarbar eller inte. Det är en fråga som har ansetts vara så viktigt att den både är föremål för internationella överenskommelser och lagstiftning. Enligt gällande rätt får vissa typer av forskning som avser människor inte utföras om tillstånd inte har meddelats enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Detta gäller bl.a. om forskningen innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. (se vidare avsnitt 10 och 11) och oavsett om forskningsutföraren är en statlig myndighet eller en fysisk eller juridisk person (3 och 6 §§ etikprövningslagen). Av sista stycket i 6 § etikprövningslagen framgår även att ett godkännande enligt den lagen inte medför att forskningen får utföras om den strider mot någon annan författning. Det kan alltså vara så att det för ett forskningsprojekt inte alltid är tillräckligt med ett beslut om godkännande enligt etikprövningslagen utan det kan även krävas tillstånd av myndigheter enligt andra författningar, exempelvis krävs tillstånd av Läkemedelsverket vid kliniska läkemedelsprövningar. I förarbetena till etikprövningslagen har regeringen som utgångspunkt för den prövning som ska ske vid en etikprövning av forskning bl.a. angivit att som ett allmänt krav på forskning där människor ska ingå, bör gälla att forskningen ska kunna innebära teoretisk och/eller praktisk nytta för samhället och mänskligheten i stort, se propositionen Etikprövning av forskning (prop. 2002/03:50 s. 98.). I etikprövningslagen anges bl.a. att mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid etikprövningen samtidigt som hänsyn skall tas till intresset av att ny kunskap kan utvecklas genom forskning samt att människors välfärd ska ges företräde framför samhällets och vetenskapens behov (8 §). I 9 § anges att forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Ett beslut om godkännande av ett forskningsprojekt enligt etikprövningslagen innebär således att forskningen bedömts kunna vara till nytta för samhället. Ett forskningsprojekt som godkänts enligt etikprövningslagen får därmed anses vara en uppgift av allmänt intresse. Till skillnad från Datainspektionen, Lunds universitet, Stockholms universitet och Regionala etikprövningsnämnderna i Lund, Uppsala och Umeå anser därför regeringen att ett beslut enligt etikprövningslagen och eventuellt andra tillämpliga författningar ger en sådan grund för behandlingen som är fastställd i enlighet med nationell rätt enligt artikel 6.3 i dataskyddsförordningen. Enligt den artikeln ska unionsrätten eller medlemsstaternas nationella rätt uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Som nämnts tidigare får enligt 2 kap. 2 § 1 dataskyddslagen personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Detta innebär att en privat forskningsutförare som avser att bedriva forskning som kräver tillstånd av en eller flera myndigheter och som har fått de tillstånd som krävs för ett forskningsprojekt kan åberopa den rättsliga grunden uppgift av allmänt intresse för den personuppgiftsbehandling som är nödvändig för projektet. Detta gäller på motsvarande sätt även för offentliga forskningsutförare, men som redovisats ovan har dessa i regel möjlighet att åberopa den rättsliga grunden uppgift av allmänt intresse mot bakgrund av en i nationell rätt fastställd uppgift att forska. Som framgått av avsnitt 7.1.2 kan en behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Enligt regeringen innebär detta att forskning som inte innefattar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser m.m. kan baseras på en mer allmänt hållen rättslig grund, t.ex. den rättsliga grund som anges i högskolelagen. Flera remissinstanser påtalar med anledning av bedömningarna i det remitterade utkastet till lagrådsremiss att de ställt sig positiva till utredningens förslag och framhåller vikten av att även privata forskningsutförare kan använda den rättsliga grunden uppgift av allmänt intresse liksom att samarbete mellan olika forskningsaktörer kan hämmas om de inte kan använda samma rättsliga grund. Regeringen anser också att det vore en fördel om även privata forskningsutförare skulle kunna åberopa den rättsliga grunden utförande av en allmän uppgift i de fall det är fråga om behandling av andra personuppgifter än känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Det skulle dock beträffande andra privata forskningsutförare än Chalmers och Högskolan i Jönköping (se nedan) kräva en omfattande reglering av privata forskningsutförare som det för närvarande saknas beredningsunderlag för. Privata forskningsutförare har vidare, som framgått av avsnitt 7.2.1, stora möjligheter att bedriva forskning med samtycke. De har även stora möjligheter att bedriva forskning efter en intresseavvägning, vilket utvecklas i nästa avsnitt. Regeringen delar därför Forskningsrådets för hälsa, arbetsliv och välfärd (Forte) uppfattning att förslagen i propositionen väl tillgodoser forskningens intressen av att kunna använda personuppgifter, och att den typ av forskning som Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver. Regeringen bedömer att detsamma gäller även annan forskning än sådan som Forte ger bidrag till. När det gäller Chalmers Tekniska Högskola och även Högskolan i Jönköping kan konstateras att dessa tidigare var statliga högskolor. De drivs dock numera i stiftelseform. I propositionen om högskolor i stiftelseform - mångfald för kvalitet (prop. 1992/93:231) föreslog regeringen att dessa två statliga högskolor skulle överföras i stiftelseform. Regeringen föreslog att riksdagen skulle bemyndiga regeringen att genomföra en sådan överföring och tillskjuta nödvändigt kapital. Det föreslogs att ombildningen skulle gå till så att en stiftelse skulle bildas för var och en av högskolorna. Stiftelsen skulle bli huvudman för den förändrade högskolan och ytterst ansvarig för dess verksamhet. Med respektive stiftelse som ensam ägare skulle dessutom inrättas dels ett högskolebolag i vilket verksamheten vid högskolan skulle bedrivas, dels ett fastighetsbolag för förvaltning av högskolans fastigheter. I stiftelseförordnandet skulle ändamålet med stiftelsen anges och ett led i det var därvid att stiftelsen såsom ensam ägare till det särskilda högskolebolaget skulle verka för att det vid högskolan i fråga bedrivs utbildning och forskning på en hög internationell nivå. Riksdagen godkände förslaget och godkände därvid också principer som angavs i propositionen för ett ramavtal som skulle träffas mellan staten och respektive stiftelse och högskolebolag för att reglera de långsiktiga relationerna mellan parterna (prop. 1992/93:231, bet. 1992/93:UbU18, rskr. 1992/93:405). I september 1993 beslutade regeringen därefter att överföra Chalmers Tekniska Högskola och Högskolan i Jönköping till stiftelseform. När stiftelser och högskolebolag bildats träffades sådana ramavtal om ombildning avseende Chalmers Tekniska högskola och Högskolan i Jönköping den 1 juli 1994. Som bilaga till dessa avtal finns ett långsiktigt ramavtal mellan parterna om utbildning och forskning med en underbilaga där statens utbildnings- och forskningsuppdrag till respektive högskola närmare preciseras. I underavtalet anges den ersättning staten ska betala högskolan för den utbildning och forskning som högskolan ska bedriva. Underavtalen om utbildnings- och forskningsuppdrag sluts för de planeringsperioder som gäller för de statliga universiteten och högskolorna. Det förnyas årligen efter godkännande av regeringen. De två stiftelsehögskolorna ska också genom en reglering i offentlighets- och sekretesslagen (2009:400), förkortad OSL, tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av handlingar hos myndighet och stiftelserna ska också vid tillämpningen av OSL jämställas med myndigheter (2 kap. 4 § OSL och bilagan till lagen). I propositionen Ny dataskyddslag framhåller regeringen att gemensamt för de privata organ som enligt OSL omfattas av offentlighetsprincipen är att de antingen anförtrotts förvaltningsuppgifter som rör myndighetsutövning eller att organets verksamhet helt eller delvis finansieras med allmänna medel och att detta enligt regeringens mening innebär att t.ex. Stiftelsen Svenska Filminstitutet och andra organ, vars handlingar omfattas av handlingsoffentlighet, i motsvarande utsträckning måste anses utföra uppgifter av allmänt intresse i den mening som avses i dataskyddsförordningen (prop. 2017/18:105 s. 59). Detta gäller enligt regeringens uppfattning även för Chalmers Tekniska Högskola och Högskolan i Jönköping. De beslut om godkännande av avtalen varigenom statens utbildnings- och forskningsuppdrag till Chalmers Tekniska Högskola och Högskolan i Jönköping preciseras har fattats av regeringen efter bemyndigande av riksdagen med stöd i regeringsformen. Enligt regeringens uppfattning utgör därmed Chalmers Tekniska Högskolas och Högskolans i Jönköping forskningsverksamhet en uppgift av allmänt intresse som är fastställd i enlighet med nationell rätt. 7.2.3 Intresseavvägning Regeringens bedömning: Offentliga forskningsutförare kan inte tilllämpa den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen som grund för sin personuppgiftsbehandling. Privaträttsliga forskningsutförare kan tillämpa intresseavvägning som grund för nödvändig personuppgiftsbehandling i forskningen. Det ska i varje enskilt fall göras en avvägning mellan den personuppgifts-ansvariges eller en tredje mans berättigade intresse av att utföra personuppgiftsbehandlingen och den registrerades intressen och grundläggande rättigheter och friheter. Utredningens bedömning överensstämmer i sak med regeringens bedömning. Utredningen redogjorde i text för sina bedömningar när det gäller offentligrättsliga respektive privaträttsliga forskningsutförares möjlighet att åberopa den rättsliga grunden intresseavvägning men formulerade inte detta i en särskild bedömningsruta. Remissinstanserna: Ingen remissinstans yttrar sig särskilt om den rättsliga grunden intresseavvägning. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans yttrar sig särskilt om den rättsliga grunden intresseavvägning. Skälen för regeringens bedömning Offentligrättsliga forskningsutförare Som nämnts gäller enligt artikel 6.1 andra stycket i dataskyddsförordningen inte den rättsliga grunden intresseavvägning för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta motiveras i skäl 47 med att då det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter bör denna rättsliga grund inte gälla för den behandling som de utför som ett led i fullgörandet av dessa uppgifter. När det i bestämmelsen talas om att den inte ska gälla när offentliga myndigheter fullgör sina uppgifter gäller det enligt regeringens uppfattning vid fullgörandet av alla uppgifter en myndighet har, såväl sådana som innefattar myndighetsutövning som övriga uppgifter av t.ex. mer förvaltningskaraktär. Den rättsliga grunden intresseavvägning är alltså inte tillämplig när offentligrättsliga forskningsutförare fullgör en uppgift att bedriva forskning. Privaträttsliga forskningsutförare Till skillnad från vad som gäller för de offentligrättsliga forskningsutförarna är det möjligt för privaträttsliga forskningsutförare att stödja sin personuppgiftsbehandling på den rättsliga grunden intresseavvägning. Som nämnts tidigare har Artikel 29-gruppen, när det gäller dataskyddsdirektivet, uttalat att intresset måste vara tillräckligt tydligt angett för att kunna vägas mot den registrerades intressen och grundläggande rättigheter. Intressets art kan variera. Vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Bland de vanligaste sammanhang där frågan om berättigat intresse i den mening som avses i artikel 7 i dataskyddsdirektivet kan uppstå nämner Artikel 29-gruppen behandling för historiska, vetenskapliga eller statistiska ändamål och behandling för forskningsändamål (Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG). Eftersom artikel 6.1 f i dataskyddsförordningen motsvarar artikel 7 f i dataskyddsdirektivet bör vägledning kunna sökas i detta yttrande även när det gäller tillämpningen av artikel 6.1 f. Som nämnts i föregående avsnitt bedömer också regeringen att presumtionen är att forskning är en uppgift av allmänt intresse och att presumtionen därmed är att det är fråga om ett berättigat intresse. I föregående avsnitt gör regeringen bedömningen att en privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt, om det krävs tillstånd för forskningsprojektet av en eller flera myndigheter och forskningsutföraren har fått de tillstånd som krävs, och att den rättsliga grunden uppgift av allmänt intresse är tillämplig i ett sådant fall. Det är således bara när det är fråga om forskningsprojekt som inte involverar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser m.m. som en privat forskningsutförare behöver åberopa andra rättsliga grunder, t.ex. samtycke eller intresseavvägning. Då presumtionen är att forskning är ett berättigat intresse bedömer regeringen att det finns stora möjligheter att behandla personuppgifter för forskningsändamål efter en intresseavvägning, särskilt då en sådan avvägning normalt bara blir aktuell för mindre känsliga uppgifter. En presumtion kan dock brytas och omständigheterna i ett enskilt fall kan vara sådana att en intresseavvägning enligt 6.1 f inte utfaller till den planerade forskningens förmån. 7.3 Det behövs inte någon upplysningsbestämmelse i nationell rätt om artikel 6.1 Regeringens bedömning: Det behövs inte någon bestämmelse i nationell rätt som upplyser om att personuppgifter bara får behandlas om minst ett av de villkor som anges i artikel 6.1 är uppfyllt. Utredningens bedömning överensstämmer inte med regeringens bedömning. Utredningen har föreslagit att en ny lag, forskningsdatalagen, ska innehålla en bestämmelse som upplyser om att det av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllt. Remissinstanserna: Majoriteten av remissinstanserna har tillstyrkt eller inte haft något att invända mot förslaget. Uppsala universitet anför att hänvisningen till artikel 6.1, där villkoren för att personuppgiftsbehandling ska vara laglig anges, ger intrycket av att det finns annan personuppgiftsbehandling för forskningsändamål än de som omfattas av artikel 6.1. Avsikten förefaller dock enligt universitetet inte vara att avgränsa personuppgiftbehandlingen för forskningsändamål enligt 6.1 i förhållande till annan behandling, på en annan rättslig grund, utan avgränsningen synes istället ligga i begreppet "för forskningsändamål", sådan behandling som omfattas av undantagen i artikel 89 dataskyddsförordningen. Hänvisningen till artikel 6.1 verkar därför enligt universitetet vara överflödig och bör utgå. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans yttrar sig särskilt om bedömningen. Skälen för regeringens bedömning: Utredningen har föreslagit att en ny lag, forskningsdatalagen, bl.a. ska innehålla en bestämmelse som upplyser om att det av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt. Utredningen har ansett att en sådan inledande upplysningsbestämmelse behövs för förståelsen av den av utredningen föreslagna bestämmelsen om att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare (6 § förslaget till forskningsdatalag). Som närmare har utvecklats i avsnitt 7.2.2 anser regeringen att den av utredningen föreslagna 6 § inte bör genomföras. Något behov av en upplysningsbestämmelse för förståelse av en sådan bestämmelse om fastställande av den rättsliga grunden finns då inte heller. En sådan bestämmelse bör därför inte införas. 8 Principer som måste följas vid behandling av personuppgifter för forskningsändamål 8.1 Grundläggande principer för personuppgiftsbehandling Förutom att minst en rättslig grund måste vara tillämplig för att en behandling av personuppgifter ska vara laglig, finns det ett antal principer som ska tillämpas vid all behandling av personuppgifter. Dessa principer är i stort sett desamma enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna efterlevs. Principerna framgår av artikel 5 i dataskyddsförordningen. Dessa principer innebär för det första att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet, artikel 5.1 a). Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska emellertid inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning, artikel 5.1 b). Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering, artikel 5.1 c). Uppgifterna ska dessutom vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet, artikel 5.1 d). Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering, artikel 5.1 e). Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet, artikel 5.1 f). När det gäller behandling som avser särskilda kategorier av personuppgifter (känsliga personuppgifter) eller personuppgifter som rör lagöverträdelser anges ytterligare villkor i artiklarna 9 och 10. Detta utvecklas närmare avsnitt 10 och 11. 8.2 När och hur kan redan insamlade uppgifter behandlas ytterligare för forskningsändamål? Det är vanligt att personuppgifter som behandlas för forskningsändamål ursprungligen har samlats in för ett annat ändamål än forskning. Huvudregeln är som nämnts att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5.1 b i dataskyddsförordningen, forskningsundantaget). I artikel 89.1 anges att behandling för bl.a. vetenskapliga eller historiska forskningsändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering (se vidare avsnitt 9), under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Bestämmelserna i artikel 5.1 b och artikel 89.1 hade en motsvarighet i artikel 6.1 b och c i dataskyddsdirektivet och 9 § första stycket c-f och andra stycket PUL, även om bestämmelserna i artikel 89.1 är lite mer detaljerade. I dataskyddsförordningen används begreppet "ytterligare behandling", i stället för begreppet "vidarebehandling" som ofta använts i sammanhanget. Ytterligare behandling av personuppgifter för forskningsändamål är alltså särskilt gynnad såväl i dataskyddsförordningen som enligt dataskyddsdirektivet och PUL. Tidigare gällde emellertid att även om det nya ändamålet var förenligt med det ursprungliga måste den nya behandlingen alltid vara tillåten enligt någon av de rättsliga grunderna i 10 § PUL. Av dataskyddsförordningen framgår däremot att det inte krävs någon ny rättslig grund för tillåten ytterligare behandling av personuppgifter av samma personuppgiftsansvarig. I skäl 50 till förordningen förtydligas detta på så sätt att det anges att behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast bör vara tillåten när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in samt att det i dessa fall inte krävs någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra bl.a. en uppgift av allmänt intresse kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för bl.a. vetenskapliga eller historiska forskningsändamål bör betraktas som förenlig och laglig behandling av uppgifter. Dataskyddsförordningens bestämmelser innebär alltså att en personuppgiftsansvarig får utföra ytterligare behandling av personuppgifter för forskningsändamål utan att någon ny rättslig grund måste åberopas. Det räcker att den ursprungliga insamlingen utfördes med åberopande av en rättslig grund enligt artikel 6.1. Detta innebär att en forskningsutförare får behandla personuppgifter som denne redan samlat in vid ett tillfälle och för ett visst ändamål för ytterligare forskningsändamål utan krav på ny rättslig grund. När uppgifter samlats in för forskningsändamål med stöd av den rättsliga grunden samtycke har dock även omfattningen av det samtycke den registrerade har lämnat betydelse för att avgöra vilken ytterligare behandling som kan vara möjlig. Även i samband med utlämnande av personuppgifter till annan personuppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen, dvs. utlämnandet, att anse som förenlig med ändamålet för den ursprungliga behandlingen. Att ta emot personuppgifter utgör däremot inte en ytterligare behandling utan en insamling av personuppgifter. Den personuppgiftsansvarige som tar emot uppgifterna måste således, för att insamlingen av personuppgifter ska vara laglig, ha en rättslig grund för sin behandling för forskningsändamål. Detta innebär att forskningsutförare som samlar in personuppgifter för forskningsändamål alltid, oavsett för vilka ändamål uppgifterna tidigare har behandlats av andra personuppgiftsansvariga, måste kunna åberopa en rättslig grund enligt artikel 6.1 för sin behandling. Vinnova och IFAU anser att möjligheten att ytterligare behandla personuppgifter som inhämtats med samtycke bör regleras. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna. Förordningen ger inte något utrymme för att i nationell rätt reglera ytterligare behandling av personuppgifter som samlats in med samtycke. Det är därför inte möjligt att särskilt reglera denna fråga. Vid ytterligare behandling av personuppgifter för forskningsändamål måste de allmänna principerna enligt artikel 5.1 också alltid följas för att behandlingen ska vara tillåten. Om det är aktuellt att behandla känsliga personuppgifter eller personuppgifter om lagöverträdelser måste de särskilda krav som förordningen ställer avseende sådan behandling alltid vara uppfyllda (se avsnitt 10 och 11). Vid all behandling av personuppgifter för forskningsändamål aktualiseras också artikel 89, där villkoren avseende lämpliga skyddsåtgärder för behandlingen i artikel 89.1 är särskilt centrala i sammanhanget. Detta behandlas i avsnitt 9. 9 Det behövs kompletterande nationella bestämmelser om skyddsåtgärder som ska gälla vid all behandling av personuppgifter för forskningsändamål 9.1 Vilka krav på skyddsåtgärder ställs i dataskyddsförordningen? Bestämmelser som uttryckligen föreskriver vissa åtgärder till skydd för den registrerade i samband med personuppgiftsbehandling för forskningsändamål har tidigare införts i svensk rätt med stöd av dataskyddsdirektivet. Vid en jämförelse ställer dataskyddsförordningen mer detaljerade krav på vilka åtgärder som ska beaktas och hur riskbedömningen ska göras. Utöver detta ställer dataskyddsförordningen specifika krav på skyddsåtgärder för all personuppgiftsbehandling för forskningsändamål. Dessa krav har inte haft någon direkt motsvarighet i dataskyddsdirektivet eller PUL. En av dataskyddsförordningens grundläggande principer för personuppgiftsbehandling, principen om integritet och konfidentialitet, anger att den personuppgiftsansvarige ansvarar för att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder (artikel 5.1 f). Till den allmänna regleringen hör även skyldigheter för den personuppgiftsansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna säkerställa och visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24). Artikel 25 (inbyggt dataskydd och dataskydd som standard) ålägger den personuppgiftsansvarige bl.a. att integrera nödvändiga skyddsåtgärder i behandlingen. Av artikel 32, som innehåller krav på den personuppgiftsansvarige och personuppgiftsbiträdet, framgår att dessa ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i samband med personuppgiftsbehandlingen. Artikeln anger särskilt ett antal åtgärder och utgångspunkter för bedömningen av lämplig säkerhetsnivå. Godkända uppförandekoder eller godkända certifieringsmekanismer kan enligt artiklarna 24 och 32 användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter. På motsvarande sätt kan enligt artikel 25 godkända certifieringsmekanismer användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter. På en mer specifik nivå ställer dataskyddsförordningen krav på att all personuppgiftsbehandling för forskningsändamål ska omfattas av lämpliga skyddsåtgärder. Dessa åtgärder ska skydda den registrerades rättigheter och friheter, särskilt principen om uppgiftsminimering (artikel 89.1). Dataskyddsförordningen anger i sammanhanget även att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för forskningsändamål (skäl 156). Begreppen skyddsåtgärder respektive tekniska och organisatoriska åtgärder är vanligt förekommande i dataskyddsförordningen, såväl bland skälen som bland artiklarna. Varianter, såsom "åtgärder för att säkerställa", "tekniska och organisatoriska skyddsåtgärder" eller "tekniska och organisatoriska säkerhetsåtgärder" förekommer också, men mer sällan. Varken "skyddsåtgärder" eller "tekniska och organisatoriska åtgärder" definieras närmare i dataskyddsförordningen. Vad ska skyddas? Ofta anges vad själva skyddsintresset är, dvs vad åtgärderna är avsedda att skydda, i anslutning till kravet på skyddsåtgärd. Exempelvis anger artikel 10 i dataskyddsförordningen att skyddsåtgärderna ska vara ägnade att bevaka de registrerades rättigheter och friheter, medan artikel 35 talar om skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av själva personuppgifterna. I skäl 42 nämns, i samband med inhämtande av samtycke, skyddsåtgärder som säkerställer att de registrerade förstår att samtycke ges. Det vanligaste skyddsintresset torde dock vara just den registrerades rättigheter och friheter så som de framgår av dataskyddsförordningen. Av artikel 89.1, som är central vid all personuppgiftsbehandling för forskningsändamål, framgår att lämpliga skyddsåtgärder ska skydda den registrerades rättigheter och friheter, särskilt avseende principen om uppgiftsminimering (artikel 5.1 c). Vilka exempel på skyddsåtgärder anges i dataskyddsförordningen? Dataskyddsförordningen anger sällan att vissa specifika skyddsåtgärder ska vidtas. I några sammanhang används termerna "skyddsåtgärder", "tekniska och organisatoriska åtgärder" eller liknande tillsammans med en exemplifierande uppräkning. För behandling av känsliga personuppgifter för bl.a. hälso- och sjukvårdsändamål anges tystnadsplikt uttryckligen som en skyddsåtgärd (artikel 9.2 h och 9.3). I samband med fastställande av om behandling för andra ändamål är förenlig med ursprungsändamålet anges att förekomster av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering, ska beaktas (artikel 6.4 e). Förordningen lyfter i flera fall särskilt fram pseudonymisering som en skyddsåtgärd. I artikel 32 anges att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och anger bl.a. pseudonymisering och kryptering som sådana slags åtgärder i de fall det är lämpligt. Av artikel 89.1 framgår att lämpliga skyddsåtgärder får inbegripa pseudonymisering under förutsättning att forskningsändamålet kan uppfyllas på det sättet. Även skäl 28, 29 och 156 lyfter fram pseudonymisering som exempel på skyddsåtgärd. I skäl 78 anges ett antal övriga skyddsåtgärder som främst är organisatoriska till sin natur. Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbehandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Utöver sådana skyddsåtgärder som nämns direkt i förordningen finns i svensk rätt andra former av skyddsåtgärder, exempelvis sökbegränsningar och sekretessbestämmelser. Vad innebär pseudonymisering? Som nämnts ovan återkommer pseudonymisering på flera ställen i data-skyddsförordningen som exempel på en skyddsåtgärd. I artikel 4.5 definieras pseudonymisering enligt följande: Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. För att en åtgärd ska utgöra pseudonymisering krävs alltså kompletterande uppgifter som förvaras separat. Dataskyddsförordningens definition anger dock inte hur pseudonymisering ska utformas. Detta kan göras på i huvudsak två sätt, antingen baserat på identifierande uppgifter eller utifrån helt fristående värden i form av ett kodnyckelförfarande. I många fall, särskilt vid forskningsstudier som pågår under många år där det finns ett behov av att komplettera uppgifterna vid senare tillfällen, är det önskvärt att pseudonymen kan härledas från de ursprungliga uppgifterna. Ett enkelt exempel kan vara att skapa en pseudonym från ett personnummer genom att med en s.k. säker hashfunktion beräkna en hashsumma på personnumret. En säker (eller kryptografisk) hashfunktion är en algoritm som används för att deterministiskt transformera godtyckligt invärde till ett utvärde (hashsumma) på så sätt att det är mycket svårt att finna vilket invärde som gett upphov till hashsumman. Från hashsumman kan man inte direkt återskapa personnumret, men när man behöver tillföra nya personnummersatta data till det pseudonymiserade datasetet är det lätt att återupprepa pseudonymiseringsprocessen och erhålla samma pseudonymer från samma personuppgifter, under förutsättning att personnumret inte ändrats för en enskild individ. Kodnyckelförfaranden är en form av pseudonymisering där det inte finns något samband mellan de identifierande uppgifterna och pseudonymen. I stället väljs varje pseudonym som ett slumpvärde eller liknande. Kopplingen mellan de identifierande uppgifterna och pseudonymen sparas i en förteckning (kodnyckel). För att översätta mellan identifierande uppgifter och pseudonymer behövs denna kodnyckel. Ett dataset där sådan kodning har tillämpats kommer att utgöra personuppgifter. Kodnyckelförfaranden kräver att en betrodd part hanterar den kodnyckel som kopplar samman de tilldelade pseudonymerna till de direkt identifierande uppgifterna. Vid exempelvis forskningsstudier som pågår under lång tid kan det medföra svårigheter att bevara kodnycklar på så sätt att nya uppgifter från primärkällor kan tillföras forskningsdatan med bibehållande av samma pseudonymer. Skillnaden mellan pseudonymer baserade på identifierande uppgifter och pseudonymer i form av kodnycklar kan beskrivas så att i det första fallet utgörs kopplingen av en funktion (algoritm), i det andra fallet av en förteckning (kodnyckel). Funktionen är inte hemlig, men förteckningen måste vara det. 9.2 Skyddsåtgärder bör föreskrivas i svensk rätt Regeringens bedömning: Bestämmelser om skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål kan och bör ges i författningsform. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga synpunkter på bedömningen. Skälen för regeringens bedömning: Dataskyddsförordningens krav på lämpliga skyddsåtgärder för personuppgiftsbehandling för forskningsändamål i artikel 89.1 är direkt tillämpliga. Utifrån dessa krav är det dock inte självklart att lämpliga skyddsåtgärder ska föreskrivas i nationell rätt. Av skäl 156 framgår dock att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för bl.a. forskningsändamål. Alternativ till författningsreglering av skyddsåtgärder kan vara att bemyndiga en tillsynsmyndighet att utfärda föreskrifter eller i enskilda fall fatta beslut om villkor. Även självreglering i form av uppförandekoder, enligt artikel 40, kan vara ett sätt att se till att lämpliga skyddsåtgärder vidtas. En författningsreglering kan dock ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vidtas i sådana situationer där det bedöms särskilt viktigt. Det är i sammanhanget värt att understryka att vid all personuppgiftsbehandling för forskningsändamål kräver dataskyddsförordningen att behandlingen omfattas av lämpliga skyddsåtgärder. Det är den personuppgiftsansvariges ansvar att se till att sådana lämpliga skyddsåtgärder föreligger. Det är därför inte tillräckligt att endast tillämpa bestämmelser i nationell rätt utan att samtidigt ta ställning till om kraven i förordningen är uppfyllda vid varje enskild behandling. Med beaktande av dataskyddsförordningens möjligheter att i nationell rätt reglera skyddsåtgärder när personuppgifter behandlas för forskningsändamål är det regeringens bedömning att viss sådan reglering ska införas i författningsform. Frågan om vilken reglering som ska införas avseende all behandling av personuppgifter för forskningsändamål behandlas i avsnitt 9.3-9.7. Frågor om skyddsåtgärder som särskilt tar sikte på behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser för forskningsändamål behandlas i avsnitt 10 och 11. 9.3 Uppgifter ska inte få användas för att vidta åtgärder i fråga om den registrerade Regeringens förslag: Personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Något undantag för myndigheters användning av personuppgifter i allmänna handlingar ska inte gälla. Utredningens förslag överensstämmer delvis med regeringens förslag. Utredningen föreslår att personuppgifter som behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta ska dock inte gälla för en myndighets användning av personuppgifter i allmänna handlingar. Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal landsting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län anser att förslaget är lämpligt. Brottsförebyggande rådet (Brå) anser att formuleringen är svårläst. Svårigheterna gäller främst att förstå hur sista meningen ska tolkas i förhållande till föregående mening och alltså vad ordet "detta" syftar på. Brå anser att det är lämpligare att använda samma konstruktion som den man använder i förslaget till dataskyddslag. Sveriges lantbruksuniversitet (SLU), som påpekar att de insamlade uppgifterna vid ett lärosäte som regel är allmänna handlingar, undrar vad ordet "detta" i den andra mening syftar på. Menas att personuppgifter från allmänna handlingar inte alls får användas för att vidta åtgärder i fråga om den registrerade, ens om det finns vitala intressen, eller är avsikten med formuleringen någon annan? Vetenskapsrådet anser att sista meningen i den föreslagna bestämmelsen, om myndigheters användning av uppgifter i allmänna handlingar, inte behövs eftersom den föreslagna lagen endast ska gälla när personuppgifter behandlas för forskningsändamål. Utredningens förslag ska motsvara bestämmelsen i PUL. Bakgrunden till regleringen i PUL om undantaget för myndigheters användning av uppgifter i allmänna handlingar torde vara behovet av information för rättskipningen och förvaltningen dvs. möjligheten att använda uppgifterna för andra ändamål än forskning. Det är enligt Vetenskapsrådet uppfattning också olämpligt att ha kvar sista meningen i den föreslagna bestämmelsen. Detta eftersom en konsekvens som uppmärksammats av samma skrivning i PUL är att den ger forskare vid myndigheter formell möjlighet att utan hinder av användningsbegränsningen i PUL använda personuppgifter i forskningsmaterial som utgör allmänna handlingar för att vidta åtgärder i fråga om de registrerade. Datainspektionen kan inte tillstyrka förslaget i den föreslagna forskningsdatalagen, eftersom utredningen inte gjort en egen bedömning utan endast utgått från en bedömning som gjorts långt tidigare. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Samtliga remissinstanser som yttrat sig tillstyrker eller har inga synpunkter på förslaget. Sveriges Kommuner och Landsting (SKL) framför särskilt att SKL delar uppfattningen att det finns vissa undantagssituationer på exempelvis hälso- och sjukvårdens område då uppgifter som annars bara behandlas för forskningsändamål måste kunna användas även för att vidta sådana åtgärder, t.ex. då forskningspersonens liv eller egna vitala intressen står på spel. Skälen för regeringens förslag Användningsbegränsning är en befintlig skyddsåtgärd vid behandling av personuppgifter för forskningsändamål I PUL fanns en skyddsåtgärd i form av en bestämmelse som angav att personuppgifter som behandlades för historiska, statistiska eller vetenskapliga ändamål bara fick användas för att vidta åtgärder i fråga om den registrerade om den registrerade hade lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen (9 § fjärde stycket PUL). Denna begränsning gällde dock inte för en myndighets användning av personuppgifter i allmänna handlingar (8 § andra stycket PUL). Personuppgifter som har samlats in för forskningsändamål får inte användas för andra ändamål som är oförenliga med det ursprungliga forskningsändamålet. Denna ändamålsbegränsning framgår av såväl artikel 5.1 b i dataskyddsförordningen som tidigare av 9 § d PUL. Att behandla personuppgifter som insamlats för forskningsändamål för att vidta åtgärder beträffande de registrerade är som huvudregel att behandla personuppgifterna för ett nytt ändamål. Av förarbetena till PUL framgår att ett exempel på en situation då det finns behov av att kunna använda personuppgifter för att vidta åtgärder mot de registrerade är när personuppgifter som behandlas för forskningsändamål behöver användas för att varna de registrerade. Det kan förekomma t.ex. när en forskare, som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling. En sådan personuppgiftsbehandling har inte bedömts vara oförenlig med det ursprungliga forskningsändamålet. I vissa fall kan personuppgifter som behandlas för forskningsändamål även användas för att vidta åtgärder beträffande de registrerade för att forskningsprojektet är upplagt så att personuppgifterna ska användas för att vidta åtgärder rörande enskilda. Ett sådant projekt har dock enbart bedömts vara tillåtet om de registrerade har samtyckt till det (prop. 1997/98:44 s. 62 och 119). Mot denna bakgrund infördes bestämmelsen i PUL som angav att personuppgifter som behandlas för bl.a. forskningsändamål fick användas för att vidta åtgärder beträffande den registrerade bara om den registrerade hade lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen. Av förarbetena till PUL framgår vidare att det beträffande personuppgifter i myndigheters arkiv finns bestämmelser om lämpliga skyddsåtgärder i form av t.ex. sekretess och skydd för arkiv, varför användningsbegränsningen bedömdes inte behöva gälla för sådana personuppgifter som finns i en myndighets arkiv. Mot bakgrund av detta infördes undantaget i PUL som angav att begränsningen dock inte gällde för en myndighets användning av personuppgifter i allmänna handlingar. Detta undantag avsåg således främst personuppgifter som behandlades för arkivändamål, vilket inte helt tydligt framgick av bestämmelsens utformning (prop. 1997/98:44 s. 62 och 118). Motsvarande skyddsåtgärd vid behandling av personuppgifter för arkivändamål och statistiska ändamål föreslås i dataskyddslagen I dataskyddslagen finns bestämmelser om användningsbegräsningar som avser personuppgifter i arkiv och statistik i 4 kap. Enligt 1 § första stycket får personuppgifter som behandlas enbart för arkivändamål av allmänt intresse användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Bestämmelsen hindrar enligt andra stycket inte myndigheter från att använda personuppgifter som finns i allmänna handlingar. Vid tillämpningen av andra stycket ska vidare andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet. Enligt 2 § får personuppgifter som behandlas enbart för statistiska ändamål användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Av propositionen Ny dataskyddslag framgår att de nya bestämmelserna utformats för att det ska framgå tydligare än av PUL att användningsbegränsningen bara gäller personuppgifter som enbart behandlas för arkivändamål av allmänt intresse respektive statistiska ändamål. Det är så bestämmelsen i PUL var avsedd att tillämpas och tillägget utgör därmed inte någon utvidgning av den personuppgiftsansvariges befogenheter. I propositionen har regeringen vidare tagit ställning för att det inte finns skäl att i de nya bestämmelserna ange att uppgifter får användas med den registrerades samtycke. Om samtycke inhämtas till att en uppgift används för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen (prop. 2017/18:105 s. 119). Någon saklig skillnad mellan de nya bestämmelserna och 9 § fjärde stycket PUL är inte avsedd, varför förarbeten och praxis avseende bestämmelsen i PUL bör kunna vara vägledande även vid tillämpningen av dataskyddslagen. Ett undantag för myndigheters användning av uppgifter i allmänna handlingar gäller vid behandling av personuppgifter för arkivändamål... Som framgår ovan gäller enligt 4 kap. 1 § andra stycket dataskyddslagen att bestämmelsen i första stycket om begränsningar av möjligheten att vidta åtgärder i fråga om den registrerade med användning av personuppgifter som behandlas enbart för arkivändamål av allmänt intresse, inte ska hindra myndigheter och andra vars verksamhet omfattas av offentlighetsprincipen och sekretesslagstiftningen från att använda personuppgifter som finns i allmänna handlingar. Detta beror bl.a. på att myndigheternas arkiv enligt lag ska tillgodose behovet av information för rättsskipningen och förvaltningen m.m. Bestämmelsen innebär ingen förändring i förhållande till vad som gällt enligt PUL. ... men inte vid behandling av personuppgifter för statistiska ändamål När det gäller undantag från användningsbegränsningen av personuppgifter som enbart behandlas för statistiska ändamål har regeringen dock gjort en annan bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 125). En allmän utgångspunkt för behandling av personuppgifter för statistiska ändamål är att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person (skäl 162 i dataskyddsförordningen). Enligt regeringens mening står det klart att det finns vissa undantagssituationer då uppgifter som annars bara behandlas för statistiska ändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. I övrigt borde däremot inte heller myndigheter kunna använda uppgifterna för att vidta åtgärder i förhållande till den registrerade. Den omständigheten att uppgifterna finns i allmänna handlingar, eftersom dessa ännu inte hunnit anonymiseras eller gallras, föranleder enligt regeringen ingen annan bedömning. Myndigheter undantas därför inte från användningsbegränsningen i 4 kap. 2 § dataskyddslagen. Användningsbegränsning bör även i fortsättningen vara en skyddsåtgärd vid behandling av personuppgifter för forskningsändamål Regeringen anser att en användningsbegränsning som innebär att personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål bara får användas för att vidta åtgärder i fråga om den registrerade om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen, alltjämt utgör en väl avvägd skyddsåtgärd. I likhet med vad som föreslogs i propositionen Ny dataskyddslag anser regeringen att det inte finns skäl att i den nya bestämmelsen ange att uppgifter får användas för att vidta åtgärder i fråga om den registrerade med den registrerades samtycke. Om samtycke inhämtas till att en uppgift används för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen. Någon saklig skillnad mellan förslaget och 9 § fjärde stycket PUL är inte avsedd, varför förarbeten och praxis avseende bestämmelsen i PUL bör kunna vara vägledande även vid tillämpningen av den nya bestämmelsen. Något undantag för myndigheters användning av personuppgifter i allmänna handlingar ska inte gälla. Begränsningen i 9 § fjärde stycket PUL gällde, som framgått, inte vid myndigheters användning av uppgifter i allmänna handlingar (8 § andra stycket PUL). Undantaget motiveras i förarbetena med att det för sådana personuppgifter redan finns lämpliga skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv, bl.a. mot bakgrund av att myndigheternas arkiv enligt lag ska tillgodose behovet av information för rättsskipningen och förvaltningen m.m. Av dataskyddsförordningen framgår att om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse bör de allmänna reglerna i förordningen tillämpas på dessa åtgärder (skäl 159). Enligt regeringens mening står det klart att det finns vissa undantagssituationer då uppgifter som annars bara behandlas för forskningsändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. Dessa situationer rör i huvudsak hälso- och sjukvårdsändamål i den registrerades intresse, enligt de exempel som återgivits tidigare, och då ska alltså dataskyddsförordningen och kompletterande svensk rätt tillämpas på den personuppgiftsbehandling som sker i samband med att åtgärder vidtas mot den registrerade. Det är regeringens uppfattning att i övrigt bör inte myndigheter kunna använda sådana personuppgifter som enbart behandlas för forskningsändamål för att vidta åtgärder i förhållande till den registrerade. Den omständigheten att uppgifterna finns i allmänna handlingar föranleder ingen annan bedömning. Forskningsmaterial utgör som huvudregel allmänna handlingar vid myndigheter och det tidigare undantaget i PUL var inte heller avsett att möjliggöra för forskningsutförare som är myndigheter att fritt kunna använda personuppgifter som enbart behandlas för forskningsändamål för att vidta åtgärder mot den registrerade. Regeringen instämmer därmed i Vetenskapsrådets invändningar och anser att myndigheter inte bör undantas från den föreslagna användningsbegränsningen. Något undantag för myndigheters användning av personuppgifter i allmänna handlingar ska därför inte gälla. 9.4 Det följer direkt av dataskyddsförordningen att personuppgifter bör pseudonymiseras eller omfattas av andra lämpliga skyddsåtgärder Regeringens bedömning: Personuppgifter bör pseudonymiseras eller omfattas av andra lämpliga skyddsåtgärder när de behandlas för forskningsändamål. Detta framgår direkt av EU:s dataskyddsförordning och bör därför inte föreskrivas i svensk rätt. Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att en bestämmelse ska införas i den föreslagna forskningsdatalagen som anger att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål förutsatt att ändamålet kan uppfyllas på det viset. Remissinstanserna: Ett övervägande antal av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal landsting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län anser att de av utredningen föreslagna skyddsåtgärderna är lämpliga. Regionala etikprövningsnämnden i Uppsala välkomnar den föreslagna bestämmelsen om att personuppgifter så långt det är möjligt bör pseudonymiseras. Kungl. Vetenskapsakademien bedömer föreslaget som rimligt. Sveriges Kommuner och Landsting anser att huvudregeln bör vara att personuppgifter anonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål. Stockholms universitet tillstyrker förslaget men noterar samtidigt att uppfyllandet av detta krav kommer att kräva en infrastruktur som flertalet lärosäten inte äger i dagsläget. Universitetet anser att också kostnaden för anskaffning av sådan infrastruktur bör beaktas i analysen av de ekonomiska konsekvenserna av utredarens förslag. Kungl. Tekniska högskolan (KTH) anser att det inte tydligt framgår om detta även gäller personuppgiftsbiträdens skyldigheter. Institutet för språk och folkminnen framför att förslaget om pseudonymisering som skyddsåtgärd förefaller vara en relativt effektiv metod för att skydda personuppgifter vid forskning, eftersom tröskeln för att koppla samman en handling, innehållande forskningsuppgifter, med en specifik person höjs. Emellertid ger pseudonymiseringsåtgärder, eller övriga skyddsåtgärder enligt dataskyddslagstiftningen, inget fullgott skydd för individen. De handlingar som uppstår i samband med forskning vid myndigheter är underkastade tryckfrihetsförordningen och offentlighetsprincipen, vilken har företräde framför dataskyddslagsstiftningen. Även de nycklar/samordningsregister som är kopplade till de pseudonymiserade uppgifterna blir således allmänna handlingar. Chalmers tekniska högskola och Göteborgs universitet föreslår att begreppen och deras inbördes förhållanden tydliggörs ytterligare. En viss begreppsförvirring råder kring användandet av begreppen anonymisering, avidentifiering samt pseudonymisering. Det är viktigt för tillämpare att tydligt kunna särskilja de fall som faller utanför regelverket från de som omfattas. Det behövs även mer vägledning i att förstå begreppens innebörd rätt så att lämpliga skyddsåtgärder vidtas i samband med hantering av personuppgifter. Region Skåne och Västra Götalands läns landsting ställer sig frågade till varför pseudonymisering och kodning skulle utgöra två olika typer av åtgärder och befarar att detta kommer leda till att förvirring på området kvarstår. Statens medicinsk-etiska råd (Smer) ifrågasätter undantagsformuleringen i bestämmelsen som föreslås införas i forskningsdatalagen, i vilken det anges att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål - "förutsatt att ändamålet kan uppnås på sådant vis." Det behövs ett förtydligande av denna bestämmelse. Formuleringen är för bred och för otydlig. Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser att formuleringen"...ska vara pseudonymiserade..." är en olämplig förstärkning av dataskyddsförordningens motsvarande formulering "... får inbegripa pseudonymisering...". Karolinska institutet anser att förslaget ska revideras, genom att "ska" ändras till "får", eller att bestämmelsen helt kan utgå och påpekar att regleringen i artikel 89 i dataskyddsförordningen, där pseudonymisering nämns som en möjlig skyddsåtgärd bland andra, utgör en tillräcklig skyddsåtgärd. Uppsala universitet anser att det finns anledning att ifrågasätta om inte kravet på pseudonymisering har fått en alltför långtgående utformning. Cancerfonden vill uppmärksamma att pseudonymisering är en skyddsåtgärd bland flera, och föreslår att det förtydligas genom att ordet bör används istället för ska, dvs. "...personuppgifter bör pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål...". Kungl. Vitterhetsakademien anser att frågan bör ställas om inte en mindre långtgående anonymisering av personuppgifterna vore en bättre avvägning mellan forskningens behov och den enskildes integritet. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Kalmar läns landsting anser att det är viktigt att upprätthålla integritetsskyddet i samband med forskning, inte minst för dem som deltar i forskningsprojekt, och ställer sig positiv till utredningens förslag om att införa en bestämmelse om att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål förutsatt att ändamålet kan uppfyllas på det viset. Skälen för regeringens bedömning Det framgår av dataskyddsförordningen att pseudonymisering ofta är en lämplig skyddsåtgärd Pseudonymisering framhålls på flera ställen i dataskyddsförordningen som exempel på lämplig skyddsåtgärd. Artikel 89.1 lyfter särskilt fram pseudonymisering i samband med personuppgiftsbehandling för forskningsändamål. I praktiken är också pseudonymisering och liknande åtgärder viktiga för att skydda enskildas integritet i samband med forskning. I samband med registerforskning är det exempelvis vanligt att personuppgifter lämnas ut från registren i kodad form. Artikel 89.1 anger vidare att skyddsåtgärderna får inbegripa pseudonymisering under förutsättning att forskningsändamålet kan uppfyllas på det sättet. Annars bör alltså andra lämpliga skyddsåtgärder vidtas för att uppnå motsvarande skydd. Denna formulering öppnar för att det inte i alla situationer är möjligt att pseudonymisera om ändamålet med forskningen ska kunna uppfyllas och att det då måste finnas möjlighet att tillämpa andra lämpliga skyddsåtgärder för att uppnå förordningens krav på skydd för varje enskild personuppgiftsbehandling. Det framgår således direkt av förordningen att i de fall pseudonymisering, enligt definitionen i förordningen, inte är den lämpligaste skyddsåtgärden så ska personuppgifterna omfattas av andra lämpliga skyddsåtgärder för att uppnå dataskyddsförordningens krav. Det bör finnas en möjlighet att inte tillämpa pseudonymisering eller annan likvärdig skyddsåtgärd Den legaldefinition av pseudonymisering som finns i dataskyddsförordningen är strikt och ställer framför allt krav på att uppgifterna inte ska kunna tillskrivas en specifik registrerad utan att kompletterande uppgifter (som en kodnyckel) används. Detta kräver att all information som direkt kan identifiera en person ersätts med pseudonymer. Utöver detta krävs även att annan information som kan användas för att indirekt identifiera personen behandlas så att detta inte längre är möjligt. Sådan behandling kan medföra att uppgifterna blir mindre lämpade för det aktuella forskningsändamålet. Sett till syftet med pseudonymisering bör det därför vara möjligt att använda alternativa skyddsåtgärder, som uppfyller samma syfte, och därmed ger ett likvärdigt eller bättre skydd. Det kan förekomma forskningsmetoder där identifierande uppgifter såsom personnummer måste bevaras eller behandlas i själva forskningsverksamheten. Forskningsmetoden kan utgöra det minst ingripande sättet att uppnå det förväntade resultatet, och forskningens vetenskapliga värde kan väga upp risken för den enskildes personliga integritet. Det bör därför finnas en möjlighet att inte tillämpa pseudonymisering eller annan likvärdig åtgärd, om forskningsändamålet annars inte kan uppnås. Av dataskyddsförordningen framgår också att tillämpningen av pseudonymisering kan minska riskerna för de registrerade och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i förordningen är dock inte avsett att utesluta andra åtgärder för dataskydd (skäl 28). Det är i första hand den personuppgiftsansvarige som bedömer om forskningsändamålen kan uppfyllas när pseudonymisering eller liknande skyddsåtgärder tillämpas. I samband med personuppgiftsbehandling för forskningsändamål som etikprövas kan etikprövningsnämnder meddela villkor, bland annat om pseudonymisering. Det är dock alltid den som behandlar personuppgifterna, dvs. den personuppgiftsansvarige eller personuppgiftsbiträdet, som ytterst ansvarar för att varje enskild personuppgiftsbehandling omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningens krav. Krav på pseudonymisering eller ett likvärdigt skydd bör inte föreskrivas som skyddsåtgärd i svensk rätt Att pseudonymisering är en central skyddsåtgärd vid behandling av personuppgifter för forskningsändamål framgår direkt av dataskyddsförordningen. Att i enlighet med utredningens förslag föreskriva ett ska-krav i svensk lagstiftning, med motsvarande undantagsmöjligheter som i princip redan framgår av förordningen, är enligt ett flertal remissinstanser alltför långtgående. Bland annat Forte, Karolinska institutet, Uppsala universitet, Cancerfonden och Kungl. Vitterhetsakademien framför att dataskyddsförordningen utgör tillräcklig reglering i sammanhanget. Regeringen instämmer i denna bedömning och anser att det redan framgår av förordningen att psedonymisering bör användas när det är lämpligt och möjligt i relation till forskningsändamålet och i annat fall bör andra lämpliga skyddsåtgärder komma ifråga för att uppnå motsvarande skyddsnivå. Det är således regeringens uppfattning, till skillnad från Kalmar läns landsting, att utredningens förslag inte bör genomföras i denna del. Det finns sekretesskydd även för kodnyckel i vissa fall Institutet för språk och folkminnen framför att pseudonymiseringsåtgärder, eller övriga skyddsåtgärder enligt dataskyddslagstiftningen, inte ger något fullgott skydd för individen därför att även de nycklar/samordningsregister som är kopplade till de pseudonymiserade uppgifterna blir allmänna handlingar. Regeringen vill i detta sammanhang framhålla att det enligt vissa bestämmelser i 24 kap. offentlighets- och sekretesslagen (2009:400, OSL) gäller sekretess till skydd för enskilda i viss forskning. Enligt 18 kap. 9 § OSL gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med metoden motverkas om uppgiften röjs och metoden har till syfte att underlätta befordran eller användning i allmän verksamhet av uppgifter utan att föreskriven sekretess åsidosätts. Om det gäller sekretess för uppgifter om enskilda i ett forskningsprojekt där pseudonymisering används kan således också kodnyckeln skyddas. I de fall uppgifterna i forskningsprojektet inte omfattas av sekretess omfattas inte heller kodnyckeln av sekretess. Det hindrar inte att användning av pseudonymisering och andra skyddsåtgärder ger ett integritetsskydd även om det inte kan upprätthållas om någon väljer att låta sin begäran om utfående av allmänna handlingar även omfatta kodnyckeln. Nämnas kan också att enligt 21 kap. 7 § OSL gällde tidigare sekretess för personuppgift om det kunde antas att ett utlämnande skulle medföra att uppgiften behandlades i strid med PUL. I och med att PUL nu har upphävts och den generella dataskyddsregleringen i stället finns i dataskyddsförordningen och dataskyddslagen gäller numera enligt 21 kap. 7 § OSL sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Regeringen återkommer i avsnitt 15.2 med förslag till ytterligare komplettering av 21 kap. 7 § OSL. 9.5 Det följer direkt av dataskyddsförordningen att den registrerade kan invända mot behandling Regeringens bedömning: En skyddsåtgärd som innebär att personuppgifter, med vissa undantag, inte får behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling bör inte föreskrivas i svensk rätt. Att den registrerade kan invända mot behandling följer direkt av EU:s dataskyddsförordning. Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår en bestämmelse i forskningsdatalagen som anger att personuppgifter inte ska få behandlas för forskningsändamål om den registrerade motsätter sig sådan behandling. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den registrerade möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, ska dock personuppgiftsbehandling ändå få utföras. Remissinstanserna: En större del av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal landsting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län samt Vinnova, Kungl. Vetenskapsakademien och Cancerfonden tillstyrker utredningens förslag. Uppsala universitet tillstyrker förslaget i sak men anser att den negativt formulerade ordalydelsen gör regeln otydlig. Sveriges lantbruksuniversitet (SLU) anser att lagtexten är otydligt utformad. I första stycket anges att personuppgifter inte får behandlas om den enskilde motsätter sig det. I andra stycket sägs det att det går bra ändå. För en lekman framstår lagtexten enligt universitetet som tvetydig. Kungl. Vetenskapsakademien anser att förslaget innebär en dämpande skrivning jämfört med utredningens föreslagna undantag från de registrerades rättigheter beträffande rätten att återta eller ändra information och önskar ett förtydligande. Statens medicinsk-etiska råd (Smer) anser att formuleringarna som rör undantag för den enskildes möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål bör förtydligas. Datainspektionen avstyrker utredningens förslag då det inte står klart huruvida denna bestämmelse påverkar de registrerades rättigheter enligt kapitel III i dataskyddsförordningen. Malmö högskola anser att den begränsning av den registrerades rättigheter att invända mot behandling som föreslås står i strid med dennes rättigheter att invända mot behandling enligt förordningen. Den föreslagna skrivningen innebär, enligt Malmö högskola, sannolikt en kraftig försämring av den registrerades rättigheter i förhållande till dataskyddsförordningen. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Sveriges Kommuner och Landsting (SKL) noterar att rätten att göra invändningar har en tydlig koppling till vilken rättslig grund som används vid forskningen; samtycke, allmänt intresse eller intresseavvägning. Om det gäller artikel 21.6 torde detta innebära, att om den registrerade invänder mot behandling av dennes personuppgifter för forskningsändamål måste den personuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända. Karolinska institutet anser att regeringens bedömning innebär en onödig försvagning av den registrerades rätt till att motsätta sig behandling för forskningsändamål jämfört med Forskningsdatautredningens förslag. Institutet framhåller att rätten att motsätta sig deltagande i forskning tillämpas i praktiken så gott som alltid inom forskningen och anser att denna praxis bör införlivas i svensk rätt, t.ex. genom en lagstiftningsåtgärd enligt artikel 23.1(i) som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 21.6, eller genom ett förtydligande i etikprövningslagen om att Etikprövningsmyndigheten kan uppställa krav på att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål. Detta skulle enligt institutet förstärka integritetsskyddet för den enskilde i förhållande till det skydd som ges i dataskyddsförordningen och även stärka förtroendet för forskningen. Stockholms universitet anser att då frågan är omdebatterad skulle det vara en stor fördel om den svenska lagstiftningen på området kunde förmedla en klar och entydig grund för att tillåta ett opt-out förfarande. Även om det saknas lagtekniska skäl för en sådan reglering skulle den kunna bidra till ökad tydlighet och därmed underlätta för dem som har att tillämpa regleringen. Stockholms universitet vill i detta sammanhang framhålla att oklarheter i regleringen av förutsättningarna att bedriva forskning kan leda till att forskare av försiktighetsskäl avstår från att utföra sådan forskning som hade varit lagligt möjlig, vilket i sin tur riskerar att få en hämmande effekt på svensk forskning. I förlängningen kan detta leda till sämre förutsättningar för Sverige att hävda sig internationellt, exempelvis med avseende på forsknings- och innovationssamarbeten och rekrytering av framstående forskare. Skälen för regeringens bedömning Hur förhåller sig den föreslagna skyddsåtgärden till rätten att invända mot behandling? Den registrerade ska, enligt artikel 21 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (bl.a. uppgift av allmänt intresse) eller f (intresseavvägning). Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1). Senast vid den första kommunikationen med den registrerade ska bl.a. denna rätt uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information (artikel 21.4). Om personuppgifter behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). Enligt artikel 89.1 ska behandling för bl.a. vetenskapliga eller historiska forskningsändamål omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Utredningen föreslår en skyddsåtgärd som innebär att personuppgifter inte ska få behandlas för forskningsändamål om den registrerade motsätter sig sådan behandling. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den registrerade möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, ska dock personuppgiftsbehandling ändå få utföras. Enligt utredningen ska denna skyddsåtgärd i huvudsak fylla samma funktion som den rätt att invända mot behandling som den registrerade har enligt artikel 21, men omfatta all personuppgiftsbehandling oavsett rättslig grund. Denna skyddsåtgärd ska dock inte vara tillämplig om den rättsliga grunden är samtycke, då det finns möjlighet i dataskyddsförordningen att dra tillbaka sitt samtycke (artikel 7). I det remitterade utkastet till lagrådsremiss görs bedömningen att förslaget inte bör genomföras. Karolinska institutet och Stockholms universitet framhåller i sina remissvar över utkastet att rätten att invända mot behandling enligt artikel 21 skiljer sig åt beroende på rättslig grund för behandling. Karolinska institutet och Stockholms universitet förordar en i nationell rätt fastställd möjlighet att motsätta sig behandling. Som framgår av avsnitt 7 är det främst tre rättsliga grunder som är relevanta vid forskning: samtycke, uppgift av allmänt intresse eller intresseavvägning. Artikel 21.6 innebär att om den registrerade invänder mot behandling av dennes personuppgifter för forskningsändamål måste den personuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända. Om forskningen däremot baseras på den rättsliga grunden intresseavvägning blir artikel 21.1 tillämplig. Om den registrerade av skäl som hänför sig till hans eller hennes specifika situation gör invändningar mot att personuppgifter avseende honom eller henne behandlas i forskningsprojektet får den personuppgiftsansvarige inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. Som nämnts ovan var syftet med den föreslagna skyddsåtgärden enligt utredningen att i huvudsak fylla samma funktion som den rätt att invända mot behandling som den registrerade har enligt artikel 21, men omfatta all personuppgiftsbehandling oavsett rättslig grund. Artikel 21 omfattar enligt regeringens bedömning de rättsliga grunder som personuppgiftsbehandling för forskningsändamål i praktiken främst kommer att grundas på, förutom samtycke som enligt artikel 7.2 alltid kan återkallas. Det har vidare på senare tid tydliggjorts att EU-kommissionen anser att behandling av personuppgifter vid kliniska läkemedelsprövningar i vissa delar kommer att ske med stöd av den rättsliga grunden rättslig förpliktelse (se vidare avsnitt 10.4). Vid sådan behandling gäller inte rätten att invända enligt artikel 21 i dataskyddsförordningen. Regeringen anser således, till skillnad från Karolinska institutet, Stockholms universitet och SKL, att en sådan skyddsåtgärd inte bör fastställas i lag, utan att de möjligheter att invända mot behandling som framgår av dataskyddsförordningen är tillräckliga för såväl integritetsskyddet som förtroendet för forskningen. Karolinska institutet föreslår vidare ett förtydligande i etikprövningslagen om att Etikprövningsmyndigheten kan uppställa krav på att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål. Enligt 6 § etikprövningslagen får ett godkännande förenas med villkor. Det framgår inte närmare av lagen vilka slags villkor som får förenas med ett etikgodkännande. Det är regeringens uppfattning att detta inte heller bör regleras i lag på sådan detaljnivå, utan att det bör vara upp till etikprövningsnämnderna att bedöma i samband med etikprövningen. Medlemsstaterna har enligt artikel 89.2 rätt att i nationell rätt föreskriva undantag från de rättigheter som avses i bl.a. artikel 21 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1, i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål. Frågan om det finns något behov av att begränsa rättigheten enligt artikel 21 behandlas i avsnitt 13.6.2. 9.6 All personuppgiftsbehandling för forskningsändamål ska inte etikprövas 9.6.1 Etikprövning är en skyddsåtgärd vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser Som regeringen återkommer till i avsnitt 10 innehåller dataskyddsförordningen, i likhet med det upphävda dataskyddsdirektivet, ett principiellt förbud mot behandling av särskilda kategorier av uppgifter samt flera undantag från detta förbud (artikel 9 i dataskyddsförordningen respektive 8 i dataskyddsdirektivet). I PUL användes benämningen känsliga personuppgifter för de uppgifter som omfattas av denna särskilda reglering (13 §). Dessa var enligt dataskyddsdirektivet och PUL personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I dataskyddsförordningen utvidgas de särskilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I 3 kap. 1 § dataskyddslagen används benämningen känsliga personuppgifter för nu aktuella kategorier av uppgifter. Som regeringen återkommer till i avsnitt 11 finns det vidare i artikel 10 i dataskyddsförordningen en särskild reglering för personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. En motsvarande specialreglering för sådana uppgifter fanns i dataskyddsdirektivet och PUL. Enligt PUL fick känsliga personuppgifter behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen (19 § första stycket PUL). Uppgifter om lagöverträdelser fick behandlas för forskningsändamål av andra än myndigheter om behandlingen hade godkänts enligt etikprövningslagen (21 § andra stycket PUL). Enligt 3 § etikprövningslagen är den lagen tillämplig bl.a. när forskning som ska utföras i Sverige innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser enligt 21 § PUL. Sådan forskning får enbart utföras om den har godkänts vid en etikprövning (6 § etikprövningslagen). Etikprövning utgör således i dagsläget den centrala skyddsåtgärden vid behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser för forskningsändamål. Utgångspunkterna för vad som ska beaktas vid etikprövningen framgår av 7-11 §§ etikprövningslagen. Där anges att 1. forskning bara får godkännas om den kan utföras med respekt för människovärdet, 2. mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid etikprövningen, samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning, 3. människors välfärd ska ges företräde framför samhällets och vetenskapens behov, 4. forskning bara får godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde, 5. forskning inte får godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet, 6. behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser bara får godkännas om den är nödvändig för att forskningen skall kunna utföras, 7. forskning får godkännas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs. Ett beslut om etikgodkännande kan förenas med villkor. Detta används i de fall integritetsaspekterna kan tas tillvara på ett tillfredsställande sätt genom särskilda villkor, istället för att en ansökan avslås. Av sista meningen i 6 § etikprövningslagen framgår att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning. Dataskyddsförordningen ställer krav på lämpliga och särskilda skyddsåtgärder Dataskyddsförordningen nämner inte specifikt etikprövning som en skyddsåtgärd. Vid personuppgiftsbehandling för forskningsändamål anges krav på skyddsåtgärder i flera artiklar i förordningen. All personuppgiftsbehandling för forskningsändamål måste omfattas av lämpliga skyddsåtgärder, men dessa måste inte vara fastställda i unionsrätt eller nationell rätt (artikel 89.1). Det finns dock inget hinder i förordningen mot att nationellt reglera skyddsåtgärder med stöd av artikel 89.1. Behandling av känsliga personuppgifter för forskningsändamål måste omfattas av lämpliga och särskilda åtgärder som är fastställda i unionsrätt eller nationell rätt (artikel 9.2 j). Behandling av personuppgifter om lagöverträdelser för forskningsändamål som utförs av andra än myndigheter får utföras när behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder måste vara fastställda (artikel 10). Dataskyddsförordningens krav har stora likheter med de krav som det upphävda dataskyddsdirektivet ställde. Dataskyddsdirektivet krävde lämpliga skyddsåtgärder för behandling av känsliga personuppgifter och lämpliga och specifika skyddsåtgärder vid behandling av personuppgifter om lagöverträdelser. Regeringen finner ingen anledning att anta att begreppet särskilda skyddsåtgärder så som det används i dataskyddsförordningen skulle innebära någon skillnad i sak jämfört med begreppet specifika skyddsåtgärder. Denna bedömning stärks också av att den engelska versionen av artikel 9.2 j i dataskyddsförordningen anger ett krav på "suitable and specific measures to safeguard" och den engelska versionen av artikel 8.5 i dataskyddsdirektivet angav kravet på "suitable specific safeguards". Det engelska begreppet specific har således översatts till såväl särskilda som specifika i respektive svensk version av dataskyddsförordningen och dataskyddsdirektivet. Syftet med de skyddsåtgärder som enligt artikel 9.2 j i dataskyddsförordningen ska omfatta behandling av känsliga personuppgifter för forskningsändamål ska vara att säkerställa den registrerades grundläggande rättigheter och intressen. I artikel 10 anges att kravet på lämpliga skyddsåtgärder syftar till att skydda de registrerades rättigheter och friheter vid personuppgiftsbehandling av uppgifter om lagöverträdelser. Någon motsvarande formulering av syftet med skyddsåtgärderna fanns inte i dataskyddsdirektivet, som dock hade som övergripande syfte att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter (artikel 1). Det framgår av 7 och 8 §§ etikprövningslagen att forskning bara får godkännas om den kan utföras med respekt för människovärdet och att mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid etikprövningen. Ansvaret för att varje enskild personuppgiftsbehandling uppfyller dataskyddsförordningens krav på lämpliga och särskilda skyddsåtgärder åvilar alltid den personuppgiftsansvarige. I avsnitt 9.1 finns utförligare beskrivningar av dataskyddsförordningens krav på skyddsåtgärder generellt. 9.6.2 Tillämpningsområdet för kravet på etikprövning bör inte utvidgas Regeringens bedömning: Tillämpningsområdet för etikprövningslagen bör inte utvidgas till att omfatta all behandling av personuppgifter för forskningsändamål. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Samtliga remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Av dem som uttryckligen tillstyrker återfinns Västra Götalands läns landsting, Vetenskapsrådet, Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Lund, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), Örebro universitet och Luleå tekniska universitet. Karlstads universitet anser att en utvidgning av etikprövningen till att omfatta all personuppgiftsbehandling för forskningsändamål knappast är en praktisk genomförbar lösning och att de föreslagna generella skyddsåtgärderna att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt förefaller vara en mer proportionerlig åtgärd. Vinnova ställer sig bakom utredningens bedömning och anser att nuvarande reglering av vilken forskning som ska etikprövas överensstämmer väl med dataskyddsförordningens krav på lämplig och särskild skyddsåtgärd för personuppgiftsbehandling av känsliga personuppgifter. En utvidgning av etikprövningslagens tillämpningsområde skulle enligt Vinnova kunna innebära minskade möjligheter för forskare att initiera och genomföra insamlingar och studier till följd av att krav om etikprövning föreligger oavsett vilken typ av personuppgiftsbehandling som ska genomföras. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Samtliga remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Detta gäller bland annat Regionala etikprövningsnämnden i Lund som delar denna bedömning. Luleå kommun anser att utöver de skäl som framförs av regeringen bör beaktas att ett utvidgande av tillämpningsområdet till att omfatta alla personuppgifter skulle medföra negativa konsekvenser för möjligheterna att bedriva forskning till följd av betydligt ökade byråkratiska krav. Därtill skulle möjligheterna att bedriva forskning som grundas på vad som får anses vara harmlös information försvåras och innebära en onödig arbetsinsats för den blivande Etikprövningsmyndigheten. Skälen för regeringens bedömning Mot bakgrund av dataskyddsförordningens krav på lämpliga skyddsåtgärder för all behandling av personuppgifter för forskningsändamål och det faktum att etikprövning är en i dagsläget fastställd skyddsåtgärd för känsliga personuppgifter och personuppgifter om lagöverträdelser finns det anledning att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål. Att bedöma vilket tillämpningsområde etikprövningslagen bör ha handlar ytterst om att hitta en balans mellan etiska principer och andra värden som bör vägas in. En uttrycklig avgränsning av etikprövningens tillämpningsområde skapar tydlighet för forskare bl.a. vid planering av forskningsprojekt. Rättssäkerhetsaspekten, med tonvikt på förutsebarhet, är minst lika viktig för allmänhetens förtroende för systemet. Kravet på etikprövning kan också anses vara en begränsning av forskningens frihet, forskarens möjlighet att fritt använda sig av personuppgifter i forskningen, vilket kräver proportionalitet i avgränsningen av tillämpningsområdet. Definitionen av personuppgift är vidsträckt En personuppgift är enligt definitionen i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person (artikel 4.1). Alla uppgifter som enskilt eller tillsammans med andra uppgifter kan knytas till en levande person omfattas. Om etikprövningslagens tillämpningsområde utvidgas till att omfatta all behandling för personuppgiftsändamål skulle kravet på etikprövning omfatta varje slags behandling för forskningsändamål även av indirekta personuppgifter utan någon sannolik integritetsmässig risk. Att kräva en så omfattande skyddsåtgärd, som etikprövning innebär, för behandling av alla slags personuppgifter är enligt regeringens uppfattning inte proportionerligt sett i relation till skyddsintresset. Konsekvenserna för såväl forskningsutförarna som för etikprövningsorganisationen skulle också bli omotiverat omfattande, med ökad arbetsbörda och ökade resursbehov. Befintliga kategoriseringar utgör en lämplig avgränsning av vilka personuppgifter som ska etikprövas Behandling av andra personuppgifter än känsliga personuppgifter eller personuppgifter om lagöverträdelser har i tidigare lagstiftningssammanhang bedömts inte vara av särskilt integritetskänslig karaktär. Det bör dock i sammanhanget framhållas att en sådan uppfattning i viss mån kan vara subjektiv, vad någon uppfattar som integritetskänsligt kan någon annan uppfatta som helt oproblematiskt. En större mängd uppgifter som var och en för sig är av mindre integritetskänslig karaktär kan samlade innebära en ökad integritetsrisk för den registrerade. Med en så vid definition av personuppgift som framgår av såväl den upphävda PUL som EU:s dataskyddsförordning kan alla olika slags personuppgifter graderas på en skala från mycket integritetskänsliga till i det närmaste helt utan integritetsmässig risk att behandla. Det är regeringens uppfattning att PUL:s kategoriseringar avseende känsliga personuppgifter och personuppgifter om lagöverträdelser alltjämt är rimliga och lämpliga avgränsningar för vad som generellt kan karaktärisera sådana integritetskänsliga personuppgifter som kräver ett ökat skydd. Denna bedömning gäller förstås med de justeringar av dessa begrepp som EU:s dataskyddsförordningen innebär (se vidare avsnitt 10 och 11). Tillämpningsområdet ska vara tydligt, precist och förutsägbart Det är viktigt att en avgränsning är så lätt att tillämpa som möjligt och samtidigt uppfyller grundläggande krav på rättssäkerhet, inbegripande förutsägbarhet. Metoden att räkna upp de situationer som ska etikprövas får anses uppfylla detta syfte. De situationer som inte räknas upp ska således inte etikprövas. Denna avgränsning är, enligt regeringens uppfattning, såväl tydlig och precis som förutsägbar och proportionerlig i enlighet med dataskyddsförordningens krav. I dagsläget finns dessutom i förordningen (2003:615) om etikprövning av forskning som avser människor ett förfarande med rådgivande yttrande för ärenden där forskningen inte omfattas av etikprövningslagens tillämpningsområde (4 a §). Andra skyddsåtgärder bör komma ifråga när personuppgiftsbehandling för forskningsändamål sker i andra fall Etikprövningens syfte är att skydda den enskilda människan och respekten för människovärdet vid forskning. Vid personuppgiftsbehandling handlar detta främst om att skydda den enskilde från skada vid kränkning av den personliga integriteten. Finns det i princip ingen risk för sådan skada bör inte heller någon etikprövning behöva ske. Regeringens samlade bedömning är därför att en utvidgning av etikprövningslagen till att omfatta all personuppgiftsbehandling för forskningsändamål skulle undergräva själva syftet med skyddsåtgärden och dessutom riskera att urholka förtroendet för etikprövningssystemet. För att uppnå ett lämpligt skydd i enlighet med dataskyddsförordningens krav för personuppgiftsbehandling för forskningsändamål som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser bör således andra skyddsåtgärder komma ifråga. Regeringen instämmer således med Karlstads universitet som anser att ett utvidgande av etikprövningen till att omfatta all personuppgiftsbehandling för forskningsändamål knappast är en praktiskt genomförbar lösning och att skyddsåtgärder som innebär att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt förefaller vara en mer proportionerlig åtgärd. Som framgår av avsnitt 9.4 anser regeringen att det framgår direkt av dataskyddsförordningen att personuppgifter bör pseudonymiseras eller skyddas på likvärdigt sätt. Regeringens sammantagna bedömning är således att etikprövningslagens tillämpningsområde inte bör utvidgas till att omfatta all personuppgiftsbehandling för forskningsändamål. 10 Det behövs kompletterande nationella bestämmelser för behandling av känsliga personuppgifter 10.1 Förbudet mot behandling av känsliga personuppgifter utvidgas Dataskyddsförordningen innehåller, i likhet med dataskyddsdirektivet, ett principiellt förbud mot behandling av särskilda kategorier av uppgifter samt flera undantag från detta förbud (artikel 9 i dataskyddsförordningen respektive 8 i dataskyddsdirektivet). I PUL användes benämningen känsliga personuppgifter för de uppgifter som omfattas av denna särskilda reglering. Dessa var enligt dataskyddsdirektivet och 13 § PUL personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Enligt dataskyddsförordningen omfattar de särskilda kategorierna av uppgifter även genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Särskilda kategorier av personuppgifter benämns känsliga personuppgifter i dataskyddslagen I såväl dataskyddsdirektivet som i dataskyddsförordningen benämns de personuppgifter som omfattas av förbudet som särskilda kategorier av personuppgifter. I dataskyddsförordningens beaktandeskäl omnämns de på ett par ställen som känsliga respektive särskilt känsliga uppgifter (skäl 10 och 51). I PUL har särskilda kategorier av personuppgifter kallats känsliga personuppgifter, utan att detta närmare har kommenterats i förarbetena. I dataskyddslagen används begreppet känsliga personuppgifter som samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen. Bakgrunden till detta förslag är att begreppet får anses väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext (prop. 2017/18:105 s. 75). 10.2 Dataskyddsförordningen möjliggör behandling av känsliga personuppgifter för forskningsändamål Dataskyddsförordningens förbud mot att behandla känsliga personuppgifter kompletteras, liksom i direktivet, av en rad undantag som möjliggör sådan behandling i vissa fall. Förbudet i sig, liksom undantagen, är direkt tillämpliga genom förordningen och kräver alltså inga åtgärder av medlemsstaterna. Vissa av undantagen innehåller dock hänvisningar till nationell rätt som kan innebära att lagstiftningsåtgärder bör vidtas för att dessa undantag ska vara tillämpliga (artikel 9.2). Av förordningen framgår att känsliga personuppgifter får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet inte kan upphävas av den registrerade (artikel 9.2 a). I artikel 9.2 j finns ett uttryckligt undantag från förbudet mot behandling av känsliga personuppgifter, som anger att förbudet inte gäller om behandlingen är nödvändig för bl.a. forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dataskyddsförordningen ger därmed en explicit möjlighet till behandling av känsliga personuppgifter för forskningsändamål. Som nämnts fanns inte något sådant explicit undantag för behandling av personuppgifter för forskningsändamål i dataskyddsdirektivet. Enligt dataskyddsdirektivet var det emellertid möjligt för medlemsstaterna att under förutsättning av lämpliga skyddsåtgärder besluta om undantag från förbudet att behandla känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse (artikel 8.4). I PUL fanns undantag för behandling av känsliga personuppgifter för forskningsändamål i 19 §, som angav att känsliga personuppgifter fick behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen. 10.3 Etikprövning ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter för forskningsändamål Regeringens bedömning: Etikprövning enligt etikprövningslagen är en sådan lämplig och särskild åtgärd, fastställd i svensk rätt, som krävs för behandling av känsliga personuppgifter för andra forskningsändamål än klinisk läkemedelsprövning enligt EU:s dataskyddsförordning. Utredningens bedömning och förslag överensstämmer delvis med regeringens bedömning. Utredningen föreslår att det ska regleras i en forskningsdatalag att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt etikprövningslagen. Utredningen föreslår även en kompletterande bestämmelse i andra stycket i den föreslagna paragrafen som upplyser om att övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål framgår av etikprövningslagen. Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal landsting, däribland i Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län ser positivt på förslaget. Arbetsgivarverket anser att det är av godo att upprätthålla ett starkt nationellt skydd för känsliga personuppgifter genom den föreslagna bestämmelsen. Vinnova, Cancerfonden och Nationellt biobanksråd framhåller att de stödjer förslaget. Kungl. Vetenskapsakademien påpekar att det är rimligt och bra att alla personuppgifter inom den utökade definitionen av känsliga personuppgifter ska få behandlas när det är nödvändigt för forskningsändamålet och efter etikprövning. Statens medicinsk-etiska råd (Smer) tillstyrker utredningens förslag att kravet på etikprövning enligt etikprövningslagen ska kvarstå för tillåtelse för behandling av känsliga personuppgifter när denna behandling är nödvändig för att uppnå forskningsändamålet. Smer ifrågasätter dock om det är ett tillräckligt krav för tillåtelse "när denna är nödvändig för att uppnå forskningsändamålet". Vetenskapsrådet förordar att begreppet "särskilda kategorier av personuppgifter" används istället för begreppet "känsliga personuppgifter". Göteborgs universitet anser att utredningen föreslår ett avsteg från dataskyddsförordningens vokabulär utan att ange någon egentlig förklaring till detta förslag. Mittuniversitetet anser att begreppet "känsliga personuppgifter" bör strykas ur lagstiftningen. Att använda dataskyddsförordningens terminologi "särskilda kategorier av personuppgifter" tydliggör att det inte är upp till forskaren att bestämma vilka uppgifter det är fråga om, samt underlättar ett av dataskyddsförordningens huvudsyften, nämligen den fria rörligheten av personuppgifter inom EU. Datainspektionen avstyrker utredningens förslag till upplysningsbestämmelse då den är otydlig på så sätt att bestämmelsen i sig eller de villkor som framgår av etikprövningsnämnders beslut kan komma att uppfattas som den rättsliga regleringen av behandling av känsliga personuppgifter, trots att dataskyddsförordningens krav alltid är tillämpliga. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga synpunkter på bedömningen. Detta gäller bl.a. Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekans-lern (JK), Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Centrala etikprövningsnämnden, Göteborgs universitet, Karlstads universitet, Malmö universitet, Örebro universitet, Jönköping University, Brottsförebyggande rådet, Försvarsmakten, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgivarverket, Kungl. Biblioteket och Riksarkivet. Datainspektionen anser att etikprövning är en viktig skyddsåtgärd, men framhåller att en förutsättning för att etikprövningen ska kunna vara en skyddsåtgärd i dataskyddsförordningens mening är att etikprövningsnämnder utgår från förordningens krav, när de tar ställning till frågor som rör personuppgiftsbehandling. Utöver detta finns det, för närvarande, situationer där etikprövningslagens tillämpningsområde inte överensstämmer med dataskyddsförordningen. Ett exempel på detta är när personuppgiftsansvariga som bedriver forskning som omfattar känsliga personuppgifter är etablerade i Sverige, men bedriver forskning utomlands. Den personuppgiftsansvarige kan inte få något etikgodkännande för forskningen utomlands, men kommer att omfattas av dataskyddsförordningens förbud mot behandling av personuppgifter. Mot bakgrund av detta anser Datainspektionen att det fortsatta lagstiftningsarbetet bör omfatta en analys huruvida det är aktuellt att uppställa andra former av skyddsåtgärder för de registrerades del. Skälen för regeringens bedömning Undantag från förbudet att behandla känsliga personuppgifter kräver att nationell rätt innehåller bestämmelser om skyddsåtgärder Som nämnts ska enligt artikel 9.2 j i dataskyddsförordningen förbudet mot behandling av känsliga personuppgifter inte tillämpas om behandlingen är nödvändig för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I skäl 10 anges att dataskyddsförordningen är avsedd att ge medlemsstaterna handlingsutrymme att specificera bestämmelser för behandlingen av känsliga uppgifter samt att förordningen inte utesluter att det fastställs närmare omständigheter och mer exakta villkor för laglig behandling av personuppgifter. I skäl 52 nämns att vissa undantag från förbudet att behandla känsliga personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, samt att sådant undantag får göras för bl.a. vetenskapliga eller historiska forskningsändamål. I sammanhanget bör även skrivningarna i skäl 8 beaktas, där det anges att om dataskyddsförordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt. I propositionen Ny dataskyddslag konstaterar regeringen att det inte är helt klart vilken innebörd hänvisningarna till och kraven på unionsrätten och den nationella rätten, som finns i flera av de punkter i artikel 9.2 som innehåller undantag från förbudet att behandla känsliga personuppgifter, har eller vilken betydelse det har att de utformats på olika sätt. Regeringen gör där bedömningen att undantaget i sig inte måste genomföras i nationell rätt för att vara tillämpligt, men att det är uppenbart att det vid behandling av känsliga personuppgifter för bl.a. forskningsändamål krävs ett stöd i svensk rätt utöver det som dataskyddsförordningen ger. Kraven enligt artikel 9.2 j går utöver de krav som ställs på rättslig grund enligt artikel 6 i dataskyddsförordningen. Tröskeln för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter är således högre än den som gäller för behandling av andra personuppgifter i samma situation. I artikel 9.2 j tillkommer ett krav på att gällande rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Någon bestämmelse direkt motsvarande artikel 9.2 j fanns som nämnts inte i det upphävda dataskyddsdirektivet. Undantaget i PUL (19 §) var dock baserat på artikel 8.4 i direktivet som innehöll ett motsvarande krav på lämpliga skyddsåtgärder. Kravet på skyddsåtgärder överensstämmer på så vis med vad som gällt enligt dataskyddsdirektivet och innebär således inte någon ny begränsning av möjligheten att behandla känsliga personuppgifter för forskningsändamål. Vidare är innebörden av kravet på att behandlingen ska vara nödvändig enligt regeringens bedömning densamma i artikel 9 som i artikel 6. Etikprövning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läkemedelsprövningar Som nämnts i avsnitt 10.2 fick enligt den upphävda PUL känsliga personuppgifter behandlas för forskningsändamål om behandlingen hade godkänts enligt etikprövningslagen (19 §). Enligt etikprövningslagen får forskning bara godkännas om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov och forskning får bara godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Forskning får vidare inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser får bara godkännas om den är nödvändig för att forskningen skall kunna utföras och forskning får bara godkännas om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs (7-11 §§ etikprövningslagen). Den riskbedömning som etikprövningsnämnderna gör av personuppgiftsbehandling för forskningsändamål har sedan tidigare bedömts förenlig med kraven i dataskyddsdirektivet. Dataskyddsförordningen preciserar inte närmare hur de nationella skyddsåtgärderna ska utformas för att anses vara lämpliga och särskilda. Av dataskyddsförordningen framgår att lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter måste vidtas av personuppgiftsansvariga och personuppgiftsbiträden (artiklarna 24 och 32). Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs om behandlingen inbegriper en risk eller en hög risk (skäl 76). En etikprövning enligt etikprövningslagen uppfyller enligt regeringens uppfattning dataskyddsförordningens krav på en objektiv bedömning av de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter. Regeringen bedömer således att etikprövning är en sådan i nationell rätt fastställd lämplig och särskild åtgärd som artikel 9.2 j i dataskyddsförordningen kräver vid nödvändig behandling av känsliga personuppgifter för forskningsändamål. Som regeringen återkommer till i avsnitt 10.4 finns för sådan forskning som består i klinisk läkemedelsprövning särskilda bestämmelser i form av EU:s förordning nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. Denna EU-förordning har dock inte börjat tillämpas och det är i dagsläget inte bestämt när så ska ske. Det blir dock sannolikt inte tidigare än hösten 2019. Eftersom det i EU-förordningen anges att kliniska läkemedelsprövningar ska genomgå etisk granskning och godkännas enligt förordningen har regeringen i propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193) föreslagit att forskning som består i klinisk läkemedelsprövning inte ska etikprövas enligt etikprövningslagen. Sådan forskning ska i stället genomgå etisk granskning enligt ett förslag till ny lag med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Riksdagen har antagit regeringens förslag (bet. 2017/18:UbU26, rskr. 2017/18:332). Bestämmelserna har emellertid inte trätt i kraft eftersom EU-förordningen inte börjat tillämpas ännu utan bestämmelserna ska träda i kraft den dag regeringen bestämmer, dvs. när EU-förordningen börjar tillämpas. Vad som anförs nedan om behandling av känsliga personuppgifter för forskningsändamål avser således, när EU-förordningen om kliniska läkemedelsprövningar har börjat tillämpas och de föreslagna kompletterande bestämmelserna trätt i kraft, behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läkemedelsprövningar. Behandling av känsliga personuppgifter för forskningsändamål med samtycke enligt artikel 9.2 a bör enligt utredningens bedömning omfattas av samma krav på etikprövning som all annan nödvändig behandling av känsliga personuppgifter för forskningsändamål, vilket överensstämmer med dagens reglering. Andra stycket i utredningens förslag till paragraf, som upplyser om att övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål framgår av etikprövningslagen, är avsett att vara av upplysande karaktär så att tillämparen påminns om att all behandling av känsliga personuppgifter för forskningsändamål, oavsett rättslig grund i artikel 6, måste etikprövas. Av artikel 9.2 a i dataskyddsförordningen framgår att medlemsstaterna måste föreskriva i nationell rätt, om förbudet mot behandling av känsliga personuppgifter inte ska kunna upphävas av den registrerade. Enligt 3 § etikprövningslagen ska lagen tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Paragrafen innehöll tidigare en bestämmelse om att forskning som innefattar behandling av de i paragrafen angivna personuppgifterna ska bli föremål för etikprövning endast i fall där försökspersonen inte hade gett sitt uttryckliga samtycke till behandlingen. Denna bestämmelse togs bort i samband med en lagändring som trädde i kraft år 2008 (prop. 2007/08:44). Ändringen innebär att sedan dess ska all forskning som innebär behandling av de i paragrafen angivna kategorierna av personuppgifter etikprövas, oavsett om samtycke har lämnats eller inte. Detta framgår uttryckligen av 6 § första stycket etikprövningslagen. Där anges att forskning som avses i 3-5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen. Enligt regeringens uppfattning är därför bestämmelsen i etikprövningslagen en sådan reglering som avses i artikel 9.2 a sista ledet. Innebörden av andra stycket i den bestämmelse utredningen föreslår, dvs. att all behandling av känsliga personuppgifter för forskningsändamål ska etikprövas oavsett vilken rättslig grund den baseras på och att samtycke således inte ersätter kravet på etikprövning, kommer enligt regeringens bedömning inte helt till uttryck i bestämmelsen. Bestämmelsen är av upplysande karaktär och hänvisar till etikprövningslagen. Mot bakgrund av att den angivna bestämmelsen i etikprövningslagen bedöms vara en sådan bestämmelse som avses i artikel 9.2 a finns det inte något behov av att ha ytterligare en bestämmelse med den innebörden. Regeringen anser därför att bestämmelsen i andra stycket i den av utredningen föreslagna bestämmelsen inte bör införas. När det gäller frågan om rättslig grund för behandling av personuppgifterna anser regeringen, som framgår av avsnitt 7.2.2, att om ett forskningsprojekt har godkänts enligt etikprövningslagen så har forskningen erkänts i svensk rättsordning på ett sådant sätt att utförande av forskningsuppgiften är en i svensk rätt fastställd uppgift av allmänt intresse. Smer ifrågasätter om det ska vara en tillräcklig förutsättning för behandling av känsliga personuppgifter att en behandling är nödvändig för att uppnå forskningsändamålet. Utredningens förslag till bestämmelse är utformad i enlighet med kraven i artikel 9.2 j i dataskyddsförordningen, där det anges att undantag från förbudet gäller när behandlingen är nödvändig för bl.a. forskningsändamål. Som nämnts framgår det redan av etikprövningslagen att behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras (10 § andra stycket), varför det, vilket regeringen återkommer till nedan, kan ifrågasättas om det behövs ytterligare en bestämmelse i en forskningsdatalag om detta. När det gäller regleringen i etikprövningslagen och dess förhållande till dataskyddsförordningen kan det konstateras att nuvarande reglering innebär att det i 2 § etikprövningslagen anges att med behandling av personuppgifter avses sådan behandling av personuppgifter som anges i 3 § PUL och att det i 3 § etikprövningslagen anges att lagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL. Sådan forskning får bara utföras om den har godkänts vid en etikprövning (6 § etikprövningslagen). Behandlingen av personuppgifter får bara godkännas om den är nödvändig för att forskningen ska kunna utföras (10 § etikprövningslagen). I enlighet med vad regeringen utvecklar i avsnitt 12 föreslår regeringen dels att hänvisningen i 2 § etikprövningslagen, till definitionen av behandling av personuppgifter i 3 § PUL, ska ersättas med en hänvisning till motsvarande definition i artikel 4.2 i dataskyddsförordningen, dels att hänvisningen i 3 § etikprövningslagen till 13 § PUL ska ersättas med en hänvisning till motsvarande bestämmelse i dataskyddsförordningen. En bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag ska anges att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt etikprövningslagen, får då närmast karaktären av en upplysningsbestämmelse eftersom undantaget i artikel 9.2 j i sig inte behöver genomföras i svensk rätt för att vara tillämpligt och då redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 9.2 j. Regeringen återkommer i avsnitt 15 till frågan om det trots denna bedömning finns skäl att införa en bestämmelse i enlighet med utredningens förslag i en särskild forskningsdatalag. Flera remissinstanser har ifrågasatt att benämningen känsliga personuppgifter fortsatt ska användas. I såväl dataskyddsförordningen som dataskyddsdirektivet benämns dessa personuppgifter som särskilda kategorier av personuppgifter (artikel 9). I jämförelse med vad som i PUL benämnts känsliga personuppgifter har det tillkommit tre kategorier (genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning). I dataskyddslagen används begreppet känsliga personuppgifter för samtliga dessa kategorier. För att det nationella regelverket ska vara enhetligt föreslås det därför att samma benämning ska användas även i etikprövningslagen. Datainspektionen framhåller i sitt remissvar över det remitterade utkastet till lagrådsremiss att det finns situationer där etikprövningslagens tillämpningsområde inte överensstämmer med dataskyddsförordningen. Ett exempel på detta är när personuppgiftsansvariga som bedriver forskning som omfattar känsliga personuppgifter är etablerade i Sverige, men bedriver forskning utomlands. Den personuppgiftsansvarige kan inte få något etikgodkännande för forskningen utomlands, men kommer att omfattas av dataskyddsförordningens förbud mot behandling av personuppgifter. Mot bakgrund av detta anser Datainspektionen att det fortsatta lagstiftningsarbetet bör omfatta en analys av huruvida det är aktuellt att uppställa andra former av skyddsåtgärder för de registrerades del. Som regeringen konstaterar i avsnitt 15.1 finns det inte något beredningsunderlag för att ändra etikprövningslagens tillämpningsområde i detta lagstiftningsärende. Den situation som Datainspektionen tar upp i sitt yttrande är inte heller ny, då även PUL hade ett delvis annat tillämpningsområde än etikprövningslagen. Det är dock möjligt enligt dataskyddsförordningen för den personuppgiftsansvarige att behandla känsliga personuppgifter med stöd av samtycke när etikprövningslagens tillämpningsområde inte omfattar den aktuella behandlingen. Liksom för all personuppgiftsbehandling för forskningsändamål gäller också att det är den personuppgiftsansvariges ansvar enligt artikel 89.1 att behandlingen omfattas av lämpliga skyddsåtgärder i varje enskilt fall. 10.4 Etisk granskning ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter vid forskning inom ramen för kliniska läkemedelsprövningar Regeringens bedömning: Etisk granskning enligt lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel är en sådan lämplig och särskild åtgärd, fastställd i svensk rätt, som krävs enligt EU:s dataskyddsförordning för behandling av känsliga personuppgifter för forskningsändamål inom ramen för klinisk läkemedelsprövning. Utredningen lämnar inget förslag i denna del. Utkastet till lagrådsremiss: Utkastet innehöll ingen bedömning, utan en redogörelse för förslagen till svensk kompletterande lagstiftning till EU-förordningen om kliniska läkemedelsprövningar i dels propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196), dels propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193) samt en hänvisning till att det då pågick en diskussion inom EU om olika dataskyddsfrågor relaterade till EU-förordningen om kliniska läkemedelsprövningar och dess förhållande till EU:s dataskyddsförordning. Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig har inga synpunkter. Läkemedelsverket anser att det i avsnittet bör förtydligas om dataskyddsfrågorna som är relaterade till EU-förordningen om kliniska läkemedelsprövningar kommer att behandlas i en egen utredning eller om de båda EU-förordningarnas direkta effekt medför att det inte behöver göras någon ytterligare utredning på nationell nivå. Karolinska institutet anser att det är otillfredsställande att det fortfarande finns en otydlighet när det gäller vilka regler som ska gälla för personuppgiftsbehandling inom ramen för kliniska läkemedelsprövningar. Det skulle underlätta planeringen av verksamheten för berörda forskningsutförare att snarast möjligt få klarhet i vilka regelverk som blir tillämpliga för personuppgiftsbehandling inom ramen för klinisk läkemedelsprövning. Läkemedelsindustriföreningen ifrågasätter vad som menas med att för klinisk läkemedelsprövning avstår regeringen från att göra "bedömningar i dessa frågor i denna lagrådsremiss". Läkemedelsindustriföreningen anser att det krävs ett förtydligande om att tidigare regler kan fortsätta att gälla i avvaktan på att ett nytt regelverk är på plats. Skälen för regeringens bedömning De nuvarande svenska bestämmelserna om klinisk läkemedelsprövning baseras på ett EU-direktiv som ersätts av en EU-förordning Forskning som består i klinisk läkemedelsprövning genomförs i form av undersökningar på friska eller sjuka människor för att studera effekten av ett eller flera läkemedel. Nuvarande bestämmelser om kliniska läkemedelsprövningar finns i Europaparlamentets och rådets direktiv 2001/20/EG av den 4 april 2001 om tillnärmning av medlemsstaternas lagar och andra författningar rörande tillämpning av god klinisk sed vid kliniska prövningar av humanläkemedel. Direktivet har genomförts i svensk rätt bland annat genom läkemedelslagen (2015:315) och etikprövningslagen (2003:460). För att få genomföra en klinisk läkemedelsprövning i Sverige krävs i dag både godkännande av en etikprövningsnämnd enligt etikprövningslagen och tillstånd från Läkemedelsverket. Europaparlamentet och rådet antog den 16 april 2014 förordning (EU) nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG, nedan kallad EU-förordningen om kliniska läkemedelsprövningar. Denna EU-förordning trädde i kraft den 16 juni 2014, men det har ännu inte beslutats när den ska börja tillämpas. Enligt artikel 99 ska den börja tillämpas sex månader efter det att kommissionen har meddelat i Europeiska unionens officiella tidning att den EU-portal och den EU-databas som regleras i EU-förordningen är fullt funktionsdugliga. Det sker sannolikt inte tidigare än hösten 2019. Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar EU-förordningen om kliniska läkemedelsprövningar är bindande och direkt tillämplig i Sverige. Som ovan angetts är det dock inte klart när den ska börja tillämpas. Den 1 januari 2019 genomförs en organisationsförändring avseende den svenska etikprövningsorganisationen som innebär att de sex regionala etikprövningsnämnderna avvecklas och att etikprövning av forskning som avser människor i stället ska hanteras av en ny myndighet, Etikprövningsmyndigheten. Syftet är att öka effektiviteten och skapa en mer enhetlig tillämpning av regelverket (prop. 2017/18:45, bet. 2017/18:UbU12, rskr. 2017/18:173). Den nya myndigheten kommer att vara på plats när EU-förordningen ska börja tillämpas. I propositionerna Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196, bet. 2017/18:SoU29, rskr. 2017/18:417) och Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193, bet. 2017/18:UbU26, rskr. 2017/18:332) redogörs för de undantagsbestämmelser och kompletterande bestämmelser som i övrigt har bedömts behövas i svensk rätt med anledning av EU-förordningen. Etisk granskning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för forskningsändamål i forskning som består av klinisk läkemedelsprövning Enligt EU-förordningen om kliniska läkemedelsprövningar ska ansökningar om sådana prövningar genomgå vetenskaplig och etisk granskning och godkännas i enlighet med EU-förordningen. Den etiska granskningen ska utföras av en etikkommitté i enlighet med nationell rätt i den berörda medlemsstaten. Enligt definitionen i artikel 2.2.11 är en etikkommitté ett oberoende organ i en medlemsstat vilket inrättats i enlighet med nationell rätt i den medlemsstaten och som har befogenhet att avge yttranden i samband med tillämpningen av EU-förordningen, med beaktande av synpunkter från lekmän, i synnerhet patienter eller patientorganisationer. Varje berörd medlemsstat ska genom ett enda beslut underrätta sponsorn om huruvida den kliniska läkemedelsprövningen eller en väsentlig ändring av prövningen har beviljats tillstånd, har beviljats tillstånd på vissa villkor eller huruvida ansökan om tillstånd har avslagits (artiklarna 8.1, 14.3, 19.1, 20.5 och 23.1). Med sponsorn avses enligt förordningen person, företag, institution eller organisation som ansvarar för att inleda, leda och ordna med finansieringen av en klinisk prövning. I propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar föreslås att forskning som består i klinisk läkemedelsprövning framöver inte ska etikprövas enligt etikprövningslagen. Som ovan angivits (avsnitt 10.3) har riksdagen antagit regeringens förslag men bestämmelserna har ännu inte trätt i kraft. Forskning som består i klinisk läkemedelsprövning ska, när bestämmelserna har trätt i kraft, i stället genomgå etisk granskning enligt en ny lag med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Enligt den lagen ska den etiska granskningen utföras av Etikprövningsmyndigheten och resultatet av den etiska granskningen ska redovisas i ett yttrande som beslutas av Etikprövningsmyndigheten och lämnas till Läkemedelsverket (2 och 3 §§). Av propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196) framgår att Läkemedelsverket ska vara den myndighet i Sverige som fattar beslut om tillstånd till kliniska läkemedelsprövningar. De huvudsakliga skälen till detta är att Läkemedelsverket är central förvaltningsmyndighet för kontroll och tillsyn av läkemedel och även har till uppgift enligt läkemedelslagen att pröva frågor om tillstånd till kliniska läkemedelsprövningar. I Sverige kommer det således att vara Läkemedelsverket som fattar beslut i fråga om en ansökan om klinisk läkemedelsprövning. Enligt EU-förordningen gäller att en ansökan ska avslås bl.a. om en etikkommitté har avgett ett negativt yttrande som i enlighet med nationell rätt i den berörda medlemsstaten gäller för hela medlemsstaten (artiklarna 8.4, 14.10, 19.2, 20.7 och 23.4). I propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar föreslås att det i läkemedelslagen ska införas en bestämmelse som innebär att Läkemedelsverket inte får bifalla en ansökan om klinisk läkemedelsprövning om Etikprövningsmyndigheten i sitt yttrande anser att den bör avslås. Enligt 3 § i den nya lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel ska vad som anges i 7-11 §§ etikprövningslagen ligga till grund för Etikprövningsmyndighetens etiska bedömning av en ansökan om kliniska läkemedelsprövning. Utgångspunkterna för vad som ska beaktas vid etikprövningen framgår av 7-11 §§ etikprövningslagen. Där anges att 1. forskning bara får godkännas om den kan utföras med respekt för människovärdet, 2. mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid etikprövningen, samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning, 3. människors välfärd ska ges företräde framför samhällets och vetenskapens behov, 4. forskning bara får godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde, 5. forskning inte får godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet, 6. behandling av känsliga personuppgifter och personuppgifter om lag-överträdelser bara får godkännas om den är nödvändig för att forskningen skall kunna utföras, 7. forskning får godkännas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs. Ett beslut om etikgodkännande kan förenas med villkor. Detta används bl.a. i de fall integritetsaspekterna kan tas tillvara på ett tillfredsställande sätt genom särskilda villkor, istället för att en ansökan avslås. I propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar föreslås att det i läkemedelslagen ska införas en bestämmelse som innebär att om Etikprövningsmyndigheten efter sin granskning har avgett ett yttrande med villkor för prövningens genomförande ska Läkemedelsverket beakta villkoren vid tillståndsgivningen. Av propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar framgår, som ovan angivits, att den nya lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel ska träda i kraft den dag regeringen bestämmer. Regeringens bedömning i avsnitt 10.3 om att etikprövning enligt etikprövningslagen är en sådan fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter kommer således att gälla för klinisk läkemedelsprövning fram till dess att EU-förordningen om kliniska läkemedelsprövningar börjar tillämpas och den svenska kompletterande regleringen träder i kraft. I den direkt tillämpliga EU-förordningen om kliniska läkemedelsprövningar finns ett antal bestämmelser som rör data som genereras vid kliniska läkemedelsprövningar, se bl.a. artikel 3 (b), artikel 37 (4) och (8), artiklarna 41-43 och artikel 78. Enligt artikel 7 d) ska varje medlemsstat bedöma ansökans förenlighet med dataskyddsdirektivet. Enligt artikel 93 ska medlemsstaterna tillämpa dataskyddsdirektivet på den personuppgiftsbehandling som sker i medlemstatarna. Enligt artikel 94 i dataskyddsförordningen ska referenser till dataskyddsdirektivet tolkas som referenser till dataskyddsförordningen. Enligt skäl 161 i dataskyddsförordningen ska när det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar EU-förordningen om kliniska läkemedelsprövningar tillämpas. Som framgått ovan (avsnitt 7) har Artikel 29-gruppen efter att utkastet till lagrådsremiss remitterades antagit en vägledning om samtycke under förordning 2016/679, som kompletterar tidigare yttranden gällande samtycke (Guidelines on Consent under Regulation 2016/679, antagna den 10 april 2018). I denna vägledning uttalar Artikel 29-gruppen att när samtycke är den rättsliga grunden för att utföra forskning i enlighet med dataskyddsförordningen ska detta samtycke till behandlingen av personuppgifterna skiljas från andra krav på samtycke som tjänar som en etisk standard eller ett procedurkrav. Ett exempel på ett sådant procedurkrav där behandlingen inte är baserad på samtycke utan på en annan rättslig grund finns enligt Artikel 29-gruppen i EU-förordningen om kliniska läkemedelsprövningar. I dataskyddssammanhang ska den senare formen av samtycke betraktas som en ytterligare skyddsåtgärd. Samtidigt begränsar inte dataskyddsförordningen tillämpningen av artikel 6 till enbart samtycke när det gäller behandling av personuppgifter för forskningsändamål. Så länge som lämpliga skyddsåtgärder finns på plats i enlighet med kraven enligt artikel 89.1 och behandlingen av personuppgifter är rättvis, laglig, transparant och överensstämmer med principen om uppgiftsminimering och individuella rättigheter kan andra rättsliga grunder såsom artikel 6.1 e eller f, dvs. uppgift av allmänt intresse och personuppgiftsansvariges eller en tredje parts berättigade intresse, vara användbara. Detta gäller också för behandlingen av känsliga personuppgifter enligt undantaget från förbudet av sådan behandling i artikel 9.2 j. Prövning av läkemedel kan också ske på grundval av en unionsrättslig eller nationell lag enligt artikel 9.2 i, dvs. allmänt intresse på folkhälsoområdet. Artikel 29-gruppen uttalar också att artikel 6.1 c i dataskyddsförordningen, dvs. att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, kan vara tillämplig för de delar av behandlingen som är en rättslig förpliktelse såsom att generera tillförlitliga och robusta data i enlighet med prövningsprotokollet som godkänts av en medlemsstat i enlighet med EU-förordningen om kliniska läkemedelsprövningar (jfr. exempelvis med artiklarna 3 b och 6 i EU-förordningen om kliniska läkemedelsprövningar). När det gäller behandling av känsliga personuppgifter för bl.a. forskningsändamål krävs som beskrivits ovan ett stöd i svensk rätt utöver det som dataskyddsförordningen ger. Kraven enligt artikel 9.2 i eller j går utöver de krav som ställs på rättslig grund enligt artikel 6 i dataskyddsförordningen. Regeringen gör i föregående avsnitt bedömningen att etikprövning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läkemedelsprövningar. Enligt 3 § i den föreslagna lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel ska vad som anges i 7-11 §§ etikprövningslagen ligga till grund för den etiska bedömningen av en ansökan om kliniska läkemedelsprövning som ska göras av Etikprövningsmyndigheten. Den etiska granskningen av forskning som består i kliniska läkemedelsprövningar kommer alltså att vila på samma etiska överväganden som ska göras vid etikprövning. Regeringen gör därför bedömningen att etisk granskning är en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs enligt EU:s dataskyddsförordning för behandling av känsliga personuppgifter för forskningsändamål inom ramen för klinisk läkemedelsprövning. 11 Det behövs kompletterande nationella bestämmelser om skyddsåtgärder för behandling av personuppgifter om lagöverträdelser 11.1 Dataskyddsförordningen möjliggör en kompletterande nationell reglering för personuppgifter om lagöverträdelser Enligt dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av myndighet. Behandling av sådana uppgifter får också ske om behandlingen tillåts enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet (artikel 10). I dataskyddsdirektivet angavs att behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder fick utföras endast under kontroll av en myndighet eller, om lämpliga skyddsåtgärder fanns i nationell lag, med förbehåll för de ändringar som medlemsstaterna kunde tillåta med stöd av nationella bestämmelser som innehöll lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar fick dock föras endast under kontroll av en myndighet. Medlemsstaterna fick vidare föreskriva att uppgifter som rörde administrativa sanktioner eller avgöranden i tvistemål också skulle behandlas under kontroll av en myndighet (artikel 8.5). Med stöd av denna artikel i dataskyddsdirektivet infördes en paragraf i PUL som i första stycket angav att det var förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattade brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Av andra stycket framgick att sådana personuppgifter som avsågs i första stycket fick behandlas för forskningsändamål av andra än myndigheter om behandlingen hade godkänts enligt lagen om etikprövning av forskning som avser människor (21 § PUL). Dataskyddsförordningens formulering i artikel 10 första meningen, som avser fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder är, när det gäller vilken typ av uppgifter det är fråga om, något snävare än motsvarande bestämmelsen i den upphävda PUL (21 § första stycket). Den bestämmelsen avsåg lagöverträdelser som innefattade brott, domar i brottmål, dvs. både friande och fällande domar, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Begreppet säkerhetsåtgärder har bedömts likvärdigt med begreppet straffprocessuella tvångsmedel, som använts i PUL vid genomförande av dataskyddsdirektivet, vilket i likhet med dataskyddsförordningen anger säkerhetsåtgärder som begrepp. Det är därmed regeringens bedömning att vad som i praktiken skiljer definitionerna i PUL och dataskyddsförordningen åt är friande domar i brottmål och administrativa frihetsberövanden. Sådana uppgifter omfattas inte av de särskilda begränsningarna för behandling som framgår av artikel 10 i dataskyddsförordningen (prop. 2017/18:105 s. 98). I dataskyddslagen finns en bestämmelse som förtydligar att personuppgifter som avses i artikel 10 får behandlas av myndigheter (3 kap. 8 § första stycket). För att andra än myndigheter alls ska kunna behandla sådana personuppgifter om lagöverträdelser som framgår av artikel 10 måste detta tillåtas i unionsrätten eller nationell rätt, med fastställande av lämpliga skyddsåtgärder. Till skillnad från regleringen av känsliga personuppgifter i artikel 9 i dataskyddsförordningen finns ingen uttömmande uppräkning av tillåtna ändamål i artikel 10. Bestämmelser om behandling av sådana uppgifter för till exempel forskningsändamål är möjliga i nationell lagstiftning, precis som andra ändamål, under förutsättning att lämpliga skyddsåtgärder är fastställda. I dataskyddslagen anges att även andra än myndigheter får behandla personuppgifter som avses i artikel 10, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 § andra stycket). Det har även förts in ett bemyndigande i dataskyddslagen med innebörd att regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning (3 kap. 9 § första stycket). Det anges vidare att den myndighet som regeringen bestämmer även i enskilda fall får besluta att andra än myndigheter får behandla sådana uppgifter. Ett sådant beslut får förenas med villkor (3 kap. 9 § andra stycket). 11.2 Etikprövning ska vara en skyddsåtgärd vid behandling av personuppgifter om lagöverträdelser för forskningsändamål Regeringens bedömning: Etikprövning enligt etikprövningslagen är en sådan lämplig skyddsåtgärd, fastställd i svensk rätt, som krävs för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt EU:s dataskyddsförordning. Utredningens bedömning och förslag överensstämmer delvis med regeringens bedömning. Utredningen föreslår att det i forskningsdatalagen ska införas en bestämmelse som anger att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel ska få behandlas av andra än myndigheter med stöd av artikel 10 i dataskyddsförordningen om behandlingen är nödvändig och har godkänts enligt etikprövningslagen. I andra stycket i den föreslagna bestämmelsen föreslår utredningen att det ska upplysas om att av etikprövningslagen framgår övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål. Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Sveriges Kommuner och Landsting och Västra Götalands läns landsting instämmer i utredningens förslag och framhåller vikten av forskning med användande av personuppgifter om lagöverträdelser m.m., men också att sådan behandling alltid måste föregås av en prövning enligt etikprövningslagen. Kammarrätten i Stockholm anser att bestämmelsens begränsning till att endast avse andra än myndigheter kan ifrågasättas, även om det enligt artikel 10 i dataskyddsförordningen är nödvändigt med särskild reglering för att andra än myndigheter ska få behandla nämnda personuppgifter. Statens medicinsk-etiska råd (Smer) anser att förtydligande behövs när det gäller formuleringen vid tillåtelse av behandling av personuppgifter om lagöverträdelser m.m. "när denna är nödvändig för att uppnå forskningsändamålet". Regionala etikprövningsnämnden i Lund konstaterar att förslaget till 12 § forskningsdatalag, som är anpassat efter innehållet i artikel 10 i dataskyddsförordningen, innebär att skyddet för sådana personuppgifter som behandlas i bestämmelsen har inskränkts i förhållande till gällande rätt. Utredningens förslag att 3 § etikprövningslagen lämnas oförändrad innebär därför att etikprövning kommer att ske av fler uppgifter än de som ges skydd av dataskyddsförordningen och forskningsdatalagen. Det kan, enligt nämndens uppfattning, skapas praktiska tillämpningsproblem och förvirring i forskarsamhället om det inte råder förenlighet mellan vad som krävs enligt forskningsdatalagen och vilka uppgifter som omfattas av etikprövning. Datainspektionen avstyrker utredningens förslag avseende 12 § andra stycket forskningsdatalagen eftersom bestämmelsen är otydlig på så sätt att bestämmelsen i sig eller de villkor som framgår av etikprövningsnämnders beslut kan komma att uppfattas som den rättsliga regleringen av behandling av personuppgifter om lagöverträdelser trots att dataskyddsförordningens krav alltid är tillämpliga. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Luleå kommun anser att förslaget om att utöka kravet på etikprövning till myndigheter samt att det ska gälla även friande domar m.m. är en lämplig skyddsåtgärd. Datainspektionen anser att etikprövning är en viktig skyddsåtgärd, men framhåller att en förutsättning för att etikprövningen ska kunna vara en skyddsåtgärd i dataskyddsförordningens mening är att etikprövningsnämnder utgår från förordningens krav, när de tar ställning till frågor som rör personuppgiftsbehandling. Skälen för regeringens bedömning Andra än myndigheter ska få behandla sådana personuppgifter som avses i artikel 10 för forskningsändamål Som framgått av avsnitt 11.1 anges i artikel 10 att myndigheter får behandla personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. Detta gäller även behandling för forskningsändamål. För andra än myndigheter krävs att behandlingen är tillåten enligt unionsrätten eller nationell rätt. Här möjliggör alltså dataskyddsförordningen kompletterande nationell lagstiftning. Sådan lagstiftning ska även fastställa lämpliga skyddsåtgärder. Det är regeringens uppfattning att det finns behov av att kunna behandla personuppgifter om lagöverträdelser för forskningsändamål även för andra forskningsaktörer än myndigheter. Dataskyddsförordningens möjlighet till nationell reglering i det aktuella fallet bör därför utnyttjas när behandling är nödvändig för forskningsändamål. Etikprövning är en lämplig skyddsåtgärd för såväl offentliga som privata forskningsutförare vid sådan behandling av uppgifter som avses i artikel 10 I avsnitt 10.3 har regeringen utvecklat skälen till varför regeringen anser att etikprövning enligt etikprövningslagen uppfyller kraven på lämplig och särskild skyddsåtgärd enligt dataskyddsförordningen när det gäller behandling av känsliga personuppgifter för forskningsändamål. Av motsvarande skäl anser regeringen att etikprövning är en lämplig skyddsåtgärd även vid behandling av sådana personuppgifter som avses i artikel 10. Krav på skyddsåtgärder vid personuppgiftsbehandling framgår vidare inte bara enligt artikel 10. Att sådana krav finns för all personuppgiftsbehandling för forskningsändamål framgår av artikel 89.1. Skäl 156 anger att sådana skyddsåtgärder bör införas i nationell rätt. Det är därför regeringens bedömning att det är förenligt med kravet på skyddsåtgärder i artikel 89.1 att låta även myndigheters behandling av personuppgifter om lagöverträdelser omfattas av kravet på etikprövning. Regeringen anser således att det ska framgå av nationell rätt att sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen ska få behandlas för forskningsändamål om behandlingen har godkänts enligt etikprövningslagen. Samma krav på etikprövning ska fortsätta gälla även för behandling av personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administrativa frihetsberövanden Som framgått av redogörelsen ovan skiljer sig de kategorier av personuppgifter som avses i artikel 10 i dataskyddsförordningen något åt från de kategorier av personuppgifter om lagöverträdelser som omfattats av kravet på etikprövning enligt PUL och etikprövningslagen. Att begränsa den nationella kompletterande regleringen till att avse sådana personuppgifter som avses i artikel 10 skulle innebära att behandlingar av personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administrativa frihetsberövanden, vilka i dag omfattas av kravet på etikprövning, inte kommer vara förenade med samma skydd framöver. Regeringen anser inte att en sådan försämring av den registrerades skydd är befogad, även med beaktande av intresset av en harmoniserad reglering av personuppgiftsskyddet. Regeringen anser vidare att det med stöd av artikel 89.1 i dataskyddsförordningen är möjligt att införa krav på sådana särskilda skyddsåtgärder även för behandling av vissa personuppgifter som faller utanför tillämpningsområdet för artikel 10. Artikel 89.1 kräver, som framgått, lämpliga skyddsåtgärder för behandling av personuppgifter för forskningsändamål generellt och det är regeringens bedömning att det är möjligt att fastställa sådana skyddsåtgärder i form av ett krav på godkännande vid etikprövning i nationell rätt med stöd av skäl 156. Genom att den definition som idag framgår av 3 § etikprövningslagen behålls, bortsett från hänvisningen till 21 § PUL, kommer kravet på etikprövning av såväl de personuppgifter som avses i artikel 10 i dataskyddsförordningen, som de uppgifter som inte anges där, men idag omfattas av krav på etikprövning, att gälla även fortsättningsvis. Behandling av personuppgifter om lagöverträdelser bör enligt utredningens bedömning omfattas av kravet på etikprövning oavsett vilken rättslig grund behandlingen baseras på, vilket överensstämmer med dagens reglering. Andra stycket i utredningens förslag till paragraf som upplyser om att övriga krav på etikprövning av behandling av personuppgifter om lagöverträdelser för forskningsändamål framgår av etikprövningslagen, är avsett att vara av upplysande karaktär så att tillämparen påminns om att all behandling av sådana personuppgifter för forskningsändamål, oavsett rättslig grund i artikel 6, måste etikprövas. Etikprövningslagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 §). Som nämnts i avsnitt 10.3 innehöll paragrafen tidigare en bestämmelse om att forskning som innefattar behandling av de i paragrafen angivna personuppgifterna ska bli föremål för etikprövning endast i fall där försökspersonen inte hade gett sitt uttryckliga samtycke till behandlingen. Denna bestämmelse togs bort i samband med en lagändring som trädde i kraft år 2008 (prop. 2007/08:50). Ändringen innebar att sedan dess ska all forskning som innebär behandling av de i paragrafen angivna kategorierna av personuppgifter etikprövas, oavsett om samtycke har lämnats eller inte. Ett samtycke till behandlingen ersätter således inte kravet på etikprövning. Enligt regeringens uppfattning är därför bestämmelsen i andra stycket i den av utredningen föreslagna bestämmelsen överflödig och bör inte införas. Regeringen anser sammanfattningsvis att personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden ska få behandlas för forskningsändamål om behandlingen är nödvändig för ändamålet och har godkänts enligt etikprövningslagen. Detta krav ska gälla oavsett om det är fråga om en offentlig eller privat forskningsutförare och oavsett med stöd av vilken rättslig grund i artikel 6.1 som behandlingen utförs. Som regeringen har anfört i avsnitt 7.2.2 anser regeringen att om ett forskningsprojekt har godkänts enligt etikprövningslagen så har forskningen erkänts i svensk rättsordning på ett sådant sätt att utförande av forskningsuppgiften är en i svensk rätt fastställd uppgift av allmänt intresse. Behövs det ytterligare reglering? När det gäller regleringen i etikprövningslagen och dess förhållande till dataskyddsförordningen kan det konstateras att nuvarande reglering innebär att det i 2 § etikprövningslagen anges att med behandling av personuppgifter avses sådan behandling av personuppgifter som anges i 3 § PUL och att det i 3 § etikprövningslagen anges att lagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL. Sådan forskning får bara utföras om den har godkänts vid en etikprövning (6 § etikprövningslagen). Behandlingen av personuppgifter får bara godkännas om den är nödvändig för att forskningen ska kunna utföras (10 § etikprövningslagen). I enlighet med vad regeringen utvecklar i avsnitt 12 föreslår regeringen dels att hänvisningen i 2 § etikprövningslagen, till definitionen av behandling av personuppgifter i 3 § PUL, ska ersättas med en hänvisning till motsvarande definition i artikel 4.2 i dataskyddsförordningen, dels att hänvisningen i 3 § 1 etikprövningslagen till 13 § PUL ska ersättas av en hänvisning till motsvarande bestämmelser i dataskyddsförordningen samt att 3 § 2 etikprövningslagen endast ska anpassas på så vis att hänvisningen till 21 § PUL ska tas bort men uppräkningen av de kategorier av uppgifter om lagöverträdelser som omfattas av kravet på etikprövning ska finnas kvar. En bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag ska anges att personuppgifter om lagöverträdelser får med stöd av artikel 10 i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt etikprövningslagen, får då närmast karaktären av en upplysningsbestämmelse, eftersom redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 10 och artikel 89.1. Regeringen återkommer i avsnitt 15 till frågan om det trots denna bedömning finns skäl att införa en bestämmelse i enlighet med utredningens förslag i en särskild forskningsdatalag. 12 Det krävs följdändringar i bestämmelserna om etikprövningslagens tillämpningsområde Regeringens förslag: Bestämmelsen i etikprövningslagen, som reglerar att behandling av personuppgifter avser sådan behandling av personuppgifter som anges i personuppgiftslagen, ska ersättas med en hänvisning till dataskyddsförordningen. Etikprövningslagen ska tillämpas på forskning som innefattar behandling av: 1. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (känsliga personuppgifter), eller 2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: En majoritet av de remissinstanser som yttrat sig tillstyrker eller har inga invändningar mot förslaget. Detta gäller bl.a. landstingen i Västra Götalands läns landsting, Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län samt Regionala etikprövningsnämnden i Göteborg och Sveriges läkarförbund. Regionala etikprövningsnämnden i Lund konstaterar att förslaget till 12 § forskningsdatalag, som är anpassat efter innehållet i artikel 10 i dataskyddsförordningen, innebär att skyddet för sådana personuppgifter som behandlas i bestämmelsen har inskränkts i förhållande till gällande rätt. Utredningens förslag att 3 § etikprövningslagen lämnas oförändrad innebär därför att etikprövning kommer att ske av fler uppgifter än de som ges skydd av dataskyddsförordningen och forskningsdatalagen. Det kan, enligt nämndens uppfattning, skapas praktiska tillämpningsproblem och förvirring i forskarsamhället om det inte råder förenlighet mellan vad som krävs enligt forskningsdatalagen och vilka uppgifter som omfattas av etikprövning. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Ingen av de remissinstanser som har yttrat sig har kommenterat förslaget specifikt. Skälen för regeringens förslag: Etikprövningslagen ska enligt 3 § tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL. Med behandling av personuppgifter avses enligt 2 § etikprövningslagen sådan behandling som anges i 3 § PUL. Den sistnämnda hänvisningen bör tas bort och ersättas med en hänvisning till definitionen av behandling enligt artikel 4.2 i dataskyddsförordningen. Som framgått av avsnitt 9.7 och 10 är dataskyddsförordningens definition av särskilda kategorier av personuppgifter (i 3 kap. 1 § dataskyddslagen benämnda känsliga personuppgifter), vidare än dataskyddsdirektivets och PUL:s definitioner. I dataskyddsförordningen utvidgas de särskilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Om godkänd etikprövning ska vara ett krav för att få behandla känsliga personuppgifter för forskningsändamål i enlighet med dataskyddsförordningens definition innebär det således ett visst utökat tillämpningsområde för etikprövningslagen till följd av den EU-rättsliga utvecklingen. Som framgått av avsnitt 11 skiljer sig vidare de kategorier av personuppgifter som omfattas av artikel 10 i dataskyddsförordningen något från de kategorier av personuppgifter om lagöverträdelser som omfattats av kravet på etikprövning enligt etikprövningslagen och den upphävda PUL. Som nämnts i avsnitt 11 är det regeringens bedömning att det som i praktiken skiljer definitionen i dataskyddsförordningen från den i PUL är att personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administrativa frihetsberövanden omfattas av den upphävda PUL, men inte av artikel 10. I avsnitt 10.3 har regeringen tagit ställning för att etikprövning enligt etikprövningslagen ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter enligt dataskyddsförordningens vidare definition, vid behandling för forskningsändamål. I avsnitt 11.2 har regeringen gjort motsvarande ställningstagande i fråga om sådana uppgifter om lagöverträdelser som motsvarar PUL:s definition. Med anledning härav föreslår regeringen att 3 § etikprövningslagen ändras i enlighet härmed och att hänvisningarna i den paragrafen till PUL tas bort. Som påpekats i avsnitt 3 är regeringens avsikt med denna proposition att föreslå nödvändiga anpassningar till dataskyddsförordningen. De ställningstaganden som gjorts i avsnitt 10.3 och 11.2 i fråga om att etikprövning enligt etikprövningslagen ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter och uppgifter om lagöverträdelser vid behandling för forskningsändamål överensstämmer med utredningens bedömning. Utredningen bedömer samtidigt att det föreligger ett behov av att analysera möjligheterna till en mer ändamålsenlig och differentierad etikprövning av personuppgiftsbehandling som typiskt sett kan anses innebära en lägre risk för integritetsintrång. Den frågan behandlas inte i denna proposition. Fortsatt arbete med de aktuella författningarna kommer däremot att ske bl.a. i samband med beredningen av förslagen i betänkandet Etikprövning - en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104). 13 Bör det föreskrivas undantag från vissa av de rättigheter som den registrerade har? 13.1 Dataskyddsförordningen möjliggör undantag från vissa rättigheter Som har nämnts i avsnitt 4.6 har den registrerades rättigheter förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Det är bl.a. fråga om ökad rätt till information, rätt till tillgång, rätt till rättelse, rätt till radering, rätt till begränsning av behandling, rätt till dataportabilitet och rätt att göra invändningar (artiklarna 12-22). Det finns direkt tillämpliga undantag från vissa av dessa rättigheter och möjlighet att i nationell rätt göra undantag från vissa rättigheter i dataskyddsförordningen, enligt vad som beskrivs nedan. När det gäller vissa av den registrerades rättigheter framgår undantag direkt av dataskyddsförordningen Vilken information som ska lämnas till den registrerade när personuppgifterna inte har inhämtats från den registrerade regleras i artikel 14.1-4. Enligt artikel 14.5 b ska bestämmelserna i artikeln inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bl.a. forskningsändamål i enlighet med artikel 89.1, eller i den mån skyldigheten att lämna information sannolikt kommer att göra det omöjligt eller avsevärt försvåra uppfyllandet av målen med den aktuella behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten. Den rätt till radering som regleras i artikel 17.1 och 17.2 ska enligt artikel 17.3 d inte gälla i den utsträckning som behandlingen är nödvändig för bl.a. forskningsändamål enligt artikel 89.1, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen. Rätten att göra invändning mot behandling av personuppgifter enligt artikel 21 gäller om behandlingen grundar sig på artikel 6.1 e eller f. Om personuppgifter behandlas för bl.a. forskningsändamål ska den registrerade enligt artikel 21.6 ha rätt att göra invändningar mot behandlingen avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Dataskyddsförordningen möjliggör även att det föreskrivs undantag från vissa av den registrerades rättigheter i nationell rätt Det är möjligt att i nationell rätt göra undantag från den personuppgiftsansvariges skyldighet att lämna information till den registrerade när personuppgifterna inte har inhämtats från den registrerade. I artikel 14.5 c anges att punkterna i 14.1-4 inte ska tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Om personuppgifter behandlas för forskningsändamål får det enligt artikel 89.2 i unionslagstiftningen eller medlemsstaternas nationella lagstiftning föreskrivas om undantag från de rättigheter som framgår av artikel 15 (rätten till tillgång), artikel 16 (rätten till rättelse), artikel 18 (rätten till begränsning av behandling) och artikel 21 (rätten att göra invändningar), med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Undantag från dessa rättigheter får endast föreskrivas i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål. Vissa rättigheter gäller inte om den registrerade inte är möjlig att identifiera En viktig och direkt tillämplig reglering i dataskyddsförordningen är att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen. Det är vanligt att det saknas direkt identifierande uppgifter i sådana personuppgifter som behandlas för forskningsändamål, exempelvis när uppgifterna kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgifter som gör det möjligt att exempelvis göra registerutdrag eller ens avgöra om uppgifter om en viss person behandlas. Om den personuppgiftsansvarige kan visa att denne inte kan identifiera den registrerade ska artiklarna 15-20 inte gälla, förutom när den registrerade tillhandahåller ytterligare information som gör identifieringen möjlig (artikel 11, jfr även skäl 57). Det är viktigt att upprätthålla integritetsskyddet i forskningen Det är av stor vikt att bestämmelserna som reglerar personuppgiftsbehandling för forskningsändamål ger goda förutsättningar för forskningen, samtidigt som den registrerades fri- och rättigheter skyddas. Det är viktigt att upprätthålla integritetsskyddet i samband med forskning, inte minst för dem som deltar i forskningsprojekt. Nedan behandlas frågorna om undantag bör göras i nationell rätt från den personuppgiftsansvariges skyldighet enligt artikel 14 att tillhandahålla information till den registrerade när uppgifterna inte har erhållits från honom eller henne (avsnitt 13.2), från rätten till tillgång enligt artikel 15 (avsnitt 13.3), från rätten till rättelse enligt artikel 16 (avsnitt 13.4), från rätten enligt artikel 18 till begränsning av behandling (avsnitt 13.5) och från rätten enligt artikel 21 att göra invändningar (avsnitt 13.6). 13.2 Undantaget från informationsskyldigheten när personuppgifter lämnas ut för forskningsändamål följer direkt av dataskyddsförordningen och svensk rätt Regeringens förslag: Bestämmelsen om utlämnande av personuppgifter i etikprövningslagen ska upphävas. Regeringens bedömning: Rätten att ta del av allmänna handlingar och myndigheters skyldighet att lämna ut allmänna handlingar i enlighet med offentlighetsprincipen gäller oavsett för vilket ändamål utlämnandet sker. Rätten respektive skyldigheten gäller dock inte i den utsträckning handlingarna innehåller sekretessbelagda uppgifter. Myndigheters skyldighet enligt offentlighets- och sekretesslagen att dels på begäran av en enskild lämna ut uppgifter ur en allmän handling, dels på begäran av en annan myndighet lämna ut uppgifter som myndigheten förfogar över, gäller också oavsett för vilket ändamål utlämnandet sker, under förutsättning att uppgifterna inte är sekretessbelagda eller det skulle hindra arbetets behöriga gång. Regleringen innebär att ett erhållande eller utlämnande av uppgifter uttryckligen är föreskrivet i svensk rätt i enlighet med artikel 14.5 c i EU:s dataskyddsförordning och att artikel 14.1-4 om den personuppgiftsansvariges informationsskyldighet inte behöver tillämpas i dessa fall. Någon särskild föreskrift behöver inte införas för att detta ska gälla vid myndigheters utlämnande av uppgifter för forskningsändamål. Någon upplysningsbestämmelse bör inte införas. För andra personuppgiftsansvariga än myndigheter och sådana enskilda som jämställs med myndigheter vid tillämpningen av bestämmelserna om rätt att ta del av allmänna handlingar och offentlighets- och sekretesslagen, kan undantaget från informationsskyldigheten enligt artikel 14.5 b i dataskyddsförordningen vara tillämpligt. Sådana villkor som kan uppställas i samband med godkännande enligt etikprövningslagen kan även fortsättningsvis avse information som ska lämnas till den registrerade vid personuppgiftsbehandling för forskningsändamål. Utredningens förslag överensstämmer inte med regeringens förslag och bedömning. Utredningen har föreslagit att bestämmelsen i 12 § etikprövningslagen om att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt, överförs till forskningsdatalagen och omformuleras, så att det framgår att personuppgifter får lämnas ut för att behandlas för forskningsändamål om inte något annat följer av regler om sekretess och tystnadsplikt samt att det anges att vid sådan personuppgiftsbehandling behöver artikel 14.1-4 i EU:s dataskyddsförordning, inte iakttas. Detta undantag hindrar enligt förslaget inte att villkor som meddelas enligt etikprövningslagen får avse information som ska lämnas till den registrerade. Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Detta gäller bl.a. Regionala etikprövningsnämnden i Göteborg och Brottsförebyggande rådet. Arbetsgivarverket ställer sig tveksamt till bestämmelsens utformning med anledning av att offentlighets- och sekretesslagen på ett heltäckande sätt reglerar frågor som berör utlämnande av uppgifter, således även uppgifter som är avsedda för forskningsändamål. Arbetsgivarverket föreslår därför att paragrafens första mening formuleras om som en hänvisning till vad som stadgas i offentlighets- och sekretesslagen, men att bestämmelsen i övrigt behålls oförändrad. Malmö högskola anser att bestämmelsen innebär ett generellt undantag från informationsplikten enligt artikel 14 som saknar stöd i förordningen. Regionala etikprövningsnämnden i Umeå ifrågasätter den svepande formuleringen, vilken går längre än artikel 14.5 b och inte räddas av de föreslagna skyddsåtgärderna i forskningsdatalagen eller en hänvisning till etikprövningen. Datainspektionen avstyrker förslaget i sin nuvarande utformning. Inspektionen anser dels att bestämmelsen brister i tydlighet på ett sådant sätt att den inte är förenlig med förordningen, dels att utredningen inte har visat att de skyddsåtgärder som föreslås uppfyller det krav på lämpliga skyddsåtgärder som följer av artikel 14.5 c. Förslaget och bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens förslag och bedömning. Remissinstanserna: En majoritet av de som yttrat sig instämmer i förslaget och bedömningen eller har inga synpunkter. Detta gäller bl.a. Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern (JK), Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Centrala etikprövningsnämnden, Göteborgs universitet, Karlstads universitet, Malmö universitet, Örebro universitet, Jönköping University, Brottsförebyggande rådet, Försvarsmakten, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgivarverket, Kungl. Biblioteket och Riksarkivet. Regionala etikprövningsnämnden i Umeå instämmer såväl i att bestämmelserna i OSL om rätten att ta del av allmänna handlingar och skyldigheten att lämna ut sådana får betraktas som sådana nationella bestämmelser som avses i artikel 14.5 c, som i att OSL:s och andra lagars bestämmelser om sekretess och tystnadsplikt får anses vara fastställda lämpliga åtgärder för att skydda den registrerades intressen. Etikprövningsnämnden anser dock att det borde finnas en hänvisning till OSL i den forskningsdatalag nämnden förordar ska införas och OSL:s betydelse för tillämpningen av artikel 14. Pensionsmyndigheten ställer sig tveksam till att undantagsbestämmelsen i artikel 14.5 c ska ges en så extensiv tolkning. Pensionsmyndigheten noterar i sammanhanget att informationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in personuppgifter, det vill säga mottagaren av uppgifterna och inte utlämnande myndighet. Luleå kommun anser att regeringen bör beakta Datainspektionens kritik gällande lämpliga skyddsåtgärder noggrannare. De förtydliganden regeringen gör i dessa delar är enligt Luleå kommuns uppfattning inte tillräckliga. Därtill bör tilläggas att offentlighetsprincipen får, även med beaktande av andra länders regleringar, i ett internationellt och europeiskt perspektiv anses vara en unik reglering. Detta medför att det skydd som följer av sekretess och tystnadsplikt, för att minska det integritetsintrång som offentlighetsprincipen kan leda till, inte kan anses uppfylla de krav på lämpliga skyddsåtgärder som följer av artikel 14.5 c dataskyddsförordningen. Det får snarare anses vara en del av att följa den grundläggande dataskyddsstandard som följer av dataskyddsförordningen. Stockholms universitet framför att eftersom TF och OSL uppfyller andra syften än dataskyddsförordningen (se exempelvis HFD 2015 ref. 57 och HFD 2015 ref. 71) är det svårt att överblicka i vad mån syftet med artikel 14 kan uppnås genom allmänhetens tillgång till allmänna handlingar. I utkastet till lagrådsremissen förs inget resonemang om huruvida rätten till tillgång till allmänna handlingar i varje situation täcker in den rätt till information som den enskilde har rätt till enligt 14.1-4. Det är exempelvis av relevans huruvida de informationsbärande handlingarna vid varje tillfälle är upprättade eller inkomna till myndigheten. Stockholms universitet ställer sig frågande till möjligheten att stödja ett undantag från artikel 14.1-4 dataskyddsförordningen på en reglering som inte fullt ut täcker de rättigheter som artikeln avser att skydda. Skälen för regeringens förslag och bedömning Bestämmelsen i etikprövningslagen har sin grund i personuppgiftslagen Det finns en bestämmelse i etikprövningslagen som reglerar utlämnande av personuppgifter. I den anges att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt (12 §). Enligt förarbetena till bestämmelsen ska den läsas mot bakgrund av 24 § i den numera upphävda PUL. Av den paragrafens första stycke framgick att om personuppgifter hade samlats in från någon annan källa än den registrerade, skulle den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registrerades. Om uppgifterna var avsedda att lämnas ut till tredje man, behövde informationen dock inte ges förrän uppgifterna lämnades ut för första gången. Enligt andra stycket behövde emellertid sådan information inte lämnas, om det fanns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Bestämmelsen i 24 § andra stycket PUL baserades på artikel 11.2 i dataskyddsdirektivet. Av första punkten i artikel 11 framgick i huvudsak att om uppgifterna inte hade samlats in från den registrerade skulle medlemsstaterna föreskriva att den registeransvarige vid tiden för registrerandet eller senast när uppgifterna först lämnades ut skulle ge den registrerade information om bland annat den registeransvariges identitet, ändamålet med behandlingen, mottagare av uppgifterna och den registrerades rättigheter. I artikel 11.2 angavs att bestämmelserna i punkt 1 inte skulle gälla när det, särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål, visade sig omöjligt eller innebar en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrevs i författning. I sådana fall skulle medlemsstaterna föreskriva lämpliga skyddsåtgärder. Artikel 11.2 i dataskyddsdirektivet införlivades således i svensk rätt genom 24 § PUL. För att en personuppgiftsansvarig inte skulle behöva beakta kravet på information till den registrerade enligt 24 § första stycket krävdes alltså att det fanns bestämmelser om registrering eller utlämnande av personuppgifter i en lag eller någon annan författning. Ursprungligen fanns det i 19 § tredje stycket PUL en bestämmelse om utlämnande av uppgifter för forsknings- och statistikändamål som syftade till att uppfylla kravet i 24 § andra stycket PUL. I samband med att etikprövningslagen infördes överfördes den del av bestämmelsen som avsåg utlämnande av personuppgifter för forskning till etikprövningslagen. Det finns möjligheter till nationell reglering i dataskyddsförordningen I artikel 14 i dataskyddsförordningen regleras information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Av artikel 14.1 framgår bl.a. vilken slags information som den personuppgiftsansvarige ska förse den registrerade med samt att den registrerade ska informeras om ändamålen med behandlingen, vilken rättslig grund behandlingen har och vilka mottagare som eventuellt ska ta del av uppgifterna. Av artikel 14.2 framgår bland annat vilken information, utöver den som avses i artikel 14.1, som den personuppgiftsansvarige ska lämna till den registrerade för att säkerställa en rättvis och transparent behandling. Artikel 14.3 anger vissa tidsangivelser för när informationen enligt de föregående punkterna ska lämnas och artikel 14.4 rör information vid ytterligare behandling av personuppgifterna för ett annat syfte än det för vilket uppgifterna samlades in. Artikel 14.5 anger slutligen under vilka förutsättningar artikel 14.1-4 inte behöver tillämpas. Enligt artikel 14.5 c gäller detta om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Det behöver tydliggöras hur undantaget från informationsskyldigheten blir tillämpligt Under utarbetandet av etikprövningslagen yttrade sig Lagrådet över regeringens lagförslag. När det gäller den bestämmelse som sedan blev 12 § etikprövningslagen var Lagrådets uppfattning att det var svårt att se att bestämmelsen hade den innebörden att den forskare som i enlighet med bestämmelsen hämtar in personuppgifter från något annat håll än den registrerade inte självklart skulle behöva informera den registrerade om sin behandling. Enligt Lagrådets uppfattning gav bestämmelsen snarare intryck av att vara en upplysning riktad till den som avses lämna ut personuppgifter till en forskare om att detta är möjligt såvida inte sekretess eller tystnadsplikt lägger hinder i vägen. Lagrådet ansåg därför att om bestämmelsen skulle vara en sådan lagreglering, som enligt 24 § andra stycket PUL medförde att information enligt 24 § första stycket PUL inte behövde lämnas ut, borde bestämmelsen utformas så att detta klart framgick. Lagrådets förslag var att en sådan bestämmelse placerades som inledande paragraf under rubriken "Information och samtycke" enligt följande lydelse: "Vid forskning som avses i 3 § behöver 24 § PUL (1998:204) inte iakttas. Detta hindrar inte att villkor enligt 7 § får avse den information som skall lämnas till den registrerade." Regeringen följde dock inte Lagrådets förslag med motiveringen att det enligt EG-direktivet krävdes att utlämnande föreskrevs uttryckligen i författning, varför regeringen föreslog en bestämmelse som föreskrev att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt. Enligt regeringens uppfattning fick risken för missförstånd bedömas som liten. Lagrådets föreslagna alternativa skrivning ansåg regeringen vara mindre väl förenlig med EG-direktivet, eftersom något utlämnande då inte skulle föreskrivas i författning utan det bara skulle vara fråga om ett undantag från informationsskyldigheten (prop. 2002/03:50 s.175 f.). Forskningsdatautredningen har föreslagit att bestämmelsen om utlämnande av personuppgifter i 12 § etikprövningslagen överförs till den föreslagna forskningsdatalagen och omformuleras, så att det framgår att personuppgifter får lämnas ut för att behandlas för forskningsändamål om inte något annat följer av regler om sekretess och tystnadsplikt samt att det anges att vid sådan personuppgiftsbehandling behöver artikel 14.1-4 i EU:s dataskyddsförordning, inte iakttas. Detta undantag hindrar enligt förslaget inte att villkor som meddelas enligt etikprövningslagen får avse information som ska lämnas till den registrerade. Datainspektionen anser att den föreslagna bestämmelsen brister i tydlighet på ett sådant sätt att den inte är förenlig med förordningen. Datainspektionen anser bl.a. att bestämmelsen inte innehåller något uttryckligt förordnande och inte uppfyller kraven på tydlighet, precisering och förutsägbarhet samt proportionalitet. Malmö högskola anser att bestämmelsen innebär ett generellt undantag från informationsplikten enligt artikel 14 som saknar stöd i förordningen och Regionala etikprövningsnämnden i Umeå ifrågasätter den svepande formuleringen, vilken enligt etikprövningsnämnden går längre än artikel 14.5 b och inte räddas av de föreslagna 8-10 §§ forskningsdatalagen eller en hänvisning till etikprövningen. Regeringen delar i huvudsak dessa uppfattningar av följande skäl. Kravet på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter innebär antingen en rätt att få uppgifter eller en uppgiftsskyldighet Enligt artikel 14.5 c ska artikel 14.1-4 inte tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Forskning är i dataskyddsförordningen ett priviligierat ändamål för behandling av personuppgifter. Det framgår av artikel 5.1 b att personupp-gifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Detta är en grundläggande princip i såväl dataskyddsdirektivet som dataskyddsförordningen (finalitetsprincipen). Trots detta görs det ett generellt undantag från denna princip bl.a. för forskning. I artikel 5.1 b andra meningen anges nämligen att ytterligare behandling för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 inte ska anses vara oförenligt med de ursprungliga ändamålen. Den möjlighet att göra undantag från bestämmelserna i artikel 14.1-4 som föreskrivs i artikel 14.5 c är en generell möjlighet till undantag, så till vida att den gäller oavsett ändamål. Det behöver således inte vara fråga om ett sådant priviligierat ändamål som forskning. Att dataskyddsförordningen blir direkt tillämplig som lag i svensk rätt och därmed inte ska implementeras utgör en avgörande skillnad mot dataskyddsdirektivet. Enligt regeringens mening kan kravet i artikel 14.5 på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter i nationell rätt inte tolkas på annat sätt än som ett krav på föreskrifter om en rätt att få uppgifter eller föreskrifter om en uppgiftsskyldighet. Att, som utredningen föreslagit, föreskriva att personuppgifter får lämnas ut för att behandlas för forskningsändamål är snarare att anse som en upplysning om finalitetsprincipen och undantaget för forskningsändamål, enligt vad som beskrivits ovan. Det krävs således, enligt regeringens uppfattning, en tydligare uppgiftsskyldighet för att undantaget från informationsskyldigheten i artikel 14.5 c ska bli tillämpligt. Utredningens förslag uppfyller därmed enligt regeringens uppfattning inte kraven enligt dataskyddsförordningen. För myndigheter finns uttryckliga föreskrifter om rätt att ta del av allmänna handlingar och om skyldighet att lämna ut uppgifter Arbetsgivarverket ställer sig tveksamt till utformningen av den bestämmelse som utredningen har föreslagit med anledning av att offentlighets- och sekretesslagen (2009:400, OSL) på ett heltäckande sätt reglerar frågor som berör utlämnande av uppgifter, således även uppgifter som är avsedda för forskningsändamål. Arbetsgivarverket föreslår därför att paragrafens första mening formuleras om som en hänvisning till vad som stadgas i OSL, men att bestämmelsen i övrigt behålls oförändrad. Regionala etikprövningsnämnden i Umeå anser att det borde finnas en hänvisning till OSL i den forskningsdatalag som nämnden förordar införs. Av OSL framgår att en myndighet dels på begäran av en enskild ska lämna ut uppgifter ur en allmän handling (6 kap. 4 §), dels på begäran av en annan myndighet ska lämna ut uppgifter som myndigheten förfogar över (6 kap. 5 §), i båda fallen under förutsättning att uppgifterna inte är sekretessbelagda eller att ett utlämnande skulle hindra arbetets behöriga gång. Den förstnämnda bestämmelsen kompletterar bestämmelserna om rätten att ta del av allmänna handlingar i 2 kap. 1 § tryckfrihetsförordningen (TF). Sistnämnda rätt gäller i den utsträckning uppgifter i de allmänna handlingarna inte är sekretessbelagda (2 kap. 2 § TF och 1 kap. 1 § och 3 kap. 1 § OSL). Av TF framgår dessutom ett skyndsamhetskrav, som innebär att myndigheten ska behandla en begäran att få ut uppgifter skyndsamt, samt en möjlighet att överklaga ett beslut om avslag på begäran om utlämnande (2 kap. 12 och 15 §§ TF). Rätten att ta del av uppgifter ur allmänna handlingar enligt 6 kap. 4 § OSL är inte lika långtgående som rätten att ta del av allmänna handlingar enligt TF då den, förutom att den i likhet med rätten att ta del av allmänna handlingar inte omfattar sekretessbelagda uppgifter, dels är begränsad av ett villkor om att ett utlämnande inte behöver ske i den utsträckning det stör arbetets behöriga gång, dels inte är förenad med en överklagandemöjlighet. När det gäller den gemensamma begränsningen att såväl rätten att ta del av allmänna handlingar som bestämmelsen om myndigheters uppgiftsskyldighet i 6 kap. 4 § OSL inte gäller sekretessbelagda uppgifter kan konstateras att OSL är en ca 100 sidor lång lag som innehåller väl genomtänkta sekretessbestämmelser. Kap. 21-40 OSL innehåller bestämmelser om sekretess till skydd för enskildas personliga eller ekonomiska förhållanden som gäller i olika delar av den offentliga sektorn. Såväl föreskrifterna om rätt att ta del av allmänna handlingar och myndigheternas skyldighet att lämna ut uppgifter ur allmänna handlingar får anses uppfylla kravet på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter som avses i artikel 14.5 c dataskyddsförordningen. Som regeringen återkommer till nedan får de föreskrivna begränsningarna som innebär att uppgifter inte får lämnas ut om de är sekretessbelagda anses vara sådana föreskrifter som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Offentlighetsprincipens centrala betydelse framgår även uttryckligen i dataskyddsförordningen. Av artikel 86 framgår att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen. Som nämnts ovan är myndigheter enligt 6 kap. 5 § OSL även skyldiga att på begäran av en annan myndighet lämna uppgifter som den förfogar över under vissa förutsättningar. Uppgiftsskyldigheten mellan myndigheter kan ses som en precisering av den allmänna samverkansskyldighet som gäller enligt 8 § förvaltningslagen (2017:900). Skyldigheten är mer vidsträckt än skyldigheten gentemot allmänheten då den omfattar varje uppgift som myndigheten förfogar över, inte bara uppgifter ur allmänna handlingar. Skyldigheten är dock inte undantagslös då den inte omfattar sekretessbelagda uppgifter och inte heller gäller i den utsträckning hinder föreligger på grund av arbetets behöriga gång. Även denna bestämmelse får anses uppfylla kravet i artikel 14.5 c dataskyddsförordningen på en uttrycklig föreskrift om utlämnande av uppgifter som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Vad som har sagts ovan gäller också för de enskilda organ som enligt 2 kap. 2-5 §§ OSL jämställs med myndigheter dels vid tillämpning av TF:s bestämmelser om rätt att ta del av allmänna handlingar, dels vid tillämpning av bestämmelserna i OSL. Det är bl.a. fråga om aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande samt sådana enskilda organ som anges i bilagan till OSL, när det gäller handlingar i den verksamhet som anges i bilagan. Ett skäl till att ett enskilt organ blir infört i bilagan i fråga om hela eller delar av organets verksamhet är att organet med stöd i lag har fått i uppgift att fullgöra en förvaltningsuppgift som innefattar myndighetsutövning, t.ex. fördelning av statsbidrag, eller att det enskilda organets verksamhet finansieras med allmänna medel. Som exempel på enskilda organ som har förts in i bilagan till OSL kan nämnas Chalmers tekniska högskola aktiebolag och Hälsohögskolan i Jönköping AB (all verksamhet), Familjemedicinska institutet i Sverige, ideell förening (all verksamhet), och Stiftelsen för kunskaps- och kompetensutveckling (all verksamhet). I samband med att ett enskilt organ förs in i bilagan görs en bedömning av om sekretessregleringen behöver justeras med anledning av detta. Som framgått ovan är det regeringens uppfattning att bestämmelserna om rätten att ta del av allmänna handlingar och uppgiftsskyldigheterna i 6 kap. 4 och 5 §§ OSL utgör sådana nationella föreskrifter om erhållande eller utlämnande av uppgifter som uppfyller de krav som uppställs i artikel 14.5 c i dataskyddsförordningen. Ett utlämnande enligt dessa föreskrifter innebär därmed att informationsskyldigheten enligt artikel 14.1-4 inte blir aktuell. Detta gäller oavsett för vilket ändamål uppgifterna lämnas ut och alltså även när uppgifter lämnas ut för forskningsändamål. Någon särskild reglering av utlämnande av uppgifter för forskningsändamål behövs därför inte när det gäller uppgifter hos myndigheter och enskilda som jämställs med myndigheter. Regeringen instämmer således i Arbetsgivarverkets invändning med den skillnaden att regeringen anser att det inte heller behöver införas någon hänvisning till OSL i nationell rätt. Regeringen anser inte heller att det i nationell rätt behöver anges att artikel 14.1-4 i dataskyddsförordningen inte blir tillämplig i nu aktuella fall då det följer direkt av artikel 14.5 c. För andra än utlämnande myndigheter och enskilda som jämställs med myndigheter finns vissa möjligheter till undantag enligt artikel 14.5 b När ett utlämnande av uppgifter för forskningsändamål ska göras av något annat organ än en myndighet finns det andra bestämmelser än artikel 14.5 c som kan bli tillämpliga i enskilda fall. I artikel 14.5 b finns bestämmelser som anger att bestämmelserna om informationsskyldigheten i artikel 14.1-4 inte ska tillämpas under vissa förutsättningar. Detta gäller i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bl.a. forskningsändamål, eller i den mån den skyldighet som avses i artikel 14.1 sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten. Som nämns nedan kan bl.a. bestämmelser om tystnadsplikt utgöra sådana lämpliga skyddsåtgärder. Närmare om sekretess och tystnadsplikt som skyddsåtgärder Som nämnts ovan gör regeringen, i likhet med utredningen, bedömningen att bestämmelser om sekretess och tystnadsplikt utgör lämpliga skyddsåtgärder. Bestämmelser om sekretess finns i OSL och bestämmelser om tystnadsplikt för enskilda finns i en mängd lagar, t.ex. i patientsäkerhetslagen (2010:659), socialtjänstlagen (2001:453), skollagen (2010:800) och lagen (2003:389) om elektronisk kommunikation. OSL är som nämnts tidigare ett omfattande regelverk. Lagen innehåller 44 kapitel och 20 av dessa innehåller bestämmelser till skydd för enskildas personliga eller ekonomiska förhållanden. Sekretess innebär enligt 3 kap. 1 § OSL ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Sekretess innebär således både handlingssekretess och tystnadsplikt. Forskare begär ofta ut uppgifter som omfattas av den s.k. statistiksekretessen enligt 24 kap. 8 § OSL. Detta är en av få bestämmelser som stadgar absolut sekretess. Sekretess gäller enligt bestämmelsen för sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Dessutom gäller motsvarande sekretess i annan jämförbar undersökning i en mängd andra statliga aktörers verksamhet (24 kap. 8 § andra stycket OSL och 7 § offentlighets- och sekretessförordningen [2009:641], OSF). Enligt dessa bestämmelser får dock uppgifter som behövs för forsknings- eller statistikändamål lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. För att detta rekvisit ska vara uppfyllt lämnas personuppgifter ofta ut för forskningsändamål i pseudonymiserad form, vilket i sig utgör ett starkt integritetsskydd. Av 11 kap. 3 § OSL framgår vidare att om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Om en enskild forskare begär ut uppgifter kan uppgifter ofta lämnas ut med stöd av ett särskilt förbehåll enligt 14 kap. 3 § OSL. I den paragrafen anges att om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den, ska myndigheten göra ett sådant förbehåll när uppgiften lämnas till den enskilde. Den tystnadsplikt som uppkommer genom ett sådant förbehåll inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § TF och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen (13 kap. 5 § andra stycket OSL). I 14 kap. 2 § OSL upplyses om att det i brottsbalken finns bestämmelser om ansvar för den som bryter mot förbud enligt OSL att röja eller utnyttja uppgift och för den som bryter mot förbehåll som har gjorts med stöd av lagen vid utlämnande av uppgift. I 20 kap. 3 § brottsbalken anges att om någon röjer någon uppgift, som han är pliktig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, eller utnyttjar han olovligen sådan hemlighet, döms han eller hon, om inte gärningen är särskilt belagd med straff, för brott mot tystnadsplikt till böter eller fängelse i högst ett år. Den som av oaktsamhet begår sådan gärning döms till böter. I ringa fall skall dock ej dömas till ansvar. Detta straffstadgande gäller även vid brott mot tystnadsplikt i enskild verksamhet enligt andra författningar än OSL. Regeringen anser således, till skillnad från Datainspektionen och Luleå kommun, att regler om sekretess och tystnadsplikt innefattar ett starkt integritetsskydd och därmed är en sådan lämplig skyddsåtgärd som uppfyller kraven i artikel 14.5 c. Regeringen delar vidare inte Stockholms universitets uppfattning att rätten till tillgång till allmänna handlingar i varje situation måste täcka in den rätt till information som den enskilde har rätt till enligt 14.1-4 för att undantaget i artikel 14.5 ska vara tillämpligt. Vid godkännande enligt etikprövningslagen är det möjligt att ställa upp villkor om information till den registrerade Att personuppgifter kan lämnas ut för att behandlas för forskningsändamål utan att artikel 14.1-4 i dataskyddsförordningen behöver tillämpas är ett undantag från informationsskyldigheten som tar sikte på den behandling som sker i samband med själva utlämnandet av personuppgifterna. Utredningen har föreslagit att det ska framgå av lagtexten att detta undantag inte ska hindra etikprövningsnämnderna från att i samband med ett godkännande enligt 6 § etikprövningslagen uppställa villkor om den information som ska lämnas till den registrerade i samband med personuppgiftsbehandling för forskningsändamål. Ett sådant villkor syftar således på den personuppgiftsansvariges skyldigheter i samband med den behandling som ska ske efter ett etikgodkännande. De två föreslagna bestämmelserna riktar sig alltså till två olika mottagare, dels den som ska lämna ut uppgifterna, dels etikprövningsnämnderna. Om etikprövningsnämnderna uppställer ett sådant villkor är det utredningens bedömning att det är fråga om en skyddsåtgärd för den registrerade. Pensionsmyndigheten, som ställer sig tveksam till den tolkning som gjorts av undantagsbestämmelsen i artikel 14.5 c ovan, noterar att informationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in personuppgifter, det vill säga mottagaren av uppgifterna och inte utlämnande myndighet. Det är korrekt att informationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in personuppgifter. Undantaget i artikel 14.5 c tar dock uttryckligen sikte på såväl föreskrifter om erhållande som utlämnande av uppgifter. Även den utlämnande myndigheten kan ha fått uppgifterna från annat håll än den registrerade. Vidare har forskningsutföraren rätt att ta del av allmänna handlingar respektive uppgifter i allmänna handlingar enligt TF och OSL, dvs. det är fråga om föreskrifter om erhållande av uppgifter. Enligt artikel 14.5 c "ska" punkterna 1-4 inte tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Frågan är då om det är möjligt för etikprövningsnämnderna att uppställa villkor om information till den registrerade i samband med ett godkännande enligt 6 § etikprövningslagen eller om artikel 14.5 c utgör ett hinder för uppställandet av ett sådant villkor? Regeringen, som delar utredningens uppfattning att ett sådant villkor utgör en skyddsåtgärd för den registrerade, anser att det är möjligt för etikprövningsnämnderna att uppställa ett sådant villkor om de bedömer att det är en lämplig skyddsåtgärd enligt artikel 89.1. Regeringen anser därför att något förtydligande om att etikprövningsnämnderna är oförhindrad att i att i samband med ett godkännande enligt 6 § etikprövningslagen uppställa villkor om den information som ska lämnas till den registrerade i samband med personuppgiftsbehandling för forskningsändamålet inte bör införas i svensk rätt. Sammanfattande bedömning Det är sammanfattningsvis regeringens uppfattning att det redan finns bestämmelser som möjliggör utlämnande av uppgifter till forskning såväl i dataskyddsförordningen som i svensk rätt. Regeringen anser i likhet med utredningen att 12 § etikprövningslagen bör upphävas. Till skillnad från utredningen anser dock regeringen att det inte bör införas nya bestämmelser om utlämnande av uppgifter för forskningsändamål i nationell rätt. Regeringen gör vidare bedömningen att en etikprövningsnämnd har möjlighet att i samband med ett etikgodkännande uppställa villkor om lämnande av information till den registrerade om nämnden bedömer att det är en lämplig skyddsåtgärd enligt artikel 89.1. 13.3 Bör det föreskrivas undantag från rätten till tillgång? 13.3.1 Om innehållet i rättigheten Den registrerade har enligt artikel 15 i dataskyddsförordningen rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör denne håller på att behandlas och i så fall få tillgång till personuppgifterna samt information om ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller m.m. Denna rättighet benämns i förordningen som en "rätt till tillgång". Motsvarande rättighet i dataskyddsdirektivet och PUL har benämnts som en rätt till registerutdrag. Rättigheten innebär att den personuppgiftsansvarige på begäran av den registrerade ska bekräfta om personuppgifter behandlas och i så fall förse denne med en kopia av uppgifterna, samt viss angiven information om behandlingen. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat och detta inte inverkar menligt på andras rättigheter och friheter. Rättigheten bör kunna utövas av den registrerade med rimliga intervall. Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess upprepade art, får den personuppgiftsansvarige ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Det är den personuppgiftsansvarige som ska kunna visa att begäran är uppenbart ogrundad eller orimlig (artikel 12.5). En motsvarande rättighet reglerades i artikel 12 i dataskyddsdirektivet och genomfördes genom 26 § PUL. Dataskyddsförordningens reglering innebär, i jämförelse med dessa bestämmelser, en utökad rätt till information om följande: lagringstid, rätten till rättelse, radering, begränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet samt vissa uppgifter vid överföring till tredjeland. Bestämmelserna i artikel 12 i dataskyddsförordningen om i vilken form informationen ska lämnas samt vilka åtgärder som kan vidtas vid en begäran som är ogrundad eller orimlig är nya i förhållande till nuvarande reglering. Enligt dataskyddsförordningen ska den personuppgiftsansvarige på begäran, utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen (artikel 12.3). Någon motsvarande angiven tidsgräns fanns inte angiven i dataskyddsdirektivet, som endast angav att informationen skulle ges utan större tidsutdräkt. När bestämmelsen genomfördes i 26 § PUL angavs att information skulle lämnas inom en månad efter ansökan, eller fyra månader om särskilda skäl fanns. 13.3.2 Det bör inte föreskrivas undantag från rätten till tillgång Regeringens bedömning: Något undantag från den registrerades rätt till tillgång enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot utredningens bedömning. Vetenskapsrådet delar inte utredningens uppfattning att den registrerades rätt till tillgång alltid bör respekteras när forskaren inte har uppgift om forskningspersonens identitet men kan identifiera denne med hjälp av kompletterande information som forskningspersonen själv lämnar. I många forskningsprojekt, särskilt i de som bygger på registerbaserad information, saknar den som utför forskningen uppgift om vilka forskningspersonerna är. Vetenskapsrådet anser att detta är en del av det integritetsskydd som finns för forskningspersonerna och är av betydelse för att forskningen ska kunna utföras på ett objektivt och opartiskt sätt. Vetenskapsrådet saknar en analys av vad möjligheten till registerutdrag i dessa situationer får för konsekvenser för forskningsutföraren, för den forskningsperson som vill få tillgång till uppgifterna och för de övriga forskningspersoner som kan komma att behöva identifieras för att ge den som efterfrågar det tillgång. Vetenskapsrådet saknar en djupare analys av varför utredningen föreslår att möjligheten till undantag från rätten till tillgång inte ska utnyttjas. Göteborgs universitet har anfört att utredningens tolkning, att den personuppgiftsansvarige skulle kunna neka den registrerade tillgång i de fall som uppgifterna är pseudonymiserade, strider mot den gängse tolkningen där uppgifter fortsatt utgör personuppgifter så länge som det är möjligt att koppla en person till en uppgift. Göteborgs universitet konstaterar att pseudonymisering innebär att det de facto med hjälp av en kodnyckel är möjligt att koppla ihop individ till uppgift. Kodnyckeln kan förvaras såväl hos den personuppgiftsansvarige som hos någon annan. Oavsett detta förändras inte statusen avseende uppgifterna och uppgifterna utgör fortsatt personuppgifter. Forskningsaktören kan alltid, i de fall som kodnyckeln är förvarad hos annan offentlig forskningsaktör, begära tillgång till specifik kodnyckel med hänvisning till offentlighetsprincipen. Om det efter sekretessprövning skulle visa sig att det saknas stöd för ett nekande i utlämnandefrågan ska kodnyckeln skyndsamt lämnas ut i enlighet med gängse regler. Det finns således långtgående rättsliga möjligheter för forskningsaktören att ges tillgång till kodnyckeln. Detta lämnar utrymme för frågor i vad mån den registrerade vid en förfrågan om rätt till tillgång (registerutdrag) kan ställa krav på att forskningsaktören ska vidta de beskrivna åtgärderna för att tillmötesgå den registrerade i fråga om rätt till tillgång. I de fall som kodnyckeln är förvarad av forskningsaktören själv, finner universitetet, att det i realiteten inte finns något hinder för identifiering av den registrerade i fråga om rätt till tillgång. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Statistiska centralbyrån rekommenderar att de resonemang som förs kring rätten till tillgång avseende pseudonymiserade uppgifter i de fall kodnyckel finns bevarad hos den personuppgiftsansvarige förtydligas då avsnittet är svårtolkat. Läkemedelsindustriföreningen (LIF) håller med om att det kan tänkas inverka negativt på klinisk forskning eller den registrerade, om den registrerade kan få tillgång till de uppgifter som behandlas. LIF anser dock att lagstiftaren borde tydliggöra att all utlämning av information till den registrerade bör vara undantagen från informationsrätten vid klinisk forskning eftersom sådan utlämning alltid riskerar integriteten i studien (och därmed dess vetenskapliga värde). En personuppgiftsansvarig kan visserligen motsätta sig utlämning med hänvisning till att denne inte känner till vilka personuppgifter som härrör till den registrerade eftersom uppgifterna i en klinisk läkemedelsprövning alltid är kodade (se artikel 11.2 i GDPR), men vad händer om den registrerade först vänder sig till behandlande läkare och begär att få ut kodnyckeln och sedan till läkemedelsföretaget med tillhandahållande av kodnyckeln och begär att få ut sina uppgifter, undrar LIF. Skälen för regeringens bedömning: Rätten till tillgång gäller inte om den personuppgiftsansvarige kan visa att denne inte kan identifiera den registrerade, vilket torde vara vanligt när personuppgiftsbehandling sker med pseudonymiserade, eller på annat sätt kodade, uppgifter. Pseudonymisering är, som framgår av avsnitt 9, en central skyddsåtgärd vid personuppgiftsbehandling för forskningsändamål. I många fall när den personuppgiftsansvarige behandlar personuppgifter för forskningsändamål och inte kan identifiera den registrerade för att kunna lämna ett registerutdrag kommer denne således inte heller att vara skyldig att göra det, i enlighet med den direkt tillämpliga artikel 11. Vetenskapsrådet och Göteborgs universitet har som skäl för ett undantag från rätten till tillgång anfört att den personuppgiftsansvarige har långtgående möjligheter att identifiera den registrerade även om uppgifterna är pseudonymiserade eftersom kodnyckeln finns kvar. Kodnyckeln kan förvaras såväl hos forskningshuvudmannen som hos annan aktör, t.ex. en registerhållande myndighet. I båda fallen krävs dock att kodnyckeln förvaras separerat från de pseudonymiserade personuppgifterna. Av artikel 11 i förordningen framgår att om de personuppgifter som behandlas av den personuppgiftsansvarige inte gör det möjligt för denne att identifiera en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att kunna identifiera den registrerade om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Den personuppgiftsansvarige ska därmed inte vara skyldig att inhämta ytterligare uppgifter för att identifiera den registrerade utöver de pseudonymiserade uppgifter som behandlas. I de fall kodnyckeln finns hos den personuppgiftsansvarige blir det dock inte fråga om ett behov av att inhämta ytterligare information, även om uppgifterna hålls separerade. I ett sådant fall har den personuppgiftsansvarige den information som behövs för att kunna identifiera den registrerade och kan tillgodose den registrerades rätt till tillgång. Det är regeringens uppfattning att det i dessa fall inte finns något behov av att göra undantag från rätten till tillgång. I andra situationer, där den personuppgiftsansvarige kan identifiera den enskilde vars uppgifter behandlas, eller när en sådan identifiering kan ske med hjälp av kompletterande uppgifter som den enskilde tillhandahåller i samband med att denne utövar sin rättighet, gör regeringen, till skillnad från Vetenskapsrådet, bedömningen att denna rättighet kan och bör respekteras. Ett utövande av rättigheten kan i dessa situationer inte anses göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet och därmed motivera ett undantag enligt kraven i artikel 89.2. Det är också regeringens uppfattning att rätten till tillgång är en viktig central rättighet som ger den registrerade kontroll över sina uppgifter och att den därför bör respekteras. I samband med t.ex. klinisk forskning kan det dock tänkas att det kan inverka negativt på antingen forskningen eller den registrerade om denne kan få tillgång till de uppgifter som behandlas, vilket också framhålls av Läkemedelsindustriföreningen. Så kan exempelvis vara fallet i samband med etablerade eller misstänkta medicinska diagnoser eller värden på prover som den registrerade är omedveten om med anledning av pågående behandling eller den registrerades allmänna välbefinnande. Sådana uppgifter omfattas som regel av sekretess med stöd av 25 kap. OSL. Den enskilde har t.ex. i motsvarande situation i samband med sjukvård inte alltid en ovillkorlig rätt att få tillgång till sina egna uppgifter om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas ut till denne (25 kap. 6 § OSL). Får en myndighet i sin forskningsverksamhet en sekretessreglerad uppgift från en annan myndighet blir sekretessbestämmelsen tillämplig på uppgiften även hos forskningsutföraren (11 kap. 3 § OSL). Att det enligt 18 kap. 9 § OSL kan gälla sekretess för t.ex. en kodnyckel om den används för att pseudonymisera sekretessbelagda uppgifter har vidare redovisats i avsnitt 9.4. I dataskyddslagen finns ett undantag från rätten till tillgång enligt artikel 15 som är tillämpligt i dessa fall. Enligt 5 kap. 1 § dataskyddslagen ska artiklarna 13-15 inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Undantaget ska även gälla för personuppgiftsansvariga som inte är myndigheter vad gäller sådana uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL. Dataskyddslagens bestämmelser är tillämpliga även vid personuppgiftsbehandling för forskningsändamål om inget annat framgår av annan författning. Detta innebär att i de fall sekretess gäller kommer undantagsbestämmelsen enligt dataskyddslagen att vara tillämplig även vid behandling för forskningsändamål och skyldigheten att ge den registrerade tillgång till information begränsas därmed. Något särskilt undantag för personuppgiftsbehandling för forskningsändamål behövs därför inte i detta sammanhang. Till skillnad från Läkemedelsindustriföreningen anser regeringen att detta gäller även vid klinisk forskning. Regeringen anser sammanfattningsvis att något undantag från rätten till tillgång vid personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt utan att det generella undantag som finns i 5 kap. 1 § dataskyddslagen är tillräckligt. 13.4 Bör det föreskrivas undantag från rätten till rättelse? 13.4.1 Om innehållet i rättigheten Vid all behandling av personuppgifter ska uppgifterna vara riktiga och, om nödvändigt, uppdaterade (artikel 5.1 d i dataskyddsförordningen). Enligt artikel 16 har den registrerade rätt att få felaktiga personuppgifter som rör denne rättade utan onödigt dröjsmål samt att, med beaktande av ändamålet med behandlingen, få ofullständiga personuppgifter kompletterade, bl.a. genom att tillhandahålla ett kompletterande utlåtande (rätten till rättelse). Även enligt dataskyddsdirektivet (artikel 6.1 d) och PUL (9 § g) krävdes att de personuppgifter som behandlades var riktiga och, om det var nödvändigt, aktuella. Det fanns även en rätt till rättelse i artikel 12 b i dataskyddsdirektivet, vilken genomfördes i PUL. Enligt denna reglering var den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med PUL eller föreskrifter som utfärdats med stöd av PUL (28 §). Den nämnda rätten enligt dataskyddsförordningen för den registrerade att komplettera ofullständiga uppgifter genom exempelvis ett kompletterande yttrande är således ny i förhållande till tidigare reglering. Den tidigare rätten i 28 § PUL att utplåna uppgifter motsvaras i data-skyddsförordningen av rätten till radering av uppgifter (rätten att bli bortglömd) i artikel 17 dataskyddsförordningen. Den tidigare rätten i 28 § PUL att blockera uppgifter motsvaras i dataskyddsförordningen av rätten till begränsning av behandling i artikel 18 dataskyddsförordningen. Frågan om sistnämnda rätt ska begränsas behandlas i avsnitt 13.5. 13.4.2 Det bör inte föreskrivas undantag från rätten till rättelse Regeringens bedömning: Något undantag från den registrerades rätt till rättelse enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt. Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen har föreslagit att den registrerades rätt till rättelse inte ska gälla för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning. Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Bland dessa återfinns Vinnova, Kungl. Vetenskapsakademien och Sveriges Kommuner och Landsting. Riksarkivet ser positivt på förslaget om undantag från rätten till rättelse för personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning. För att tydliggöra skillnaden mellan regleringen i dataskyddsförordningen och den arkivrättsliga regleringen föreslår Riksarkivet att termen bevaras i förslaget till forskningsdatalag ersätts med behandlas. Stockholms universitet instämmer i utredningens förslag, men noterar samtidigt att det kommer att kräva en infrastruktur för lagring av data som möjliggör verifiering vid olika tidpunkter som flertalet lärosäten inte äger i dagsläget. Universitetet anser att kostnaden för anskaffning av sådan infrastruktur bör beaktas i analysen av de ekonomiska konsekvenserna av utredarens förslag. Stockholms universitet noterar vidare att motsvarande diskussion av rätten att bli raderad saknas i betänkandet. Det framstår dock som uppenbart att även rätten att bli raderad måste sättas i relation till behovet av att kunna verifiera forskningsresultat och att bevara material i syfte att uppnå nya, framtida forskningsresultat. Universitetet föreslår därför att sådana behov tydligt ska framhållas av lagstiftaren i förarbetena till och innehållet i den nationella lagstiftningen. Pensionsmyndigheten har inte funnit anledning att avstyrka utredningens förslag men anser att följande kan beaktas under den fortsatta beredningen. När det gäller rätten till rättelse noterar Pensionsmyndigheten att det följer redan av artikel 5 i förordningen att den personuppgiftsansvarige ska se till att personuppgifter som behandlas är korrekta och, om nödvändigt, uppdaterade. Förordningen lämnar inte något utrymme för nationella undantag från principen om korrekthet, varför ett undantag från artikel 16 inte fråntar den personuppgiftsansvarige ansvaret för att vidta åtgärder för att se till att felaktiga uppgifter rättas eller raderas. Pensionsmyndigheten anser således att det föreslagna undantaget i praktiken kan antas få liten eller ingen betydelse för de personuppgiftsansvariga. Göteborgs universitet konstaterar att den aktuella lagstiftningen är subsidiär till arkivlagstiftningen vilket innebär att en sådan regel måste anses vara överflödig. Kungl. Tekniska högskolan (KTH) anser att formuleringen "... dokumentera utförd forskning" är något missvisande. Även om intentionen är att inte göra någon åtskillnad mellan privat- och offentlig sektor, bör ett förtydligande göras att detta inte gäller för myndigheter. De typfall som utredningen beskriver avser när ett forskningsprojekt är avslutad. För en forskningsaktör inom den offentliga sektorn kan handlingarna bli arkiverade. Regionala etikprövningsnämnden i Uppsala ställer sig tveksam till förslaget om att den registrerades rätt till rättelse av personuppgifter begränsas i den föreslagna forskningsdatalagen. Den registrerades intressen i nämnda avseenden bör kunna tillvaratas utan att detta påverkar syftet med forskningen i någon mer beaktansvärd utsträckning. Datainspektionen avstyrker de förslag som rör undantag från de registrerades rättigheter. Utredningen brister då den endast beskriver de behov som de som bedriver forskning har, utan att analysera eventuella nackdelar eller risker som förslaget innebär. Om lagstiftaren begränsar de registrerades rättigheter så ska lagstiftaren även specificera lämpliga skyddsåtgärder för de registrerade. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Karolinska institutet noterar att effekten av regeringens bedömning att det inte bör föreskrivas något undantag från den registrerades rätt till rättelse vid behandling av personuppgifter för forskningsändamål är att det kommer att krävas att forskningsutföraren inför en rutin som säkerställer arkivering av data så snart en forskningsstudie används som underlag för en publikation. Karolinska institutet noterar vidare, i likhet med Stockholms universitet, att det kommer att behövas en infrastruktur för arkivering av data som möjliggör versionskontrollhantering och spårning av ändringar. Detta är något som flertalet lärosäten inte äger i dagsläget. Regeringen bör överväga om ett uppdrag ska ges till någon myndighet i syfte att underlätta övergång till datahantering i en sådan infrastruktur, t.ex. genom instruktioner till de myndigheter som berörs. Stockholms universitet framhåller att i förslaget saknas regler som fastställer undantag från artikel 16 om registrerades rätt till rättelse. En sådan regel är obehövlig enligt regeringen, eftersom de registrerade ändå inte har rätt till rättelse vad gäller arkiverade forskningsdata, till följd av undantaget för arkiv (s. 107). Möjligheten till undantag från artikel 16 i förordningen är dock vidare än så och omfattar även undantag från den enskildes rätt till rättelse under pågående forskning. Framställningar om rättelser av personuppgifter som ligger till grund för forskning kan inverka menligt på förutsättningarna att bedriva forskning och forskarnas möjlighet att förfoga över sitt material. Frågan aktualiseras såväl vid kvantitativ forskning med stora datamängder som vid kvalitativ forskning, där förändringar i enskilda uppgifter kan spela stor roll. I synnerhet gäller detta om begäran om rättelse inkommer i ett skede då delar av analysen redan utförts. Stockholms universitet anser inte att rätten till rättelse i dessa sammanhang är av så stor vikt för individen att det motiverar att avstå från att utnyttja de möjligheter till inskränkning som föreskrivs. Skälen för regeringens bedömning: Om personuppgifter behandlas för forskningsändamål får det, som framgått, enligt artikel 89.2 i dataskyddsförordningen föreskrivas undantag från rätten till rättelse. Detta får emellertid bara göras i den utsträckning som en sådan rättighet sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet och sådana undantag krävs för att uppnå forskningsändamålet. Utredningens argument för det föreslagna undantaget är att uppgifter som har behandlats för forskningsändamål och endast bevaras i syfte att dokumentera utförd forskning ska undantas från rätten till rättelse för att möjliggöra verifiering av forskningsresultat i arkiverat forskningsmaterial. Personuppgifter som löpande lagras och behandlas för forskningsändamål ska enligt utredningen inte omfattas av undantaget. Det är regeringens uppfattning att granskning av utförd forskning och bevarande av arkiverat forskningsmaterial inte innefattas i personuppgiftsbehandling för forskningsändamål så som avsetts i dataskyddsförordningen. Regeringen anser, i likhet med Göteborgs universitet och KTH, att den behandling av personuppgifter som åsyftas i utredningens förslag snarare är för arkivändamål. Behandling av personuppgifter för arkivändamål av allmänt intresse och de krav som finns i svensk rätt på bevarande för att tillgodose bl.a. forskningens behov, samt regeringens bedömningar och förslag i detta sammanhang, behandlas närmare i propositionen Ny dataskyddslag (prop. 2017/18:105). När det gäller Stockholms universitets synpunkt att motsvarande diskussion kring begränsning av rätten att bli raderad saknas i betänkandet kan regeringen konstatera att det följer av artikel 89.2 att det inte föreligger någon möjlighet att begränsa den registrerades rätt att blir raderad vid behandling av personuppgifter för forskningsändamål i nationell rätt, utöver vad som redan framgår av det direkt tillämpliga undantaget i artikel 17.3 d, dvs. rätten att bli raderad ska inte gälla i den utsträckning som behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen. När det gäller den bedömning som har gjorts i det remitterade utkastet till lagrådsremiss påpekar Stockholms universitet att rätten till rättelse omfattar även undantag från den enskildes rätt till rättelse under pågående forskning. Framställningar om rättelser av personuppgifter som ligger till grund för forskning kan enligt Stockholms universitet inverka menligt på förutsättningarna att bedriva forskning och forskarnas möjlighet att förfoga över sitt material. Stockholms universitet anser inte att rätten till rättelse i dessa sammanhang är av så stor vikt för individen att det motiverar att avstå från att utnyttja de möjligheter till inskränkning som föreskrivs. Som Pensionsmyndigheten påpekar gäller enligt artikel 5 i dataskyddsförordningen som en grundläggande princip för behandling av personuppgifter att uppgifterna ska vara riktiga och om nödvändigt uppdaterade. Den personuppgiftsansvarige har ett ansvar enligt artikeln att vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Denna princip måste följas även av forskningsutförare och under pågående forskning. Den gäller alltså uppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas. Det ligger i forskningens intresse att den baseras på uppgifter som är riktiga för att de resultat som den resulterar i ska bli rättvisande och rätt slutsatser kunna dras. I vissa fall är t.ex. avsikten med en behandling att registrera uppgifter som kommit in. De behandlade uppgifterna kan då anses riktiga, i dataskyddsförordningens mening, om de stämmer överens med de inkomna uppgifterna oavsett hur dessa lämnade uppgifter förhåller sig till verkliga förhållanden. Det är i sådana situationer positivt även för forskningen att den registrerade kan begära rättelse av uppgifter som har förvanskats under den behandling som utförts inom ramen för forskningsprojektet. Rätten till rättelse enligt artikel 16 gäller uppgifter som är felaktiga. Som Forskningsdatautredningen konstaterar kan det föreligga olika uppfattningar mellan den personuppgiftsansvarige och den registrerade om vad som är en riktig uppgift. Om den personuppgiftsansvarige är en myndighet kan ett beslut där myndigheten tagit ställning till en begäran om rättelse överklagas till allmän förvaltningsdomstol (7 kap. 2 § dataskyddslagen). Är det en privat forskningsutförare kan den registrerade ge in ett klagomål till tillsynsmyndigheten som bl.a. har befogenheten att förelägga om rättelse (artikel 58.2 g dataskyddsförordningen). Att den registrerade har en rätt till rättelse och utnyttjar den kan påverka bedrivandet av forskning. Förutsättningen för att ett undantag från rättigheten ska kunna föreskrivas i nationell rätt är dock enligt artikel 89.2 i dataskyddsförordningen att rättigheten sannolikt skulle göra det omöjligt eller mycket svårare att uppfylla ändamålen med behandlingen av personuppgifter, dvs. forskningsändamålet, och undantag krävs för att uppnå ändamålet. Även om rättigheten som Stockholms universitet påpekar kan påverka bedrivandet av forskning är det regeringens bedömning att forskningen inte påverkas i sådan grad att förutsättningarna för att införa ett undantag är uppfyllda. Regeringen anser vidare att rätten till rättelse är av vikt för att den registrerade ska kunna ta till vara sina intressen. Regeringen anser därför att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt. 13.5 Bör det föreskrivas undantag från rätten till begränsning av behandling? 13.5.1 Om innehållet i rättigheten Den registrerade har enligt artikel 18.1 rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om en av följande fyra förutsättningar är uppfyllda: a) den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna är riktiga, b) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning, c) den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller d) den registrerade har invänt mot behandling i enlighet med artikel 21.1, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Med begränsning av behandling avses enligt artikel 4.3 markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. Rätten till begränsning av behandling syftar till att skydda den registrerades rättigheter eller övriga intressen vid felaktig eller misstänkt felaktig behandling. Genom att få personuppgiftsbehandlingen begränsad kan även den registrerade begränsa skadan av sådan behandling. Punkterna a och d i artikel 18.1 har det gemensamt att den registrerade vill utöva en annan rättighet (rätt till rättelse respektive rätt att göra invändningar), vilken kräver av den personuppgiftsansvarige att denne ska kontrollera om en sådan rätt föreligger i det konkreta fallet. Punkterna b och c i samma artikel ger i stället den registrerade vissa möjligheter att hindra den personuppgiftsansvarige från att radera uppgifterna. Av artikel 18.2 framgår att om behandlingen har begränsats enligt artikel 18.1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Rätten enligt artikel 18 till begränsning av behandling har ersatt den åtgärd som enligt artikel 12 b i dataskyddsdirektivet benämndes som blockering och som genomfördes genom 28 § PUL (samt definierades i 3 § samma lag). I förhållande till dataskyddsdirektivet innebär artikel 18 en utvidgad rättighet för den registrerade. 13.5.2 Det bör inte föreskrivas undantag från rätten till begränsning av behandling Regeringens bedömning: Något undantag från den registrerades rätt till begränsning av behandling enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt. Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen har föreslagit att när personuppgifter behandlas för forskningsändamål ska den registrerade inte ha rätt till begränsning av behandling när denne bestrider uppgifternas korrekthet under den utredningstid som krävs för att kontrollera om personuppgifterna är korrekta. Den registrerade ska inte heller ha rätt till begränsning av behandling när denne invänder mot behandlingen i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Dessa begränsningar ska enbart gälla under förutsättning att utövande av denna rätt medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras. Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Vinnova ser positivt på det föreslagna undantaget från rätten till begränsning av behandling. Dock är Vinnova angelägen om att det föreslagna undantaget inte är ett generellt undantag utan ska prövas av personuppgiftsansvarig i varje enskilt fall för att säkerställa att kraven för nyttjande av undantaget är uppfyllda enligt utredningens intention. Pensionsmyndigheten har inte funnit anledning att avstyrka utredningens förslag men anser att följande kan beaktas under den fortsatta beredningen. Rätten till begränsning av behandling bör för den personuppgiftsansvarige i praktiken innebära ett incitament att se till att den personuppgiftsbehandling som utförs lever upp till förordningens krav. Pensionsmyndigheten anser att rätten till begränsning fyller en viktig funktion i skyddet av enskildas rättigheter och friheter vid behandling av personuppgifter, samtidigt som rättigheten har en väldigt liten påverkan på sådan behandling av personuppgifter som utförs i enlighet med förordningens krav. Regionala etikprövningsnämnden i Uppsala ställer sig tveksam till förslaget. Den registrerades intressen i nämnda avseende bör kunna tillvaratas utan att detta påverkar syftet med forskningen i någon mer beaktansvärd utsträckning. Sveriges Kommuner och Landsting (SKL) anser att det kan finnas vissa tolkningssvårigheter beträffande vad som ska förstås med att forskningen försenas eller försvåras när det gäller inskränkningar i den registrerades rätt under själva behandlingen och kontroll av personuppgifter i forskningen. Förbundet anser därför att denna fråga bör klarläggas ytterligare. Malmö högskola anser att det föreslås en begränsning av den registrerades rätt med hänvisning till artikel 89.2 i förordningen men utan att ta hänsyn till kraven i artikel 89.1. Datainspektionen avstyrker förslagen i forskningsdatalagen som rör undantag från de registrerades rättigheter. Utredningen brister då den endast beskriver de behov som de som bedriver forskning har, utan att analysera eventuella nackdelar eller risker som förslaget innebär. Om lagstiftaren begränsar de registrerades rättigheter så ska lagstiftaren även specificera lämpliga skyddsåtgärder för de registrerade. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen av de remissinstanser som yttrat sig har kommenterat bedömningen specifikt. Skälen för regeringens bedömning Det saknas rättsliga förutsättningar för att föreskriva undantag från rätten till begränsning av behandling enligt artikel 18.1 b och c Enligt artikel 18 b har den registrerade rätt att kräva av den personuppgiftsansvarige att behandlingen begränsas om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning. Enligt punkt c i samma artikel har den registrerade rätt att kräva att behandlingen begränsas om den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Att hindra den personuppgiftsansvarige från att radera uppgifterna, när denne annars skulle ha gjort det, torde inte göra det omöjligt eller mycket svårare att uppnå ändamålet med behandlingen, vilket utgör en förutsättning för att få göra undantag från rättigheten (artikel 89.2). Regeringen bedömer därför att det saknas rättsliga förutsättningar för att införa ett undantag från rätten till begränsning av behandling i fall som avses i artikel 18.1 b och c. Det finns inget behov av att föreskriva undantag från rätten till begränsning av behandling enligt artikel 18.1 a och d Enligt artikel 18.1 a har den registrerade rätt att kräva av den personuppgiftsansvarige att behandlingen begränsas om den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna är riktiga. Den registrerades rätt till rättelse är mycket långtgående enligt dataskyddsförordningen och innebär bland annat en grundläggande skyldighet att utan dröjsmål rätta felaktiga uppgifter, varför den period som den personuppgiftsansvarige behöver för att kontrollera om uppgifterna är riktiga torde vara högst begränsad. Ett utövande av rättigheten kommer därför sannolikt inte att omöjliggöra eller kraftigt försvåra ett uppfyllande av forskningsändamålet som sådant. Något behov av att föreskriva ett undantag från rätten att begränsa behandling för forskningsändamål enligt artikel 18.1 a finns därmed inte. Enligt artikel 18.1 d har den registrerade rätt att kräva att behandlingen begränsas om den registrerade har invänt mot behandling i enlighet med artikel 21.1, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Enligt sistnämnda artikel har den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (uppgift av allmänt intresse eller led i myndighetsutövning) eller f (intresseavvägning), inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Av artikel 21.6 framgår dock att om personuppgifterna behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Som regeringen närmare utvecklar i avsnitt 13.6.2 bedömer regeringen att det inte finns något behov av att begränsa den registrerades rätt att invända mot behandling enligt artikel 21.1 då det redan av artikel 21.6 framgår att den registrerades rätt att invända mot behandling för forskningsändamål inte gäller om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Som framgår av avsnitt 7.2.2 är forskning som utförs av statliga universitet och högskolor och andra myndigheter normalt reglerad på ett sådant sätt att det är fråga om en uppgift av allmänt intresse i den mening som avses i artikel 6.1 e. Vidare görs i det avsnittet bedömningen att forskning som utförs med stöd av ett godkännande enligt etikprövningslagen och/eller tillstånd som krävs enligt annan lag också är att anse som en uppgift av allmänt intresse enligt artikel 6.1 e. Forskning som inte anses utgöra uppgift av allmänt intresse enligt nämnda artikel och som inte avser känsliga personuppgifter eller uppgifter om lagöverträdelser, och som därmed inte kräver tillstånd enligt lag, kan även utföras med samtycke som rättslig grund (artikel 6.1 a). Enligt regeringens bedömning är det därför ett begränsat antal personuppgiftsbehandlingar som kommer att komma ifråga för en sådan avvägning mellan den personuppgiftsansvariges tvingande berättigade skäl för behandlingen och den registrerades intressen enligt artikel 21.1. Den personuppgiftsansvariges kontroll av om dennes tvingande berättigade intressen väger tyngre än den registrerades bör kunna utföras relativt omgående. Mot denna bakgrund är det regeringens uppfattning att det är osannolikt att ett utövande av rätten att begränsa behandling under tiden den personuppgiftsansvarige kontrollerar om den dennes tvingande berättigade skäl väger tyngre än den registrerades intressen, rättigheter och friheter enligt artikel 21.1 kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet. Det är i stället intresseavvägningen som kommer att avgöra om behandlingen ska få fortsätta i syfte att uppfylla forskningsändamålet. Av artikel 18.2 framgår vidare att om en behandling har begränsats enligt punkt 1 i samma artikel får personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Det åligger den personuppgiftsansvarige att kunna påvisa att skäl som rör ett viktigt allmänintresse föreligger. Regeringen anser således sammanfattningsvis att något undantag från den registrerades rätt att begränsa behandling för forskningsändamål inte ska införas i svensk rätt. 13.6 Bör det föreskrivas undantag från rätten att göra invändningar? 13.6.1 Om innehållet i rättigheten I artikel 21 i dataskyddsförordningen föreskrivs att den registrerade i vissa fall ska ha rätt att invända mot behandling av personuppgifter. En motsvarande rättighet föreskrevs även i dataskyddsdirektivet, men genomfördes i PUL endast beträffande direkt marknadsföring (11 § PUL). Dataskyddsförordningen innebär därmed att rätten att göra invändningar utvidgas jämfört med vad som följer av gällande svensk rätt. Rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen avser behandling av personuppgifter som grundar sig på artikel 6.1 e eller f, dvs. för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning eller efter en intresseavvägning. Följden av att en invändning görs enligt artikel 21.1 är att den personuppgiftsansvarige inte längre får behandla personuppgifterna, såvida inte denne kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. När personuppgifter behandlas för bl.a. forskningsändamål ska enligt artikel 21.6 den registrerade ha rätt att göra sådana invändningar om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Det är inte uppenbart hur artikel 21.6 förhåller sig till artikel 21.1. Enligt artikel 21.1 ska den registrerade ha rätt att invända mot behandling som grundar sig på artikel 6.1 e eller f. Av artikel 21.6 framgår istället att om behandling sker för forskningsändamål ska den registrerade ha rätt att invända mot behandling om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Regeringen bedömer att artikel 21.6 innebär att om den registrerade invänder mot behandling för forskningsändamål så måste den personuppgiftsansvarige göra en prövning av om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om resultatet av denna bedömning blir att behandlingen inte är nödvändig så har den registrerade en rätt att invända mot behandlingen. Om så är fallet ska invändningen i nästa steg prövas enligt artikel 21.1 och den personuppgiftsansvarige måste visa avgörande berättigade skäl för att få fortsätta behandlingen. Om behandlingen däremot bedöms nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända och någon prövning enligt artikel 21.1 kommer inte ifråga. Vad som avses med begreppet "nödvändig" har behandlats i avsnitt 7.1.2. 13.6.2 Det bör inte föreskrivas undantag från rätten att göra invändningar Regeringens bedömning: Något undantag från den registrerades rätt att göra invändningar enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot utredningens bedömning. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Umeå universitet framhåller att om en behandling av personuppgifter baseras på allmänt intresse som rättslig grund kan den registrerade inte invända mot behandlingen och forskningen kan därmed genomföras på ett förutsägbart sätt. Om behandlingen grundar sig på intresseavvägning har emellertid den registrerade en möjlighet att invända mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. I enlighet med nuvarande synsätt kan en personuppgiftsansvarigs intresse endast i undantagsfall anses väga över den registrerades intressen om den registrerade uttryckligen motsätter sig att dennes personuppgifter behandlas och denna invändning är sakligt motiverad (se Datainspektionens informationsskrift om intresseavvägning). I utkastet till lagrådsremiss (s. 113) gör regeringen bedömningen att det finns stora möjligheter att behandla personuppgifter för forskningsändamål efter en intresseavvägning om erforderliga säkerhetsåtgärder vidtas. Om denna bedömning från regeringen innebär en ändring i hur intresseavvägningen ska göras har Umeå universitet svårt att uttala sig om men universitetet vill likaväl understryka att intresseavvägning som rättslig grund kan innebära att förutsättningarna för forskningssamarbeten inte blir lika förutsägbara. Skälen för regeringens bedömning: Enligt artikel 89.2 är det, som framgått, möjligt att i nationell rätt fastställa undantag från den registrerades rätt att invända mot personuppgiftsbehandling för forskningsändamål i den utsträckning som rättigheten sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet och sådant undantag krävs för att uppnå forskningsändamålet. Som redovisats ovan finns det en begränsning av den registrerades rätt att invända mot personuppgiftsbehandling för forskningsändamål som följer direkt av artikel 21.6. Om sådan behandling är nödvändig för att utföra forskning av allmänt intresse har den registrerade inte rätt att invända mot behandling. För sådan personuppgiftsbehandling som inte är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade en rätt att invända. Den personuppgiftsansvarige måste då, enligt artikel 21.1, kunna påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. I annat fall får den personuppgiftsansvarige inte längre behandla personuppgifterna. Som framgår av avsnitt 7.2.2 är det regeringens bedömning att offentliga forskningsutförare som huvudregel kan använda sig av den rättsliga grunden allmänt intresse vid personuppgiftsbehandling för forskningsändamål. I sådana fall har den registrerade inte rätt att invända mot sådan behandling enligt 21.6 och någon avvägning enligt artikel 21.1 blir inte aktuell. För privaträttsliga forskningsutförare som har fått de tillstånd som krävs för ett forskningsprojekt, enligt t.ex. etikprövningslagen för behandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser, anser regeringen att grunden för behandlingen är fastställd i enlighet med svensk rätt på ett sådant sätt att de kan tillämpa den rättsliga grunden allmänt intresse. Detta innebär att den registrerade inte heller då har en rätt att invända mot behandling enligt artikel 21.6. Något behov av undantag från artikel 21 finns därmed inte för dessa situationer. Vad som återstår är då de behandlingar av personuppgifter som avser andra slags uppgifter än känsliga personuppgifter eller personuppgifter om lagöverträdelser och som utförs av privata forskningsutförare med stöd av den rättsliga grunden intresseavvägning. Den registrerade kan i ett sådant fall invända mot behandling av personuppgifter för forskningsändamål eftersom denna situation inte omfattas av artikel 21.6, och då ska en avvägning enligt artikel 21.1 göras. Forskningsutföraren ska då kunna påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. Som framgår av avsnitt 7.2.3 är det regeringens uppfattning att presumtionen är att forskning är en uppgift av allmänt intresse och att det därmed är fråga om ett berättigat intresse. Det finns därmed stora möjligheter att behandla personuppgifter efter en intresseavvägning under förutsättning att erforderliga säkerhetsåtgärder vidtas. Forskningsutföraren har enligt artikel 21.1 att bedöma om det berättigade intresset som denne grundar sin behandling på från början är avgörande och väger tyngre i det enskilda fallet. I de fall det inte väger tyngre än den registrerades intressen, rättigheter och friheter ska forskningen inte få utföras. Umeå universitet ifrågasätter om bedömningen i utkastet till lagrådsremiss, avseende möjligheterna att i detta sammanhang behandla personuppgifter efter en intresseavvägning, innebär en ändring i hur intresseavvägningen ska göras och hänvisar till Datainspektionens informationsskrift om intresseavvägning där det framgår att en personuppgiftsansvarigs intresse endast i undantagsfall anses väga över den registrerades intressen om den registrerade uttryckligen motsätter sig att dennes personuppgifter behandlas och denna invändning är sakligt motiverad. Datainspektionens informationsskrift rör intresseavvägning generellt och behandlar inte specifikt forskningsändamål. Som framgår av avsnitt 7.1.3 har Artikel 29-gruppen uttalat beträffande intresseavvägning att vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Bland de vanligaste sammanhang där frågan om berättigat intresse kan uppstå nämner Artikel 29-gruppen behandling för bl.a. forskningsändamål. Det är sammanfattningsvis regeringens bedömning att rätten att göra invändningar enligt artikel 21 inte kan anses göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet, mot bakgrund av de begränsade situationer då rätten att invända är tillämplig. Det är vidare regeringens bedömning att rätten att invända mot behandling är en viktig rättighet för den registrerade och därför bör finnas i de fall den är tillämplig vid behandling av personuppgifter för forskningsändamål. Regeringen anser således att något undantag från rätten att invända mot personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt. 14 Behöver ytterligare anpassningar göras i etikprövningslagen? 14.1 Inga ytterligare anpassningar behöver göras i etikprövningslagen Regeringens bedömning: Resterande bestämmelser i lagen om etikprövning av forskning som avser människor behöver inte anpassas med anledning av EU:s dataskyddsförordning. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Enligt Karlstads universitet skulle en direkt hänvisning till dataskyddsförordningen i 6 § etikprövningslagen kunna underlätta förståelsen för att reglerna i dataskyddsförordningen alltid måste tillämpas även i de fall där ett forskningsetiskt godkännande har inhämtats för ett forskningsprojekt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen, bland annat Regionala etikprövningsnämnden i Lund, eller har inget att invända. Stockholms universitet anför att för att etikprövning enligt etikprövningslagen ska kunna fylla sin funktion, som en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser för andra forskningsändamål än klinisk läkemedelsprövning enligt dataskyddsförordningen, är det viktigt att etikprövningslagens definition av forskning inte leder till ett snävare forskningsbegrepp än det som följer av dataskyddsförordningen. Det måste med andra ord säkerställas att allt som räknas som forskning enligt dataskyddsförordningen också räknas som forskning enligt definitionen i etikprövningslagen. Annars kan viss personuppgiftsbehandling för forskningsändamål som enligt dataskyddsförordningen måste omfattas av sådan skyddsåtgärd för att få utföras falla utanför etikprövningslagens tillämpningsområde. Detta skulle innebära att dessa behandlingar inte skulle få utföras enligt dataskyddsförordningen (såvida de inte skulle omfattas av andra skyddsåtgärder som uppfyller förordningens krav). Enligt Forskningsdatautredningen bör forskningsbegreppet (inom den kompletterande nationella dataskyddslagstiftningens tillämpningsområde) avgränsas på följande vis: "Vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå" (s. 97). För att uppnå den nivå av harmoni som krävs för att regleringen ska fungera som avsett föreslår Stockholms universitet att etikprövningslagen anpassas efter dataskyddsförordningen, genom att lydelsen i 2 § etikprövningslagen ändras i enlighet med denna avgränsning. Regionala etikprövningsnämnden i Umeå påpekar att Forskningsbegreppet inte har definierats i förordningen men att det av skäl 159 framgår att man har tänkt sig en mycket vid tolkning som även omfattar exempelvis teknisk utveckling och demonstration och studier av allmänt intresse inom folkhälsoområdet. Som kontrast till detta kan man ställa etikprövningslagens definition som är tämligen snäv och utesluter till exempel kvalitetssäkring, resultatuppföljning och studentarbeten. Om man inte gör något åt detta anser etikprövningsnämnden att det kommer att bli oklart hur man ska tillämpa bestämmelserna om ändamålsbegränsning (art. 5.1 b), rättslig grund (art. 6.1 e), behandling av känsliga personuppgifter (art. 9.2 g-j) och undantag (art. 89). Högskolan i Borås konstaterar att i utkastet till lagrådsremiss utvecklar inte regeringen sin syn på definition av "forskningsändamål" utan hänvisar till dataskyddsförordningens definition. Regeringen föreslår vidare etikprövning som skyddsåtgärd vid behandling av känsliga personuppgifter. I etikprövningslagen finns en definition av "forskning". Högskolan önskar framföra vikten av ett sammanhållet förändringsarbete avseende lagar och förordningar med anledning av att dataskyddsförordningen träder i kraft. Sveriges lantbruksuniversitet efterfrågar vägledning gällande gränsdragningen för forskningsändamål kontra annan behandling och framför att det synes vara en av förändringarna i den översyn av etikprövningslagen som pågår parallellt med detta lagstiftningsarbete att definiera forskning. Att i etikprövningslagen definiera forskning är välkommet - men den definitionen har i sig ett oklart rekvisit i det att den talar om "[...]samt utvecklingsarbete på vetenskaplig grund,[...]" som något som ska ses som forskning. Då denna definition synes vara så nära vi kommer att komma en definition av forskningsändamål, utan att den uttryckligen gör anspråk på att vara den definitionen i förhållande till dataskyddsförordningen, är det angeläget att det blir så tydligt som möjligt vad som utgör det, för att undvika att vi tillämpar privilegierna i dataskyddsförordningen på ett felaktigt sätt. För SLU:s del innebär det framförallt osäkerhet i hur vi ska betrakta vårt uppdrag att bedriva fortlöpande miljöanalys enligt 1 kap. 1a § förordning (1993:221) för Sveriges lantbruksuniversitet. Detta synes kunna rymmas under definitionen av forskning enligt den nya lydelse i etikprövningslagen som föreslås i den översyn av etikprövningslagen som pågår parallellt med detta lagstiftningsarbete, men är ändå särreglerat från forskningsuppdraget i förordningen för Sveriges lantbruksuniversitet. Den ökade tvärvetenskapligheten på området när det utvecklas infrastruktur för forskning gör att detta är relevant för SLU att få belyst, även om det är en mycket specifik fråga. Skälen för regeringens bedömning: I avsnitt 12 har regeringen föreslagit att definitionen av behandling av personuppgifter i 2 § etikprövningslagen ska ändras genom att hänvisningen till 3 § PUL ska bytas ut mot en hänvisning till artikel 4.2 i dataskyddsförordningen. I nämnda avsnitt föreslås vidare att tillämpningsområdet för etikprövningslagen enligt 3 § ska utökas med anledning av att dataskyddsförordningens definition av särskilda kategorier av personuppgifter (känsliga personuppgifter) är vidare än dataskyddsdirektivets och PUL:s definitioner samt att hänvisningarna till PUL i den paragrafen ska tas bort. Regeringen har i avsnitt 13.2 föreslagit att 12 § etikprövningslagen, som reglerar att personuppgifter får lämnas ut för att användas i forskning om hinder inte föreligger på grund av regler om sekretess och tystnadsplikt, ska upphävas. Som framgår av det avsnittet anser regeringen att det redan finns bestämmelser som möjliggör utlämnande av uppgifter till forskning såväl i dataskyddsförordningen som i svensk rätt. Regeringen anser därför i likhet med utredningen att 12 § etikprövningslagen bör upphävas. Till skillnad från utredningen anser dock regeringen att det inte bör införas nya bestämmelser om utlämnande av uppgifter för forskningsändamål i nationell rätt. Det är regeringens bedömning att övriga bestämmelser i etikprövningslagen är förenliga med dataskyddsförordningen. Karlstads universitet önskar en förtydligad koppling till dataskyddsförordningen i 6 § etikprövningslagen. Av sista meningen i 6 § framgår att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning. Detta innebär enligt förarbetena att ett godkännande vid etikprövning inte alltid är en tillräcklig förutsättning för forskningens bedrivande. Forskning som har etikgodkänts måste ändå vara förenlig med bland annat dataskyddsförordningens bestämmelser, i de delar där någon tillämplig kompletterande särreglering inte förekommer. Detta förhållande torde enligt Karlstads universitet bli ännu mer betydelsefullt när dataskyddsförordningen börjar tillämpas, eftersom dataskyddsförordningen till skillnad från PUL inte är subsidiär i förhållande till etikprövningslagen. Regeringen instämmer i stort i det resonemang Karlstad universitet för i sitt yttrande men anser inte att en uttrycklig hänvisning till dataskyddsförordningen bör införas i den aktuella bestämmelsen. Dataskyddsförordningen är direkt tillämplig i Sverige och jämställs i den svenska rättsordningen med en lag. Att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning gäller för all forskning som etikprövningslagen omfattar, inte bara personuppgiftsbehandling för forskningsändamål, vilket innebär att det är ett stort antal författningar som kan komma ifråga utöver dataskyddsförordningen. Att enbart hänvisa till dataskyddsförordningen riskerar därför att bli missvisande i sammanhanget. Stockholms universitet och Regionala etikprövningsnämnden i Umeå framhåller att det är viktigt att etikprövningslagens definition av forskning inte leder till ett snävare forskningsbegrepp än det som följer av dataskyddsförordningen. Stockholms universitet föreslår därför att etikprövningslagen anpassas efter dataskyddsförordningen, genom att lydelsen i 2 § etikprövningslagen ändras i enlighet med den avgränsning som förts fram av Forskningsdatautredningen. I etikprövningslagen definieras forskning idag som vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå. Regeringen kan konstatera att forskning inte definieras i dataskyddsförordningen, men att behandling av personuppgifter för vetenskapliga forskningsändamål bör ges en vid tolkning i förordningen (skäl 159) och att förordningen även ska omfatta historiska forskningsändamål (skäl 160). Av dessa skäl kan utläsas att inom begreppet vetenskapliga forskningsändamål ska inordnas t.ex. teknisk utveckling och demonstration, grundforskning, tillämpad forskning, privatfinansierad forskning och studier som utförs av ett allmänt intresse inom folkhälsoområdet. När det gäller historiska forskningsändamål anges forskning för historiska och genealogiska ändamål som exempel. Det är regeringens uppfattning att grundforskning, tillämpad forskning och privatfinansierad forskning samt forskning för historiska och genealogiska ändamål tydligt omfattas av etikprövningslagens definition av forskning. Beträffande teknisk utveckling och demonstration bör sådan verksamhet kunna inordnas inom ramen för forskningsdefinitionen genom formuleringen om utvecklingsarbete på vetenskaplig grund, i den mån känsliga personuppgifter eller personuppgifter om lagöverträdelser behandlas i sådan forskningsverksamhet. Vetenskapliga studier som utförs av ett allmänt intresse inom folkhälsoområdet kan enligt regeringens mening inte anses utgöra annat än sådan forskning som omfattas av etikprövningslagens definition. Det är regeringens uppfattning att det är möjligt att det skulle kunna förekomma situationer då etikprövningslagens definition av forskning inte fullt ut täcker vad som avses med forskningsändamål enligt dataskyddsförordningen, mot bakgrund av att dataskyddsförordningen inte har en tydlig definition utan enbart en riktlinje om att tolka begreppet vitt och några få exempel på vad som ska inordnas. Vilka dessa situationer skulle kunna vara har dock regeringen inte kunnat utröna, utan det får rättstillämpningen utvisa liksom behov av eventuella ytterligare lagstiftningsåtgärder. Som framgått ovan för Forskningsdatautredningen ett resonemang kring en alternativ definition av forskning i sitt delbetänkande, vilken formulerades som "vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå". Utredningen föreslog dock ingen ändring i etikprövningslagen. Det saknas därför tillräckligt beredningsunderlag för en sådan justering i detta lagstiftningsärende. Därtill pågår redan en översyn av etikprövningslagen. Som Sveriges lantbruksuniversitet påpekar i sitt remissyttrande har bl.a. definitionen av forskning i 2 § etikprövningslagen setts över av Utredningen om översyn av etikprövningen, som i betänkandet Etikprövning - en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104) har föreslagit en ändrad definition. Betänkandet bereds för närvarande inom Regeringskansliet. Universitetets önskan om vägledning gällande gränsdragningen för forskningsändamål kontra annan behandling kommer att behandlas inom ramen för det lagstiftningsarbetet. 14.2 Rättsligt stöd för personuppgiftsbehandling i etikprövningsnämndernas verksamhet Även etikprövningsnämndernas personuppgiftsbehandling behöver ha rättsligt stöd i dataskyddsförordningen och tillämplig nationell rätt. Den personuppgiftsbehandling som etikprövningsnämnderna utför i sin verksamhet utgör enligt regeringens bedömning inte behandling för forskningsändamål, så som begreppet är avsett att tolkas enligt dataskyddsförordningen. Personuppgiftsbehandling i etikprövningsnämndernas verksamhet omfattas i stället av regleringen i dataskyddsförordningen och dataskyddslagen. 15 Vilka behov finns det av sektorslagstiftning på forskningsområdet? 15.1 Det behövs för närvarande inte någon forskningsdatalag Regeringens förslag: En bestämmelse om att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen, ska föras in i dataskyddslagen. Regeringens bedömning: Utöver förslaget ovan är det för närvarande tillräckligt att etikprövningslagen och de befintliga registerförfattningarna på forskningsområdet anpassas till EU:s dataskyddsförordning. Det bör i nuläget inte införas någon ytterligare lag som kompletterar EU:s dataskyddsförordning vid personuppgiftsbehandling för forskningsändamål. Utredningens förslag överensstämmer inte med regeringens förslag och bedömning. Utredningen har föreslagit att en ny lag som kompletterar dataskyddsförordningen vid personuppgiftsbehandling för forskningsändamål, forskningsdatalagen, ska införas. Remissinstanserna: Majoriteten av remissinstanserna som yttrat sig i frågan tillstyrker eller ställer sig positiva till införandet av en särskild forskningsdatalag. Datainspektionen konstaterar att dataskyddsförordningen är direkt tillämplig men har en direktivliknande karaktär, dvs. den kräver i vissa fall kompletterande nationell lagstiftning. Om det inte säkerställs att särskild nationell lagstiftning införs där behov finns och dataskyddsförordningen så kräver, finns det en risk för att behandling av personuppgifter för forskningsändamål inte kan utföras. Uppsala universitet påpekar att genomförandet av den direktivliknande dataskyddsförordningen leder till ett mycket komplext rättsligt system där EU-förordningen ska tillämpas parallellt med svensk lagstiftning som i sin tur är subsidiär i flera led. Försvarsmaktens uppfattning är att svensk lagstiftning bör vara tydlig och överskådlig vilket underlättar tillämpningen. Försvarsmakten gör bedömningen att införandet av en ny separat forskningsdatalag som komplement till den föreslagna dataskyddslagen riskerar att få motsatt effekt och av det skälet förordar Försvarsmakten att innehållet i föreslagen dataforskningslag istället inarbetas i den föreslagna dataskyddslagen. Västerbottens läns landsting anser att de förändringar som föreslås bör gå att inrymma i den generella lagstiftningen i stället för att skapa en egen lag. Förslaget och bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens förslag och bedömning. Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga synpunkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss. Ingen remissinstans invänder mot den lagtekniska bedömning som görs att en särskild forskningsdatalag endast skulle komma att innehålla ett fåtal bestämmelser, varav några skulle bli av upplysningskaraktär. Bland de som ställer sig positiva till förslagen och bedömningarna finns Luleå kommun, Högskolan i Borås, Karlstads universitet, Karolinska institutet och Malmö universitet. Göteborgs universitet ställer sig helt och fullt bakom bedömningarna i utkastet till lagrådsremiss. Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser som helhet att förslagen i lagrådsremissen väl tillgodoser forskningens intressen av att kunna använda personuppgifter och att den typ av forskning som Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om väl forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver. Stockholms läns landsting anser att regeringen fört fram vägande skäl för att inte gå vidare med den bakomliggande utredningens förslag till forskningsdatalag. Mot bakgrund av de synpunkter som redovisas i utkastet till lagrådsremiss delar Arbetsgivarverket uppfattningen att en särskild forskningsdatalag inte bör införas i nuläget. Bland de som inte har några synpunkter på eller erinran mot bedömningen finns Justitiekanslern, Kammarrätten i Stockholm och Regionala etikprövningsnämnderna i Göteborg och Linköping samt Socialstyrelsen. Regionala etikprövningsnämnden i Lund tillstyrker bedömningen i denna del av det skäl som anges i utkastet, nämligen att en sådan lagstiftning i stort skulle innebära en onödig dubbelreglering. Nämnden konstaterar dock att avståendet från ett införande av forskningsdatalag innebär ett bekymmer i fråga om privata forskare och vilken rättslig grund de kommer att kunna använda för sin personuppgiftsbehandling. Flera remissinstanser, Kalmar läns landsting, Lunds universitet, Stockholms universitet, Vinnova, Sveriges lantbruksuniversitet, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Läkemedelsindustriföreningen och Sveriges Kommuner och Landsting (SKL), vidhåller sin tidigare redovisade positiva inställning till införandet av en särskild forskningsdatalag och de framhåller att en särskild forskningsdatalag skulle vara pedagogisk, bidra till tydlighet och underlätta för forskarna att tillämpa dataskyddsförordningen. SKL har dock inget att erinra mot att behövliga regler istället inarbetas i andra lagar om en ny forskningsdatalag bara skulle innehålla ett fåtal paragrafer, varav ett par skulle ha karaktären av upplysningsbestämmelser. Regionala etikprövningsnämnden i Umeå anser att lagstiftningen hade vunnit i klarhet om det hade funnits en forskningsdatalag eller ett avgränsat kapitel med motsvarande innehåll i dataskyddslagen. Västra Götalands läns landsting avstyrker regeringens bedömning i denna del och framhåller att det finns ett behov av att införa en forskningsdatalag för att undanröja oklarheter och gråzonsproblematik. Skälen för regeringens förslag och bedömning En forskningsdatalag skulle innehålla få bestämmelser Majoriteten av remissinstanserna har tillstyrkt eller inte haft något att invända mot förslaget att en ny forskningsdatalag ska införas. Regeringen har i tidigare avsnitt analyserat i vilken mån de möjligheter till nationell reglering som finns enligt dataskyddsförordningen när det gäller villkoren för behandling av personuppgifter för forskningsändamål kan och bör utnyttjas. Regeringen har då bedömt, mot bakgrund av remissutfallet avseende de enskilda bestämmelserna, att flera av de bestämmelser som utredningen har föreslagit ska ingå i en forskningsdatalag inte bör införas. Mot den bakgrunden kan det övervägas om det är befogat att införa en forskningsdatalag eller om den eller de bestämmelser om behandling av personuppgifter för forskningsändamål som bedöms behövas bör placeras i andra lagar, t.ex. dataskyddslagen, som Försvarsmakten och Västerbottens läns landsting har föreslagit. Som framgår av avsnitt 9.3 föreslår regeringen att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (generell skyddsåtgärd). En motsvarande bestämmelse fanns i PUL, men då PUL har upphävts måste bestämmelsen föras in i en annan lag. I avsnitt 10.3 har regeringen bedömt att etikprövning enligt etikprövningslagen är en sådan lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter för andra forskningsändamål än klinisk läkemedelsprövning enligt EU:s dataskyddsförordning. Regeringen har vidare bedömt att redan regleringen i etikprövningslagen, med nödvändiga anpassningar till dataskyddsförordningen, måste anses vara tillräcklig för att uppfylla kraven i artikel 9.2 j i dataskyddsförordningen. Det innebär att en bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag anges att känsliga personuppgifter med stöd av artikel 9.2 j i dataskyddsförordningen får behandlas, om behandlingen är nödvändig för andra forskningsändamål än klinisk läkemedelsprövning och om behandlingen har godkänts enligt etikprövningslagen, närmast får karaktären av en upplysningsbestämmelse. I avsnitt 11.2 har regeringen gjort bedömningen att etikprövning enligt etikprövningslagen är en sådan fastställd lämplig skyddsåtgärd som krävs för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt dataskyddsförordningen. Även i detta fall gör regeringen bedömningen att en bestämmelse i en ny forskningsdatalag som hänvisar till etikprövningslagen skulle ha karaktären av en upplysningsbestämmelse eftersom redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 10 och artikel 89.1. Regeringen konstaterar att upplysningsbestämmelser bara bör införas om de har ett särskilt upplysningsvärde. Dataskyddsförordningen började tillämpas den 25 maj 2018 och PUL upphörde då att gälla. Regeringen konstaterar att en forskningsdatalag bara skulle innehålla dels bestämmelsen om att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (generell skyddsåtgärd), dels ett par upplysningsbestämmelser. Om en forskningsdatalag införs bedöms det därutöver behövas bestämmelser som reglerar lagens förhållande till dataskyddsförordningen, dataskyddslagen och annan nationell reglering som innehåller bestämmelser om personuppgiftsbehandling för forskningsändamål samt författningens tillämpningsområde. Innan regeringen tar ställning till om det finns skäl att införa en lag som huvudsakligen kommer att innehålla upplysningsbestämmelser bör frågan om vilket tillämpningsområde en sådan lag skulle ha, behandlas. Frågor om det territoriella tillämpningsområdet Vare sig Dataskyddsutredningen eller Forskningsdatautredningen har lämnat förslag om det territoriella tillämpningsområdet för dataskyddslagen respektive forskningsdatalagen. Två promemorior remitterades därför, dels promemorian Kompletterande promemoria till betänkandet Ny dataskyddslag (SOU 2017:39), dels Kompletterande promemoria till betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). På grundval av den förstnämnda promemorian har det i dataskyddslagen införts kompletterande bestämmelser om tillämpningsområdet för den lagen. I den andra promemorian föreslås en bestämmelse som innebär att forskningsdatalagen ska tillämpas vid behandling av personuppgifter för forskningsändamål som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Det innebär att etableringslandsprincipen tillämpas och att principerna i dataskyddsförordningen och dataskyddslagen följs. Majoriteten av de remissinstanser som yttrat sig tillstyrker, ställer sig positiva till eller har inte något att invända mot förslaget. Flera remissinstanser, som Forskningsrådet för hälsa, arbetsliv och välfärd (Forte), Karlstads universitet, Lunds universitet, Mittuniversitet, Stockholms universitet, Centrala etikprövningsnämnden och Regionala etikprövningsnämnden i Umeå, har emellertid påpekat att det i promemorian föreslagna tillämpningsområdet innebär att det kommer att finnas en diskrepans i förhållande till etikprövningslagens tillämpningsområde. Det föreslagna tillämpningsområdet för forskningsdatalagen, som innebär att principerna i dataskyddsförordningen och dataskyddslagen ska följas, innebär att lagen ska tillämpas vid behandling av personuppgifter för forskningsändamål som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i Sverige, om behandlingen utförs inom ramen för verksamhet som bedrivs vid verksamhetsställen här i landet, oavsett var behandlingen av personuppgifter äger rum. Etikprövningslagen tillämpas i stället på forskning som ska utföras i Sverige (5 § etikprövningslagen). Skillnaden innebär således att forskningsdatalagen skulle bygga på var den personuppgiftsansvarige är etablerad och att behandling av personuppgifter som sker inom ramen för den verksamhet som den personuppgiftsansvarige bedriver skulle omfattas av lagen oberoende av var personuppgiftsbehandlingen faktiskt äger rum, medan regleringen i etikprövningslagen bygger på var forskningen som innefattar personuppgiftsbehandling faktiskt utförs. I de allra flesta fall skulle den föreslagna bestämmelsen om forskningsdatalagens tillämpningsområde innebära att regleringen i den lagen och etikprövningslagen är förenliga. I vissa fall skulle dock situationen kunna vara sådan att personuppgiftsbehandling som sker inom ramen för forskningsverksamhet som bedrivs av en forskningsutförare som har verksamhetsställe i Sverige rent faktiskt äger rum utanför Sverige. Etikprövningslagen är då inte tillämplig. Även den motsatta situationen tas upp av remissinstanserna, dvs. att forskning som innefattar behandling av personuppgifter till någon del sker i Sverige men inte inom ramen för ett verksamhetsställe här. Då krävs ett etikgodkännande enligt etikprövningslagen men forskningsdatalagen är inte tillämplig. Det kan alltså förekomma situationer då regleringen i lagarna inte är helt förenliga. För att åstadkomma att regleringen i lagarna är förenliga med varandra krävs en översyn av tillämpningsområdet för etikprövningslagen. Vid införandet av etikprövningslagen övervägdes om lagens tillämpningsområde även skulle avse sådan forskning som utförs utanför Sverige, om forskningshuvudmannen har sitt säte (hemvist) i Sverige. Regeringen ansåg då att ytterligare övervägande behövde göras beträffande konsekvenserna av ett sådant system och föreslog att etikprövning skulle ske av forskning som ska utföras i Sverige. Ett beredningsunderlag för en anpassning av etikprövningslagen till principerna som gäller för tillämpningsområdet för dataskyddsförordningen och som föreslagits för den föreslagna forskningsdatalagen saknas i nuläget. En forskningsdatalag skulle således komma att ha ett tillämpningsområde som inte helt överensstämmer med tillämpningsområdet för etikprövningslagen, som lagen skulle hänvisa till. I en situation där personuppgiftsbehandlingen i forskningsverksamhet som bedrivs vid ett verksamhetsställe i Sverige utförs utanför Sverige och forskningsutföraren inte kan få ett etikgodkännande för en behandling av känsliga personuppgifter eller ett tillstånd från Läkemedelsverket behöver den personuppgiftsansvarige förlita sig på samtycke från de registrerade enligt artikel 6.1 a i dataskyddsförordningen. Som framgår av avsnitt 7.2 bör dataskyddsförordningen normalt inte innebära något hinder för forskningsaktörer att använda samtycke som rättslig grund för sin personuppgiftsbehandling. Det måste dock beaktas om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt, särskilt när den personuppgiftsansvarige är en offentligrättslig forskningsutförare. Det bör i nuläget inte införas en forskningsdatalag En särskild forskningsdatalag skulle visserligen, som ett antal remissinstanser påtalar, kunna skapa klarhet kring rättsläget nu när dataskyddsförordningen har börjat tillämpas och PUL har upphävts. En forskningsdatalag skulle emellertid som angivits endast komma att innehålla ett fåtal paragrafer, varav två bestämmelser har karaktären av upplysningsbestämmelser. Endast den bestämmelse om användningsbegränsning som har funnits i PUL behövs i sak (bestämmelsen om att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen). Det upplysningsvärde som upplysningsbestämmelserna skulle kunna ha uppväger dock enligt regeringen inte den förvirring som skulle kunna uppstå om den lag som innehåller upplysningsbestämmelserna inte har helt samma tillämpningsområde som de lagar som den hänvisar till. Den bestämmelse om användningsbegränsning som har funnits i PUL kan vidare med fördel placeras i dataskyddslagen, då den lagen har ett motsvarande tillämpningsområde som föreslogs i promemorian för forskningsdatalagen. I 4 kap. dataskyddslagen finns det bestämmelser om användningsbegränsningar vid behandling av personuppgifter för statistik- och arkivändamål. Det framstår som logiskt att det kapitlet kompletteras med en bestämmelse om användningsbegränsning vid behandling av personuppgifter för forskningsändamål. Det är därför regeringens sammantagna bedömning att en särskild forskningsdatalag inte bör införas i nuläget. Flertalet remissinstanser har tillstyrkt, inte haft några synpunkter på eller erinran mot denna bedömning. Det sagda innebär att när det gäller personuppgiftsbehandling för andra forskningsändamål än kliniska läkemedelsprövningar kommer PUL och etikprövningslagen att ersättas av dataskyddsförordningen, dataskyddslagen och en uppdaterad etikprövningslag. När det gäller kliniska läkemedelsprövningar kommer PUL, etikprövningslagen och läkemedelslagen att ersättas av EU:s förordning om kliniska prövningar av humanläkemedel, den föreslagna lagen med kompletterande bestämmelser om etisk granskning till den nämnda EU-förordningen, en uppdaterad läkemedelslag samt dataskyddsförordningen och dataskyddslagen. 15.2 Sekretess ska gälla för uppgifter som behandlas i strid med personuppgiftsregleringen Regeringens förslag: Sekretess ska gälla för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med etikprövningslagen i fråga om känsliga personuppgifter eller uppgifter om lagöverträdelser. Regeringens bedömning: Den tystnadsplikt som följer av sekretessbestämmelsen bör inte inskränka den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Utredningen föreslår inte någon sådan bestämmelse. Remissinstanserna: Arbetsgivarverket och Arbetsförmedlingen tar upp behovet av att göra en ändring i 21 kap. 7 § OSL, utöver de ändringar i bestämmelsen som Dataskyddsutredningen föreslagit i sitt betänkande SOU 2017:39. Enligt 21 kap 7 § OSL gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Dataskyddsutredningen har i betänkandet föreslagit att bestämmelsen i 21 kap 7 § OSL i stället för att hänvisa till personuppgiftslagen, bör hänvisa till dataskyddsförordningen och dataskyddslagen. Eftersom 19 och 21 §§ PUL, i de delar som anger att känsliga personuppgifter och personuppgifter om lagöverträdelser får behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen, enligt utredningens förslag i stället föreslås flyttas över till forskningsdatalagen, framhåller Arbetsgivarverket och Arbetsförmedlingen behovet av att det i 21 kap 7 § OSL införs en hänvisning även till forskningsdatalagen. Detta i syfte att undvika att sekretessbelagda känsliga personuppgifter lämnas ut för forskningsändamål utan att detta är förenligt med vad som anges i forskningsdatalagen. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. I utkastet till lagrådsremiss fanns inte någon bedömning angiven. Remissinstanserna: Datainspektionen är positiv till att sekretesskyddet bevaras men anser att det finns anledning att analysera vilka motsvarande skyddsåtgärder som behövs när enskilda utförare av forskning behandlar personuppgifter. Lunds universitet anser att förslaget till ändring i offentlighets- och sekretesslagen är nödvändigt. Svenska Tidningsutgivareföreningen har inget att invända mot förslaget men framhåller att lagrådsremissen bör kompletteras med ett förtydligande att det föreslagna tillägget i 21 kap. 7 § OSL inte hindrar ett utlämnande till medier som omfattas av tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL). Kungl. Tekniska högskolan (KTH) anser att hänvisningen till etikprövningslagen i den föreslagna ändringen av 21 kap. 7 § offentlighets- och sekretesslagen inte är tillräcklig tydlig eftersom det inte framkommer vilken typsituation, en behandling för forskningsändamål som inte har godkänts enligt etikprövningslagen, som avsikten är att bestämmelsen ska reglera. KTH framhåller dessutom att det i bestämmelsen även bör hänvisas till 3 § i etikprövningslagen. Skälen för regeringens förslag: Enligt 21 kap. 7 § OSL gäller sekretess för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med PUL. Det får numera anses fastslaget i praxis att det som ska bedömas är huruvida mottagarens avsedda behandling av de personuppgifter som begärs ut uppfyller kraven enligt PUL (HFD 2014 ref. 66). Eftersom PUL nu har upphävts och den generella dataskyddsregleringen i stället finns i dataskyddsförordningen och dataskyddslagen har det även gjorts en följdändring i 21 kap. 7 § OSL, som innebär att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. I propositionen Ny dataskyddslag konstaterade regeringen att det kommer att finnas andra författningar än dataskyddslagen i svensk rätt som innehåller bestämmelser om behandling av personuppgifter. Så var fallet redan tidigare, men bestämmelsen i 21 kap. 7 § OSL hänvisade i sin tidigare lydelse bara till PUL. Då Dataskyddsutredningen inte föreslagit att sekretessbestämmelsens tillämpningsområde ska utsträckas till att även omfatta t.ex. behandling av utlämnade uppgifter som kan antas strida mot registerförfattningar konstaterade regeringen i propositionen att konsekvenserna av en sådan utvidgning inte var utredda och regeringen lämnade därför inte något förslag till utvidgning av bestämmelsens tillämpningsområde i propositionen. PUL innehöll bestämmelser som särskilt reglerade möjligheten att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattade brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden för forskningsändamål. Som särskild skyddsåtgärd gällde att behandling av sådana uppgifter fick ske om behandlingen hade godkänts enligt etikprövningslagen (se 19 och 21 §§ PUL). Dataskyddsförordningen anger särskilda villkor som gäller vid behandling av personuppgifter för forskningsändamål, som t.ex. att sådan behandling ska omfattas av lämpliga skyddsåtgärder och att behandling av känsliga personuppgifter för sådant ändamål ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, dvs. behandlingen måste ha stöd i nationell rätt, och den måste innehålla bestämmelser om lämpliga och särskilda skyddsåtgärder. Förordningen anger däremot inte mer preciserat vilka skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för forskningsändamål. Den föreslagna dataskyddslagen innehåller inga bestämmelser som särskilt reglerar behandling av personuppgifter för forskningsändamål. Som regeringen närmare utvecklar i avsnitt 10.3 och 11.2 gör regeringen be-dömningen att den reglering som finns i etikprövningslagen, som anger att forskning som innefattar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser bara får utföras om den har godkänts vid en etikprövning (se 3 och 6 §§ etikprövningslagen) - med nödvändiga anpassningar till dataskyddsförordningen - ger det stöd som krävs i nationell rätt enligt dataskyddsförordningen för att behandling av sådana uppgifter ska vara tillåten. Regeringen gör därför i avsnitt 15.1 bedömningen att några bestämmelser som motsvarar 19 och 21 §§ PUL inte behöver överföras till en ny forskningsdatalag. Om en hänvisning till etikprövningslagens bestämmelser om krav på godkännande av forskning som innefattar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser inte tas in i 21 kap. 7 § OSL skulle det innebära en ändring i sak i förhållande till gällande rätt, på så vis att det sekretesskydd som gäller idag om det kan antas att en känslig personuppgift eller uppgifter om lagöverträdelser efter ett utlämnande kommer att behandlas för forskningsändamål utan ett godkännande enligt etikprövningslagen, inte längre skulle gälla. Regeringen anser därför, i linje med Arbetsgivarverkets och Arbetsförmedlingens synpunkter, att 21 kap. 7 § OSL bör ändras så att det ska gälla sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen, dataskyddslagen eller 6 § etikprövningslagen. KTH anser att hänvisningen till etikprövningslagen i den föreslagna ändringen av 21 kap. 7 § offentlighet- och sekretesslagen inte är tillräcklig tydlig eftersom det inte framkommer vilken typsituation som avsikten är att bestämmelsen ska reglera. KTH anser att det i 21 kap. 7 § OSL även bör hänvisas till 3 § etikprövningslagen. Av 6 § etikprövningslagen framgår att forskning som avses i 3-5 §§ i den lagen bara får utföras om den har godkänts vid etikprövning. Bestämmelsen i 3 § anger att lagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Enligt 4 § ska lagen också tillämpas på forskning som innebär ett fysiskt ingrepp på en forskningsperson, utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa, innebär ett fysiskt ingrepp på en avliden människa, eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa. Bestämmelsen i 5 § reglerar lagens geografiska tillämpningsområde. Mot bakgrund av att 21 kap. 7 § OSL reglerar sekretessen för personuppgifter, att 6 § etikprövningslagen innehåller ett krav på att forskning som avses i 3-5 §§ bara får utföras bara om den har godkänts vid en etikprövning och då det av dessa paragrafer enbart är 3 § som reglerar personuppgifter anser regeringen att det är tillräckligt att i 21 kap. 7 § OSL hänvisa till 6 § etikprövningslagen. Hänvisningen innebär i praktiken att det gäller sekretess för känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, om det kan antas att sådana uppgifter efter ett utlämnande kommer att behandlas utan ett godkännande enligt 6 § etikprövningslagen. Rätten att meddela och offentliggöra uppgifter Sekretess innebär både tystnadsplikt och handlingssekretess (3 kap. 1 § OSL). Den tystnadsplikt som följer av en sekretessbestämmelse har inte företräde framför rätten enligt 1 kap. 1 § TF och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen (YGL) att meddela och offentliggöra uppgifter, om inte annat anges i TF, YGL eller OSL. Handlingssekretessen har dock alltid företräde framför rätten att meddela och offentliggöra uppgifter. Det kan således vara tillåtet att muntligen t.ex. lämna en uppgift till en journalist eller att själv publicera uppgiften, men det är aldrig tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter lämna en allmän handling som den sekretessbelagda uppgiften framgår av till t.ex. en journalist eller att t.ex. själv publicera handlingen. Stor återhållsamhet ska iakttas när det övervägs om en inskränkning ska göras i rätten att meddela och offentliggöra uppgifter. Faktorer som bör beaktas vid sådana överväganden är bl.a. vilken styrka sekretessen har, om uppgiften har lämnats av en enskild i en förtroendesituation eller om uppgiften hänför sig till myndighetsutövning (prop. 1979/80:2 Del A s. 111 f.). Ändringen i 21 kap. 7 § OSL föreslås för att en ändring i sak inte ska uppstå i förhållande till vad som gällde fram till den 25 maj 2018 då dataskyddsförordningen började tillämpas, PUL upphävdes och följdändringen i 21 kap. 7 § OSL trädde i kraft. Regeringen har inte tidigare funnit skäl för att inskränka rätten att meddela och offentliggöra uppgifter när det gäller den tystnadsplikt som följer av bestämmelsen i 21 kap. 7 § OSL. Det finns inte skäl att frångå den bedömning som tidigare har gjorts. Denna rätt bör även fortsättningsvis ha företräde framför den tystnadsplikt som följer av den föreslagna bestämmelsen. Detta innebär, som Svenska Tidningsutgivareföreningen påtalar, att det föreslagna tillägget i 21 kap. 7 § OSL inte hindrar ett utlämnande av uppgifter till medier som omfattas av TF eller YGL med stöd av rätten att meddela och offentliggöra uppgifter. 16 Anpassningar av vissa registerförfattningar 16.1 Lagen om rättspsykiatriskt forskningsregister ska anpassas till dataskyddsförordningen 16.1.1 Innehållet i lagen och Forskningsdatautredningens uppdrag Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utvecklingsarbete). Registret regleras i en särskild lag, lagen (1999:353) om rättspsykiatriskt forskningsregister. Enligt lagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål har utfärdats. Lagen innehåller en uppräkning av vilka uppgifter om personerna som får registreras. Endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Socialstyrelsen, Kriminalvården respektive Statens institutionsstyrelse ska lämna uppgifter till registret. I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess i verksamhet som avser förande av eller uttag ur det rättspsykiatriska forskningsregistret (24 kap. 2 §). Bakgrunden till lagen var ett behov av förbättrade möjligheter till forsknings- och utvecklingsarbete inom det rättspsykiatriska området, vilket RMV påtalade för regeringen under tidigt 1990-tal. Regeringen tillsatte en utredning som i maj 1996 lade fram betänkandet Rättspsykiatriskt forskningsregister (SOU 1996:72). Regeringen anpassade förslagen i utredningens betänkande till PUL, vilken är baserad på det upphävda dataskyddsdirektivet. Lagen om rättspsykiatriskt forskningsregister är således enligt tidigare gjorda bedömningar förenlig med dataskyddsdirektivet. Lagen om rättspsykiatriskt forskningsregister innehåller bl.a. bestämmelser om för vilka ändamål registret får användas (3 §), vilka uppgifter som får finnas i registret (4-9 §§), vilka myndigheter som ska lämna uppgifter till registret (10 §), vilken information som ska lämnas till den registrerade (12 §), utlämnande av uppgifter från registret (13 §), sekretess (14 §), rättelse och skadestånd (15 §) och överklagande (16 §). I rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter m.m. (Ju2013/08833/Å) redovisar RMV en översyn av myndighetens behandling av personuppgifter. I rapporten framhålls att lagen om rättspsykiatriskt forskningsregister inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt RMV bl.a. att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade data som får registreras i registret. Det har därför ifrågasatts om lagen bör vara kvar i sin nuvarande utformning. Enligt direktiven till Forskningsdatautredningen skulle utredningen undersöka hur lagen om rättspsykiatriskt forskningsregister används i dag, föreslå behövliga anpassningar av lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen skulle börja tillämpas, analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och lämna behövliga författningsförslag. Utredningen har redovisat förslaget om en anpassning av lagen till dataskyddsförordningen i sitt delbetänkande SOU 2017:50 och det förslaget behandlas nedan. Den del av uppdraget som avser att analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och lämna behövliga författningsförslag har redovisats den 5 juni 2018 i betänkandet Rätt att forska - Långsiktig reglering av forskningsdatabaser (SOU 2018:36). Förslaget i det betänkandet behandlas inte i detta lagstiftningsärende. 16.1.2 Lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen Regeringens bedömning: Lagen om rättspsykiatriskt forskningsregister är en tillåten nationell kompletterande reglering till dataskyddsförordningen. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Det stora flertalet remissinstanser som yttrat sig tillstyrker allmänt utredningens förslag eller ser allmänt positivt på förslagen eller har ingen erinran mot eller synpunkter på dessa men kommenterar inte förslagen eller bedömningarna beträffande lagen om rättspsykiatriskt forskningsregister särskilt. Endast några enstaka remissinstanser framför synpunkter på utredningens förslag till anpassning av lagen. Centrala etikprövningsnämnden, Statens väg- och transportforskningsinstitut, Sveriges geologiska undersökningar och Verket för innovationssystem (Vinnova) tillstyrker förslagen till anpassningar av registerförfattningen. Även RMV ställer sig positivt till förslaget om anpassning av bestämmelserna i lagen men framhåller med avseende på utredningens fortsatta arbete att kvalificerad forskning inom rättspsykiatrin inte kan genomföras enbart med användning av uppgifter från det rättspsykiatriska forskningsregistret och anser att lagen därför bör upphävas. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga synpunkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss men kommenterar inte förslagen eller bedömningarna beträffande lagen om rättspsykiatriskt forskningsregister särskilt. Bland de som särskilt uttalar sig om lagen om rättspsykiatriskt forskningsregister och tillstyrker ändringarna finns Stockholms läns landsting, Västra Götalands läns landsting och Karlstads universitet. Ingen remissinstans ställer sig negativ till de föreslagna ändringarna i lagen och bedömningarna som gjorts i utkastet till lagrådsremiss. Skälen för regeringens bedömning: Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men dessa tillåts, som redogjorts för, enligt artikel 6.2 och 6.3 att behålla eller införa mer specifik nationell reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller behandling som sker med stöd av de rättsliga grunderna fullgörande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller myndighetsutövning i artikel 6.1 c och e. Bedömningarna som gjordes vid införandet av lagen om rättspsykiatriskt forskningsregister baserades på dataskyddsdirektivet och PUL (se prop. 1998/99:72). Det var regeringens bedömning vid införandet av lagen om rättspsykiatriskt forskningsregister att den behandling av personuppgifter som lagen omfattade var nödvändig för att utföra en uppgift av viktigt allmänt intresse. Artikel 8.4 i dataskyddsdirektivet gav medlemsstaterna rätt att nationellt lagstifta om undantag från förbudet att behandla känsliga personuppgifter (artikel 8.1) under förutsättning av lämpliga skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse. Beträffande ändamålet utvecklingsarbete anförde regeringen i propositionen som ligger till grund för lagen att det är av stor vikt att RMV har ett bra underlag för sitt arbete med uppföljning, utvärdering och kvalitetssäkring. Att RMV kan upprätthålla och förbättra kvaliteten och enhetligheten i sina bedömningar ansågs vara viktigt både för samhället och för de enskildas rättssäkerhet. Regeringen fann därför att detta är ett sådant viktigt allmänt intresse att det motiverar ett undantag i enlighet med artikel 8.4 i dataskyddsdirektivet från förbudet mot behandling av känsliga personuppgifter. Regeringen gjorde även bedömningen att behandlingen av personuppgifter i enlighet med den föreslagna lagen i alla delar är förenlig med artikel 8 i Europakonventionen. Det är således regeringens och riksdagens redan gjorda bedömning att ändamålen med lagen om rättspsykiatriskt forskningsregister är ett viktigt allmänt intresse i enlighet med dataskyddsdirektivet. RMV framhåller med avseende på Forskningsdatautredningens fortsatta arbete att kvalificerad forskning inom rättspsykiatrin inte kan genomföras enbart med användning av uppgifter från det rättspsykiatriska forskningsregistret och anser att lagen därför bör upphävas. I avvaktan på vidare beredning av Forskningsdatautredningens slutbetänkande, där utredningen redovisar sitt uppdrag att analysera det långsiktiga behovet av en särskild lag på området, finns det enligt regeringens uppfattning inte skäl att utifrån regleringen i dataskyddsförordningen nu göra någon annan bedömning än att ändamålen med lagen är ett viktigt allmänt intresse. Registerlagen reglerar en uppgift av allmänt intresse. Som regeringen närmare kommer att redogöra för längre fram i detta avsnitt innehåller registerlagen huvudsakligen sådana särskilda bestämmelser som anpassar tillämpningen av bestämmelserna i dataskyddsförordningen och som den i den nationella rätten fastställda rättsliga grunden att utföra en uppgift av allmänt intresse får innehålla enligt artikel 6.3. Regeringens övergripande uppfattning är att regleringen är proportionell i förhållande till ändamålet. Regeringen delar därför utredningens bedömning att registerlagen utgör en sådan tillåten specifik nationell reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller utförande av uppgift av allmänt intresse enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Regleringen av personuppgiftsbehandling i registerlagen måste uppfylla dataskyddsförordningens övriga krav för att kunna behållas. I det följande analyseras registerlagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse. 16.1.3 Lagens inledande bestämmelser bör behållas Regeringens bedömning: De inledande bestämmelserna i lagen om rättspsykiatriskt forskningsregister om lagens tillämpningsområde och personuppgiftsansvaret för registret kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: I 1 § lagen om rättspsykiatriskt forskningsregister anges att RMV får för de ändamål som anges i 3 § med hjälp av automatiserad behandling föra ett rättspsykiatriskt forskningsregister. I andra stycket anges att RMV är personuppgiftsansvarigt för registret. Den inledande paragrafens första stycke anger för vilken verksamhet lagen gäller. Det är regeringens uppfattning att bestämmelser i nationell kompletterande lagstiftning till dataskyddsförordningen som anger på vilken verksamhet, vilka typer av behandlingar och vilka personuppgifter lagen ska tillämpas inte i sig påverkas av dataskyddsförordningen. Av 1 § framgår att RMV får föra registret med hjälp av automatiserad behandling. Denna formulering motsvarar innehållsmässigt artikel 2.1 i dataskyddsförordningen, vilken är direkt tillämplig. Av artikeln framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 i dataskyddsförordningen definieras register som en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Av skäl 8 i dataskyddsförordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Skäl 8 ger därmed utrymme för att införliva artikel 2.1 i registerlagen. Det är därför regeringens bedömning att formuleringen i 1 § första stycket registerlagen kan behållas intakt. I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 att ange vem som är personuppgiftsansvarig i den nationella rätten. I 1 § andra stycket lagen om rättspsykiatriskt forskningsregister anges att det är RMV som är personuppgiftsansvarigt för registret. 1 3 § anges att registret endast får användas för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, eller för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utvecklingsarbete). Genom bestämmelserna om lagens tillämpningsområde och ändamålen för registret ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dessutom bestäms medlen för behandlingen i registerlagen, dvs. i lagen fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i registerlagen, vilket gör det tillåtet att ange vem som är personuppgiftsansvarig. Slutligen är det i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut den personuppgiftsansvarige direkt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfattningsvis är det regeringens bedömning att bestämmelsen kan och bör behållas i sin helhet. 16.1.4 Hänvisningar till personuppgiftslagen ska tas bort Regeringens förslag: Hänvisningarna till personuppgiftslagen i lagen om rättspsykiatriskt forskningsregister ska tas bort och, där det är lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen och dataskyddslagen. Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Skälen för regeringens förslag: I 2 § i lagen om rättspsykiatriskt forskningsregister anges att PUL gäller vid behandling av personuppgifter för registret, om inget annat följer av lagen om registret. Med anledning av att PUL upphävts när dataskyddsförordningen börjat tillämpas bör hänvisningen till PUL tas bort. Vissa bestämmelser i registerlagen innehåller också hänvisningar till specifika bestämmelser i PUL. Detta gäller hänvisningen till PUL avseende information som ska lämnas till den registrerade (12 §), i fråga om rättelse och skadestånd (15 §) samt hänvisningen till 26 och 28 §§ PUL i bestämmelsen om överklagande (16 §). Dessa hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive dataskyddslagen, se respektive avsnitt nedan. 16.1.5 Det ska tas in hänvisningar till dataskyddsförordningen och dataskyddslagen Regeringens förslag: Det ska införas en upplysningsbestämmelse i lagen om rättspsykiatriskt forskningsregister som tydliggör att lagen kompletterar dataskyddsförordningen. Det ska också införas en upplysningsbestämmelse som anger att vid behandling av personuppgifter enligt lagen om rättspsykiatriskt forskningsregister gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte något annat följer av lagen om rättspsykiatriskt forskningsregister. Utredningens förslag överensstämmer i sak med regeringens förslag. Utredningens förslag till lagtext har formulerats på ett annat sätt än regeringens förslag. Remissinstanserna: Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen förhåller sig till den brottsdatalag som föreslås i betänkandet Brottsdatalag (SOU 2017:29). Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Skälen för regeringens förslag Förhållandet till dataskyddsförordningen och dataskyddslagen Dataskyddsförordningen är direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt. Dataskyddsförordningen gäller oavsett om det i lagen om rättspsykiatriskt forskningsregister införs en bestämmelse som hänvisar till förordningen eller inte. Regeringen anser dock i likhet med utredningen att det bör införas en bestämmelse i lagen som tydliggör att den innehåller kompletterande bestämmelser till dataskyddsförordningen. Hänvisningen till dataskyddsförordningen bör vara dynamisk, det vill säga avse förordningen i den vid varje tidpunkt gällande lydelsen. En sådan bestämmelse tydliggör registerlagens förhållande till dataskyddsförordningen och det blir tydligt att lagen om rättspsykiatriskt forskningsregister inte utgör en uttömmande reglering. Bestämmelsen syftar alltså till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar lagen och de registrerade. Dataskyddslagen kompletterar dataskyddsförordningen på en generell nivå i Sverige. Liksom PUL tillämpats om inte annat följer av lagen om rättspsykiatriskt forskningsregister bör bestämmelserna i dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla vid behandling av personuppgifter om inte avvikande bestämmelser finns i lagen om rättspsykiatriskt forskningsregister. En bestämmelse som upplyser om detta bör införas i sistnämnda lag. I dataskyddslagen finns det generella bestämmelser som utgör tillåtna specificeringar av och undantag från dataskyddsförordningen. I 1 kap. 6 § dataskyddslagen anges att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från den lagen, tillämpas den bestämmelsen. Dataskyddslagens bestämmelser gäller därmed i den mån inte lagen om rättspsykiatriskt forskningsregister, eller annan författning, föreskriver annat. Det krävs således i och för sig inte någon hänvisningsbestämmelse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att lagen om rättspsykiatriskt forskningsregister inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regelverket och för andra att hitta relevanta lagrum. Regeringen anser därför att det ska införas en upplysningsbestämmelse i lagen som anger att vid behandling av personuppgifter enligt lagen om rättspsykiatriskt forskningsregister gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte annat följer av lagen om rättspsykiatriskt forskningsregister. Förhållandet till brottsdatalagen I propositionen Brottsdatalag (prop. 2017/18:232) lämnade regeringen förslag till en brottsdatalag, som ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet på det brottsbekämpande området) i svensk rätt. Brottsdatalagen (2018:1177) beslutades av riksdagen den 13 juni 2018 och trädde i kraft den 1 augusti 2018 (prop. 2017/18:232, bet. 2017/18:JuU37, rskr. 2017/18:392). Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen om rättspsykiatriskt forskningsregister förhåller sig till brottsdatalagen. Brottsdatalagen ska gälla för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den ska också gälla för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 §). Behörig myndighet definieras som 1. en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller 2. en annan aktör som anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar personuppgifter för ett sådant syfte (1 kap. 6 §). Rättsmedicinalverket ansvarar bl.a. för rättspsykiatriska undersökningar i brottmål och läkarintyg som avses i 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m., rättsmedicinska obduktioner och andra rättsmedicinska undersökningar, verksamhet med utfärdande av sådana intyg som avses i lagen (2005:225 ) om rättsintyg i anledning av brott, rättsmedicinsk medverkan i övrigt på begäran av domstol, allmän åklagare, Polismyndigheten eller Säkerhetspolisen och rättskemiska och rättsgenetiska undersökningar. Myndigheten ska också ansvara för utvecklingsarbete och stöd åt forskning av betydelse för verksamheten (se 1 och 2 §§ förordningen [2007:976] med instruktion för Rättsmedicinalverket). Verksamheten bidrar till utredningen och lagföringen av brott och ger underlag för beslut om påföljder för brott. Rättsmedicinalverket har alltså vissa arbetsuppgifter som gör att brottsdatalagen blir tillämplig. Av de inledande bestämmelserna i lagen om rättspsykiatriskt forskningsregister framgår emellertid att den verksamhet lagen specifikt reglerar och som lagens tillämpningsområde är avgränsat till är verksamheten med förandet av det rättspsykiatriska forskningsregistret. Som nämnts får det rättspsykiatriska forskningsregistret endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin och Rättsmedicinalverkets utvecklingsarbete. Lagen om rättspsykiatriskt forskningsregister reglerar således inte den verksamhet hos Rättsmedicinalverket som det främst är aktuellt att brottsdatalagen kan bli tillämplig på. I brottsdatalagen anges vidare att om det i en annan lag eller en förordning finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla (1 kap. 5 §). Om det finns avvikande bestämmelser om behandlingen av personuppgifter t.ex. i en författning som reglerar ett visst register gäller de i stället för bestämmelserna i brottsdatalagen. En bestämmelse som reglerar lagens förhållande till andra författningar finns således i brottsdatalagen. Mot denna bakgrund anser regeringen inte att det finns ett behov av att i lagen om rättspsykiatriskt forskningsregister införa någon bestämmelse som reglerar lagens förhållande till brottsdatalagen. 16.1.6 Ändamålsbestämmelserna bör behållas Regeringens bedömning: Ändamålsbestämmelserna i lagen om rättspsykiatriskt forskningsregister kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning Ändamålsbestämmelserna är en tillåten nationell precisering I registerlagens 3 § anges lagens ändamål. Det rättspsykiatriska forskningsregistret får enligt första punkten endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, eller, enligt andra punkten, för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättspsykiatrin (utvecklingsarbete). Enligt dataskyddsförordningen gäller bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b). Motsvarande gällde enligt PUL (9 §), som baserades på dataskyddsdirektivet. Formuleringen av ändamålet har vid införandet av lagen om rättspsykiatriskt forskningsregister bedömts uppfylla kraven enligt dataskyddsdirektivet och PUL. Regeringen framhöll att ändamålen borde preciseras så noga som möjligt av flera skäl, först och främst för att värna om skyddet för den personliga integriteten (prop. 1998/99:72 s. 36 f.). När det gäller frågan hur specificerat ett ändamål behöver vara för att uppfylla kravet i artikel 5.1 b kan noteras att det i skäl 33 anges att det ofta inte är möjligt att fullt ut identifiera en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter och att därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning. I den första punkten har ändamålet preciserats till behandling av personuppgifter för forskning inom rättspsykiatrin. Personuppgiftsbehandling enligt lagen sker inte med stöd av samtycke men enligt regeringens uppfattning kan skäl 33 ge vägledning för hur man ska se på ändamålsbeskrivning generellt vid behandling av personuppgifter för forskningsändamål oavsett vilken grund som behandlingen baseras på. Ändamålet har angivits vara forskning inom rättspsykiatrin. Området för forskningen har således preciserats. Regeringen anser därför att ändamålsbeskrivningen i första punkten är förenlig med dataskyddsförordningen och kan behållas. Det krävs också att forskningen och behandlingen har godkänts enligt etikprövningslagen för att uppgifterna i registret ska få användas. Detta är ett villkor, en skyddsåtgärd, som infördes till skydd för den registrerade mot bakgrund av att registret innehåller mycket känsliga personuppgifter. När det gäller ändamålet användning i Rättsmedicinalverkets utvecklingsarbete ansågs ändamålet vara ett viktigt allmänt intresse då lagen infördes och därmed berättigat. Regeringen delar utredningens bedömning att kraven på tillräckligt preciserade ändamål enligt dataskyddsförordningen inte skiljer sig från kraven i dataskyddsdirektivet och att regeringens och riksdagens redan gjorda bedömningar därför är fortsatt giltiga och förenliga med dataskyddsförordningen. Regeringen delar också utredningens bedömning att ändamålsbestämmelsen i 3 § registerlagen även i övrigt är utformad på ett sådant sätt som stämmer överens med dataskyddsförordningens krav och utgör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen. Ändamålsbestämmelsen i 3 § registerlagen kan och bör därför behållas. Finalitetsprincipen har begränsats i lagen Av propositionen med förslaget till lag om rättspsykiatriskt forskningsregister framgår att det är regeringens avsikt att uppgifterna i registret endast ska få användas för de föreslagna två ändamålen (prop. 1998/99:72 s. 33). De uppräknade ändamålen och tillåtna behandlingarna i lagen är således uttömmande. Detta innebär en begränsning av finalitetsprincipen enligt dataskyddsförordningen. Den principen innebär att uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5 1 b). Mot bakgrund av att ändamålen med personuppgiftsbehandlingen i registerlagen är nödvändiga för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen är det tillåtet enligt artikel 6.2 och 6.3 i förordningen att i nationell rätt behålla särskilda bestämmelser som till exempel specificerar ändamålsbegränsningar. Det är regeringens bedömning att bestämmelsen i 3 § registerlagen även i det avseendet den begränsar möjligheten till ytterligare behandling är förenlig med dataskyddsförordningen och därmed kan behållas. 16.1.7 Det bör även fortsättningsvis anges vilka personuppgifter som får finnas i registret Regeringens bedömning: Bestämmelserna i lagen om rättspsykiatriskt forskningsregister om vilka uppgifter om registrerade personer som får registreras kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: I 4 § lagen om rättspsykiatriskt forskningsregister anges att registret endast får innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande enligt lagen om rättspsykiatrisk undersökning, ett intyg enligt 7 § lagen om särskild personutredning i brottmål, m.m. eller motsvarande utlåtande eller intyg enligt äldre lagstiftning har utfärdats. I 4 § andra stycket anges att uppgifterna inte får föras in i registret förrän domen i det mål i vilket utlåtandet eller intyget inhämtats har vunnit laga kraft. Har åtalet helt ogillats får inga personuppgifter från det brottmålet föras in i registret. I 5-9 §§ anges därefter vilka uppgifter för varje person som får registreras i registret. Majoriteten av de slags uppgifter som anges i 5-9 §§ registerlagen är sådana uppgifter som kategoriserades som känsliga personuppgifter enligt 13 § PUL (artikel 8.1 i dataskyddsdirektivet) eller personuppgifter om lagöverträdelser m.m. enligt 21 § PUL. Motsvarande bestämmelser beträffande särskilda kategorier av personuppgifter (känsliga personuppgifter) finns i artikel 9.1 i dataskyddsförordningen och beträffande personuppgifter om lagöverträdelser m.m. i artikel 10 i dataskyddsförordningen. Dataskyddsförordningen förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 9.2 räknas ett antal undantag från förbudet upp. Förbudet gäller bl.a. inte om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse (artikel 9.2 g) och inte heller om behandlingen är nödvändig för bl.a. vetenskapliga eller historiska forskningsändamål (artikel 9.2 j). I båda dessa fall anges det att behandlingen ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla lämpliga och särskilda skyddsåtgärder. Av artikel 9.4 framgår att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Av skäl 10 i dataskyddsförordningen framgår att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter, och att förordningen inte utesluter att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. I skäl 52 i dataskyddsförordningen förtydligas bl.a. att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undantag är att allmänintresset motiverar det. Av artikel 10 i dataskyddsförordningen framgår att behandling som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fastställts. Som redogjorts för i avsnittet om ändamålsbestämmelsen i 3 § lagen om rättspsykiatriskt forskningsregister har regeringen i samband med införandet av lagen och då ändamålet med personuppgiftsbehandlingen enligt lagen fastställdes gjort bedömningen att behandling av personuppgifter för forskningsändamål ur det rättspsykiatriska forskningsregistret liksom behandling av personuppgifter ur registret för utvecklingsarbete inom RMV är sådan nödvändig behandling för att utföra en uppgift av viktigt allmänt intresse. Det väl avgränsade ändamålet med behandlingen samt den strikta bedömningen av vilka uppgifter som får registreras för varje person bedömdes av regeringen utgöra ett fullgott skydd för de registrerades personliga integritet. Regeringen och riksdagen fann således vid införandet av registerlagen att dataskyddsdirektivet inte hindrade att känsliga personuppgifter får behandlas. När det gäller behandling av känsliga personuppgifter i registret för utvecklingsarbete inom RMV enligt 3 § andra punkten finns det ingen anledning att göra en annan bedömning än att det är ett sådant viktigt allmänt intresse att behandlingen är tillåten även enligt artikel 9.2 g i dataskyddsförordningen. Genom artikel 9.2 j finns vidare ett särskilt stöd i dataskyddsförordningen för behandling av känsliga personuppgifter i det rättspsykiatriska forskningsregistret för forskning inom rättspsykiatrin enligt 3 § första punkten. Både när det gäller forskning och utvecklingsarbete inom RMV sker behandlingen av känsliga personuppgifter på grundval av bestämmelser i nationell rätt. Det är även nu regeringens bedömning att de aktuella bestämmelserna står i proportion till det eftersträvade syftet med behandling av personuppgifter och är förenliga med det väsentliga innehållet i rätten till dataskydd. Som kommer att framgå av den följande redogörelsen för bestämmelserna i lagen innehåller den också ett antal bestämmelser om skyddsåtgärder. I 5 § lagen om rättspsykiatriskt forskningsregister anges att uppgifter om personnummer eller samordningsnummer får registreras. I 22 § PUL angavs att uppgifter om personnummer eller samordningsnummer fick behandlas utan samtycke bara när det var klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen i 22 § PUL infördes med stöd av artikel 8.7 i dataskyddsdirektivet som angav att medlemsstaterna skulle bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering fick behandlas. Bestämmelsen i 5 § lagen om rättspsykiatriskt forskningsregister är således införd efter en bedömning utifrån kraven i PUL. Behandling av nationella identifikationsnummer regleras i artikel 87 i dataskyddsförordningen, som anger att medlemsstaterna får närmare bestämma på vilka särskilda villkor sådana identifikationsnummer får behandlas. Sådan behandling får endast ske med iakttagande av lämpliga skyddsåtgärder. I dataskyddslagen har det införts en motsvarande bestämmelse till bestämmelsen i 22 § PUL. Bestämmelsen anger att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av uppgifter om personnummer och samordningsnummer är tillåten (3 kap. 10 och 11 §§ dataskyddslagen). Eftersom motsvarande möjligheter till undantag från förbudet mot behandling av känsliga uppgifter och till nationell reglering av behandling av personnummer och samordningsnummer som finns i dataskyddsdirektivet finns i dataskyddsförordningen anser regeringen, i likhet med utredningen, att de bedömningar som gjordes vid införandet av bestämmelserna om vilka uppgifter om registrerade personer som ska finnas i registret kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Det är vidare regeringens bedömning att dataskyddsförordningens krav på lämpliga och särskilda skyddsåtgärder är uppfyllda i registerlagen genom kravet på etikprövning samt regleringarna avseende direktåtkomst, sekretess och restriktionerna vid utlämnande av uppgifter. När det gäller uppgifter i registret som utgör uppgifter om lagöverträdelser enligt artikel 10 i dataskyddsförordningen sker behandlingen under kontroll av myndighet och lagen uppfyller dessutom som nämnts enligt regeringens bedömning kravet på att nationell rätt ska innehålla lämpliga skyddsåtgärder. Sammanfattningsvis delar därför regeringen utredningens bedömning att bestämmelserna i 4-9 §§ registerlagen är förenliga med dataskyddsförordningen och kan och bör behållas som tillåten specificerande nationell reglering enligt artikel 6.2 och 6.3 i dataskyddsförordningen. 16.1.8 Andra myndigheters uppgiftsskyldighet bör behållas Regeringens bedömning: Bestämmelserna i lagen om rättspsykiatriskt forskningsregister om att Socialstyrelsen, Kriminalvården respektive Statens Institutionsstyrelse ska lämna uppgifter till det rättspsykiatriska forskningsregistret kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: Av 10 § lagen om rättspsykiatriskt forskningsregister framgår att Socialstyrelsen, Kriminalvården respektive Statens institutionsstyrelse ska lämna vissa uppgifter (enligt 6-9 a §§ i lagen) till det rättspsykiatriska forskningsregistret. Ett skäl för att författningsreglera tillförande av uppgifter till registret angavs i regeringens proposition vara att tillförsäkra att uppgiftslämnandet skulle fungera i praktiken. En sådan reglering är dock också nödvändig i många fall för att uppgifter ska kunna tillföras registret utan hinder av att sekretess gäller för uppgifterna (prop. 1998/99:72 s. 46 f.). Enligt 8 kap. 1 § offentlighets- och sekretesslagen (2009:400, OSL) får en uppgift för vilken sekretess gäller enligt OSL inte röjas för enskilda eller för andra myndigheter om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till. Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en annan myndighet om uppgiftsskyldigheten följer av lag eller förordning. Bestämmelsen i 10 § lagen om rättspsykiatriskt forskningsregister är således en sådan sekretessbrytande författningsreglering som gör det möjligt för de aktuella myndigheterna att lämna även sekretessbelagda uppgifter till registret. Bestämmelsen om vilka uppgifter som ska tillföras registret är enligt regeringens uppfattning en sådan tillåten specifik nationell bestämmelse som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas. 16.1.9 Bestämmelsen om direktåtkomst bör behållas Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om direktåtkomst kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: Enligt 11 § lagen om rättspsykiatriskt forskningsregister får endast RMV ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Direktåtkomst utgör en form av behandling av personuppgifter. Varken i dataskyddsförordningen, dataskyddsdirektivet eller i PUL finns det särskilda bestämmelser som direkt rör denna form av behandling. Begränsningen i 11 § är ett villkor som gäller för behandlingen och en sådan skyddsåtgärd som krävs enligt dataskyddsförordningen vid all behandling av personuppgifter för forskningsändamål och som särskilt krävs vid behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser. Det är regeringens uppfattning att bestämmelsen i sak är förenligt med dataskyddsförordningen och att den är en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. För att undantaget i artikel 9.2 g, då behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, eller undantaget i artikel 9.2 j, då behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål, ska kunna tillämpas och behandlingen enligt lagen ska vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Nu aktuell bestämmelse är en sådan bestämmelse. Bestämmelsen kan och bör därför behållas. 16.1.10 Bestämmelsen om vilken information som ska lämnas ska anpassas Regeringens förslag: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om vilken information som ska lämnas till den registrerade ska anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av dataskyddsförordningen. Hänvisningen till personuppgiftslagen ska utgå och ersättas med en hänvisning till dataskyddsförordningen och dataskyddslagen. Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Skälen för regeringens förslag: Av 12 § lagen om rättspsykiatriskt forskningsregister framgår vilken information om behandlingen som RMV ska lämna till den registrerade när personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret. Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än den som fanns i artikel 11 i dataskyddsdirektivet. Den registrerade har således rätt att få mer information än vad som gällde enligt dataskyddsdirektivet. Dessutom finns det en bestämmelse i artikel 12.1 i dataskyddsförordningen om i vilken form informationen ska lämnas, som helt saknar motsvarighet i dataskyddsdirektivet, vilket innebär att den registrerades rättigheter har stärkts i detta avseende. Dataskyddsdirektivets reglering om vilken information som ska lämnas självmant genomfördes genom 23-25 §§ PUL. Viss information som ska lämnas enligt 12 § lagen om rättspsykiatriskt forskningsregister motsvaras av information enligt den direkt tillämpliga bestämmelsen i artikel 14 i dataskyddsförordningen, medan vissa punkter i lagen om rättspsykiatriskt forskningsregister inte har någon motsvarighet i dataskyddsförordningen. Bestämmelser i nationell rätt som anger vilken information som självmant ska lämnas till den registrerade kan enligt regeringens bedömning behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen, om den ursprungliga behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock, som utredningen föreslagit, bestämmelsen anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen. Det innebär att punkt 1 om att RMV är personuppgiftsansvarigt, punkt 2 om ändamålen med behandlingen, punkt 3 om vilken typ av uppgifter behandlingen avser och punkt 4 om mottagarna av uppgifterna bör utgå. När det gäller 12 § punkt 6 i registerlagen om information som ska lämnas efter ansökan samt om rättelse och skadestånd finns motsvarande bestämmelse om rätt till information som ska lämnas efter ansökan (rätt till tillgång) och om rätt till rättelse i artikel 14.2 c i dataskyddsförordningen. Dessa delar av punkten bör därför utgå. Det som återstår är då rätt till information om skadestånd. Hänvisningen till att berörda bestämmelserna finns i PUL måste slutligen ersättas med en hänvisning till bestämmelser i dataskyddsförordningen och dataskyddslagen. Till skillnad från artikel 14 i dataskyddsförordningen innehåller 12 § lagen om rättspsykiatriskt forskningsregister inget undantag från när information ska lämnas. Artikel 14.5 i dataskyddsförordningen anger undantag från kravet att lämna information. Genom att artikel 14 i dataskyddsförordningen är direkt tillämplig, då förordningen började tillämpas den 25 maj 2018, är även bestämmelserna om undantag då information inte behöver lämnas direkt tillämpliga. 16.1.11 Bestämmelsen om utlämnande av uppgifter bör behållas Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om utlämnande av uppgifter kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: Enligt 13 § första stycket lagen om rättspsykiatriskt forskningsregister ska RMV till Socialstyrelsen, Kriminalvården och Statens institutionsstyrelse, på medium för automatiserad behandling, lämna de uppgifter som är nödvändiga för att dessa myndigheter ska kunna lämna uppgifter enligt 10 § till det rättspsykiatriska forskningsregistret. Av 13 § andra stycket i paragrafen framgår att uppgifter från registret får, utöver vad som anges i första stycket, lämnas ut på medium för automatiserad behandling endast om uppgifterna ska användas för det ändamål som anges i 3 § punkten 1, dvs. för forskning inom rättspsykiatrin. Regleringen i bestämmelsens första stycke syftar till att RMV ska underlätta för de berörda myndigheterna att i sin tur lämna uppgifter till registret enligt 10 § registerlagen, genom att RMV ska lämna nödvändiga uppgifter för detta ändamål till de berörda myndigheterna på medium för automatiserad behandling. En sådan reglering påverkas inte av dataskyddsförordningen. När det gäller regleringen i andra stycket om att uppgifter från registret, utöver vad som anges i första stycket, endast får lämnas ut på medium för automatiserad behandling om uppgifterna ska användas för forskning inom rättspsykiatrin, anförde regeringen i propositionen som föregick införandet av lagen om rättspsykiatriskt forskningsregister att med hänsyn till att det rör sig om ett register med mycket integritetskänsliga uppgifter borde en bestämmelse som begränsar möjligheterna till utlämnande på medium för automatiserad behandling införas för de fall uppgifterna begärs ut i annat syfte än för forskning inom rättspsykiatrin som godkänts vid etikprövning, t.ex. med stöd av offentlighetsprincipen. Enligt regeringens bedömning förelåg ingen anledning att tillåta utlämnande på medium för automatiserad i andra situationer än när det rör sig om användning i enlighet med registrets ändamål. Eftersom begränsningen i 13 § andra stycket registerlagen syftar till att öka skyddet för de integritetskänsliga uppgifterna i registret är åtgärden att anse som en skyddsåtgärd enligt dataskyddsförordningen. En sådan skyddsåtgärd bör liksom skyddsåtgärden i 11 § enligt regeringens bedömning rymmas inom den tillåtna specificeringen i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Sammantaget delar regeringen utredningens bedömning att bestämmelsen om utlämnande av uppgifter kan och bör behållas. 16.1.12 Upplysningen om sekretess bör behållas Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister som upplyser om att det finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från det rättspsykiatriska forskningsregistret i offentlighets- och sekretesslagen kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: I 14 § registerlagen hänvisas till att det i OSL finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från det rättspsykiatriska forskningsregistret. Dessa återfinns i 24 kap. 2 § OSL. Sekretess är en skyddsåtgärd såväl enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelsen i 14 § lagen om rättspsykiatriskt forskningsregister är enligt regeringens bedömning, i likhet med bestämmelserna i 11 och 13 §§, en sådan specificering i nationell rätt som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas. 16.1.13 Bestämmelsen om rättelse och skadestånd ska upphävas Regeringens förslag: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd ska upphävas. Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Skälen för regeringens förslag: I 15 § lagen om rättspsykiatriskt forskningsregister hänvisas till att bestämmelserna i PUL om rättelse och skadestånd ska gälla vid behandling av personuppgifter enligt den förstnämnda lagen. Bestämmelserna om rättelse och skadestånd i PUL fanns i 28 § respektive 48 §. Bestämmelsen om rättelse i 28 § PUL gällde endast om behandling skett i strid med PUL eller föreskrifter som har utfärdats med stöd av den lagen och bestämmelsen i 48 § PUL om skadestånd gällde endast om behandling skett i strid med den lagen. För att bestämmelserna om rättelse och skadestånd skulle vara tillämpliga även vid behandling i strid med lagen om rättspsykiatriskt forskningsregister krävdes det därför att det särskilt angavs att bestämmelserna i PUL gäller om behandling av personuppgifter sker i strid med lagen om rättspsykiatriskt forskningsregister. Det är skälet till att hänvisningen i 15 § har införts. Bestämmelser som hänvisar till PUL kan inte finnas kvar när PUL nu har upphävts. I dataskyddsförordningen behandlas den registrerades rätt till rättelse i artikel 16. Vid införandet av lagen om rättspsykiatriskt forskningsregister har bedömningen gjorts att en rätt till rättelse ska finnas vid behandling av personuppgifter enligt lagen. När dataskyddsförordningen nu börjat tillämpas gäller en rätt till rättelse direkt till följd av förordningen såvida inte något undantag införs i svensk rätt. Något undantag från rätten till rättelse har inte införts i dataskyddslagen. I avsnitt 13.4.2 har regeringen gjort bedömningen att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål i enlighet med den möjlighet till nationell reglering som finns i artikel 89.2 i dataskyddsförordningen inte ska införas i svensk rätt. Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om rätt till rättelse bör därför upphävas och motsvarande rätt till rättelse vid behandling av personuppgifter i strid med lagen kommer att följa direkt av dataskyddsförordningen. I dataskyddsförordningen finns skadeståndsbestämmelsen i artikel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte av det skälet motiverat att särskilt reglera vad som gäller ifråga om skadestånd. Dessutom har det i dataskyddslagen införts en bestämmelse som förtydligar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen (7 kap. 1 § dataskyddslagen). Det behövs därför inte heller någon hänvisning till bestämmelsen i dataskyddsförordningen i lagen om rättspsykiatriskt forskningsregister. Detta innebär sammantaget att bestämmelsen i 15 § registerlagen bör upphävas i dess helhet och inte ersättas med någon hänvisning till dataskyddsförordningen. 16.1.14 Bestämmelsen om överklagande ska upphävas Regeringens förslag: Bestämmelsen om överklagande i lagen om rättspsykiatriskt forskningsregister ska upphävas. Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Skälen för regeringens förslag: Enligt 16 § lagen om rättspsykiatriskt forskningsregister får beslut av RMV om information som ska lämnas efter ansökan enligt 26 § PUL och om rättelse enligt 28 § samma lag överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Av propositionen som föregick införandet av lagen om rättspsykiatriskt forskningsregister framgår att bestämmelsen om skadestånd ursprungligen infördes i lagen för att några bestämmelser om överklagande i de angivna situationerna inte fanns i PUL vid den tiden. Regeringen bedömde att ett beslut av RMV angående behandling av personuppgifter som direkt berörde den enskilde skulle kunna överklagas. Efter att bestämmelsen i lagen om rättspsykiatriskt forskningsregister infördes kom dock en bestämmelse med motsvarande innehåll att införas i PUL genom 52 §. Någon motsvarande reglering fanns dock inte i dataskyddsdirektivet. Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad som anser att hans eller hennes rättigheter enligt förordningen har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ha rätt till ett effektivt rättsmedel. I artikel 79.2 i dataskyddsförordningen anges var talan i domstol mot en personuppgiftsansvarig eller ett personuppgiftsbiträde får väckas. I dataskyddslagen finns bestämmelser om överklagande som i sak motsvarar 52 § PUL (7 kap. 2 § dataskyddslagen). Då dataskyddslagen ska gälla i den mån inte annat föreskrivs i lagen om rättspsykiatriskt forskningsregister är det inte nödvändigt att ha en överklagandebestämmelse som hänvisar till dataskyddslagen. Regeringen anser därför att bestämmelsen om överklagande i 16 § lagen om rättspsykiatriskt forskningsregister bör upphävas. 16.2 Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas till dataskyddsförordningen 16.2.1 Innehållet i lagen Lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa trädde i kraft den 1 december 2013. Lagens syfte är att ge ett tydligt lagstöd för register som förs med de registrerades samtycke i syfte att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt och skydda den enskildes personliga integritet i sådan verksamhet. Känsliga personuppgifter samlas enligt lagen in med uttryckligt samtycke och enbart uppgifter som inte är direkt hänförliga till den enskilde får lämnas ut till forskningsprojekt som har godkänts vid en etikprövning. Lagen innehåller bl.a. bestämmelser om för vilka ändamål personuppgifterna får behandlas (5-8 §§), vilka personuppgifter som får finnas i register enligt lagen (9 §), intern elektronisk åtkomst (10 §), gallring (12 §), samtycke och information (14 och 15 §§), utplåning av uppgifter (16 §) och skadestånd (17 §). Regeringen beslutar vilka universitet och högskolor som ska få föra register i enlighet med lagen och vilka register som får föras. Föreskrifter om detta finns i förordningen (2013:833) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Lagen är tidsbegränsad och har förlängts vid två tillfällen, senast genom beslut av riksdagen i november 2017, till att gälla till och med den 31 december 2020. Skälet till att lagen är tidsbegränsad är det utredningsarbete som påbörjades år 2013, när regeringen gav en särskild utredare i uppdrag att utreda förutsättningarna för registerbaserad forskning (dir. 2013:08). Utredningen, som tog sig namnet Registerforskningsutredningen (U 2013:01) lämnade betänkandet Unik kunskap genom registerforskning (SOU 2014:45). Forskningsdatautredningen fick den 7 juli 2016 i uppdrag att bl.a. analysera vilken svensk reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den övergripande reglering som Dataskyddsutredningen skulle komma att föreslå. När det gäller lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa skulle utredningsarbetet bedrivas i två steg. I ett första skede skulle utredningen analysera vilka anpassningar som behövde göras i den lagen inför att dataskyddsförordningen skulle börja tillämpas. I ett andra skede skulle utredningen utreda i vilken mån förslagen som lämnades i Registerforskningsutredningens betänkande SOU 2014:45 är förenliga med dataskyddsförordningen och kan ligga till grund för en långsiktig reglering av forskningsdatabaser. Uppdraget i den första delen redovisades i det delbetänkande som ligger till grund för denna proposition. Uppdraget i den andra delen redovisades i betänkandet Rätt att forska - En långsiktig reglering av forskningsdatabaser (SOU 2018:36) den 5 juni 2018. Det sistnämnda betänkandet behandlas inte i denna proposition. 16.2.2 Lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen Regeringens bedömning: Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är en tillåten nationell kompletterande reglering till dataskyddsförordningen. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Det stora flertalet remissinstanser som yttrat sig är generellt positiva utredningens förslag eller har ingen erinran mot eller synpunkter på dessa men kommenterar inte förslagen eller bedömningarna beträffande lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa särskilt. Bland andra Justitiekanslern har inga synpunkter på förslagen och bedömningarna beträffande lagen. Centrala etikprövningsnämnden, Statens väg- och transportforskningsinstitut, Sveriges geologiska undersökningar och Verket för innovationssystem (Vinnova) tillstyrker förslagen till anpassningar av lagen. Skåne läns landsting, Västra Götalands läns landsting, Svenska läkaresällskapet och Sveriges Kommuner och Landsting (SKL) stöder eller välkomnar utredningens bedömning att lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen. Datainspektionen ifrågasätter, med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med dataskyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga synpunkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss men kommenterar inte förslagen eller bedömningarna beträffande lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa särskilt. Bland de som särskilt uttalar sig om lagen om rättspsykiatriskt forskningsregister och tillstyrker ändringarna finns Stockholms läns landsting, Västra Götalands läns landsting och Karlstads universitet. Datainspektionen vidhåller sin ståndpunkt att ändamålsbestämmelserna inte är tillräckligt särskilt och uttryckligt angivna för att uppfylla kraven enligt tillämpliga dataskyddsbestämmelser. Skälen för regeringens bedömning: Dataskyddsförordningen är som nämnts direkt tillämplig i medlemsstaterna men dessa tillåts, enligt artikel 6.2 och 6.3, att behålla eller införa mer specifika nationella bestämmelser för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller behandling som sker med stöd av de rättsliga grunderna fullgörande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller myndighetsutövning i artikel 6.1 c och e. Av motiven till lagen framgår explicit att det är regeringens bedömning att ett uppbyggande på frivillig grund av databaser hos statliga universitet och högskolor med basmaterial som kan lämnas ut till specifika forskningsprojekt som har godkänts vid etikprövning är ett sådant viktigt allmänt intresse som avsågs i artikel 8.4 i dataskyddsdirektivet. Artikel 8.4 gav medlemsstaterna rätt att nationellt lagstifta om undantag från förbudet att behandla känsliga personuppgifter (artikel 8.1) under förutsättning av lämpliga skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse. Det är således regeringens och riksdagens redan gjorda bedömning att ändamålen med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa utgör ett viktigt allmänt intresse i enlighet med dataskyddsdirektivet. Regeringen delar utredningens bedömning att det inte torde föreligga någon skillnad i sak avseende innebörden i begreppet allmänt intresse i dataskyddsdirektivet och dataskyddsförordningen. Personuppgiftsbehandlingen enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är alltså enligt regeringens bedömning laglig enligt artikel 6.1 e då den bedömts vara nödvändig för ett utföra en uppgift av allmänt intresse. Lagen innehåller ett antal bestämmelser som anger bl.a. ändamålet, vilka uppgifter som får finnas i registret och andra villkor som gäller för behandling av uppgifter i registret. Sådana bestämmelser är möjliga att ha i nationell rätt när grunden för behandlingen är att den är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.2 och 6.3. Regeringen anser också att regleringen är proportionell i förhållande till ändamålet. Regeringen delar därför utredningens bedömning att lagen utgör en sådan tillåten specifik nationell reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller utförande av uppgift av allmänt intresse enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Datainspektionen ifrågasätter med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med dataskyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen. Regeringen anser till skillnad från Datainspektionen att ändamålsbestämmelserna är förenliga såväl med dataskyddsdirektivet som med dataskyddsförordningen. Datainspektionens invändningar har bemötts i tre lagstiftningsärenden, dels i den ursprungliga propositionen, dels vid de två tillfällen då lagen har förlängts (prop. 2012/13:163 s. 23 f., prop. 2014/15:121 s. 11 f. och prop. 2016/17:204 s. 10 f.). Behandling av personuppgifter ska enligt 2 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ske med den enskildes uttryckliga samtycke. Samtycket utgör därmed en förutsättning för att behandla personuppgifter för lagens ändamål och är ett krav som stärker skyddet för den registrerades integritet. Utgångspunkten för lagen har varit att det ska vara en samtyckesbaserad reglering. Av dataskyddsförordningens skäl 33 framgår att samtycke ska kunna lämnas relativt brett när det är fråga om insamling av personuppgifter för forskningsändamål. I sammanhanget bör även skäl 43 i dataskyddsförordningen beaktas. Av skäl 43 framgår som nämnts att samtycke inte bör vara en giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskild om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt. Möjligheten att använda samtycke som rättslig grund har behandlats närmare i avsnitt 7.1.1 och 7.2.1. När det gäller offentliga forskningsutförare kan det, som framgår av sistnämnda avsnitt, enligt regeringens bedömning förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För offentliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid ett sådant organ. En myndighet kan således inte anses utöva påtryckning gentemot en individ enbart därför att det är fråga om en myndighet, om den inte har några verktyg för att direkt eller indirekt utöva påtryckningar. De universitet och högskolor som omfattas av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är i och för sig myndigheter men med hänsyn till hur starkt frivilligheten framhålls i lagen är det regeringens bedömning att det inte kan anses föreligga betydande ojämlikhet mellan den enskilde och den personuppgiftsansvarige i de fall lagen omfattar. Den personuppgiftsbehandling som lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa omfattar måste vidare uppfylla dataskyddsförordningens övriga krav för att kunna behållas. I det följande kommer regeringen att gå igenom lagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse. 16.2.3 Bestämmelsen om lagens syfte bör behållas Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om lagens syfte kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: I 1 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att syftet med lagen är att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt och att skydda den enskildes personliga integritet i sådan verksamhet. Bestämmelsen om lagens syfte innehåller inte någon materiell reglering utan kan sägas ange en grund för bestämmelserna om för vilka ändamål behandling av personuppgifter enligt lagen får ske. Att i nationell lag fastställa syftet med en behandling som grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse är tillåtet enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Enligt regeringens bedömning kan och bör därför bestämmelsen behållas. 16.2.4 Bestämmelsen om lagens tillämpningsområde bör behållas Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om lagens tillämpningsområde kan och bör behållas. Utredningens förslag överensstämmer delvis med regeringens bedömning. Utredningen har föreslagit att andra stycket i bestämmelsen ska tas bort men bedömt att bestämmelsen i övrigt kan behållas. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: I 2 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges lagens tillämpningsområde. Lagen gäller enligt 2 § första stycket behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med den enskildes uttryckliga samtycke sker i sådant syfte som anges i 1 §, dvs. att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och skydda den enskildes personliga integritet i sådan verksamhet. Vidare är lagen enligt 2 § andra stycket tillämplig bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. I 2 § tredje stycket anges att regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt lagen, och vilka register enligt lagen som får föras. I 3 § anges att PUL gäller vid behandling av personuppgifter, om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Som regeringen återkommer till i nästa avsnitt ska hänvisningarna till PUL tas bort och ersättas av en upplysning om att lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa kompletterar dataskyddsförordningen. Regeringen delar utredningens uppfattning att bestämmelser i nationell kompletterande lagstiftning som anger på vilken verksamhet, vilka typer av behandlingar och vilka personuppgifter lagen ska tillämpas inte i sig påverkas av dataskyddsförordningen. Formuleringen i 2 § andra stycket motsvarar innehållsmässigt artikel 2.1 i dataskyddsförordningen, vilken är direkt tillämplig. Av artikel 2.1 framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 definieras register som en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Av skäl 8 i dataskyddsförordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Skäl 8 i dataskyddsförordningen ger därmed utrymme för att införliva artikel 2.1 i dataskyddsförordningen i nationell rätt. Andra stycket i den aktuella bestämmelsen förtydligar att helt manuell behandling av personuppgifter som inte ingår i någon samling som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier faller utanför lagens tillämpningsområde. Regeringen anser till skillnad från utredningen att andra stycket i bestämmelsen bör behållas för att göra de nationella bestämmelserna begripliga för tillämparna och de registrerade. Sammanfattningsvis är det därför regeringens bedömning att bestämmelsen i sin helhet kan och bör behållas. 16.2.5 Hänvisningarna till personuppgiftslagen ska tas bort Regeringens förslag: Hänvisningarna till personuppgiftslagen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen och dataskyddslagen. Utredningens förslag överensstämmer med regeringens förslag förutom att utredningen föreslagit att hänvisningen till 26 § PUL i 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag förutom att det i utkastet till lagrådsremiss föreslagits att hänvisningen till 26 § PUL i 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Skälen för regeringens förslag: I 3 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att PUL gäller vid all behandling av personuppgifter, om inte annat följer av den förstnämnda lagen. Då PUL har upphävts ska alla hänvisningar till den lagen utgå. Detta innebär att den allmänna hänvisningen till PUL i 3 § ska tas bort. Vidare innehåller vissa bestämmelser i registerlagen hänvisningar till specifika bestämmelser i PUL. Detta gäller hänvisningen till 28 § PUL i fråga om rättelse (13 §), 26 § PUL om information efter ansökan (14 § andra stycket p. 7) och 48 § PUL om skadestånd (17 §). Ovan nämnda hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive dataskyddslagen (2018:218), se respektive avsnitt nedan. 16.2.6 Det ska tas in hänvisningar till dataskyddsförordningen och dataskyddslagen Regeringens förslag: Det ska införas en upplysningsbestämmelse i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, som tydliggör att den lagen kompletterar dataskyddsförordningen. I lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska det också införas en upplysningsbestämmelse som anger att vid behandling av personuppgifter enligt lagen gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till lagen. Utredningens förslag överensstämmer i sak med regeringens förslag. Utredningens förslag till lagtext har formulerats på ett annat sätt än regeringens förslag. Remissinstanserna: Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen förhåller sig till den brottsdatalag som föreslås i betänkandet Brottsdatalag (SOU 2017:29). Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Skälen för regeringens förslag Förhållandet till dataskyddsförordningen och dataskyddslagen Dataskyddsförordningen är direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt. Dataskyddsförordningen gäller oavsett om det i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa införs en bestämmelse som hänvisar till förordningen eller inte. Regeringen anser dock, i likhet med utredningen, att det bör införas en bestämmelse i lagen som tydliggör att den innehåller kompletterande bestämmelser till dataskyddsförordningen. Hänvisningen till dataskyddsförordningen bör vara dynamisk, det vill säga avse förordningen i den vid varje tidpunkt gällande lydelsen. En sådan bestämmelse tydliggör lagens förhållande till dataskyddsförordningen och det blir tydligt att lagen inte utgör en uttömmande reglering. Bestämmelsen syftar alltså till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar lagen och de registrerade. Genom dataskyddslagen har det som tidigare nämnts införts en lag som på generell nivå kompletterar dataskyddsförordningen i Sverige. Liksom PUL tillämpats om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa bör bestämmelserna i dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla vid behandling av personuppgifter om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till den lagen. Utöver de direkt tillämpliga bestämmelserna i dataskyddsförordningen finns det i dataskyddslagen generella bestämmelser som utgör tillåtna specificeringar och undantag till dataskyddsförordningen. I 1 kap. 6 § dataskyddslagen anges det att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från den lagen, tillämpas den bestämmelsen. Det krävs således i och för sig inte någon hänvisningsbestämmelse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regelverket och för andra att hitta relevanta lagrum. Regeringen anser därför att det ska införas en upplysningsbestämmelse i den lagen som anger att vid behandling av personuppgifter enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till lagen. Förhållandet till brottsdatalagen I propositionen Brottsdatalag (prop. 2017/18:232) lämnade regeringen förslag till en brottsdatalag, som ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet på det brottsbekämpande området) i svensk rätt. Brottsdatalagen (2018:1177) beslutades av riksdagen den 13 juni 2018 och trädde i kraft den 1 augusti 2018 (prop. 2017/18:232, bet. 2017/18:JuU37, rskr. 2017/18:392). Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa förhåller sig till brottsdatalagen. Brottsdatalagen gäller för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 §). Behörig myndighet definieras som 1. en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller 2. en annan aktör som anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar personuppgifter för ett sådant syfte (1 kap. 6 §). Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika sjukdomar och människors hälsa i övrigt och för att lämna ut uppgifter för sådan forskning. Statliga universitet och högskolor kan inte sägas ha någon sådan brottsbekämpande eller brottsutredande uppgift som anges i brottsdatalagen och är därmed inte någon sådan behörig myndighet på vars verksamhet brottsdatalagen är tillämplig. Mot denna bakgrund anser regeringen inte att det finns ett behov av att i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa införa någon bestämmelse som reglerar lagens förhållande till brottsdatalagen. 16.2.7 Bestämmelsen om vilka som är personuppgiftsansvariga bör behållas Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om vilka som är personuppgiftsansvariga kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: I 4 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att de universitet och högskolor som utför behandlingen av personuppgifter är personuppgiftsansvariga. I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 i dataskyddsförordningen att ange vem som är personuppgiftsansvarig i den nationella rätten. I 5-8 §§ lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges för vilka ändamål personuppgifter får behandlas enligt lagen. Genom lagens tillämpningsområde och ändamålsbestämmelserna ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. I 4 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges vilka som är personuppgiftsansvariga. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dessutom bestäms medlen för behandlingen i registerlagen och dess förordning, dvs. i lagen fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i registerlagen, vilket gör det tillåtet att ange vem som är personuppgiftsansvarig. Slutligen är det i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut personuppgiftsansvarig direkt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfattningsvis är det regeringens bedömning att bestämmelsen kan och bör behållas. 16.2.8 Ändamålsbestämmelserna bör behållas Regeringens bedömning: Ändamålsbestämmelserna i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Datainspektionen ifrågasätter, med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med dataskyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen. Ingen annan remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Datainspektionen vidhåller sin ståndpunkt att ändamålsbestämmelserna inte är tillräckligt särskilt och uttryckligt angivna för att uppfylla kraven enligt tillämpliga dataskyddsbestämmelser. Ingen annan remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning Ändamålsbestämmelserna är en tillåten nationell precisering Enligt dataskyddsförordningen gäller bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b). Motsvarande gäller enligt PUL (9 §), som baseras på dataskyddsdirektivet. De primära ändamål som personuppgifter får behandlas för enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, anges i 5 §. De är att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, samt att lämna ut uppgifter för sådan forskning. För utlämnande av uppgifter ur registret uppställs vissa villkor enligt 6 §. Det krävs att forskningen bedrivs vid en myndighet och att forskningen och personuppgiftsbehandlingen är godkända enligt etikprövningslagen. Dessutom får de personuppgifter som lämnas ut inte vara direkt hänförliga till den enskilde, men de får vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopplas till den registrerades personnummer eller motsvarande identitetsbeteckning. Regeringen anser att dessa ändamålsbestämmelser är tillräckligt preciserade för att uppfylla kraven i dataskyddsförordningen. Regeringen delar också utredningens bedömning att ändamålsbestämmelserna i 5 och 6 §§ även i övrigt är utformade på ett sådant sätt som stämmer överens med dataskyddsförordningens krav och utgör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3. Ändamålsbestämmelserna i 5 och 6 §§ kan och bör därför behållas. Datainspektionen ifrågasätter med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med dataskyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen. Som regeringen redan har anfört i avsnitt 16.2.2 anser regeringen till skillnad från Datainspektionen att ändamålsbestämmelserna är förenliga såväl med dataskyddsdirektivet som med dataskyddsförordningen. Datainspektionens invändningar har bemötts i tre lagstiftningsärenden, dels i den ursprungliga propositionen, dels vid de två tillfällen då lagen har förlängts (prop. 2012/13:163 s. 23 f., prop. 2014/15:121 s. 11 f. och prop. 2016/17:204 s. 10 f.). Det har sedan dess inte tillkommit någon praxis från EU-domstolen som ger anledning till någon annan bedömning än tidigare. Mot denna bakgrund delar inte regeringen Datainspektionens uppfattning. Sekundära ändamål och finalitetsprincipen Termen sekundära ändamål avser myndigheters utlämnande av personuppgifter för att tillgodose andras behov. Ett sekundärt ändamål enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är enligt 7 § första stycket utlämnande av personuppgifter till en utredning av oredlighet i sådan forskning som avses i 6 § första stycket, eller för att ett yttrande ska kunna lämnas i samband med sådan utredning. Enbart kodade uppgifter får då lämnas ut. Personuppgifter som registrerats enligt lagen får vidare alltid lämnas ut till den registrerade själv, vilket upplyses om i 7 § tredje stycket. Det är regeringens bedömning att bestämmelsen i 7 § utgör en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 och kan kvarstå oförändrad. Personuppgifter som behandlas för det primära ändamålet att ingå i ett register enligt lagen eller för att lämnas ut för sådan forskning som lagen avser får enligt 8 § första stycket i registerlagen, utöver vad som anges i 6 och 7 §§, bara lämnas ut om det finns en skyldighet enligt lag att göra det. Denna bestämmelse har förts in i lagen för att undvika konflikt med andra lagar som innebär en uppgiftsskyldighet. Det kan bl.a. finnas en skyldighet att lämna uppgifter till tillsynsmyndigheten, dvs. Datainspektionen. Bestämmelsen är enligt regeringens uppfattning en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 som kan kvarstå oförändrad. De uppräknade ändamålen och tillåtna behandlingarna i lagen är enligt 8 § andra stycket uttömmande. Det innebär en begränsning av finalitetsprincipen enligt dataskyddsförordningen. Den principen innebär att uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5 1 b). Mot bakgrund av att ändamålen med behandlingen i registerlagen är nödvändiga för att utföra en uppgift av allmänt intresse är det tillåtet enligt artikel 6.2 och 6.3 att i nationell rätt behålla särskilda bestämmelser som till exempel specificerar ändamålsbegränsningar. Det är regeringens bedömning att bestämmelsen i 8 § andra stycket är förenlig med dataskyddsförordningen och kan och bör behållas. 16.2.9 Det bör även fortsättningsvis anges vilka personuppgifter som får finnas i registret Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om vilka personuppgifter som får finnas i registret kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: I 9 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges vilka uppgifter som får finnas i ett register som förs med stöd av lagen. Uppräkningen är uttömmande. Även om det inte uttrycks direkt i lagens uppräkning råder det enligt regeringens uppfattning inget tvivel om att uppgifterna som samlas in med stöd av lagen utgörs av huvudsakligen känsliga personuppgifter, enligt definitionen i 13 § PUL där bland annat personuppgifter om hälsa ingick. Utöver uppräkningen anges även i 9 § andra stycket att regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras. Dataskyddsförordningen förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning (särskilda kategorier av uppgifter). Genetiska uppgifter, biometriska uppgifter och uppgifter om sexuell läggning är nya kategorier uppgifter som omfattas av det principiella förbudet mot behandling, jämfört med motsvarande reglering i dataskyddsdirektivet och PUL. I 3 kap. 1 § dataskyddslagen anges att med känsliga uppgifter avses i den lagen sådana uppgifter som avses i artikel 9.1. I artikel 9.2 i dataskyddsförordningen preciseras vissa uttryckliga undantag från förbudet i artikel 9.1, till exempel om den registrerade har lämnat sitt samtycke (artikel 9.2 a) eller om behandlingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Det finns också ett undantag för behandling som är nödvändig för bland annat forskningsändamål (artikel 9.2 j). Förordningen uppställer krav på fastställda lämpliga och särskilda skyddsåtgärder vid tillämpning av undantagen i artikel 9.2 g och artikel 9.2 j. Av artikel 9.4 framgår att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Av skäl 10 i dataskyddsförordningen framgår att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter, och att förordningen inte utesluter att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. I skäl 52 anges bland annat att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undantag är att allmänintresset motiverar det. Motsvarande förbud mot behandling av känsliga personuppgifter fanns i dataskyddsdirektivets artikel 8.1, vilken införlivades i svensk rätt genom 13 § PUL. Undantag från förbudet var bland annat möjligt om den registrerade lämnat sitt uttryckliga samtycke (artikel 8.2 a i dataskyddsdirektivet) eller av hänsyn till ett viktigt allmänt intresse, under förutsättning av lämpliga skyddsåtgärder (artikel 8.4 i dataskyddsdirektivet). I förarbetena till registerlagen har regeringen motiverat ett undantag från förbudet att behandla känsliga personuppgifter med att det dels föreligger krav på uttryckligt samtycke, dels att syftet och ändamålet med registerlagen utgör ett sådant viktigt allmänt intresse som avses i dataskyddsdirektivet. De bestämmelser som finns i registerlagen bl.a. ifråga om information, samtycke och utplåning av uppgifter ansågs utgöra sådana lämpliga skyddsåtgärder som avses i dataskyddsdirektivet. Regeringen fann således att dataskyddsdirektivet inte hindrade att känsliga personuppgifter får behandlas enligt registerlagen. Eftersom motsvarande möjligheter till undantag finns i dataskyddsförordningen, och kraven i övrigt i förordningen avseende bland annat skyddsåtgärder får anses vara uppfyllda, är det utredningens uppfattning att redan gjorda bedömningar i det här avseendet kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Stödet för att behandla känsliga personuppgifter enligt registerlagen finns således i artikel 9.2 a i dataskyddsförordningen. Regeringens bemyndigande att meddela föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras kan vidare anses vara ett tillåtet villkor enligt dataskyddsförordningen. 16.2.10 Begränsningen av intern elektronisk åtkomst bör behållas Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om begränsning av intern elektronisk åtkomst kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: I 10 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret. Denna bestämmelse är en skyddsåtgärd enligt dataskyddsförordningens terminologi. Det är regeringens bedömning att bestämmelsen i sak är förenlig med dataskyddsförordningen och utgör en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att reglera i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. För att undantaget i artikel 9.2 g när en behandling är nödvändig av hänsyn till ett viktigt allmänt intresse eller undantaget i artikel 9.2 j när en behandling är nödvändig för vetenskapliga eller historiska forskningsändamål ska kunna tillämpas och behandlingen ska vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Nu aktuell bestämmelse är en sådan bestämmelse. Bestämmelsen kan och bör därför behållas. 16.2.11 Förbudet mot direktåtkomst bör behållas Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om förbud mot utlämnande genom direktåtkomst kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: Enligt 11 § i registerlagen får utlämnande genom direktåtkomst till personuppgifter i registret inte förekomma. Denna bestämmelse är en skyddsåtgärd enligt dataskyddsförordningens terminologi. Det är regeringens bedömning att bestämmelsen i sak är förenlig med dataskyddsförordningen och utgör en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bland annat en arbetsuppgift av allmänt intresse enligt artikel 6.1 e dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. För att undantaget i artikel 9.2 g då behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse eller undantaget i artikel 9.2 j då behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål ska kunna tillämpas och behandlingen enligt lagen vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Bestämmelsen är en sådan bestämmelse. Mot den angivna bakgrunden kan och bör bestämmelsen behållas. I ett beslut i ett tillsynsärende gällande personuppgiftsbehandlingen i det s.k. LifeGene-registret har Datainspektionen konstaterat att Karolinska institutet, som är personuppgiftsansvarigt, medger deltagare i projektet att via en personlig hemsida på egen hand söka efter uppgifter om sig själva som finns i registret. Enligt Datainspektionen är det fråga om att institutet ger deltagarna direktåtkomst till uppgifter i registret utan lagligt stöd (beslut av Datainspektionen 6 februari 2015, dnr 708-2014). Frågan om förbudet mot direktåtkomst enligt bestämmelsen även fortsättningsvis bör gälla mot den enskilde själv övervägdes av Forskningsdatautredningen i samband med utredningens slutbetänkande (SOU 2018:36). 16.2.12 Bestämmelsen om gallring ska anpassas Regeringens förslag: Terminologin i bestämmelsen om gallring i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas till dataskyddsförordningens terminologi. Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Skälen för regeringens förslag: Enligt 12 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska personuppgifter gallras när de inte längre behövs för de ändamål som avses i 5 § 1 och 2, dvs. att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och att lämna ut uppgifter för sådan forskning i den utsträckning och på det sätt som anges i 6 §. Detta gäller om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Lagring av personuppgifter är enligt dataskyddsförordningens definition i artikel 4.2 en behandling av personuppgifter. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Motsvarande bestämmelse finns i artikel 6.1 e i dataskyddsdirektivet, vilket innebär att huvudregeln inte har förändrats genom dataskyddsförordningen. Regeringen anser att bestämmelserna i 12 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, dvs. att personuppgifter ska gallras så snart de inte längre behövs, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål, utgör en sådan nationell bestämmelse om lagringstid som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen när behandlingen grundas på en uppgift av allmänt intresse. Tidigare bedömningar och avvägningar mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet, som motiverade införandet av den särskilda gallringsbestämmelsen i registerlagen, är fortfarande relevanta och balanserade. Det är därför regeringens bedömning att bestämmelsen om gallring inte behöver ändras i sak. I dataskyddsförordningen används formuleringen "arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål", vilket i viss mån skiljer sig från dataskyddsdirektivet, där formuleringen "historiska, statistiska eller vetenskapliga ändamål" används. Formuleringen i 12 § registerlagen bör anpassas till dataskyddsförordningen. 16.2.13 Bestämmelsen om rättelse ska upphävas Regeringens förslag: Bestämmelsen om rättelse i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska upphävas. Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Skälen för regeringens förslag: I 13 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att bestämmelserna om rättelse i 28 § PUL ska tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med den förstnämnda lagen. Bestämmelsen i 28 § PUL gällde endast om behandling skett i strid med PUL eller föreskrifter som har utfärdats med stöd av den lagen. För att bestämmelserna om rättelse skulle vara tillämpliga även vid behandling i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa krävdes det därför att det i den lagen särskilt angavs att bestämmelserna i 28 § PUL gäller om behandling av personuppgifter sker i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Bestämmelser som hänvisar till PUL kan inte finnas kvar när PUL nu har upphävts. I dataskyddsförordningen behandlas den registrerades rätt till rättelse i artikel 16. Till skillnad från vad som gäller enligt PUL är dataskyddsförordningen direkt tillämplig även på sådan behandling av personuppgifter som omfattas av registerlagens tillämpningsområde och det finns därför inte skäl att införa motsvarande hänvisning till dataskyddsförordningen. Vid införandet av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa har bedömningen gjorts att en rätt till rättelse ska finnas vid behandling av personuppgifter enligt lagen. Enligt dataskyddsförordningen gäller en rätt till rättelse direkt till följd av förordningen såvida inte något undantag införs i svensk rätt. Något undantag från rätten till rättelse har inte införts i dataskyddslagen. I avsnitt 13.4.2 har regeringen gjort bedömningen att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål i enlighet med den möjlighet till nationell reglering som finns i artikel 89.2 i dataskyddsförordningen inte heller ska införas i svensk rätt. Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om rätt till rättelse ska därför upphävas och motsvarande rätt till rättelse vid behandling av personuppgifter i strid med lagen kommer att följa direkt av dataskyddsförordningen. 16.2.14 Bestämmelsen om samtycke och information ska anpassas Regeringens förslag: Bestämmelsen om samtycke och information i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Den hänvisning till personuppgiftslagen som finns ska tas bort. Utredningens förslag överensstämmer med regeringens förslag förutom att utredningen föreslagit att hänvisningen till 26 § PUL i andra stycket punkt 7 ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen. Remissinstanserna: Ingen remissinstans kommenterar förslagen särskilt. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag förutom att det i utkastet till lagrådsremiss föreslagits att hänvisningen till 26 § PUL i andra stycket punkt 7 ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Skälen för regeringens förslag: I 14 § första stycket lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att personuppgifter inte får samlas in i syfte att de ska registreras i ett register som förs enligt lagen utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt lagen. Av andra stycket i paragrafen framgår vilken information som ska lämnas till en person innan han eller hon lämnar sitt samtycke. I uppräkningen av vilken information som ska lämnas till den enskilde finns en hänvisning till bl.a. 26 § PUL. I den paragrafen fanns bestämmelser om vilken information som ska lämnas till den registrerade efter ansökan. Det följer av 9 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa att kravet på samtycke till behandling i 14 § gäller såväl personuppgifter som inhämtas från den registrerade som personuppgifter som inhämtas från annan än den registrerade. Det är regeringens bedömning att bestämmelsen i 14 § första stycket om att samtycke krävs för behandling av personuppgifter enligt lagen är en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. I artikel 13 i dataskyddsförordningen anges vilken information som den personuppgiftsansvarige är skyldig att tillhandahålla om personuppgifter samlas in från den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än motsvarande bestämmelse som fanns i artikel 10 i dataskyddsdirektivet. Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har samlats in från någon annan än den registrerade. Dataskyddsförordningens bestämmelse om information i en sådan situation är mer utförlig än motsvarande som fanns i artikel 11 i dataskyddsdirektivet. Den registrerade har således i båda fallen rätt att få mer information än vad som gällde enligt dataskyddsdirektivet. Dessutom finns det en bestämmelse i artikel 12.1 i dataskyddsförordningen om i vilken form informationen ska lämnas, som helt saknar motsvarighet i dataskyddsdirektivet, vilket innebär att den registrerades rättigheter har stärkts i detta avseende. Uppräkningen av vilken information som ska lämnas enligt 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa skiljer sig i viss mån åt från den uppräkning som finns i artiklarna 13 och 14 i dataskyddsförordningen. Viss information som ska lämnas enligt 14 § registerlagen motsvaras av information enligt de direkt tillämpliga bestämmelserna i artiklarna 13 och 14 i dataskyddsförordningen medan vissa punkter i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inte har någon motsvarighet i dataskyddsförordningen. Bestämmelser i nationell rätt som anger vilken information som självmant ska lämnas till den registrerade får enligt regeringens bedömning behållas med stöd av artikel 6.2 och 6.3 dataskyddsförordningen, om den ursprungliga behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock bestämmelsen anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Enligt regeringens bedömning innebär detta att 14 § andra stycket punkt 2 om för vilka ändamål behandling kan ske och vilka uppgifter som får registreras och punkt 7 om rätten till information bör anpassas till dataskyddsförordningen genom att den del i punkt 2 som avser för vilka ändamål behandling kan ske stryks och att hänvisningen till 26 § PUL i punkt 7 stryks. Vidare bör punkt 4 om vem som är personuppgiftsansvarig, punkt 5 om hur länge uppgifterna sparas, punkt 6 om rätten till rättelse och punkt 10 om rätten att få uppgifter utplånade utgå. Vidare skiljer sig bestämmelsen i 14 § i registerlagen från artiklarna 13 och 14 i dataskyddsförordningen på så sätt att den anger att informationen ska ha lämnats innan den registrerade ger sitt samtycke till behandlingen av personuppgifter. I artikel 13 i dataskyddsförordningen anges det att informationen ska lämnas när personuppgifterna erhålls när det är fråga om uppgifter som samlas in från den registrerade och i artikel 14 anges det att informationen ska lämnas inom en rimlig period, dock senast inom en månad, när uppgifterna inte har samlats in från den registrerade. Bestämmelsen i registerlagen begränsar inte den registrerades rätt till information. Liksom att samtycke är en förutsättning för att personuppgifter ska få behandlas enligt lagen är ett krav som stärker den registrerades integritet är även kravet på att informationen lämnas innan den registrerade lämnar sitt samtycke ett krav som stärker den registrerades rättigheter. Denna del av bestämmelsen är därmed enligt regeringens uppfattning en tillåten precisering för att anpassa tillämpningen i nationell rätt enligt artikel 6.2 och 6.3 och den kan och bör behållas. 16.2.15 Bestämmelsen om information om utlämnande till forskning bör behållas Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om att den registrerade ska få information om till vilka forskningsprojekt som uppgifter om honom eller henne har lämnats ut kan och bör behållas. Utredningens bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt. Skälen för regeringens bedömning: Den registrerade har enligt 15 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa rätt att på begäran få information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut. Bestämmelsen kan sägas vara en specificering av den rättighet som anges i artikel 15.1 c i dataskyddsförordningen, dvs. att den registrerade ska ha rätt att få information om de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut. Bakgrunden till bestämmelsen i registerlagen är bedömningen att den registrerade kan behöva få tillgång till information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut i samband med en begäran om utplåning av uppgifter. Bestämmelsen är, enligt regeringens bedömning, en sådan nationell specificering som är tillåten enligt skäl 8 samt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas. 16.2.16 Bestämmelsen om utplåning ska upphävas Regeringens förslag: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om den registrerades rätt till utplåning av uppgifter ska upphävas. Utredningens förslag överensstämmer inte med regeringens förslag. Utredningen har föreslagit att bestämmelsen om den registrerades rätt till utplåning av uppgifter ska ändras på så sätt att första meningen i paragrafen ersätts med en inledande upplysning om artikeln i dataskyddsförordningen som reglerar rätten till radering men att bestämmelsen i övrigt behålls och att begreppet utplåna genomgående ersättas med begreppet radera i enlighet med terminologin i dataskyddsförordningen. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Skälen för regeringens förslag: Av 16 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa framgår att den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. I bestämmelsen ställs vidare vissa formella krav på hur en begäran om utplåning ska vara utformad. Det ställs också krav på att den personuppgiftsansvarige utplånar uppgifterna i enlighet med begäran om inom två månader från det att begäran gjordes och sänder en bekräftelse till den registrerade på att utplåning har skett. Dessutom ställs det vissa krav på innehållet i bekräftelsen som ska sändas till den registrerade. Rätten till radering återfinns i artikel 17 i dataskyddsförordningen. Bestämmelsen i 16 § registerlagen är mer långtgående än artikel 17 i dataskyddsförordningen såtillvida att den registrerade har en ovillkorlig rätt att få sina uppgifter utplånade. Enligt artikel 17 i dataskyddsförordningen har den registrerade rätt att få sina personuppgifter raderade om någon av ett antal uppräknade situationer föreligger. Rätten till radering gäller inte heller enligt artikel 17.3 i den utsträckning som behandlingen är nödvändig för något av ett antal uppräknade skäl, bl.a. om den är nödvändig för vetenskapliga eller historiska forskningsändamål i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen. Den registrerades rätt till utplåning enligt registerlagen avviker alltså från vad som anges i den direkt tillämpliga artikel 17 i dataskyddsförordningen. Denna del av paragrafen är därför enligt regeringens bedömning inte förenlig med dataskyddsförordningen. Resterande del av paragrafen innehåller bestämmelser som närmare reglerar förfarandet vid en begäran om utplåning. Det ställs krav på den registrerade som går utöver vad som framgår av dataskyddsförordningen genom kraven på att begäran ska göras skriftligen och vara undertecknad av den registrerade. I artikel 17 i dataskyddsförordningen anges dessutom att den registrerade har rätt att få sina personuppgifter raderade utan onödigt dröjsmål när någon av de uppräknade situationerna föreligger medan det i bestämmelsen i registerlagen anges att ett utplånande ska ske inom två månader från det att begäran gjordes. Enligt regeringens bedömning finns det inte någon grund i dataskyddsförordningen för att i nationell rätt ställa sådana ytterligare krav på den registrerade eller begränsa rättigheten på sådant sätt. Bestämmelsen kan därför inte behållas utan ska upphävas. Den motsvarande rätten till radering kommer därmed att följa direkt av dataskyddsförordningen. 16.2.17 Bestämmelsen om skadestånd ska upphävas Regeringens förslag: Bestämmelsen om skadestånd i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska upphävas. Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt. Skälen för regeringens förslag: I 17 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att bestämmelserna i 48 § PUL om skadestånd ska tillämpas på motsvarande sätt i fråga om behandling av personuppgifter som har skett i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Bestämmelsen i 48 § PUL gällde endast om behandling skett i strid med den lagen. För att bestämmelsen om skadestånd skulle vara tillämplig även vid behandling i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa krävdes det därför att det särskilt angavs att bestämmelserna i PUL gäller om behandling av personuppgifter sker i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Bestämmelser som hänvisar till PUL kan inte finnas kvar nu när PUL har upphävts. I dataskyddsförordningen finns skadeståndsbestämmelsen i artikel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte av det skälet motiverat att särskilt reglera vad som gäller ifråga om skadestånd. Dessutom har det i dataskyddslagen införts en bestämmelse i dataskyddslagen som förtydligar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen (7 kap. 1 § dataskyddslagen). Det behövs därför inte heller någon hänvisning till bestämmelsen i dataskyddsförordningen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Bestämmelsen om skadestånd i 17 § i registerlagen bör därmed upphävas och inte ersättas med någon hänvisning till dataskyddsförordningen. 17 Ikraftträdande- och övergångsbestämmelser 17.1 Lagändringarna ska träda i kraft den 1 januari 2019 Regeringens förslag: Ändringarna i lagen om rättspsykiatriskt forskningsregister, etikprövningslagen, offentlighets- och sekretesslagen, lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning ska träda i kraft den 1 januari 2019. Utredningens förslag överensstämmer inte med regeringens förslag. Utredningen föreslår att forskningsdatalagen och lagändringarna ska träda i kraft den 25 maj 2018. Remissinstanserna: Remissinstanserna har inte några synpunkter på utredningens förslag. Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig instämmer i förslaget eller har inget att invända. Lunds universitet framför att det har implikationer för forskningen att förändringarna i etikprövningslagen (liksom de övriga förslagen) föreslås träda i kraft 1 januari 2019, eftersom Sverige därmed kommer att sakna kompletterande bestämmelser till dataskyddsförordningen från det att dataskyddsförordningens bestämmelser börjar tillämpas den 25 maj till årets slut. Detta är problematiskt på flera sätt. Ett av problemen är att etikprövningslagen inte kommer att ha anpassats till förordningens utökade lista på "känsliga personuppgifter". En än mer grundläggande fråga är enligt universitetet om det alls är möjligt att erhålla etiskt tillstånd så länge etikprövningslagen hänvisar till den upphävda personuppgiftslagen. Universitet anser att man bör undersöka om det finns möjlighet att låta förändringarna träda i kraft tidigare än vad som nu föreslagits. Skulle detta inte vara möjligt behöver svenska universitet och högskolor vägledning för den period då förslagen inte hunnit träda i kraft. Även Stockholms universitet, Regionala etikprövningsnämnden i Uppsala och Läkemedelsindustriföreningen påpekar att det senare ikraftträdandet av ändringarna i etikprövningslagen innebär att nationell rätt inte kommer att innehålla någon reglerad skyddsåtgärd för behandling av de kategorier av känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen som inte omfattas av 13 § PUL. Även dessa remissinstanserna efterlyser vägledning för dem som har att tillämpa regleringen under denna övergångsperiod. Regionala etikprövningsnämnden i Umeå konstaterar att fram till dess att lagändringarna träder i kraft är en etikgranskning enligt 3 § etikprövningslagen på sin höjd är möjlig till den del projektet behandlar känsliga personuppgifter enligt PUL-uppräkningen. Om ett projekt även innefattar behandling av t.ex. genetiska uppgifter kommer den delen att bli föremål för etikprövningsnämndens prövning endast som en del i den allmänna avvägningen av risk mot värde i 9 § etikprövningslagen. Nämnden anför att det får bli den personuppgiftsansvariges eget ansvar att se till att det finns rättslig grund och erforderligt samtycke m.m. Skälen för regeringens förslag: Enligt artikel 99.1 i dataskyddsförordningen träder förordningen i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016. Av artikel 99.2 följer att förordningen ska tillämpas från och med den 25 maj 2018. I artikel 94 anges vidare att dataskyddsdirektivet ska upphöra att gälla med verkan från och med samma dag och att hänvisningar till det upphävda direktivet ska anses som hänvisningar till förordningen. I samband med att dataskyddslagen trädde i kraft den 25 maj 2018 upphävdes PUL. Av p 5 i övergångsbestämmelserna framgår dock att PUL fortsatt ska gälla efter den 25 maj 2018 i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till PUL. Som framgått av avsnitt 12 och 16 finns sådana hänvisningar i etikprövningslagen, lagen om rättspsykiatriskt forskningsregister och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Detta innebär att etikprövning enligt etikprövningslagen ska hanteras i enlighet med dessa lagars nuvarande lydelse till dess förslagen om ändrade lydelser i dessa lagar träder i kraft. Förslagen bör träda i kraft så snart som möjligt. Med hänsyn till den tid som lagstiftningsprocessen tar föreslås att ändringarna ska träda i kraft den 1 januari 2019. Det är regeringens bedömning att det inte är möjligt med ett tidigare ikraftträdande. Som några remissinstanser har påpekat innefattar uppräkningen i artikel 9.1 i dataskyddsförordningen några fler kategorier uppgifter än 13 § PUL, nämligen behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning. Fram till dess att ändringen i etikprövningslagen träder i kraft kommer nationell rätt inte att innehålla någon reglerad skyddsåtgärd i form av etikprövning för behandling av de kategorier av känsliga personuppgifter som anges i artikel 9.1 men som inte omfattas av 13 § PUL. Det är dock regeringens uppfattning att tilläggen i artikel 9.1 jämfört med 13 § PUL inte innebär några stora skillnader i praktiken. Personuppgifter om sexuell läggning har i svensk rätt ansetts ingå i kategorin sexualliv (prop. 2017/18:115 s. 19). Genetiska uppgifter avslöjar ofta uppgifter om hälsa och/eller etniskt ursprung och utgör i dessa fall känsliga uppgifter inom även PUL:s tillämpningsområde. Biometriska uppgifter för att entydigt identifiera en fysisk person är en ny kategori i sammanhanget och definieras i dataskyddsförordningen som personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel 4.14). Regeringen har ingen uppfattning om i vilken utsträckning sådana personuppgifter behandlas för forskningsändamål. Det kan dock inte uteslutas att det kan förekomma behandling av känsliga personuppgifter för forskningsändamål som faller utanför etikprövningslagens nuvarande tillämpningsområde. I sådana situationer måste den personuppgiftsansvarige bedöma om övriga befintliga skyddsåtgärder, t.ex. sekretessreglering, kan anses tillräckliga i sammanhanget. Som Regionala etikprövningsnämnden i Umeå påpekar är det ett ansvar för varje forskningsutförare som är personuppgiftsansvarig att se till att behandlingen sker i enlighet med dataskyddsförordningen. Om den personuppgiftsansvarige vid en bedömning av den enskilda situationen kommer fram till att befintliga skyddsåtgärder inte kan anses tillräckliga för att kunna grunda behandlingen på artikel 9.2 j, så kan den personuppgiftsansvarige behöva inhämta den registrerades samtycke för att behandlingen ska vara tillåten enligt dataskyddsförordningen. När det gäller den generella skyddsåtgärden att uppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen kommer regleringen i PUL av denna skyddsåtgärd att gälla vid behandling som omfattas av lagen om rättspsykiatriskt forskningsregister och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa genom hänvisningen till PUL i dessa lagar. Vid behandling av personuppgifter för forskningsändamål i övriga fall blir konsekvensen att under den aktuella perioden fram till att ändringen i dataskyddslagen träder i kraft kommer någon bestämmelse med en sådan skyddsåtgärd inte att gälla. Det kan i detta sammanhang påminnas om det generella kravet i artikel 89.1 i dataskyddsförordningen på att behandling av personuppgifter för forskningsändamål ska omfattas av skyddsåtgärder. 17.2 Övergångsbestämmelser behövs inte Regeringens bedömning: Övergångsbestämmelser behövs inte. Utredningens bedömning överensstämmer delvis med regeringens bedömning. Utredningen har angivit att dataskyddsförordningen inte ger utrymme för några övergångsbestämmelser. Remissinstanserna: Remissinstanserna har inte några synpunkter på utredningens bedömning. Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning. Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig instämmer i bedömningen eller har inget att invända. Skälen för regeringens bedömning: Av dataskyddsförordningen framgår att hänvisningar till dataskyddsdirektivet ska anses som hänvisningar till dataskyddsförordningen i samband med att denna börjar tillämpas och direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår vidare att nationella anpassningar i medlemsstaterna bör finnas på plats när förordningen börjar tillämpas. Dataskyddsförordningen ger därmed mycket begränsat utrymme för övergångsbestämmelser Det är regeringens bedömning att några övergångsbestämmelser inte behövs i de lagar som föreslås anpassas till dataskyddsförordningen. 18 Konsekvenser 18.1 Övergripande konsekvenser Inledningsvis kan regeringen konstatera att dataskyddsförordningen i sig kommer att leda till stora konsekvenser för både det allmänna och enskilda. Dessa behandlas dock inte i detta lagstiftningsärende. Dataskyddsförordningen är direkt tillämplig men lämnar vissa möjligheter till nationella kompletterande och specificerande bestämmelser. När det gäller personuppgiftsbehandling för just forskningsändamål ger dataskyddsförordningen i flera fall utrymme för kompletterande nationell lagstiftning. Om dessa möjligheter inte tas till vara kommer förutsättningarna för att behandla personuppgifter för forskningsändamål att kraftigt försämras jämfört med idag. Det är därför inte är ett rimligt alternativ att någon nationell reglering inte kommer till stånd. De förslag till ändringar i etikprövningslagen, offentlighets- och sekretesslagen och dataskyddslagen som regeringen lämnar i denna proposition utgör de nödvändiga kompletterande nationella bestämmelser som krävs för att den samlade dataskyddsregleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri och rättigheter. Regeringen föreslår även vissa anpassningar av registerförfattningar till dataskyddsförordningen. Majoriteten av bestämmelserna i registerförfattningarna kvarstår oförändrade. Förslagen i övrigt är nödvändiga följder av eller anpassningar till dataskyddsförordningen och till att PUL upphävts. Någon ändring i sak i förhållande till vad som gäller idag är inte avsedd. En allmän utgångspunkt för regeringen har varit att bibehålla de rättigheter och skyldigheter i samband med personuppgiftsbehandling för forskningsändamål som finns i dag, inom ramen för dataskyddsförordningens utrymme för nationell kompletterande reglering. Varken möjligheterna till sådan personuppgiftsbehandling, eller den enskildes integritetsskydd ska försämras jämfört med dagens situation. De ändringar som regeringen föreslår i de aktuella författningarna motsvarar därför i stort sett de tidigare bestämmelserna i PUL och de andra aktuella författningarna. Mot bakgrund av detta är det regeringens bedömning att förslagen i propositionen inte får några övergripande konsekvenser varken för det allmänna eller för enskilda forskningsutförare. Som framgått i avsnitt 17 har lagändringarna inte kunnat träda i kraft den 25 maj 2018 då dataskyddsförordningen började tillämpas utan lagändringarna föreslås träda i kraft den 1 januari 2019. Konsekvenserna av detta har behandlats i avsnitt 17.1. 18.2 Konsekvenser för den personliga integriteten Dataskyddsförordningens bestämmelser innebär i sig en förstärkning av den registrerades rätt till information och tillgång till personuppgifter jämfört med motsvarande reglering i den nu upphävda PUL. Vid personuppgiftsbehandling för forskningsändamål möjliggör dataskyddsförordningen att undantag från vissa av den registrerades rättigheter kan föreskrivas i nationell rätt. Regeringen har bedömt att några sådana undantag inte ska införas i svensk rätt, utan att den registrerades rättigheter ska lämnas intakta enligt förordningen. När det gäller den generella skyddsåtgärd i form av en användningsbegränsning som regeringen föreslår ska införas i dataskyddslagen utgör det ett visst utökat skydd för den registrerade att undantaget för myndigheters användning av personuppgifter i allmänna handlingar, som framgått av motsvarande skyddsåtgärd i PUL, inte föreslås införas i dataskyddslagen. Det är regeringens uppfattning i övrigt att det befintliga skyddet i nuvarande reglering för den personliga integriteten bibehålls i och med de föreslagna ändringarna i etikprövningslagen och offentlighets- och sekretesslagen och anpassningarna av de övriga författningarna. 18.3 Ekonomiska konsekvenser och konsekvenser i övrigt Regeringen bedömer att de ekonomiska konsekvenserna av förslagen i denna proposition blir ytterst begränsade. Initialt kan förslagen innebära ökade kostnader för bland annat utbildning av personal i det nya dataskyddsregelverket. Dessa bedöms dock vara av den omfattningen att de ryms inom befintliga ekonomiska ramar. Förslagen bedöms inte få några andra ekonomiska konsekvenser eller några konsekvenser för företag eller konkurrensförhållanden, den kommunala självstyrelsen, jämställdheten mellan män och kvinnor, de integrationspolitiska målen, miljön eller Sveriges medlemskap i Europeiska unionen. 19 Författningskommentar 19.1 Förslaget till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Paragrafen anger lagens förhållande till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL. Med anledning av att PUL har upphävts i samband med att Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, har börjat tillämpas ändras paragrafen så att den anger att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid behandling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, kompletterande bestämmelser för behandling av personuppgifter i det rättspsykiatriska forskningsregistret. Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt. Bestämmelsen behandlas i avsnitt 16.1.5. 2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag. I paragrafen, som är ny, anges att vid behandling av personuppgifter enligt lagen gäller dataskyddslagen, om inte annat följer av denna lag. Bestämmelsen klargör att de generella nationella bestämmelserna om behandling av personuppgifter i dataskyddslagen, som kompletterar och preciserar dataskyddsförordningen på ett generellt plan, även gäller vid behandling av personuppgifter i det rättspsykiatriska forskningsregistret. Dataskyddslagen är subsidiär i förhållande till lagen om rättspsykiatriskt forskningsregister. Det innebär att om lagen om rättspsykiatriskt forskningsregister innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen. Bestämmelsen behandlas i avsnitt 16.1.5. 12 § När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna information om behandlingen till den registrerade. Utöver vad som framgår av artikel 14 i dataskyddsförordningen ska informationen innehålla upplysningar om 1. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen, 2. bestämmelserna i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning om den registrerades rätt till skadestånd, och 3. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen. Paragrafen reglerar vilken information som ska lämnas till den registrerade. Bestämmelsen anpassas till dataskyddsförordningen på så sätt att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen, vilken är direkt tillämplig. Hänvisningen till PUL ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen. Bestämmelsen behandlas i avsnitt 16.1.10. 19.2 Förslaget till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor 2 § I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå, forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs, forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. I paragrafen definieras vissa grundläggande begrepp som används i lagen. Paragrafen ändras på sätt att i definitionen av behandling av personuppgifter ersätts hänvisningen till definitionen i den upphävda personuppgiftslagen (1998:204), förkortad PUL, med en hänvisning till den definition av begreppet som finns i artikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt. Bestämmelsen behandlas i avsnitt 14.1.1. 3 § Denna lag ska tillämpas på forskning som innefattar behandling av 1. personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller 2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. I denna paragraf och i 4 och 5 §§ anges lagens tillämpningsområde. Första punkten, som hänvisar till känsliga personuppgifter enligt 13 § PUL, ändras så att en hänvisning till sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) görs. Detta innebär att all behandling för forskningsändamål av sådana personuppgifter som anges i artikel 9.1 i dataskyddsförordningen ska etikprövas enligt denna lag, oavsett rättslig grund enligt artikel 6.1 i dataskyddsförordningen. Andra punkten, som hänvisar till personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL ändras på så sätt att hänvisningen till den paragrafen tas bort. Detta innebär att kravet på etikprövning enligt etikprövningslagen omfattar all personuppgiftsbehandling för forskningsändamål av de angivna kategorierna av personuppgifter, både sådan personuppgiftsbehandling som utförs av myndigheter och sådan som utförs av enskilda forskningsutförare. I artikel 10 i dataskyddsförordningen anges något färre kategorier av personuppgifter om lagöverträdelser än i 21 § PUL. Någon ändring i sak när det gäller de kategorier av personuppgifter om lagöverträdelser som ska vara föremål för etikprövning görs inte i förevarande paragraf. Kravet på etikprövning kommer således även fortsättningsvis att gälla samma kategorier av personuppgifter om lagöverträdelser som hittills. Detta innebär att tillämpningsområdet är mer omfattande än vad som framgår av artikel 10 i dataskyddsförordningen och även omfattar friande domar i brottmål och administrativa frihetsberövanden. Bestämmelsen behandlas i avsnitt 12. 19.3 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) 21 kap. 7 § Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med 1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, 2. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, eller 3. 6 § lagen (2003:460) om etikprövning av forskning som avser människor. Paragrafen reglerar sekretess i fall där det kan antas att utlämnade uppgifter kommer att behandlas i strid med dataskyddsregleringen. Efter förslag i propositionen Ny dataskyddslag (prop. 2017/18:105) har en ändring gjorts i paragrafen som innebär dels ett förtydligande av att prövningen gäller den behandling som kommer att ske efter ett eventuellt utlämnande, dels att hänvisningen till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL, ersatts med en hänvisning till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen. Den nu aktuella ändringen innebär att en hänvisning även görs till kravet på godkännande enligt lagen (2003:460) om etikprövning av forskning som avser människor, benämnd etikprövningslagen, när det är fråga om forskning som innefattar känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. (se 6 § etikprövningslagen och hänvisningen i det lagrummet till 3 § samma lag). PUL innehöll bestämmelser som särskilt reglerade möjligheten att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden för forskningsändamål. Som särskild skyddsåtgärd gällde att behandling av sådana uppgifter fick ske om behandlingen hade godkänts enligt etikprövningslagen (se 19 och 21 §§ PUL). Genom hänvisningen till PUL i förevarande paragraf gällde sekretess för uppgifter om det kunde antas att uppgiften efter utlämnandet skulle komma att behandlas i strid med kravet på godkännande i etikprövningslagen. PUL har upphävts i samband med att dataskyddsförordningen började tillämpas. Det förs därför in en hänvisning till 6 § etikprövningslagen i förevarande paragraf, vilket innebär att sekretess även framöver kommer att gälla för uppgifter om det kan antas att känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden efter ett utlämnande kommer att behandlas i strid med kravet på etikprövning. Bestämmelsen behandlas i avsnitt 15.2. 19.4 Förslaget till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa 3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning. Paragrafen anger lagens förhållande till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL. Med anledning av att PUL har upphävts i samband med att Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, har börjat tillämpas ändras paragrafen så att den anger att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid behandling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, kompletterande bestämmelser för behandling av personuppgifter i vissa register för forskning om vad arv och miljö betyder för människors hälsa. Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt. Av andra stycket framgår att de termer och uttryck som används i lagen ska förstås på samma sätt som i dataskyddsförordningen. Bestämmelsen behandlas i avsnitt 16.2.6. 3 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen, som är ny, anger hur lagen förhåller sig till dataskyddslagen. Bestämmelsen klargör att de generella nationella bestämmelserna om behandling av personuppgifter i dataskyddslagen, som kompletterar och preciserar dataskyddsförordningen på ett generellt plan, även gäller vid behandling av personuppgifter enligt förevarande lag. Dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att om denna lag eller föreskrifter som har meddelats i anslutning till lagen innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen. Bestämmelsen behandlas i avsnitt 16.2.6. 12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Paragrafen innehåller bestämmelser om gallring. Terminologin i paragrafen anpassas till dataskyddsförordningen genom att "historiska, statistiska eller vetenskapliga ändamål" byts ut mot "arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål". Bestämmelsen behandlas i avsnitt 16.2.12. 14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag. Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om 1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis, 2. vilka uppgifter som får registreras enligt 9 §, 3. de sekretess- och säkerhetsbestämmelser som gäller för registret, 4. rätten till information enligt 15 § denna lag, 5. vilken myndighet som har tillsyn över att denna lag följs, och 6. rätten till skadestånd. Av bestämmelsens första stycke framgår att personuppgifter inte får samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt lagen. I andra stycket regleras vilken information som ska ha lämnats till en person innan denne lämnar sitt samtycke. Bestämmelsens andra stycke anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Bestämmelsen behandlas i avsnitt 16.2.14. 19.5 Förslaget till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning 4 kap. 3 § Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Paragrafen, som är ny, fastställer begränsningar för hur personuppgifter som behandlas för forskningsändamål får användas. Paragrafen motsvarar delvis 9 § fjärde stycket i den upphävda personuppgiftslagen (1998:204), förkortad PUL. Bestämmelsen, som har sin grund i artiklarna 6.2, 9.2 j och 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, förhindrar som huvudregel att personuppgifter som behandlas av den personuppgiftsansvarige enbart för forskningsändamål används för att vidta åtgärder rörande den registrerade. Sådana åtgärder får bara vidtas om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen gäller alla typer av personuppgifter och inte bara känsliga sådana. Med vitala intressen avses intressen som är av avgörande betydelse för den registrerades liv. Ett exempel på en situation då det finns behov av att kunna använda personuppgifter för att vidta åtgärder som avser de registrerade är när personuppgifter som behandlas för forskningsändamål behöver användas för att varna de registrerade. Det kan förekomma t.ex. när en forskare, som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling. Det är den personuppgiftsansvarige som har att visa att det finns sådana omständigheter som utgör synnerliga skäl. För att det ska vara tillåtet att använda uppgifterna för att vidta åtgärder i fråga om den registrerade krävs också att användningen inte är oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in (se artikel 5.1 b i dataskyddsförordningen). Undantaget från användningsbegränsningen kan alltså inte tillämpas till stöd för en vidarebehandling som i sig är otillåten enligt dataskyddsförordningen. I förhållande till den motsvarande bestämmelsen som fanns i PUL har bestämmelsen utformats så att det tydligare framgår att användningsbegränsningen gäller personuppgifter som enbart behandlas för forskningsändamål. Det är så bestämmelsen i PUL var avsedd att tillämpas enligt förarbetena (se prop. 1997/98:44 s. 120). Vidare har undantaget att åtgärder i fråga om den registrerade får vidtas om den registrerade lämnat sitt samtycke tagits bort. Om samtycke inhämtas för att en uppgift ska användas för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt och undantaget är därför överflödigt. Till skillnad från vad som tidigare gällde enligt PUL (se 8 § andra stycket PUL) innebär bestämmelsen en begränsning även av myndigheters möjligheter att använda personuppgifter i allmänna handlingar för att vidta åtgärder i fråga om den registrerade. I övrigt bör bestämmelsen tolkas och tillämpas på ett likartat sätt som bestämmelsen i 9 § fjärde stycket PUL. Praxis kring tillämpningen av den bestämmelsen bör således vara vägledande. Bestämmelsen behandlas i avsnitt 9.3. Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) Rättelse till Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) Sammanfattning av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50) Uppdraget I detta delbetänkande redovisar vi uppdraget att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen (EU 2016/679) börjar tillämpas den 25 maj 2018, dels lämna de författningsförslag som behövs. Förslagen ska avse reglering utöver de generella bestämmelser som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt betänkande (SOU 2017:39). Dessutom har vi haft i uppdrag att överväga och eventuellt föreslå anpassningar i viss närliggande lagstiftning. Bakgrund, rättsliga utgångspunkter och begrepp Dataskyddsförordningen trädde i kraft den 24 maj 2016, men ska enligt artikel 99.2 tillämpas från och med den 25 maj 2018. Förordningen är direkt tillämplig i alla medlemsstater och gäller i stället för motsvarande nationell reglering. Dataskyddsförordningen ersätter därmed bl.a. det nuvarande dataskyddsdirektivet (95/46/EG) och dess svenska implementering genom personuppgiftslagen (1998:204). Förordningen kommer enligt artikel 2 att utgöra rättslig utgångspunkt för den forskning som använder sig av personuppgifter och som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i Europeiska unionen, oavsett om själva behandlingen sker inom unionen eller inte (artikel 3). Forskning som inte omfattar behandling av personuppgifter faller, genom den avgränsning som görs i artikel 2, utanför förordningens tillämpningsområde. Begreppet forskningsändamål Förordningens återkommande uttryck "vetenskapliga eller historiska forskningsändamål" innefattar enligt utredningens bedömning forskning utan att någon särskild betydelseåtskillnad bör göras mellan dessa två delar med avseende på personuppgiftsbehandling. Begreppen forskning och forskningsändamål kan enligt utredningens bedömning likställas. Personuppgiftsbehandling för forskningsändamål bör vidare kunna omfatta hela eller delar av forskningsprocessen. Iordningställande av personuppgifter i databaser för forskningsändamål bör kunna innefattas i vad som avses med forskning i bred bemärkelse. Utredningens bedömning är således att de enskilda delarna av denna process ska kunna betecknas som behandling för forskningsändamål utan att alla delar måste ingå. Detta är särskilt viktigt i s.k. longitudinella studier där förlopp studeras över tidsperioder som ibland omfattar många år. En forskningsdatalag Utredningen har identifierat ett behov av att införa en forskningsdatalag med syfte att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Den föreslagna forskningsdatalagen ska vara tillämplig för all personuppgiftsbehandling för forskningsändamål oavsett rättslig grund. Den föreslagna forskningsdatalagen ska gälla utöver vad som framgår av dataskyddsförordningen. Den generella kompletterande dataskyddslag som Dataskyddsutredningen föreslår ska vara subsidiär i förhållande till andra lagar och förordningar. Av tydlighetsskäl föreslår utredningen att det av forskningsdatalagen ska framgå att dataskyddslagen gäller om inte annat följer av forskningsdatalagen. En registerförfattning, eller en bestämmelse i en registerförfattning, som specifikt är tillämplig på personuppgiftsbehandling för ändamålet forskning ska ha företräde framför avvikande bestämmelser i forskningsdatalagen. Rättslig grund Fastställande av allmänt intresse som rättslig grund Artikel 6 i dataskyddsförordningen anger vilka villkor som måste vara uppfyllda för att personuppgiftsbehandling ska vara laglig. De rättsliga grunder som framförallt kan komma ifråga för forskningsändamål är, enligt utredningens bedömning, samtycke enligt artikel 6.1 a, nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e och (för privata aktörer) intresseavvägning enligt artikel 6.1 f. Beträffande den rättsliga grunden enligt artikel 6.1 ställer dock förordningen krav på ytterligare nationell reglering avseende bl.a. artikel 6.1 e (nödvändig behandling för att bl.a. utföra en uppgift av allmänt intresse). Med tanke på att artikel 6.1 e är central i forskningssammanhang, eftersom forskning generellt sett är att anse som en uppgift av allmänt intresse, har utredningen i uppdrag att särskilt analysera dessa krav och vid behov komplettera dataskyddsförordningen. Dessa krav anges i artikel 6.2 och 6.3, vilka möjliggör och kräver nationell reglering som fastställer och specificerar tillämpningen av den rättsliga grunden i artikel 6.1 e. Den rättsliga grunden kan som ett inslag i fastställandet t.ex. innehålla allmänna villkor för den särskilda behandlingen. Det är således möjligt enligt dataskyddsförordningen att införa särskilda bestämmelser i nationell rätt som specificerar när och hur personuppgiftsbehandling för forskningsändamål får ske. Kravet enligt artikel 6.3 på att grunden för behandlingen enligt artikel 6.1 e ska vara fastställd i enlighet med nationell rätt medför en påtaglig skillnad mellan olika kategorier av forskningsaktörer vad gäller de legala förutsättningarna för personuppgiftsbehandling. För privata aktörer är forskningsuppgiften sällan eller aldrig fastställd på det sätt som förordningen föreskriver. Det är dock en allmänt vedertagen uppfattning att även privat bedriven forskning kan anses utgöra en uppgift av allmänt intresse. För att privata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av författningsstöd att basera tillämpningen på. I skäl 45 till dataskyddsförordningen anges att medlemsstaterna bör ange vilka aktörer, även privata, som kan utföra en uppgift av allmänt intresse, vilket visar att det är möjligt för såväl offentliga som privata aktörer att utföra uppgifter av allmänt intresse i dataskyddsförordningens mening. Om inga nationella lagstiftningsåtgärder vidtas innebär förordningens bestämmelser att offentliga forskningsaktörer framförallt har att tillämpa den rättsliga grunden uppgift av allmänt intresse, enligt artikel 6.1 e, vid behandling av personuppgifter för forskningsändamål. Privata forskningsaktörer har framförallt att tillämpa de rättsliga grunderna samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål. Att dataskyddsförordningen medför så betydande skillnader i möjligheterna att åberopa de olika rättsliga grunderna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forskningsändamål, i praktiken beroende på vilken organisationsform aktören har, är enligt utredningens bedömning rimligen inte avsiktligt. Det är angeläget med ett sammanhållet grundläggande regelverk för personuppgiftsbehandling för forskningsändamål, inte minst för att uppnå ett rättssäkert och i övrigt adekvat skydd för den enskildes integritet. Olika forskningsaktörers möjligheter till samverkan och att bedriva forskning som kan komma att få nytta för allmänheten bör likställas i så stor utsträckning som möjligt. Skyddet för den personliga integriteten ska alltid hålla lika hög nivå oberoende av kategori av forskningsaktör. Detta bör åstadkommas genom skyddsåtgärder. Utredningen föreslår därför att det införs en bestämmelse i forskningsdatalagen som möjliggör för såväl offentliga som privata forskningsaktörer att tillämpa den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen för behandling av personuppgifter för forskningsändamål. Ytterligare behandling Dataskyddsförordningens bestämmelser innebär att ytterligare behandling av personuppgifter för forskningsändamål av samma personuppgiftsansvarig får ske utan att någon ny rättslig grund måste åberopas, om den ursprungliga insamlingen utfördes med tillämpning av en rättslig grund enligt artikel 6.1. Detta skiljer sig mot tillämpningen av personuppgiftslagen där all behandling kräver stöd i 10 §. När personuppgifterna ursprungligen samlats in med stöd av samtycke är dock ytterligare behandling utan ny rättslig grund inte lika självklar. I samband med utlämnande av personuppgifter till annan personuppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Den nya personuppgiftsansvarige måste dock ha en egen rättslig grund för sin behandling för forskningsändamål sedan personuppgifterna utlämnats till denne. Detta innebär att forskningsaktörer som samlar in personuppgifter för forskningsändamål som tidigare insamlats för annat ändamål, till exempel av en annan myndighet, måste åberopa en rättslig grund enligt artikel 6.1 för den nya behandlingen. En sådan rättslig grund kan vara forskning av allmänt intresse enligt artikel 6.1 e. Samtycke Definitionen av samtycke i dataskyddsförordningen överensstämmer i väsentliga delar med personuppgiftslagens bestämmelser. Dataskyddsförordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Samtycke ska vara frivilligt, specifikt, informerat och för känsliga personuppgifter uttryckligt, samt ska lämnas genom ett uttalande eller en entydig bekräftande handling. Den senare formuleringen av vilken slags aktivitet som godkänns som samtycke har lagts till i definitionen jämfört med i personuppgiftslagen. Utredningen bedömer att det med utgångspunkt i artikel 9.2 a i dataskyddsförordningen är möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund när samtycke föreligger tillsammans med godkännande efter etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Skäl 33 i dataskyddsförordningen innebär en utvidgning av det möjliga utrymmet för samtycke när ändamålet med den aktuella forskningen inte exakt kan beskrivas vid insamlingstillfället. Skäl 43 i dataskyddsförordningen innebär samtidigt begränsningar, för myndigheter, när det gäller möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling. Av särskild vikt är här om den rättsliga grunden allmänt intresse förekommer samtidigt som samtycke inhämtats. Dataskyddsförordningen erbjuder ingen slutlig lösning på de hybridförhållanden, dvs. när flera rättsliga grunder samtidigt föreligger för samma personuppgiftsbehandling, som redan uppmärksammats av artikel 29-gruppen och som innebär att samtyckets giltighet kan ifrågasättas. Ytterligare behandling av personuppgifter för forskningsändamål insamlade med samtycke bör normalt omfattas av inhämtande av nytt samtycke, oavsett om det sker hos samma eller hos en ny personuppgiftsansvarig, om det är praktiskt möjligt och inte olämpligt ur etisk synpunkt. Känsliga personuppgifter Av artikel 9.1 i dataskyddsförordningen framgår att det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Dataskyddsförordningens definition av den här kategorin av personuppgifter är något utökad jämfört med det nuvarande dataskyddsdirektivets. I dataskyddsförordningen används vidare benämningen särskilda kategorier av personuppgifter i artikel 9. I enlighet med Dataskyddsutredningens bedömning väljer vi dock att även fortsatt benämna dessa slags personuppgifter som känsliga personuppgifter. För att behandling av känsliga personuppgifter ska vara tillåten under vissa förutsättningar krävs stöd i nationell rätt som fastställer lämpliga och särskilda skyddsåtgärder. Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan personuppgiftsbehandling när denna är nödvändig för att uppnå forskningsändamålet. Som huvudsaklig skyddsåtgärd föreslår utredningen att kravet på etikprövning enligt etikprövningslagen ska kvarstå. Personuppgifter om lagöverträdelser m.m. Behandling av personuppgifter om lagöverträdelser m.m. regleras i artikel 10 i dataskyddsförordningen. Enligt dataskyddsförordningen behövs kompletterande reglering i nationell rätt för att behandling av uppgifter om lagöverträdelser m.m. för forskningsändamål för andra än myndigheter ska vara möjlig. Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan personuppgiftsbehandling när denna är nödvändig för att uppnå forskningsändamålet. Sådan reglering ska vidare innehålla bestämmelser om lämpliga skyddsåtgärder för att säkerställa den registrerades rättigheter och friheter. Utredningen föreslår att etikprövning enligt etikprövningslagen fortsatt ska vara den huvudsakliga skyddsåtgärden. Personnummer och samordningsnummer Den reglering som Dataskyddsutredningen föreslår för behandling av personnummer eller samordningsnummer innehåller samma direkt tillämpliga villkor som återfinns i nuvarande lagstiftning. Dessa villkor torde vara uppfyllda i vissa forskningssammanhang. Utredningen gör bedömningen att rättsläget för användningen av personnummer för forskningsändamål inte ändras i och med Dataskyddsutredningens föreslagna bestämmelser. Jämfört med i dag är det samma villkor som ska uppfyllas för att behandling av personnummer ska vara tillåten och regeringen samt tillsynsmyndigheten har samma möjligheter som tidigare att meddela specialreglering i form av registerförfattningar för vissa typer av behandlingar. Något behov av ytterligare kompletterande nationell reglering finns därmed inte. Begränsningar av registrerades rättigheter I dataskyddsförordningens tredje kapitel (artiklarna 12-23) anges den registrerades rättigheter i samband med att dennes personuppgifter behandlas. Dessa rättigheter kan under vissa förutsättningar begränsas. Dataskyddsutredningen har föreslagit vissa generella begränsningar i dessa rättigheter. Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i första punkten i artikel 89. Vi har därför analyserat dessa rättigheters effekt på forskningen, och föreslår vissa begränsningar genom bestämmelser i forskningsdatalagen. Rätten till rättelse (artikel 16) ska inte gälla för sådana personuppgifter som behandlats för forskningsändamål om de enbart bevaras i arkiveringssyfte. Rätten till rättelse ska i övrigt gälla utan undantag. Rätt till begränsning av behandling (artikel 18) ska inte gälla när den registrerade bestrider uppgifternas korrekthet under den utredningstid som krävs för att kontrollera om personuppgifterna är korrekta, om detta medför att forskningen inte kan utföras eller på ett avgörande sätt försenas eller försvåras. Detsamma ska gälla när den registrerade invänder mot behandlingen, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Det saknas behov av ytterligare undantag från rätten till tillgång (artikel 15) samt rätten att göra invändningar (artikel 21) när personuppgifter behandlas för forskningsändamål, utöver vad Dataskyddsutredningen har föreslagit. Tillsyn och sanktioner Utredningen har översiktligt behandlat frågor om tillsyn och sanktioner i relation till personuppgiftsbehandling för forskningsändamål. Dataskyddsutredningen föreslår att Datainspektionen ska utses till tillsynsmyndighet, och ha befogenheter enligt dataskyddsförordningen, över den nationella dataskyddslagen som kompletterar dataskyddsförordningen på generell nivå samt de andra nationella författningar som kompletterar dataskyddsförordningen. Eftersom den föreslagna forskningsdatalagen kompletterar dataskyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogenheter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen. Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som stadgar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kompletterar dataskyddsförordningen. Det är utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även rätten till ersättning vid överträdelser av forskningsdatalagen. Någon särskild skadeståndsbestämmelse behöver därför inte införas i forskningsdatalagen. Skyddsåtgärder Vårt uppdrag har varit att göra en analys av vilka skyddsåtgärder som bör gälla vid all behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade. För känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. har vårt uppdrag varit att analysera behovet av kompletterande bestämmelser för att behandling alls ska vara möjlig, samt vilka lämpliga och särskilda åtgärder en sådan reglering bör innehålla. Vi har därför analyserat centrala begrepp, som exempelvis personuppgift, pseudonymisering och anonymisering, för att därefter gå igenom dataskyddsförordningens krav på skyddsåtgärder. Vi har vidare analyserat ett urval av organisatoriska, tekniska och rättsliga åtgärder för att säkerställa den registrerades grundläggande rättigheter, särskilt mot bakgrund på dataskyddsförordningens säkerhetskrav. Med beaktande av befintliga möjligheter att reglera skyddsåtgärder när personuppgifter behandlas för forskningsändamål gör vi bedömningen att det är möjligt och lämpligt att införa sådan reglering i författningsform. Jämfört med villkor meddelade vid etikgodkännande samt uppförandekoder kan en författningsreglering ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vidtas även för behandling som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. Utredningen föreslår att personuppgiftslagens befintliga bestämmelse som anger att uppgifter som samlats in för forskningsändamål normalt inte får användas för att vidta åtgärder i fråga om den registrerade förs över till forskningsdatalagen. Vidare föreslår vi att en bestämmelse införs i forskningsdatalagen som anger att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål, förutsatt att ändamålet kan uppnås på sådant vis. Slutligen är vårt förslag att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, får dock personuppgiftsbehandling ändå utföras. En proportionerlig lagstiftning Utredningen har analyserat de föreslagna bestämmelserna i forskningsdatalagen utifrån de krav på framförallt proportionalitet som ställs upp i dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument. Analysen har gjorts utifrån förutsättningen att den föreslagna lagen är en form av ramlag som inte kan reglera personuppgiftsbehandlingen på detaljnivå, och att den faktiska personuppgiftsbehandling som görs i forskningsprojekt måste prövas utifrån samma proportionalitetskrav. De föreskrivna skyddsåtgärderna utgör här ett stöd för att tillse att det intrång som personuppgiftsbehandlingen i fråga medför är proportionellt mot den förväntade nyttan av forskningen. Den föreslagna regleringen måste uppfylla krav på proportionalitet som ställs i flera olika rättsliga sammanhang. Utredningens bedömning, utifrån den integritetskartläggning som gjorts, de skyddsåtgärder som föreslås och värdet av den personuppgiftsbehandling som regleringen möjliggör, är att forskningsdatalagen är proportionell utifrån samtliga dessa proportionalitetskrav. Etikprövning Utredningen har analyserat vilka anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor som behöver göras inför att dataskyddsförordningen börjar tillämpas. Utredningen har inledningsvis behandlat frågan om etikprövning som en skyddsåtgärd i enlighet med dataskyddsförordningens krav och kommit till slutsatsen att etikprövning utgör en sådan lämplig och särskild skyddsåtgärd som dataskyddsförordningen kräver för personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. Utredningen har därpå analyserat om etikprövningslagens tillämpningsområde bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål och kommit till slutsatsen att detta vore en alltför ingripande åtgärd som inte är proportionerlig i förhållande till syftet. Utredningen föreslår därför att kravet på etikprövning även fortsättningsvis ska omfatta personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. enligt de definitioner som framgår av artiklarna 9.1 och 10 i dataskyddsförordningen, samt att kravet på etikprövning avseende de ytterligare uppgifter som i dagsläget framgår av 21 § personuppgiftslagen även fortsättningsvis bör omfattas av etikprövningslagens tillämpningsområde. Utredningen har vidare konstaterat att det finns anledning att närmare utreda behovet av förändringar i etikprövningsförfarandet. Ett differentierat etikprövningsförfarande framstår som mer ändamålsenligt inom framför allt viss samhällsvetenskaplig och rättsvetenskaplig forskning. Vi lämnar flera exempel på sådana behov i samband med att personuppgiftsbehandling för forskningsändamål baserar sig på redan offentliggjorda uppgifter och där den efterföljande behandlingen endast innebär en mindre integritetsrisk. Mot bakgrund av begränsningar i vårt uppdrag och ramar i övrigt föreslår vi att detta utreds vidare i särskild form. Slutligen har utredningen analyserat vilka ändringar av etikprövningslagen som i övrigt behöver göras med anledning av att dataskyddsförordningen börjar tillämpas och lämnar behövliga författningsförslag i dessa delar. Anpassningar av vissa registerförfattningar Vi har i uppdrag att i utredningens nästa skede bereda Registerforskningsutredningens (U 2013:01) förslag i betänkandet Unik kunskap genom registerforskning (SOU 2014:45) vidare. Eftersom det är kort tid tills dataskyddsförordningen ska börja tillämpas, den 25 maj 2018, kommer någon generell reglering av forskningsdatabaser inte att kunna vara på plats tills dess. Därför behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen, och den generella reglering Dataskyddsutredningen föreslår, som behöver göras i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rättspsykiatriskt forskningsregister tills dess att dataskyddsförordningen ska börja tillämpas. Eftersom utredningen har i uppdrag att i ett andra skede utreda och föreslå en långsiktig reglering av forskningsdatabaser har denna första del av uppdraget fokuserat uteslutande på lagtekniska anpassningar av registerlagarna i relation till dataskyddsförordningens bestämmelser. Detta innebär att utredningen i det nuvarande skedet har utgått ifrån att redan gjorda avvägningar och bedömningar i sak bör godtas, i den mån dessa inte är oförenliga med dataskyddsförordningen. Analysen är således inriktad på sådana ändringar som är nödvändiga med anledning av dataskyddsförordningen. Syftet med uppdraget i denna del är sammantaget att registerlagarna ska kunna tillämpas även efter att dataskyddsförordningen börjar tillämpas och att de befintliga förutsättningarna för att behandla personuppgifter i enlighet med registerlagarna i vart fall inte ska försämras. Ikraftträdande Enligt artikel 99 i dataskyddsförordningen ska förordningen tillämpas från och med den 25 maj 2018. Dataskyddsutredningen föreslår att dataskyddslagen, vilken utgör kompletterande nationell lagstiftning på generell nivå, ska träda i kraft samma dag och att personuppgiftslagen samtidigt ska upphöra att gälla. Eftersom forskningsdatalagen utgör kompletterande nationell lagstiftning till dataskyddsförordningen inom forskningssektorn föreslår vi att även den ska träda i kraft samma dag. Av dataskyddsförordningen framgår att hänvisningar till dataskyddsdirektivet ska anses som hänvisningar till dataskyddsförordningen i samband med att denna börjar tillämpas och direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår vidare att nationella anpassningar i medlemsstaterna bör finnas på plats när förordningen börjar tillämpas. Det är utredningens uppfattning att det därmed inte finns utrymme för några övergångsbestämmelser i forskningsdatalagen. Från och med den 25 maj 2018 ska således all personuppgiftsbehandling för forskningsändamål tillämpa dataskyddsförordningen och, i de delar denna kompletteras, forskningsdatalagen samt på generell nivå även dataskyddslagen. Konsekvenser Utredningen har i uppdrag att analysera konsekvenserna av våra förslag ur vissa särskilt angivna aspekter. Våra förslag är samtidigt primärt föranledda av andra förändringar, främst personuppgiftslagens upphävande och dataskyddsförordningens ikraftträdande, men även de förslag som Dataskyddsutredningen lämnar. Vi har därför begränsat analysen till sådana konsekvenser som vi i någon reell mening haft möjlighet att påverka, och utifrån målsättningen att bibehålla de möjligheter till forskning samt skydd för den personliga integriteten som följer av dagens reglering. Vi analyserar därför inte de konsekvenser som följer av att dataskyddsförordningen börjar tillämpas. Utredningen bedömer att förslagen inte medför några kostnadsförändringar för de aktörer som omnämns i kommittéförordningen (1998:1474). Utredningens bedömning är vidare att förslagen överlag innebär en förstärkning av den personliga integriteten. Betänkandets lagförslag 1.1 Förslag till forskningsdatalag Inledande bestämmelser 1 § Syftet med denna lag är att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. 2 § Denna lag kompletterar Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. 3 § Om inte annat följer av denna lag gäller lagen (2018:XX) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från denna lag ska de bestämmelserna gälla. Lagens tillämpningsområde 4 § Denna lag tillämpas vid behandling av personuppgifter för forskningsändamål. Behandling av personuppgifter för forskningsändamål Rättslig grund 5 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt. 6 § Personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare. Generella skyddsåtgärder 7 § Vid personuppgiftsbehandling för forskningsändamål med stöd av något av villkoren i artikel 6.1 i dataskyddsförordningen gäller bestämmelserna i 8-10 §§ denna lag. 8 § Vid personuppgiftsbehandling för forskningsändamål ska personuppgifterna pseudonymiseras eller vara skyddade på likvärdigt sätt, om ändamålet kan uppfyllas på det viset. 9 § Personuppgifter får inte behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om ändamålet annars inte kan uppfyllas, får personuppgiftsbehandling ändå utföras. 10 § Personuppgifter som behandlas för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar. Känsliga personuppgifter 11 § Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Av etikprövningslagen framgår övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål. Personuppgifter om lagöverträdelser m.m. 12 § Personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får med stöd av artikel 10 i dataskyddsförordningen behandlas för forskningsändamål av andra än myndigheter om behandlingen är nödvändig för forskningsändamål och har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Av etikprövningslagen framgår övriga krav på etikprövning av behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål. Undantag från registrerades rättigheter 13 § Den registrerades rätt till rättelse enligt artikel 16 i dataskyddsförordningen gäller inte för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning. 14 § Den registrerades rätt till begränsning av behandling enligt artikel 18.1 a och d i dataskyddsförordningen gäller inte när uppgifter behandlas för forskningsändamål om utövandet av rätten medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras. Utlämnande av personuppgifter 15 § Personuppgifter får lämnas ut för att behandlas för forskningsändamål, om inte något annat följer av regler om sekretess och tystnadsplikt. Vid sådan personuppgiftsbehandling behöver artikel 14.1-4 i dataskyddsförordningen inte iakttas. Detta hindrar inte att villkor enligt 6 § lagen (2003:460) om etikprövning av forskning som avser människor får avse den information som ska lämnas till den registrerade. Denna lag träder i kraft den 25 maj 2018. 1.2 Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor dels att 12 § ska upphöra att gälla, dels att 2 och 3 §§ ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 § I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå, forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs, forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i 3 § personuppgiftslagen (1998:204). behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. 3 § Denna lag ska tillämpas på forskning som innefattar behandling av 1. känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller 2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen. 1. sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter), eller 2. sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Denna lag träder i kraft den 25 maj 2018. 1.3 Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa dels att 13 och 17 §§ ska upphöra att gälla, dels att 2, 3, 12, 14 och 16 §§ och rubriken närmast före 3 § och 16 § ska ha följande lydelse, dels att det i lagen ska införas en ny paragraf, 3 a §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 § Lagen gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med en enskildes uttryckliga samtycke sker i sådant syfte som anges i 1§ 1. Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt denna lag och vilka register enligt lagen som får föras. Förhållandet till personuppgiftslagen Förhållandet till annan dataskyddsreglering 3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. 3 a § Lagen (2018:XX) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. 12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. 14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag. Innan en person lämnar sitt samtycke enligt första stycket ska han eller hon ha informerats om 1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis, 2. för vilka ändamål behandling kan ske enligt 5-7 §§ och vilka uppgifter som får registreras enligt 9 §, 3. de sekretess- och säkerhetsbestämmelser som gäller för registret, 4. vem som är personuppgiftsansvarig, 5. hur länge uppgifterna sparas, 6. rätten till rättelse av uppgifterna, 7. rätten till information enligt 15 § denna lag och 26 § personuppgiftslagen (1998:204), 8. vilken myndighet som har tillsyn över att denna lag följs, 9. rätten till skadestånd, och 10. rätten att få uppgifter utplånade. Utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen ska en person innan han eller hon lämnar sitt samtycke enligt första stycket ha informerats om 1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis, 2. vilka uppgifter som får registreras enligt 9 §, 3. de sekretess- och säkerhetsbestämmelser som gäller för registret, 4. rätten till information enligt 15 § denna lag och artikel 15 i dataskyddsförordningen, 5. vilken myndighet som har tillsyn över att denna lag följs, och 6. rätten till skadestånd. Utplåning av uppgifter Radering av uppgifter 16 § Den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. En sådan begäran ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar utplåning av sådana uppgifter som avses i 9 § första stycket 7 ska detta särskilt anges. Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes utplåna uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärd utplåning även av uppgifter som avses i 9 § första stycket 7 ska en kopia på dessa uppgifter bifogas bekräftelsen med en påminnelse om att den enskilde har rätt att begära att även få dem utplånade. I artikel 17 i dataskyddsförordningen finns bestämmelser om rätt till radering. En begäran om radering ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar radering av sådana uppgifter som avses i 9 § första stycket 7 ska detta särskilt anges. Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes radera uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärd radering även av uppgifter som avses i 9 § första stycket 7 ska en kopia på dessa uppgifter bifogas bekräftelsen med en påminnelse om att den enskilde har rätt att begära att även få dem raderade. Denna lag träder i kraft den 25 maj 2018. 1.4 Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister dels att 15 och 16 §§ ska upphöra att gälla, dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse, dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse Förhållandet till personuppgiftslagen Förhållandet till annan dataskyddsreglering 2 § Om inget annat följer av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret. Vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. 2 a § Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskydds- lagen) gäller vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. 12 § När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret skall Rättsmedicinalverket lämna den registrerade information om behandlingen. Informationen skall innehålla upplysningar om 1. att Rättsmedicinalverket är personuppgiftsansvarigt för behandlingen, 2. ändamålen med behandlingen, 3. vilken typ av uppgifter behandlingen avser, 4. mottagarna av uppgifterna, 5. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen, 6. bestämmelserna i personuppgiftslagen (1998:204) om information som skall lämnas efter ansökan samt om rättelse och skadestånd, samt 7. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen. När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna den registrerade information om behandlingen. Utöver vad som framgår av artikel 14 i dataskyddsförordningen ska informationen innehålla upplysningar om 1. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen, 2. bestämmelserna i dataskyddsförordningen och dataskyddslagen om den registrerades rätt till skadestånd, samt 3. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen. Denna lag träder i kraft den 25 maj 2018. Förteckning över remissinstanserna Remissvar har lämnats av Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern (JK), Polismyndigheten, Säkerhetspolisen, Kriminalvården, Brottsförebyggande rådet, Rättsmedicinalverket, Myndigheten för samhällsskydd och beredskap, Datainspektionen, Försvarsmakten, Försvarets materielverk, Totalförsvarets forskningsinstitut, Försäkringskassan, Socialstyrelsen, Läkemedelsverket, Folkhälsomyndigheten, Statens institutionsstyrelse, Myndigheten för delaktighet, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Pensionsmyndigheten, E-hälsomyndigheten, Statistiska centralbyrån, Arbetsgivarverket, Statskontoret, Stockholms läns landsting, Uppsala läns landsting, Södermanlands läns landsting, Östergötlands läns landsting, Jönköpings läns landsting, Kalmar läns landsting, Gotlands läns landsting, Skåne läns landsting, Västra Götalands läns landsting, Värmlands läns landsting, Örebro läns landsting, Västmanlands läns landsting, Dalarnas läns landsting, Gävleborgs läns landsting, Västernorrlands läns landsting, Jämtlands läns landsting, Västerbottens läns landsting, Kiruna kommun, Luleå kommun, Stockholms kommun, Statens skolverk, Försvarshögskolan, Gymnastik- och idrottshögskolan, Göteborgs universitet, Högskolan i Borås, Högskolan i Halmstad, Karlstads universitet, Karolinska institutet, Kungl. Tekniska högskolan, Linköpings universitet, Luleå tekniska universitet, Lunds universitet, Malmö högskola, Mittuniversitetet, Mälardalens högskola, Stockholms universitet, Umeå universitet, Uppsala universitet, Örebro universitet, Kungl. Biblioteket, Vetenskapsrådet, Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Regionala etikprövningsnämnden i Lund, Regionala etikprövningsnämnden i Umeå, Regionala etikprövningsnämnden i Uppsala, Centrala etikprövningsnämnden, Rymdstyrelsen, Naturvårdsverket, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Statens energimyndighet, Statens väg- och transportforskningsinstitut, Trafikanalys, Sveriges geologiska undersökning, Verket för innovationssystem, Myndigheten för tillväxtpolitiska utvärderingar och analyser, Skogsstyrelsen, Statens jordbruksverk, Sveriges lantbruksuniversitet, Statens veterinärmedicinska anstalt, Livsmedelsverket, Lantmäteriet, Riksarkivet, Institutet för språk och folkminnen, Naturhistoriska riksmuseet, Arbetsförmedlingen, Arbetsmiljöverket, Medlingsinstitutet, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Inspektionen för arbetslöshetsförsäkringen, Cancerfonden - Riksföreningen mot cancer, Chalmers tekniska högskola AB, Ersta Sköndal Bräcke högskola, Jönköping University, Kungl. Ingenjörsvetenskapsakademien, Kungl. Vetenskapsakademien, Kungl. Vitterhets Historie och Antikvitets Akademien, Läkemedelsindustriföreningen, Nationellt biobanksråd, Research Institutes of Sweden, Statens medicinsk- etiska råd, Svenska läkaresällskapet och Sveriges Kommuner och Landsting Riksdagens ombudsmän (JO), Riksrevisionen, Totalförsvarets rekryteringsmyndighet, Myndigheten för vård och omsorgsanalys, Statens beredning för medicinsk och social utvärdering, Kronobergs läns landsting, Blekinge läns landsting, Hallands läns landsting, Norrbottens läns landsting, Borlänge kommun, Falköpings kommun, Kalmar kommun, Lunds kommun, Partille kommun, Sundsvalls kommun, Södertälje kommun, Skolforskningsinstitutet, Linnéuniversitetet, Regionala etikprövningsnämnden i Stockholm, Ericsson Research, Funktionsrätt Sverige, Hjärt-Lungfonden, Inera AB, KK-stiftelsen, Kungl. Skogs- och Lantbruksakademien, Landsorganisationen i Sverige, Pensionärernas riksorganisation, Stiftelsen för strategisk forskning, Stiftelsen Institutet för framtidsstudier, Svenskt näringsliv, Sveriges akademikers centralorganisation, Sveriges Universitets- och högskoleförbund och Tjänstemännens Centralorganisation har avstått från att lämna synpunkter på förslagen i betänkandet eller har inte svarat på remissen. Synpunkter har även lämnats av Svensk sjuksköterskeförening, Sveriges läkarförbund och Sveriges Tandläkarförbund. Lagförslagen i utkastet till lagrådsremiss Behandling av personuppgifter för forskningsändamål 2.1 Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister dels att 15 och 16 §§ ska upphöra att gälla, dels att rubrikerna närmast före 15 och 16 §§ ska utgå, dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 2 a §, av följande lydelse. Nuvarande lydelse Förhållandet till personuppgiftslagen Föreslagen lydelse Förhållandet till annan dataskyddsreglering Om inget annat följer av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. 2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag. 12 § När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret skall Rättsmedicinalverket lämna den registrerade information om behandlingen. Informationen skall innehålla upplysningar om 1. att Rättsmedicinalverket är personuppgiftsansvarigt för behandlingen, 2. ändamålen med behandlingen, 3. vilken typ av uppgifter behandlingen avser, 4. mottagarna av uppgifterna, 5. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen, 6. bestämmelserna i personuppgiftslagen (1998:204) om information som skall lämnas efter ansökan samt om rättelse och skadestånd, samt 7. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen. När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna den registrerade information om behandlingen. Utöver vad som framgår av artikel 14 i EU:s dataskyddsförordning ska informationen innehålla upplysningar om 1. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen, 2. bestämmelserna i EU:s dataskyddsförordning och lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning om den registrerades rätt till skadestånd, samt 3. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen. Denna lag träder i kraft den 1 januari 2019. 2.2 Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor dels att 12 § ska upphöra att gälla, dels att rubriken närmast före 12 § ska utgå, dels att 2 och 3 §§ ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 § I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå, forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs, forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i 3 § personuppgiftslagen (1998:204). behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. 3 § Denna lag ska tillämpas på forskning som innefattar behandling av 1. känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller 2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen. 1. personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller 2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Denna lag träder i kraft den 1 januari 2019. 2.3 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) Härigenom föreskrivs att 21 kap. 7 § offentlighets- och sekretesslagen ska ha följande lydelse. Lydelse enligt prop. 2017/18:105 Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, eller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning. Föreslagen lydelse Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med 1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, 2. lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, eller 3. 6 § lagen (2003:460) om etikprövning av forskning som avser människor. Denna lag träder i kraft den 1 januari 2019. 2.4 Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa dels att 13, 16 och 17 §§ ska upphöra att gälla, dels att rubrikerna närmast före 16 och 17 §§ ska utgå, dels att 3, 12 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 3 a §, av följande lydelse. Nuvarande lydelse Förhållandet till personuppgiftslagen Föreslagen lydelse Förhållandet till annan dataskyddsreglering 3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning. 3 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. 14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag. Innan en person lämnar sitt samtycke enligt första stycket ska han eller hon ha informerats om Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om 1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis, 2. för vilka ändamål behandling kan ske enligt 5-7 §§ och vilka uppgifter som får registreras enligt 9 §, 2. vilka uppgifter som får registreras enligt 9 §, 3. de sekretess- och säkerhetsbestämmelser som gäller för registret, 4. vem som är personuppgifts-ansvarig, 5. hur länge uppgifterna sparas, 6. rätten till rättelse av uppgifterna, 7. rätten till information enligt 15 § denna lag och 26 § personuppgiftslagen (1998:204), 8. vilken myndighet som har tillsyn över att denna lag följs, 9. rätten till skadestånd, och 10. rätten att få uppgifter utplånade. 4. rätten till information enligt 15 § denna lag och artikel 15 i EU:s dataskyddsförordning, 5. vilken myndighet som har tillsyn över att denna lag följs, och 6. rätten till skadestånd. Denna lag träder i kraft den 1 januari 2019. 2.5 Förslag till lag om ändring i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning Härigenom föreskrivs att det i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning ska införas en ny paragraf, 4 kap. 3 §, och närmast före 4 kap. 3 § en ny rubrik av följande lydelse. Forskning 3 § Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna lag träder i kraft den 1 januari 2019. Förteckning över remissinstanserna Remissvar har lämnats av Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern (JK), Brottsförebyggande rådet, Rättsmedicinalverket, Datainspektionen, Kommerskollegium, Försvarsmakten, Totalförsvarets forskningsinstitut, Socialstyrelsen, Läkemedelsverket, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Pensionsmyndigheten, Statistiska centralbyrån, Arbetsgivarverket, Stockholms läns lands-ting, Kalmar läns landsting, Västra Götalands läns landsting, Luleå kommun, Göteborgs universitet, Högskolan i Borås, Karlstads universitet, Karolinska institutet, Kungl. Tekniska högskolan, Lunds universitet, Malmö högskola, Mittuniversitetet, Stockholms universitet, Umeå universitet, Örebro universitet, Kungl. Biblioteket, Vetenskapsrådet, Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Regionala etikprövningsnämnden i Lund, Regionala etikprövningsnämnden i Stockholm, Regionala etikprövningsnämnden i Umeå, Regionala etikprövningsnämnden i Uppsala, Centrala etikprövningsnämnden, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Verket för innovationssystem, Sveriges lantbruksuniversitet, Riksarkivet, Arbetsförmedlingen, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Chalmers tekniska högskola AB, Jönköping University, Kungl. Vetenskapsakademien, Läkemedelsindustriföreningen, Sveriges Kommuner och Landsting, Svenska tidningsutgivareföreningen. Riksdagens ombudsmän (JO), Stockholms kommun, Myndigheten för vård- och omsorgsanalys, Skåne läns landsting, Uppsala läns landsting, Västerbottens läns landsting, Östergötlands läns landsting, Kiruna kommun, Uppsala universitet, Statens medicinsk-etiska råd, Ersta Sköndal Bräcke högskola och Svenska Journalistförbundet har avstått från att lämna synpunkter på förslagen i utkastet till lagrådsremiss eller har inte svarat på remissen. Lagrådsremissens lagförslag Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister dels att 15 och 16 §§ ska upphöra att gälla, dels att rubrikerna närmast före 15 och 16 §§ ska utgå, dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 2 a §, av följande lydelse. Nuvarande lydelse Förhållandet till personuppgiftslagen Föreslagen lydelse Förhållandet till annan dataskyddsreglering 2 § Om inget annat följer av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. 2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag. 12 § När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret skall Rättsmedicinalverket lämna den registrerade information om behandlingen. Informationen skall innehålla upplysningar om 1. att Rättsmedicinalverket är personuppgiftsansvarigt för behandlingen, 2. ändamålen med behandlingen, 3. vilken typ av uppgifter behandlingen avser, 4. mottagarna av uppgifterna, 5. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen, 6. bestämmelserna i personuppgiftslagen (1998:204) om information som skall lämnas efter ansökan samt om rättelse och skadestånd, samt 7. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen. När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna information om behandlingen till den registrerade. Utöver vad som framgår av artikel 14 i EU:s dataskyddsförordning ska informationen innehålla upplysningar om 1. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen, 2. bestämmelserna i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning om den registrerades rätt till skadestånd, och 3. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor dels att 12 § ska upphöra att gälla, dels att rubriken närmast före 12 § ska utgå, dels att 2 och 3 §§ ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 § I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå, forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs, forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i 3 § personuppgiftslagen (1998:204). behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. 3 § Denna lag ska tillämpas på forskning som innefattar behandling av 1. känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller 2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen. 1. personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller 2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) Härigenom föreskrivs att 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 21 kap. 7 § Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, eller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med 1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, 2. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, eller 3. 6 § lagen (2003:460) om etikprövning av forskning som avser människor. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa dels att 13, 16 och 17 §§ ska upphöra att gälla, dels att rubrikerna närmast före 13, 16 och 17 §§ ska utgå, dels att 3, 12 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 3 a §, av följande lydelse. Nuvarande lydelse Förhållandet till personuppgiftslagen Föreslagen lydelse Förhållandet till annan dataskyddsreglering 3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning. 3 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. 14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag. Innan en person lämnar sitt samtycke enligt första stycket ska han eller hon ha informerats om Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om 1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis, 2. för vilka ändamål behandling kan ske enligt 5-7 §§ och vilka uppgifter som får registreras enligt 9 §, 2. vilka uppgifter som får registreras enligt 9 §, 3. de sekretess- och säkerhetsbestämmelser som gäller för registret, 4. vem som är personuppgifts-ansvarig, 5. hur länge uppgifterna sparas, 6. rätten till rättelse av uppgifterna, 7. rätten till information enligt 15 § denna lag och 26 § personuppgiftslagen (1998:204), 8. vilken myndighet som har tillsyn över att denna lag följs, 9. rätten till skadestånd, och 10. rätten att få uppgifter utplånade. 4. rätten till information enligt 15 § denna lag och artikel 15 i EU:s dataskyddsförordning, 5. vilken myndighet som har tillsyn över att denna lag följs, och 6. rätten till skadestånd. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning Härigenom föreskrivs att det i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska införas en ny paragraf, 4 kap. 3 §, och närmast före 4 kap. 3 § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. Forskning 3 § Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna lag träder i kraft den 1 januari 2019. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2018-08-27 Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Thomas Bull. Behandling av personuppgifter för forskningsändamål Enligt en lagrådsremiss den 28 juni 2018 har regeringen (Utbildningsdepartementet) beslutat inhämta Lagrådets yttrande över förslag till 1. lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister, 2. lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor, 3. lag om ändring i offentlighets- och sekretesslagen (2009:400), 4. lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa, 5. lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Förslagen har inför Lagrådet föredragits av kanslirådet Tyri Öhman och ämnesrådet Linda Stridsberg. Lagrådet lämnar förslagen utan erinran. Utbildningsdepartementet Utdrag ur protokoll vid regeringssammanträde den 6 september 2018 Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Y Johansson, M Johansson, Baylan, Bucht, Hultqvist, Andersson, Hellmark Knutsson, Bolund, Damberg, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Linde, Skog, Fritzon. Föredragande: statsrådet Helene Hellmark Knutsson Regeringen beslutar proposition Behandling av personuppgifter för forskningsändamål