Regeringskansliets rättsdatabaser

Regeringskansliets rättsdatabaser innehåller lagar, förordningar, kommittédirektiv och kommittéregistret.

Testa betasidan för Regeringskansliets rättsdatabaser

Söker du efter lagar och förordningar? Testa gärna betasidan för den nya webbplatsen för Regeringskansliets rättsdatabaser.

Klicka här för att komma dit

 
Post 77 av 7191 träffar
Propositionsnummer · 2023/24:147 · Hämta Doc · Hämta Pdf
En registerlag för Myndigheten för vård- och omsorgsanalys
Ansvarig myndighet: Socialdepartementet
Dokument: Prop. 147
Regeringens proposition 2023/24:147 En registerlag för Myndigheten för vård- och omsorgsanalys Prop. 2023/24:147 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 23 maj 2024 Ulf Kristersson Acko Ankarberg Johansson (Socialdepartementet) Propositionens huvudsakliga innehåll I propositionen föreslås en lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys som ska komplettera Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förslaget syftar till att ge myndigheten möjlighet att behandla de personuppgifter som är nödvändiga för att myndigheten ska kunna utföra sitt uppdrag på ett så ändamålsenligt sätt som möjligt samtidigt som enskildas personliga integritet värnas. Lagen föreslås omfatta behandling av personuppgifter i den del av myndighetens verksamhet som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Lagen innehåller skyddsåtgärder som syftar till att värna enskildas personliga integritet. Myndigheten för vård- och omsorgsanalys föreslås som huvudregel endast få behandla personuppgifter i det projekt som uppgifterna har samlats in för. Personuppgifter som direkt kan hänföras till den registrerade ska som huvudregel förvaras separat från övriga personuppgifter. Dessutom innehåller lagen bestämmelser om bl.a. personuppgiftsansvar, sökbegränsningar, den enskildes medgivande till viss behandling och tillgången till personuppgifter. Lagen föreslås träda i kraft den 1 januari 2025. Innehållsförteckning 1Förslag till riksdagsbeslut4 2Förslag till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys5 3Ärendet och dess beredning9 4Myndigheten för vård- och omsorgsanalys9 4.1Myndighetens uppdrag9 4.2Myndighetens arbetssätt10 4.3Myndighetens nuvarande behandling av personuppgifter11 5Reglering till skydd för den personliga integriteten12 5.1Europakonventionen12 5.2EU:s dataskyddsförordning13 5.3Regeringsformen15 5.4Dataskyddslagen16 5.5Offentlighets- och sekretesslagen16 5.6Barnkonventionen16 6Behovet av reglering17 7En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys25 7.1Lagens tillämpningsområde25 7.2Förhållandet till annan dataskyddsreglering27 7.3Uppgifter om avlidna personer28 7.4Begränsning av rätten att göra invändningar30 7.5Personuppgiftsansvar33 7.6Ändamål för behandling av personuppgifter34 7.6.1Rättslig grund för behandling av personuppgifter34 7.6.2Primära ändamål36 7.6.3Sekundära ändamål41 7.6.4Finalitetsprincipen42 7.7Behandling av känsliga personuppgifter43 7.8Behandling av personuppgifter som rör lagöverträdelser52 7.9Sökbegränsningar54 7.10Behandling av personuppgifter i projekt57 7.11Fastställande av ramarna för projektet62 7.12Medgivande till behandling av personuppgifter64 7.13Begränsning av möjligheterna att identifiera den registrerade68 7.14Begränsning av tillgången till personuppgifter72 7.15Längsta tid som personuppgifter får behandlas74 8Samlad integritets- och proportionalitetsanalys76 9Ikraftträdande- och övergångsbestämmelser86 10Konsekvenser87 10.1Ekonomiska konsekvenser87 10.2Konsekvenser för den personliga integriteten89 10.3Övriga konsekvenser89 11Författningskommentar90 Sammanfattning av promemorian En registerlag för Myndigheten för vård- och omsorgsanalys101 Promemorians lagförslag102 Förteckning över remissinstanserna105 Lagrådsremissens lagförslag106 Lagrådets yttrande109 Utdrag ur protokoll vid regeringssammanträde den 23 maj 2024110 Förslag till riksdagsbeslut Regeringens förslag: Riksdagen antar regeringens förslag till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. Förslag till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Härigenom föreskrivs följande. Lagens tillämpningsområde 1 §    Denna lag gäller vid behandling av personuppgifter i sådan verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Förhållandet till annan dataskyddsreglering 2 §    Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Uppgifter om avlidna personer 3 §    Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar: 1. denna lag och föreskrifter som har meddelats i anslutning till lagen, 2. EU:s dataskyddsförordning, och 3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen. Begränsning av rätten att göra invändningar 4 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde. Personuppgiftsansvar 5 §    Myndigheten för vård- och omsorgsanalys är personuppgifts-ansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag. Ändamål för behandling av personuppgifter 6 §    Myndigheten för vård- och omsorgsanalys får behandla personuppgifter om det är nödvändigt för 1. undersökningar om vårdens och omsorgens funktionssätt, 2. undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, 3. utvärderingar av information om vård och omsorg som lämnas till enskilda, eller 4. utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Inom ramen för sådana undersökningar eller utvärderingar får personuppgifter behandlas även för att framställa statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser. 7 §    Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Känsliga personuppgifter 8 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen. 9 §    Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa, sexualliv eller sexuell läggning, om sökningen sker för något av ändamålen i 6 §. Behandling av personuppgifter i projekt 10 §    Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar. 11 §    Behandling av personuppgifter enligt 6 § ska ske inom ramen för ett projekt. Personuppgifter som har samlats in för att behandlas inom ramen för ett projekt får inte behandlas i ett annat projekt. Personuppgifter får dock behandlas inom ramen för ett annat projekt än det som uppgifterna samlats in för, om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet. Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Myndigheten för vård- och omsorgsanalys verksamhet behöver inte ske inom ramen för ett projekt. 12 §    Innan personuppgifter får behandlas inom ramen för ett projekt ska Myndigheten för vård- och omsorgsanalys fastställa 1. syftet med projektet, 2. vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden som ska analyseras i projektet, och 3. när projektet senast ska vara avslutat. Det fastställda syftet får inte ändras. Information om vad som har fastställts ska hållas tillgänglig på Myndigheten för vård- och omsorgsanalys webbplats. Medgivande till behandling av personuppgifter 13 §    Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen. Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas. Om ett medgivande återkallas, får behandlingen dock fortsätta om Myndigheten för vård- och omsorgsanalys inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering. Begränsning av möjligheterna att identifiera den registrerade 14 §    Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen. Det som sägs i första stycket hindrar inte att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning. Tillgång till personuppgifter 15 §    Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Myndigheten för vård- och omsorgsanalys. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. 1. Denna lag träder i kraft den 1 januari 2025. 2. Bestämmelserna i 11–13 §§ tillämpas inte på projekt som har inletts före ikraftträdandet. Ärendet och dess beredning I samband med att Myndigheten för vård- och omsorgsanalys bildades uttalade Organisationskommittén för inrättande av Myndigheten för vårdanalys (S 2010:05) att frågan om myndighetens behov att behandla personuppgifter borde utredas särskilt. Organisationskommittén ansåg i sin promemoria Om personuppgiftsbehandling på Myndigheten för vårdanalys (S 2010/05864) att myndigheten borde ges utökade möjligheter att behandla personuppgifter. Myndigheten har därefter vid flera tillfällen, bl.a. i ett antal remissvar, framhållit behovet av författningsstöd som möjliggör behandling av personuppgifter. Inom Socialdepartementet har promemorian En registerlag för Myndigheten för vård- och omsorgsanalys (Ds 2023:10) tagits fram. En sammanfattning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Socialdepartementet (S2023/01369). I propositionen behandlas promemorians förslag. Lagrådet Regeringen beslutade den 11 april 2024 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Regeringen har i huvudsak följt Lagrådets förslag. Lagrådets synpunkter behandlas i avsnitt 7.13 och 11. I förhållande till lagrådsremissen har dessutom vissa språkliga och redaktionella ändringar gjorts. Myndigheten för vård- och omsorgsanalys Myndighetens uppdrag Myndigheten för vård- och omsorgsanalys bildades den 1 januari 2011, då under namnet Myndigheten för vårdanalys. År 2015 utvidgades myndighetens uppdrag till att även omfatta omsorgen. I samband med att uppdraget utvidgades fick myndigheten sitt nuvarande namn. Enligt 1 § förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys, här benämnd instruktionen, har myndigheten till uppgift att ur ett patient-, brukar- och medborgarperspektiv följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. Av 2 § instruktionen framgår att myndigheten ska följa upp och analysera vårdens och omsorgens funktionssätt, effektivitetsgranska statliga åtaganden och verksamheter, samt inom sitt verksamhetsområde bistå regeringen med underlag och rekommendationer för effektivisering av statlig verksamhet och styrning. Av 3 § instruktionen följer att myndigheten även har till uppgift att kontinuerligt utvärdera sådan information om vården och omsorgen som lämnas till den enskilde, i fråga om informationens innehåll, kvalitet, ändamålsenlighet och tillgänglighet, på regeringens uppdrag bistå med utvärderingar och uppföljningar av beslutade eller genomförda statliga reformer och andra statliga initiativ, samt inom sitt verksamhetsområde bedriva omvärldsbevakning och genomföra internationella jämförelser. Resultatet av sådana analyser, granskningar, uppföljningar och utvärderingar som avses i 1–3 §§ instruktionen ska löpande redovisas till regeringen (12 § instruktionen). Myndigheten ska inkludera ett jämställdhetsperspektiv i sitt arbete där det är möjligt (3 a § instruktionen). Myndigheten ska vidare senast den 1 februari varje år i en särskild analys- och granskningsplan ange vilken huvudsaklig inriktning verksamheten ska ha under året (4 § instruktionen). Myndigheten leds av en styrelse (5 § instruktionen). Vid myndigheten ska det enligt instruktionen också finnas ett patient- och brukarråd. Rådet ska särskilt identifiera och lämna förslag på lämpliga områden för analys och granskning samt bistå myndigheten i arbetet med att identifiera patienters, brukares och medborgares behov av information. Styrelsen beslutar om övriga uppgifter för rådet (8 § instruktionen). Myndighetens arbetssätt Myndigheten för vård- och omsorgsanalys bedriver huvudsakligen sitt arbete med undersökningar och utvärderingar i projektform. Myndigheten bedriver både egeninitierade projekt och projekt på uppdrag av regeringen. Dessa uppdrag lämnas vanligen i myndighetens regleringsbrev eller i särskilda regeringsbeslut. Projektens omfattning och längd varierar. I många projekt besvaras vissa specifika frågor vid ett tillfälle, men myndigheten gör också vissa återkommande undersökningar. Arbetet i projekten bedrivs enligt myndighetens projektstyrningsmodell och inleds med att det tas fram ett projektdirektiv, som beskriver bakgrunden till att en analys bör genomföras, syfte och frågor som ska besvaras. Därefter tas en mer detaljerad projektplan fram, innan arbetet med datainsamling, analys m.m. påbörjas. Projektplanen beskriver bl.a. syfte, mål, frågeställningar, omfattning, avgränsningar, bakgrund, intressenter, samverkan och beroenden i förhållande till andra projekt, metod, datainsamling, aktivitets- och tidsplan, juridiska och etiska aspekter att beakta samt en riskanalys. För att besvara frågeställningarna i projekten använder myndigheten olika metoder, såväl kvalitativa som kvantitativa. I dag genomförs myndighetens informationsinsamling bl.a. genom dokumentstudier, litteraturstudier, intervjustudier och enkätstudier. Myndigheten använder sig ofta av statistiska metoder för insamling, bearbetning, redovisning och analys. Myndigheten publicerar sina resultat i rapporter och promemorior. Myndighetens rapporter innehåller slutsatser av det genomförda analysarbetet och vissa övergripande rekommendationer till regeringen, statliga myndigheter, regioner och kommuner. Myndighetens nuvarande behandling av personuppgifter Myndigheten för vård- och omsorgsanalys behandlar ofta personuppgifter i sina projekt. Det är många gånger nödvändigt för att kunna besvara projektets frågeställningar. I ett projekt kan en eller flera behandlingar av personuppgifter utföras, som behandlingar av personuppgifter inom ramen för olika intervju- eller enkätundersökningar. Exempel på kategorier av personuppgifter som behandlas i myndighetens projekt är uppgifter om ålder, kön, bostad, utbildning, ekonomi, vård- och omsorgsinsatser och patienters och brukares upplevelser av vården och omsorgen. Myndigheten behandlar känsliga personuppgifter när den bedömer att det är nödvändigt och möjligt utifrån gällande dataskyddsreglering. Känsliga personuppgifter behandlas efter inhämtande av ett uttryckligt samtycke från den registrerade i enlighet med artikel 9.2 a i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. När personuppgifterna har samlats in ersätts eventuella personnummer eller andra personuppgifter som direkt kan hänföras till registrerade med löpnummer med hjälp av en kodnyckel. Det förekommer inte personnummer eller andra personuppgifter som direkt kan hänföras till registrerade i de datafiler som används inom ett projekt. Endast ett fåtal personer har tillgång till kodnyckeln, som är krypterad och förvaras inlåst. Uppgifterna samlas oftast in av en extern leverantör och kodnyckeln lagras då normalt hos leverantören och lämnas inte över till myndigheten. Särskilda s.k. personuppgiftsbiträdesavtal enligt artikel 28 i EU:s dataskyddsförordning reglerar bl.a. hur länge nycklarna får lagras hos leverantören. De datafiler som myndigheten tar emot och använder i projekten innehåller däremot ofta uppgifter som indirekt kan hänföras till den registrerade, dvs. uppgifter som i kombination med varandra kan användas för att identifiera en person. Personuppgifterna används för bearbetning, analys och kvalitetssäkring, och arkiveras senast när projektet avslutas. Om det skulle visa sig att personuppgifterna är nödvändiga att behandla i ett annat projekt, görs en bedömning av om den nya behandlingen av personuppgifterna är tillåten och förenlig med finalitetsprincipen enligt EU:s dataskyddsförordning och om uppgifterna kan lämnas ut till det andra projektet. Vid myndigheten finns ett dataskyddsombud som i enlighet med artikel 39 i EU:s dataskyddsförordning bl.a. övervakar efterlevnaden av dataskyddsförordningen och andra dataskyddsbestämmelser. Eftersom det inte finns någon särskild reglering om behandling av personuppgifter vid myndigheten tillämpar myndigheten enbart den allmänna dataskyddsregleringen vid behandling av personuppgifter. För att kunna uppfylla sitt uppdrag när den allmänna dataskyddsregleringen inte tillåter viss behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys har det förekommit att myndigheten tagit hjälp av externa forskare vid universitet och högskolor som har utfört forskning åt myndigheten. Forskningen etikprövas då i enlighet med lagen (2003:460) om etikprövning av forskning som avser människor. Det förekommer också att Myndigheten för vård- och omsorgsanalys begär ut avidentifierade uppgifter från exempelvis Socialstyrelsen eller Statistiska centralbyrån (SCB) som då avidentifierar personuppgifter och sammanställer dessa till statistik, innan de lämnas ut till Myndigheten för vård- och omsorgsanalys. Reglering till skydd för den personliga integriteten Europakonventionen Enligt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, här benämnd Europakonventionen, har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rättighet annat än med stöd av lag och under förutsättning att det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. När det gäller kravet på lagreglering krävs bl.a. att den nationella författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsägbar och de ska vara allmänt tillgängliga. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse som åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet. Europakonventionen gäller som lag i Sverige. Av regeringsformen, förkortad RF, framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen (2 kap. 19 §). Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd mot godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17). EU:s dataskyddsförordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, är direkt tillämplig i alla medlemsstater. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter, och att främja det fria flödet av personuppgifter inom unionen. Det materiella tillämpningsområdet för EU:s dataskyddsförordning omfattar sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Vissa undantag från tillämpningsområdet görs dock, t.ex. ska behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten inte omfattas av förordningens bestämmelser (artikel 2.2 a). Enligt artikel 2.2 d gäller EU:s dataskyddsförordning inte heller för bl.a. sådan personuppgiftsbehandling som omfattas av tillämpningsområdet för Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet). För att en behandling av personuppgifter ska vara tillåten, krävs att någon av de rättsliga grunder som anges i artikel 6 i EU:s dataskyddsförordning är tillämplig. Av särskilt intresse för myndigheters verksamhet är artikel 6.1 c som gäller när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och artikel 6.1 e som gäller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 5 framgår ett antal grundläggande principer som gäller för all behandling av personuppgifter. Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Personuppgifterna ska vara korrekta – alla rimliga åtgärder ska vidtas för att felaktiga uppgifter rättas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandlingen ska ske på ett säkert sätt och inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter, kan dock personuppgifter lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Personuppgifter som samlats in för ett visst ändamål får som huvudregel inte behandlas för något annat ändamål som är oförenligt med det ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering (artiklarna 5.1 b och 6.4). Artiklarna 5 och 6 är grundläggande och kumulativa. Det innebär att någon av de rättsliga grunderna i artikel 6 måste vara tillämplig, samtidigt som samtliga principer i artikel 5 ska följas. EU:s dataskyddsförordning både förutsätter och medger nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gäller särskilt sådan behandling som sker inom den offentliga sektorn. Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Bestämmelserna får innehålla specifika krav för behandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av artikel 6.3 framgår att den rättsliga grunden, vid behandling enligt artikel 6.1 c och e, ska fastställas i unionsrätten eller i nationell rätt. Syftet med behandlingen ska i sin tur fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i EU:s dataskyddsförordning, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjuden. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Från huvudregeln att dessa särskilda kategorier av personuppgifter inte får behandlas finns flera undantag angivna (artikel 9.2). Sådan behandling är bl.a. tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder måste ske under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs (artikel 10). EU:s dataskyddsförordning föreskriver ett antal rättigheter för den registrerade och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rätt att få omfattande information från den personuppgiftsansvarige (artiklarna 12–14). Den registrerade kan också begära registerutdrag med information om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få felaktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artiklarna 16–18). Rätten till radering gäller dock inte för behandling som sker med stöd av grunderna i artikel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning). Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning (artikel 21). En ytterligare rättighet för den registrerade är att slippa bli föremål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22). Vissa av de rättigheter och skyldigheter som föreskrivs i förordningen får begränsas i nationell rätt. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23.1, t.ex. en medlemsstats viktiga mål av generellt allmänt intresse. Om EU:s dataskyddsförordning föreskriver att förtydliganden eller begränsningar av dess bestämmelser kan göras i medlemsstaternas nationella rätt kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8). Regeringen har i propositionen Ny dataskyddslag gjort bedömningen att detta innebär att förordningen ger medlemsstaterna möjlighet att i lagar på nationell nivå föreskriva vissa anpassade bestämmelser (prop. 2017/18:105 s. 21–23). Principen om unionsrättens företräde innebär dock att bestämmelser i sådana författningar måste vara förenliga med EU:s dataskyddsförordning. Regeringsformen I regeringsformens målsättningsstadgande i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och värdighet. Vidare anges det i paragrafens fjärde stycke att det allmänna bl.a. ska värna den enskildes privatliv och familjeliv. Grundläggande bestämmelser till skydd för den personliga integriteten som gäller i förhållandet mellan enskilda och staten finns i 2 kap. RF. Av 2 kap. 6 § andra stycket RF följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Dataskyddslagen Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, innehåller bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Inom ramen för det utrymme som EU:s dataskyddsförordning ger reglerar lagen bl.a. frågor om rättslig grund för behandling av personuppgifter, särskilda kategorier av personuppgifter (som i nationell lagstiftning benämns känsliga personuppgifter), tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är, på samma sätt som den tidigare personuppgiftslagen var, subsidiär i förhållande till annan lag eller förordning. Det gör det möjligt att även fortsättningsvis ha från dataskyddslagen avvikande bestämmelser i sektorsspecifika registerförfattningar. Offentlighets- och sekretesslagen Sekretess gäller enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det. Regeringen har i 7 § offentlighets- och sekretessförordningen (2009:641) föreskrivit att sekretess gäller för uppgifter om enskildas personliga och ekonomiska förhållanden i Myndigheten för vård- och omsorgsanalys undersökningar om vårdens och omsorgens funktionssätt, undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, utvärderingar av information om vård och omsorg som lämnas till enskilda och utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (24 kap. 8 § tredje stycket OSL). Barnkonventionen FN:s konvention om barnets rättigheter (barnkonventionen), gäller genom lagen (2018:1197) om Förenta nationernas konvention om barnets rättigheter sedan 2020 som svensk lag. Barnkonventionen innehåller fyra grundprinciper som ska vara vägledande: barnets rätt till icke-diskriminering, lika värde och rätt att inte diskrimineras (artikel 2), barnets bästa (artikel 3), rätten till liv, överlevnad och utveckling (artikel 6) och barnets rätt att uttrycka sina åsikter och få dem beaktade (artikel 12). När det gäller grundprincipen barnets bästa i artikel 3 ska vid alla åtgärder som rör barn, vare sig de vidtas av offentliga eller privata sociala välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ, i första hand beaktas vad som bedöms vara barnets bästa (artikel 3.1). Konventionsstaterna åtar sig att tillförsäkra barnet sådant skydd och sådan omvårdnad som behövs för dess välfärd, med hänsyn tagen till de rättigheter och skyldigheter som tillkommer dess föräldrar, vårdnadshavare eller andra personer som har juridiskt ansvar för barnet, och ska för detta ändamål vidta alla lämpliga lagstiftningsåtgärder och administrativa åtgärder (artikel 3.2). Inget barn får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende (artikel 16.1). Barnet har rätt till lagens skydd mot sådana ingripanden eller angrepp (artikel 16.2). Behovet av reglering Regeringens förslag: En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys ska införas. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Statens beredning för medicinsk och social utvärdering (SBU) avstyrker lagförslaget i dess nuvarande form och föreslår att ett samlat grepp med gemensam lösning för relevanta aktörer i stället tas fram. SBU anser vidare att det finns en risk för dubbelarbete om Myndigheten för vård- och omsorgsanalys hanterar data från t.ex. Socialstyrelsen och Statistiska centralbyrån (SCB) och ställer sig frågan om kvalitetssäkringen skulle bli bättre än i dag. Skälen för regeringens förslag Behovet av en särskild reglering har framförts tidigare I samband med att Myndigheten för vård- och omsorgsanalys bildades uttalade Organisationskommittén för inrättande av Myndigheten för vårdanalys (S 2010:05) att frågan om myndighetens behov av att behandla personuppgifter krävde författningsändringar som borde utredas särskilt. Kommittén konstaterade i sin promemoria Om personuppgiftsbehandling på Myndigheten för vårdanalys (S2010/05864) att myndigheten i viss utsträckning skulle kunna utföra behandling av känsliga personuppgifter, t.ex. uppgifter om hälsa, med stöd av samtycke eller för statistikändamål. Någon mer omfattande behandling av känsliga personuppgifter kunde enligt kommittén dock inte grundas på de undantag från förbudet att behandla känsliga personuppgifter som fanns i den då gällande dataskyddsregleringen. Organisationskommittén ansåg att myndigheten borde ges utökade möjligheter att behandla personuppgifter för att kunna genomföra fler typer av analyser och därmed få fram ytterligare resultat. Det bedömdes finnas ett behov av en särskild författningsreglering om myndigheten skulle tillåtas behandla känsliga personuppgifter, eftersom det antogs att myndigheten skulle behöva behandla integritetskänsliga personuppgifter om många personer utan deras samtycke. Myndigheten för vård- och omsorgsanalys har därefter vid flera tillfällen, bl.a. i ett antal remissvar, framhållit behovet av författningsstöd som möjliggör sådan behandling av personuppgifter som behövs i dess kärnverksamhet. År 2017 fick Socialdataskyddsutredningen i uppdrag att se över frågan om särskild författning med bestämmelser om personuppgiftsbehandling för Myndigheten för vård- och omsorgsanalys (dir. 2017:67). Socialdataskyddsutredningen bedömde att det behövdes en särskild reglering och föreslog en ny lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys (SOU 2018:52). Enligt utredningen har myndigheten i vissa fall behov av att behandla personuppgifter på så sätt att behandlingen innebär ett betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen, förkortad RF. För sådan behandling krävs det lagstöd enligt 2 kap. 20 § RF. Utredningen bedömde vidare att behandling av personuppgifter vid myndighetens analysverksamhet faller under den överenskommelse som finns mellan riksdag och regering om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (SOU 2018:52 s. 145, 146, 206 och 250). Mot den bakgrunden, och eftersom behandlingen bör kringgärdas av mer specifika restriktioner och skyddsåtgärder än vad som följer av den allmänna regleringen, bedömde utredningen att behandlingen bör regleras i en särskild lag. Med en särskild lagreglering skulle det enligt utredningen bli tydligt under vilka förutsättningar myndigheten får behandla personuppgifter (SOU 2018:52 s. 146). Socialdataskyddsutredningens betänkande remitterades och Integritetsskyddsmyndigheten (tidigare Datainspektionen) angav i sitt remissvar att det behövs kompletterande nationell reglering för Myndigheten för vård- och omsorgsanalys personuppgiftsbehandling, men tillstyrkte inte lagförslaget så som det var utformat. Myndigheten behöver behandla personuppgifter för att kunna utföra undersökningar och utvärderingar i enlighet med sitt uppdrag Myndigheten för vård- och omsorgsanalys kan, i vissa fall, uppfylla sitt uppdrag utan att behandla personuppgifter. Myndigheten kan t.ex. genom att studera styrdokument, årsredovisningar och annat offentligt material undersöka om verksamheten hos andra myndigheter är ändamålsenligt utformad. Myndigheten kan även utvärdera offentliggjord information som riktar sig till patienter och brukare. Myndigheten kan också i viss mån använda statistiska uppgifter, som inte innehåller personuppgifter, som någon annan aktör tar fram. I de flesta fall är det dock nödvändigt för myndigheten att behandla personuppgifter för att kunna utföra de undersökningar och utvärderingar som myndigheten enligt förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys, här benämnd instruktionen, har till uppgift att utföra. Med hjälp av personuppgifter kan myndigheten inhämta mer fördjupad kunskap än genom styrdokument, rapporter och avidentifierad statistik. Det innebär att andra, mer fördjupande och användbara resultat kan presenteras, att mer precisa slutsatser kan dras och att mer konkreta rekommendationer kan lämnas i myndighetens rapporter. Personuppgiftsbehandling är också nödvändig för att myndigheten ska kunna säkra kvaliteten i sina analyser. Om en annan aktör utför bearbetningen av uppgifterna, som bl.a. är fallet när Socialstyrelsen eller Statistiska centralbyrån (SCB) avidentifierar uppgifter och sammanställer statistik åt Myndigheten för vård- och omsorgsanalys (se avsnitt 4.3), är det svårt för myndigheten själv att kvalitetssäkra statistiken. Regeringen instämmer i vad SBU för fram om att myndigheter som samlar in data som t.ex. Socialstyrelsen och Statistiska centralbyrån (SCB) besitter viktig kunskap angående rådatan och att de har en avsevärd förförståelse för kvaliteten på denna. I analyser som bygger på stora mängder datamaterial är det dock svårt för Myndigheten för vård- och omsorgsanalys att få en tillräcklig kännedom och förståelse för datamaterialet, resultaten, den osäkerhet som kan finnas i olika moment och hur analysen har genomförts om en annan aktör bearbetar uppgifterna. En sådan kännedom och förståelse är av betydande vikt för att myndigheten ska kunna utföra analyser av god kvalitet. Om Myndigheten för vård- och omsorgsanalys enbart förlitar sig på sammanställningar och bearbetningar som andra aktörer gör, i stället för att få tillgång till grundmaterialet, begränsas vidare myndighetens möjligheter att utföra sitt uppdrag på ett oberoende sätt. Regeringen anser att för att Myndigheten för vård- och omsorgsanalys ska kunna utföra sitt uppdrag på bästa sätt och med bästa kvalitet, bör myndigheten också själv få möjlighet att bearbeta och kvalitetssäkra statistiken i samband med de analyser som myndigheten utför. Vilka uppgifter behöver myndigheten behandla? Myndigheten för vård- och omsorgsanalys har ett brett uppdrag och det är därför svårt att närmare fastställa vilka personuppgifter myndigheten behöver behandla innan en projektplan har tagits fram i varje enskilt fall. Generellt kan det dock sägas att myndigheten många gånger behöver behandla demografiska uppgifter om t.ex. ålder, kön, bostad och familj för att t.ex. kunna belysa skillnader mellan olika grupper och förstå om en viss statlig satsning varit effektiv. Av samma skäl finns det behov av att behandla socioekonomiska uppgifter om t.ex. utbildning, ekonomi och sysselsättning. Vidare kan uppgifter om socialförsäkringsförmåner behövas, t.ex. för att kunna se samband mellan vård, omsorg och social-försäkring. Även kontaktuppgifter behöver i vissa fall behandlas för att kunna kontakta enskilda i samband med intervjuer eller enkätundersökningar. I vissa fall behöver även personnummer behandlas. Som anges i avsnitt 4.3 behandlas dessa typer av personuppgifter redan i dag i viss utsträckning. Myndigheten har också behov av att behandla känsliga personuppgifter, t.ex. uppgifter om hälsa, vilket beskrivs närmare i avsnitt 7.7. Som anges i avsnitt 4.3 behandlas känsliga personuppgifter i dag endast efter inhämtande av ett uttryckligt samtycke från den enskilde. Eftersom myndigheten enligt sin instruktion ska följa upp och analysera verksamheter och förhållanden ur ett patient-, brukar- och medborgarperspektiv kan de uppgifter som myndigheten behöver behandla avse olika patient- och brukargrupper, men också medborgare i allmänhet. Vidare behöver myndigheten behandla vissa uppgifter om exempelvis chefer och personal inom vård och omsorg och företrädare för vissa organisationer. Myndigheten kan behöva samla in personuppgifter direkt från de enskilda själva, detta görs då genom intervjuer, enkäter och kontakter på andra sätt. Ett sådant arbetssätt kan vara relevant när myndigheten ska undersöka breda populationers uppfattning om något som de flesta har erfarenhet av. Myndigheten arbetar redan i dag på detta sätt. I många fall skulle Myndigheten för vård- och omsorgsanlys dock även behöva ta del av personuppgifter som samlats in av andra aktörer. Det handlar främst om uppgifter som finns i register hos exempelvis Socialstyrelsen, Statistiska centralbyrån (SCB), vissa andra statliga myndigheter, kommuner och regioner för att göra registerstudier. Det kan även vara fråga om vissa uppgifter som finns hos Sveriges Kommuner och Regioner. Uppgifter som Myndigheten för vård- och omsorgsanalys har behov av från sådana register är t.ex. uppgifter om hälsa, socioekonomiska uppgifter och uppgifter om väntetider i hälso- och sjukvården. De register som innehåller uppgifter som myndigheten kan behöva ta del av är t.ex. hälsodataregistren vid Socialstyrelsen, som t.ex. patientregistret och registret över insatser i kommunal hälso- och sjukvård, registret över totalbefolkningen vid Statistiska centralbyrån (SCB) och väntetidsdatabasen vid Sveriges Kommuner och Regioner. Fördelar med att ta del av personuppgifter som redan har samlats in av andra aktörer är bl.a. den kostnadsbesparing som det innebär att undvika att flera aktörer samlar in samma uppgifter och den minskade bördan för de registrerade, som inte behöver lämna samma uppgifter till olika aktörer. När det gäller insamling av uppgifter från andra än den enskilde själv har myndigheten, utöver uppgifter i register, i vissa fall ett behov av att samla in personuppgifter som finns i patientjournaler och personakter hos kommuner, regioner och privata utförare inom vården och omsorgen för att göra journal- och aktstudier. I sådana journaler och akter kan det finnas uppgifter om hälsa, vård- och omsorgsbehov, insatser och resultat av vården och omsorgen som Myndigheten för vård- och omsorgsanalys kan behöva ta del av och analysera för att kunna utföra vissa projekt på ett bra sätt. Flera delar av vården och omsorgen omfattas i dag inte av någon nationell uppföljning i register. Det saknas exempelvis till stora delar statistik på nationell nivå på socialtjänstens område, vilket bl.a. konstaterats av utredningen Framtidens socialtjänst i betänkandet Hållbar socialtjänst – En ny socialtjänstlag (SOU 2020:47 s. 501, 502 och 597–607). Samtidigt finns det ett stort behov av kunskapsunderlag, utvärderingar och uppföljningar på socialtjänstens område för att säkerställa att socialtjänstens arbete bygger på relevant kunskap och leder till avsedda effekter. Även delar av hälso- och sjukvårdens och tandvårdens verksamhet saknar statistik på nationell nivå, bl.a. när det gäller primärvården. Det finns förslag på att utöka registerdata till att täcka fler delar av omsorgen. I betänkandet Hållbar socialtjänst – En ny socialtjänstlag har det lämnats förslag till en lag om socialtjänstdataregister vid Socialstyrelsen (SOU 2020:47 s. 131–134). Betänkandet bereds för närvarande i Regeringskansliet. En särskild utredare ska också analysera regelverket för hälsodataregister för att åstadkomma bättre förutsättningar för uppföljning av hälso- och sjukvården (dir. 2023:48). Det kommer dock alltid att finnas vissa uppgifter som inte går att inkludera i registeruppföljningen eller vissa aspekter av vården och omsorgen som inte kan fångas på ett tillfredställande sätt utan att journaler och personakter studeras. Genom att samla in journaler och personakter kan Myndigheten för vård- och omsorgsanalys alltså bidra till att skapa kunskap om vården och omsorgen. Myndigheten för vård- och omsorganalys har vid några tillfällen anlitat forskare för att studera vissa frågor baserat på dokumentation från omsorgen i enskilda ärenden (se Ljuset på skillnader – En studie om omotiverade skillnader i LSS-verksamhet, äldreomsorg och socialpsykiatri [rapport 2022:6] och Lika läge för alla? – Om omotiverade skillnader inom den sociala barn- och ungdomsvården [rapport 2018:10]). Samtidigt bedömer myndigheten att arbetet hade kunnat utföras på ett mer tids- och resurseffektivt sätt om myndigheten själv hade utfört det. Personuppgifter som har samlats in av andra aktörer och som myndigheten behöver behandla finns också i exempelvis artiklar, rapporter, litteratur och vissa verksamhetssystem hos huvudmän och utförare inom vården och omsorgen. Myndigheten har i många fall endast behov av personuppgifter som inte är direkt hänförliga till enskilda, t.ex. i form av uppgifter från register som är kopplade till löpnummer. Myndigheten kan dock i vissa fall behöva direkta identifikatorer, som personnummer eller kontaktuppgifter. Det behövs bl.a. för att möjliggöra sambearbetning av uppgifter som inhämtas från olika källor. Behov av sambearbetning finns t.ex. för att analysera uppgifter om utbildningsnivå från Statistiska centralbyrån (SCB) tillsammans med uppgifter om vårdåtgärd från Socialstyrelsen, i syfte att belysa eventuella skillnader i vården mellan patienter med olika utbildningsnivå. Direkt hänförliga uppgifter kan också behövas i de fall myndigheten behöver ha kontakter direkt med enskilda, t.ex. vid intervju- eller enkätundersökningar. Dessutom kan det i journaler från vården och personakter från omsorgen finnas olika typer av uppgifter som är svåra att förutse på förhand, däribland personuppgifter som är direkt hänförliga till enskilda. Det behövs en särskild reglering av behandling av personuppgifter vid myndigheten I dag behandlas personuppgifter i myndighetens kärnverksamhet med stöd av de generella reglerna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen. Myndigheten för vård- och omsorgsanalys bedöms ha begränsade möjligheter att behandla personuppgifter, särskilt känsliga personuppgifter, på det sätt som myndigheten har behov av med stöd av den generella dataskyddsregleringen. Det bedöms inte heller stå helt klart hur myndigheten får behandla känsliga personuppgifter (se avsnitt 7.7). Regeringen anser därmed att det finns behov av en reglering som utformas efter myndighetens behov och som ger tydliga förutsättningar för myndighetens behandling av personuppgifter. Ett sådant stöd skulle förbättra myndighetens förutsättningar att på ett effektivt sätt och med hög kvalitet fullgöra sitt uppdrag. Ett anpassat och tydligt stöd för behandling av känsliga personuppgifter skapar förutsättningar för myndigheten att behandla personuppgifter på nya sätt i förhållande till i dag, exempelvis genom att utföra register-, akt- och journalstudier. Detta skulle förbättra myndighetens möjligheter att utföra sitt uppdrag på ett ändamålsenligt sätt. Genom att behandla personuppgifter i sådana studier kan myndigheten presentera andra, mer fördjupande och användbara resultat. Det skulle också bidra till ett ökat oberoende i myndighetens arbete, eftersom en del av den information som myndigheten behöver samla in finns hos sådana aktörer som myndigheten har i uppdrag att undersöka och utvärdera. Det finns även av effektivitetsskäl behov av ett anpassat och tydligt stöd för myndighetens behandling av personuppgifter. Det finns en risk för att vissa projekt inte kan genomföras över huvud taget eller att det tar alltför lång tid att genomföra dem om myndigheten måste förlita sig på att andra aktörer ska avsätta resurser för att sammanställa och avidentifiera personuppgifter så att de inte längre utgör personuppgifter. Som framgår av avsnitt 4.3 har det också förekommit att myndigheten har anlitat externa forskare för att besvara vissa frågeställningar som kräver sådan personuppgiftsbehandling som myndigheten har bedömt att den inte får utföra. Denna hantering innebär en större kostnad och tidsåtgång än om myndigheten själv hade genomfört analysen. Ett ytterligare skäl till att det behövs en särskild reglering av myndighetens personuppgiftsbehandling är att det generella regelverket inte föreskriver några anpassade skyddsåtgärder för den stora mängden integritetskänsliga personuppgifter som Myndigheten för vård- och omsorgsanalys behöver behandla. Det bedöms finnas ett behov av ett mer anpassat skydd med bestämmelser som anger under vilka förutsättningar det är tillåtet att behandla personuppgifter i den aktuella verksamheten. Myndigheten bedöms kunna behandla känsliga personuppgifter med stöd av undantaget för ett viktigt allmänt intresse i artikel 9.2 g i EU:s dataskyddsförordning (se avsnitt 7.7). För detta krävs dock bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Det är vanligt att verksamheter i vilka det finns behov av att utföra omfattande behandlingar av integritetskänsliga personuppgifter omfattas av särskilda regler om personuppgiftsbehandlingen, som är anpassade efter behovet av behandling av personuppgifter och behovet av särskilt skydd för den personliga integriteten med anledning av behandlingen. Särskild reglering gäller exempelvis för flera av de verksamheter och register varifrån Myndigheten för vård- och omsorgsanalys behöver inhämta personuppgifter. Här kan det bl.a. nämnas att statistikverksamhet vid Statistiska centralbyrån (SCB) omfattas av lagen (2001:99) om den officiella statistiken och de hälsodataregister vid Socialstyrelsen som är av särskilt intresse för Myndigheten för vård- och omsorgsanalys verksamhet omfattas av lagen (1998:543) om hälsodataregister med tillhörande förordningar. Skyddet för personuppgifter vid Myndigheten för vård- och omsorgsanalys bör som utgångspunkt inte vara svagare än hos de myndigheter som kan komma att lämna ut uppgifter till myndigheten. Integritetsskyddsmyndigheten har gjort bedömningen att verksamheter som regelmässigt behandlar känsliga personuppgifter behöver ett vidare stöd för sin behandling i nationell rätt än vad som föreskrivs i dataskyddslagen (se t.ex. Datainspektionens remissyttranden över SOU 2017:66 och Ds 2017:33). Mot bakgrund av ovanstående anser regeringen att en särskild reglering av behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys bör införas. Utgångspunkten för den särskilda regleringen bör vara att myndigheten ges ett tydligt stöd för att behandla personuppgifter i den utsträckning som behövs för att den på ett så ändamålsenligt sätt som möjligt ska kunna fullgöra sitt uppdrag enligt instruktionen. Samtidigt bör regleringen innehålla lämpliga skyddsåtgärder för att åstadkomma ett starkt skydd för den personliga integriteten. En registerförfattning som på ett tydligt sätt anger förutsättningarna för myndighetens personuppgiftsbehandling bör också kunna underlätta för de myndigheter som lämnar ut uppgifter till Myndigheten för vård- och omsorgsanalys att göra de rättsliga bedömningar som behövs innan uppgifter lämnas ut till myndigheten. En registerförfattning skapar dessutom tydlighet och förutsägbarhet för de registrerade. Särskilda bestämmelser är tillåtna enligt EU:s dataskyddsförordning EU:s dataskyddsförordning är direkt tillämplig men förutsätter och tillåter i vissa fall nationella bestämmelser som kompletterar förordningen genom specificeringar eller undantag. Enligt artikel 6.2 i EU:s dataskyddsförordning får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling av personuppgifter som är nödvändig för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt artikel 6.1 e. Enligt artikel 6.3 i EU:s dataskyddsförordning ska den rättsliga grunden för behandlingen vara fastställd i EU-rätten eller den nationella rätten. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av EU:s dataskyddsförordning. Den kan bl.a. ange de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka uppgifter får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Regleringen ska dessutom uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. All den behandling av personuppgifter som Myndigheten för vård- och omsorgsanalys behöver utföra i sin verksamhet och som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg bedöms kunna ske med stöd av den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning (se avsnitt 7.6.1). Det är därför tillåtet enligt EU:s dataskyddsförordning att införa mer specifika bestämmelser för att anpassa tillämpningen av EU:s dataskyddsförordning till myndighetens verksamhet. Den särskilda regleringen bör ske i lag Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Enligt 2 kap. 20 § RF får skyddet begränsas genom lag under de förutsättningar som anges i 2 kap. 21 § RF. Skyddet får således inte begränsas genom förordning. Personuppgifter som Myndigheten för vård- och omsorgsanalys behöver behandla rör enskildas personliga förhållanden i den mening som avses i 2 kap. 6 § andra stycket RF, vilket omfattar bl.a. identifikationsuppgifter och uppgifter om adress, familjeförhållanden, hälsa, anställning och ekonomi (prop. 2009/10:80 s. 177). Myndigheten har i vissa fall behov av att samla in personuppgifter från någon annan än den enskilde själv utan att den enskildes samtycke inhämtas, t.ex. vid register-, akt- och journalstudier. Avgörande för bedömningen av om en åtgärd ska anses innebära övervakning eller kartläggning i den mening som avses i 2 kap. 6 § andra stycket RF är inte det huvudsakliga syftet utan åtgärdens effekt. Vad som avses med övervakning respektive kartläggning får bedömas utifrån vad som enligt normalt språkbruk läggs i dessa begrepp. Enligt förarbetena torde ett stort antal uppgiftssamlingar som det allmänna förfogar över innebära kartläggning av enskildas förhållanden, även om avsikten med samlingarna är en annan (prop. 2009/10:80 s. 180 och 250). Myndigheten för vård- och omsorgsanalys har inte sällan behov av att behandla ett relativt stort antal personuppgifter om många personer. De datafiler som skapas kan således bli relativt omfattande både sett till antalet personuppgifter och antalet registrerade. Även om myndigheten sällan torde vara i behov av personuppgifter som är direkt hänförliga till enskilda individer, kan det inte uteslutas att uppgifterna skulle kunna innebära övervakning och kartläggning enligt regeringsformen. Den avgörande frågan är då om det intrång i den personliga integriteten som behandlingen kan innebära är betydande. Enligt förarbetena bör flera omständigheter vägas in vid denna bedömning. Stor vikt ska läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste hanteringen normalt sett anses vara. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. Därutöver kan mängden uppgifter vara en betydelsefull faktor, liksom omfattningen av utlämnande av personuppgifter till andra, som sker utan omedelbart stöd av offentlighetsprincipen (prop. 2009/10:80 s. 183 och 184). Ändamålet med Myndigheten för vård- och omsorgsanalys behandlingar kan inte bedömas som särskilt integritetskränkande, eftersom det handlar om att göra undersökningar och utvärderingar på en övergripande nivå, som i förlängningen syftar till att bidra till förbättringar inom vård och omsorg. Myndigheten fattar inte beslut eller gör uttalanden eller undersökningar i förhållande till enskilda personer. Som framgår ovan har Myndigheten för vård- och omsorgsanalys dock behov av en relativt omfattande behandling av personuppgifter, vilket inkluderar behov av att behandla flera kategorier av känsliga personuppgifter. Många gånger behöver flera olika personuppgifter kombineras och analyseras tillsammans, varför uppgifter ibland kan behöva samlas in från olika källor och sambearbetas. För att få säkra och representativa resultat behöver myndigheten dessutom ofta behandla personuppgifter om ett relativt stort antal enskilda. Vissa av de behandlingar som myndigheten behöver utföra skulle alltså kunna innebära betydande intrång i den mening som avses i 2 kap. 6 § andra stycket RF. Med hänsyn till de omständigheter som presenteras ovan, skulle den behandling som myndigheten behöver genomföra alltså i vissa fall kunna utgöra en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket RF. För att personuppgifterna i sådana fall ska kunna behandlas krävs enligt 2 kap. 20 § RF stöd i lag. Riksdagen och regeringen har uttalat att myndighetsregister som innehåller ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras i lag (prop. 1990/91:60 s. 58, bet. 1990/91:KU11 s. 11, prop. 1997/98:44 s. 41 och bet. 1997/98:KU18 s. 48). Uttalandena har med åren kommit att tillämpas på såväl regleringen av regelrätta register som myndigheters behandling av personuppgifter i stort (prop. 1997/98:44 s. 41, bet. 1997/98:KU18 s. 43, prop. 1999/2000:39 s. 78 och prop. 2009/10:80 s. 183). Även dessa uttalanden från riksdag och regering utgör skäl till att en särskild regleringen om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys bör vara i form av lag. En särskild lag om myndighetens behandling av personuppgifter bör införas Ovan konstateras att det finns ett behov av att särskilt reglera behandlingen av personuppgifter vid Myndigheten för vård- och omsorgsanalys. Det konstateras också att regleringen bör ske i lag. Det saknas i dag en lämplig befintlig lag där en sådan reglering skulle kunna införas. Regeringen anser därför att en särskild lag som anpassas till myndighetens behov och som innehåller anpassade skyddsåtgärder bör införas. SBU föreslår att ett samlat grepp med en gemensam dataskyddsreglering för relevanta aktörer tas fram. Behovet av registerlagar och gemensamma lösningar för andra relevanta aktörer behandlas inte i detta lagstiftningsärende. En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Lagens tillämpningsområde Regeringens förslag: Lagen ska gälla vid behandling av personuppgifter i sådan verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Lagen ska gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Stockholms kommun framför att uttrycket omsorg bör bytas ut mot uttrycket socialtjänst. Myndigheten för vård- och omsorgsanalys framför att det bör förtydligas att myndigheten ska tillämpa de allmänna dataskyddsreglerna, och inte registerlagen, vid behandling av personuppgifter med stöd av samtycke. Skälen för regeringens förslag Lagen bör gälla i myndighetens analysverksamhet Tillämpningsområdet för den föreslagna lagen bör utgå från myndighetens analysverksamhet, dvs. dess kärnverksamhet. Utgångspunkten bör därmed vara myndighetens uppdrag som det anges i 1 § förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys, här benämnd instruktionen. Lagen bör således vara tillämplig i den del av myndighetens verksamhet som består i att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Stockholms kommun framför att uttrycket omsorg bör bytas ut till socialtjänst mot bakgrund av att socialtjänst, men inte omsorg, är definierat i Socialstyrelsens termbank. Eftersom uttrycket omsorg används i myndighetens instruktion bedömer regeringen att det är lämpligt att det används även här. Myndighetens uppdrag beskrivs närmare i avsnitt 4.1. Personuppgiftsbehandling i den interna administrationen bör inte omfattas Myndigheten behandlar också personuppgifter i den interna administrationen, exempelvis vid hantering av ekonomi-, personal- och lokalfrågor. Behandlingen av personuppgifter i den administrativa verksamheten har dock inte någon närmare koppling till fullgörandet av de uppgifter som myndigheten har inom ramen för sin kärnverksamhet. Behandlingen av personuppgifter inom den administrativa verksamheten skiljer sig inte heller nämnvärt från den behandling som utförs av andra myndigheter eller enskilda företag. Myndighetens behandling av personuppgifter inom den administrativa verksamheten bör därför inte omfattas av den lag som nu föreslås. I stället bör den allmänna dataskyddsregleringen även fortsättningsvis tillämpas inom den verksamheten. Personuppgiftsbehandling som grundar sig på samtycke omfattas inte Enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, saknas möjlighet att i nationell rätt införa mer specifika bestämmelser för att anpassa tillämpningen av förordningen vad gäller samtycke som rättslig grund (jfr artikel 6 och prop. 2017/18: 105 s. 49). I likhet med andra registerförfattningar så ingår således inte i lagens tillämpningsområde behandling av personuppgifter som sker med stöd av den rättsliga grunden samtycke. Myndigheten för vård- och omsorgsanalys anser att detta bör förtydligas. Regeringen anser emellertid att bestämmelsen om lagens tillämpningsområde bör utformas på samma sätt som i andra registerförfattningar, se t.ex. 1 § lagen (2019:663) om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och 1 kap. 1 § lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter. Lagen bör gälla automatiserad behandling och register EU:s dataskyddsförordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Med register avses en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6). Regeringen anser att tillämpningsområdet för den föreslagna lagen bör följa tillämpningsområdet för EU:s dataskyddsförordning och därför omfatta samma slags behandlingar. I registerförfattningar har ofta uttrycket ”en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier” använts för att beteckna register. I registerförfattningar från senare år används dock uttrycket register utan att det definieras i lagen, se t.ex. lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap, lagen om Rättsmedicinalverkets behandling av personuppgifter och 114 kap. 1 § socialförsäkringsbalken, förkortad SFB. Regeringen bedömer därför att uttrycket register bör användas även i den föreslagna lagen. Uttrycket bör ha samma definition som i EU:s dataskyddsförordning och behöver inte definieras i lagen. Lagen föreslås därmed gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Manuell behandling av personuppgifter som inte ingår i en uppgiftssamling som är strukturerad för sökning eller sammanställning, t.ex. minnesanteckningar från intervjuer som enbart förs på papper, bör inte omfattas av den lag som nu föreslås. Förhållandet till annan dataskyddsreglering Regeringens förslag: Lagen ska innehålla en upplysning om att den kompletterar EU:s dataskyddsförordning. I lagen ska det också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller om inte annat följer av den nu föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen. Promemorians förslag överensstämmer med regeringens. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Skälen för regeringens förslag Lagen bör upplysa om att den kompletterar EU:s dataskyddsförordning EU:s dataskyddsförordning är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Den lag som nu föreslås kan därför endast innehålla bestämmelser som kompletterar EU:s dataskyddsförordning. För att det ska vara tydligt för tillämparen vilken reglering som gäller bör en bestämmelse med upplysning om att EU:s dataskyddsförordning gäller tas in i lagen. Lagen bör upplysa om förhållandet till dataskyddslagen och föreskrifter till den Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, utgör ett komplement till EU:s dataskyddsförordning på en generell nivå och reglerar bara vissa frågor. Av 1 kap. 6 § dataskyddslagen följer att om en annan lag eller förordning innehåller någon bestämmelse som avviker från dataskyddslagen så ska bestämmelsen i den andra lagen tillämpas. Dataskyddslagen är alltså subsidiär och kommer bara att gälla för Myndigheten för vård- och omsorgsanalys om inte den lag som nu föreslås anger något annat. Av tydlighetsskäl bör det i den föreslagna lagen finnas en upplysning om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den gäller om inte annat följer av den föreslagna lagen (jfr prop. 2017/18:171 s. 73). Även föreskrifter som meddelas i anslutning till den föreslagna lagen bör ha företräde framför dataskyddslagen I det aktuella lagförslaget lämnas inga förslag till bestämmelser med bemyndiganden för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter. Regeringen har dock möjlighet att utan bemyndigande från riksdagen meddela verkställighetsföreskrifter (8 kap. 7 § första stycket 1 regeringsformen). Det kan alltså tillkomma föreskrifter i anslutning till den föreslagna lagen, även om lagen saknar särskilda bemyndiganden. Regeringen anser att även sådana föreskrifter om verkställighet bör ha företräde framför dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, vilket bör framgå uttryckligen av den nya lagen. Uppgifter om avlidna personer Regeringens förslag: Vid behandling av uppgifter om avlidna personer ska lagen och föreskrifter som har meddelats i anslutning till lagen, EU:s dataskyddsförordning, dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla i tillämpliga delar. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Lunds universitet anser att grunderna för bedömningen av vad som avses med tillämpliga delar bör återspeglas i lagtexten. Sveriges Kommuner och Regioner (SKR) anser att det av bestämmelsen bör framgå att uppgifter om avlidna får behandlas för de ändamål som avses i lagen. Skälen för regeringens förslag: EU:s dataskyddsförordning är inte tillämplig på uppgifter om avlidna personer och medlemsstaterna får i nationell lagstiftning fastställa vad som ska gälla för behandlingen av sådana uppgifter (skäl 27 i EU:s dataskyddsförordning). Det finns flera exempel på registerförfattningar vars tillämpningsområde har utsträckts på det sättet, t.ex. 1 kap. 1 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och 114 kap. 5 § SFB. Myndigheten för vård- och omsorgsanalys har behov av att behandla vissa uppgifter om avlidna personer, exempelvis för att kunna analysera uppgifter om livslängd i förhållande till olika diagnoser eller åtgärder. Regeringen har i förarbetena till patientdatalagen (2008:355) konstaterat att det i hälso- och sjukvårdens verksamhet förekommer en mängd uppgifter om avlidna patienter samt att dessa uppgifter kan vara integritetskänsliga och därför ska omfattas av patientdatalagens bestämmelser i tillämpliga delar (prop. 2007/08:126 s. 52). Eftersom Myndigheten för vård- och omsorgsanalys behöver behandla vissa uppgifter som ursprungligen kommer från hälso- och sjukvården anser regeringen att det finns det skäl att här göra samma bedömning. För efterlevande kan det också vara betydelsefullt att uppgifter om avlidna skyddas. Myndigheten för vård- och omsorgsanalys har dessutom behov av att behandla ett stort antal uppgifter som inte är direkt hänförliga till en enskild, vilket gör det svårt att särskilja uppgifter om avlidna från uppgifter om levande personer. Att låta samtliga uppgifter om personer omfattas av samma regler så långt som möjligt framstår därför även som praktiskt motiverat. För att få en enhetlig och heltäckande reglering bör inte bara den nu föreslagna lagen gälla behandling av uppgifter om avlidna personer (jfr prop. 2019/20:106 s. 32 och prop. 2023/24:29 s. 24 och 25). Även EU:s dataskyddsförordning och dataskyddslagen bör gälla vid behandling av uppgifter om avlidna inom den föreslagna lagens tillämpningsområde. Dessutom bör föreskrifter som meddelas i anslutning till den nu föreslagna lagen och dataskyddslagen gälla vid behandling av uppgifter om avlidna inom den nya lagens tillämpningsområde. Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt kan av naturliga skäl inte gälla för uppgifter om avlidna personer. Någon möjlighet för efterlevande eller andra att göra gällande rättigheter som tillkom den avlidne när denne var i livet finns inte (jfr prop. 2019/20:106 s. 32). Det innebär exempelvis att bestämmelser om rätt till information, rätt till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till avlidna. Däremot gäller bestämmelser som avser bl.a. ändamål för behandling och de principer som följer av artikel 5 i dataskyddsförordningen. Den lagtekniska lösningen är i linje med den som används i t.ex. patientdatalagen, lagen om Rättsmedicinalverkets behandling av personuppgifter och i 114 kap. SFB, där tillämpningsområdet utsträckts till att även omfatta personer som inte längre är i livet. Regeringen bedömer att en sådan reglering är ändamålsenlig och att det saknas behov av att i lagtexten göra ytterligare förtydliganden på det sätt som Lunds universitet och SKR efterfrågar. Begränsning av rätten att göra invändningar Regeringens förslag: Rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning ska inte gälla vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar ska dock gälla när personuppgifterna samlas in direkt från den enskilde. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Region Värmland och SKPF Pensionärerna anser att rätten att göra invändningar bör kvarstå till den del som rör direkt hänförliga personuppgifter. Skälen för regeringens förslag Den registrerades rätt att göra invändningar Den registrerade har enligt EU:s dataskyddsförordning rätt att göra invändningar mot sådan behandling av personuppgifter avseende honom eller henne som grundar sig på att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 21.1). Rätten att invända mot behandlingen av personuppgifter är begränsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall har den registrerade bara rätt att göra invändningar om behandlingen inte är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). När den registrerade invänder mot behandling av personuppgifter måste den personuppgiftsansvarige kunna visa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen (artikel 21.1). Om det saknas berättigade skäl för behandlingen som väger tyngre, har den registrerade rätt att få personuppgifterna raderade (artikel 17.1 c). Det är möjligt att begränsa rätten att göra invändningar Medlemsstaterna har enligt artikel 23.1 i EU:s dataskyddsförordning möjlighet att genom lagstiftningsåtgärder begränsa vissa av de skyldigheter och rättigheter som följer av förordningen, däribland rätten att göra invändningar mot behandlingen av personuppgifter. En sådan begränsning får göras om den sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna. Begränsningen måste vidare utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa olika uppräknade intressen, bl.a. förebyggande av brott, andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, folkhälsa och social trygghet. Sådana lagstiftningsåtgärder ska innehålla specifika bestämmelser när så är relevant avseende bl.a. ändamålen med behandlingen, kategorierna av personuppgifter, specificeringen av den personuppgiftsansvarige, lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål (artikel 23.2 i EU:s dataskyddsförordning). Rätten att göra invändningar har begränsats i ett flertal register-författningar, t.ex. 3 § lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, 4 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och 114 kap. 6 § SFB. Det har i dessa fall ansetts vara av stor betydelse att personuppgifter får behandlas i myndigheternas verksamheter, oberoende av den registrerades inställning. Regeringen har vidare i vissa fall uttryckt att den personuppgiftsansvarige närmast undantagslöst skulle kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet och att en prövning i enskilda fall därför inte skulle vara motiverad (t.ex. prop. 2018/19:151 s. 17 och 18). Det finns skäl att begränsa rätten att göra invändningar Behandling av personuppgifter i Myndigheten för vård- och omsorgsanalys analysverksamhet bedöms ha stöd i den rättsliga grunden allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning (se avsnitt 7.6.1). Den registrerade har alltså enligt artikel 21.1 i EU:s dataskyddsförordning rätt att invända mot myndighetens behandling. Myndighetens arbete med att följa upp och utvärdera förhållanden inom hälso- och sjukvården, tandvården och omsorgen ur ett patient-, brukar- och medborgarperspektiv ger sådant underlag som regering, regioner och kommuner har behov av och kan använda som grund för att vidta lämpliga åtgärder i fråga om vården och omsorgen. På så sätt bedöms myndighetens arbete bidra till att säkerställa intressen inom folkhälsa och social trygghet. Det bör vidare kunna anses utgöra ett generellt allmänt intresse att bedriva sådan uppföljning och utvärdering som Myndigheten för vård- och omsorgsanalys har i uppgift att göra. En del av de personuppgifter som Myndigheten för vård- och omsorgsanalys behöver behandla finns hos andra aktörer, t.ex. andra myndigheter. Myndigheten för vård- och omsorgsanalys behöver för sitt analysarbete många gånger endast ta del av personuppgifter som inte direkt kan hänföras till registrerade. Som huvudregel ska myndigheten därmed samla in uppgifterna utan koppling till personnummer eller annan liknande identitetsbeteckning, i enlighet med uppgiftsminimeringsprincipen i artikel 5.1 c i EU:s dataskyddsförordning. För att hantera en invändning mot sådana uppgifter som Myndigheten för vård- och omsorgsanalys inte direkt kan hänföra till den registrerade skulle alltså myndigheten först behöva hitta dessa uppgifter. Enligt artikel 11 i EU:s dataskyddsförordning ska en personuppgiftsansvarig inte vara tvungen att bevara, förvärva eller behandla ytterligare information enbart i syfte att identifiera den registrerade för att följa dataskyddsförordningen. Om det innebär en oproportionerlig ansträngning slipper myndigheten vidare kravet på att informera den registrerade om behandlingen av hans eller hennes personuppgifter enligt artikel 14.5 b i EU:s dataskyddsförordning. Regeringen gör därför bedömningen att en rätt att göra invändningar inte skulle få någon praktisk effekt när myndigheten behandlar uppgifter som inte direkt går att hänföra till den registrerade. Det kommer dock att finnas vissa situationer när Myndigheten för vård- och omsorgsanalys har behov av uppgifter som direkt kan hänföras till den registrerade, t.ex. när uppgifter har samlats in genom s.k. journal- eller aktstudier. Inte heller vid sådana typer av studier är det ändamålsenligt med en rätt att göra invändningar. Det är av stor betydelse att personuppgifter får behandlas i myndighetens verksamhet oberoende av den registrerades inställning. För att resultaten av myndighetens uppföljningar och utvärderingar ska vara så tillförlitliga och relevanta som möjligt, behöver en viss statistisk säkerhet kunna säkerställas. Det skulle dock inte vara möjligt att uppnå om invändningar från enskilda skulle kunna påverka myndighetens resultat. Myndighetens berättigade skäl att behandla personuppgifter för att kunna utföra sitt uppdrag (se avsnitt 6), väger således i regel tyngre än den registrerades intressen. Det kan under sådana omständigheter, i likhet med vad regeringen konstaterat i fråga om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap, inte anses motiverat att myndigheten i varje enskilt fall ska behöva påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen innan myndigheten kan fortsätta behandla personuppgifterna (jfr prop. 2018/19:151 s. 17 och 18). Ett sådant förfarande riskerar att leda till en oproportionerlig arbetsbörda för myndigheten, samtidigt som resultatet i princip uteslutande skulle bli att myndigheten har berättigade skäl för behandlingen och vinsterna ur ett integritetsperspektiv således skulle vara nästintill obefintliga. En begränsning av rätten att göra invändningar anses både nödvändig och proportionerlig, i enlighet med artikel 23.1 e i EU:s dataskyddsförordning. Begränsningen skulle underlätta för myndigheten att bedriva sin verksamhet, samtidigt som den skulle ha mycket liten eller ingen påverkan på skyddet för den enskildes personliga integritet då myndigheten ändå inte skulle kunna identifiera den enskilde eller, om identifiering är möjlig för myndigheten, den i regel skulle ha berättigade skäl för att fortsätta behandlingen. Den nu föreslagna lagen innehåller bestämmelser om bl.a. ändamålen med behandlingen, behandling av personuppgifter i projekt och ett flertal andra skyddsåtgärder. Den föreslagna regleringen minimerar risken för kränkning av den registrerades rättigheter och friheter. Den föreslagna lagen får därför anses uppfylla de krav som uppställs i artikel 23.2 i EU:s dataskyddsförordning. Regeringen anser mot denna bakgrund, i motsats till Region Värmland och SKPF Pensionärerna, att det saknas anledning att låta rätten att göra invändningar kvarstå till den del som rör direkt hänförliga personuppgifter. Det bedöms vara av stor betydelse att personuppgifter får behandlas i Myndigheten för vård- och omsorgsanalys verksamhet oberoende av den registrerades inställning. Regeringen bedömer därmed att det både är tillåtet och lämpligt att begränsa den enskildes rätt att göra invändningar mot behandling av hans eller hennes personuppgifter. Hänvisningen till artikel 21.1 i EU:s dataskyddsförordning bör vara dynamisk, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i EU:s dataskyddsförordning får omedelbart genomslag. Rätten att göra invändningar bör inte begränsas när personuppgifter samlas in direkt från den enskilde När det gäller uppgifter som samlas in direkt från den enskilde, t.ex. vid intervjuer eller enkätstudier, väger skälen för ett undantag från rätten att göra invändningar inte lika tungt som vid behandling av personuppgifter som samlas in på annat sätt. En enskild som väljer att lämna sina uppgifter till myndigheten bör så långt som möjligt ges inflytande över personuppgifterna. Det talar för att rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning inte bör begränsas när uppgifterna samlas in direkt från den enskilde. Dessutom behandlas direkt hänförliga personuppgifter i regel i större utsträckning när uppgifterna samlas in direkt från den enskilde än när uppgifterna samlas in på annat sätt. En behandling av direkt hänförliga personuppgifter blir mer integritetskänslig och kräver därför generellt ett starkare skydd. Även detta talar för att rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning inte bör begränsas i dessa fall. För myndigheten bör det också generellt sett vara lättare att tillgodose rätten att göra invändningar i dessa fall eftersom myndigheten lättare kan identifiera den enskilde när dennes direkta personuppgifter behandlas. Regeringen anser sammanfattningsvis att rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning som huvudregel inte bör gälla vid sådan behandling av personuppgifter som är tillåten enligt den föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar bör enligt regeringen dock inte begränsas när personuppgifter samlas in direkt från den enskilde. Personuppgiftsansvar Regeringens förslag: Myndigheten för vård- och omsorgsanalys ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen. Promemorians förslag överensstämmer med regeringens. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Skälen för regeringens förslag: Uttrycket personuppgiftsansvarig är centralt inom all dataskyddsreglering. Den personuppgiftsansvarige är skyldig att se till att behandling av personuppgifter sker i enlighet med gällande bestämmelser, och enskilda ska alltid kunna vända sig till den personuppgiftsansvarige för att göra sina rättigheter gällande. Den personuppgiftsansvarige ska exempelvis ansvara för och kunna visa att de grundläggande principerna i artikel 5.1 i EU:s dataskyddsförordning följs (artikel 5.2). Därutöver ska den personuppgiftsansvarige bl.a. genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning (artikel 24.1) och för att säkerställa en lämplig säkerhetsnivå (artikel 32.1). Av definitionen i artikel 4.7 i EU:s dataskyddsförordning framgår att det med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen eller medlen för behandlingen bestäms i unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses dock föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Det är alltså tillåtet att i nationell rätt ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter. Registerförfattningar innehåller regelmässigt en reglering av vem som är personuppgiftsansvarig. När Myndigheten för vård- och omsorgsanalys behandlar personuppgifter inom ramen för sin kärnverksamhet finns det oftast inga oklarheter i fråga om personuppgiftsansvaret. En bestämmelse om personuppgiftsansvar bidrar dock till tydlighet för både myndigheten och de registrerade. Regeringen anser därför att det bör framgå av den nya lagen att Myndigheten för vård- och omsorgsanalys är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför inom lagens tillämpningsområde. Ändamål för behandling av personuppgifter Rättslig grund för behandling av personuppgifter Regeringens bedömning: Den behandling av personuppgifter som Myndigheten för vård- och omsorgsanalys behöver utföra med anledning av sitt uppdrag är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna instämmer i bedömningen eller har inget att invända mot den. Skälen för regeringens bedömning Behandling för att utföra en uppgift av allmänt intresse All behandling av personuppgifter måste ha stöd i någon av de rättsliga grunder som anges i artikel 6.1 a–f i EU:s dataskyddsförordning. De rättsliga grunderna är i viss mån överlappande och flera rättsliga grunder kan därför vara tillämpliga för en och samma behandling (prop. 2017/18:105 s. 46). Alla uppgifter som riksdagen eller regeringen har gett i uppdrag åt statliga myndigheter att utföra och sådan verksamhet som myndigheterna bedriver inom ramen för sin befogenhet är i normalfallet sådana uppgifter av allmänt intresse som avses i artikel 6.1 e (prop. 2017/18:105 s. 56 och 57). De uppgifter som Myndigheten för vård- och omsorgsanalys utför till följd av uppgifter i instruktionen, regleringsbrev, specifika regeringsuppdrag och myndighetsförordningen (2007:515) är således generellt uppgifter av allmänt intresse. I normalfallet torde myndigheters uppgifter och uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e i EU:s dataskyddsförordning, dvs. på grundval av att uppgiften eller uppdraget avser en uppgift av allmänt intresse (prop. 2017/18:105 s. 53 och 54). En behandling enligt artikel 6.1 e är bara tillåten om den också är nödvändig. Att behandlingen ska vara nödvändig innebär inte att det ska vara omöjligt att uppnå syftet med behandlingen utan att personuppgifter behandlas. Vanligtvis anses det nödvändigt att behandla personuppgifter elektroniskt eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (prop. 2017/18:105 s. 46 och 47 och EU-domstolens dom i målet Huber mot Tyskland C-524/06, EU:C:2008:724). Kravet på nödvändighet innebär dock att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (prop. 2017/18:232 s. 117). En bedömning av om nödvändighetskravet är uppfyllt måste göras inför varje behandling. De grunder för behandlingen som avses i artikel 6.1 e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket i EU:s dataskyddsförordning). Med detta avses, enligt skäl 41 i EU:s dataskyddsförordning, inte att den rättsliga grunden nödvändigtvis måste fastställas i lag. Däremot måste grunden vara fastställd i laga ordning på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). I 2 kap. 2 § 1 dataskyddslagen finns en upplysningsbestämmelse som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Av skäl 41 i EU:s dataskyddsförordning framgår vidare att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall utifrån behandlingens och verksamhetens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart (prop. 2017/18:105 s. 51). Myndigheten för vård- och omsorgsanalys uppgifter regleras i dess instruktion. Uppgifterna är således fastställda i förordning. För de särskilda uppdrag som regeringen ger myndigheten anges det dessutom mer specifikt i regleringsbrev eller separata regeringsbeslut vad en undersökning eller utvärdering ska omfatta. Myndighetens verksamhet omfattas också av allmän förvaltningsrättslig reglering, som förvaltningslagen (2017:900) och myndighetsförordningen. Den nu föreslagna lagen kommer dessutom att närmare fastställa den rättsliga grunden i den nationella rätten, bl.a. när det gäller de allmänna villkoren för behandling av personuppgifter, för vilka ändamål personuppgifter får behandlas och åtgärder för att tillförsäkra en laglig och rättvis behandling. Kravet på att grunden för de behandlingar som myndigheten behöver utföra ska vara rättsligt fastställd i enlighet med artikel 6.3 i EU:s dataskyddsförordning får därmed enligt regeringen anses uppfyllt genom befintlig reglering och den lag som nu föreslås. Syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse (artikel 6.3 andra stycket). De ändamål som anges i den föreslagna lagen måste alltså vara nödvändiga för att Myndigheten för vård- och omsorgsanalys ska kunna utföra sitt uppdrag. Detta krav får anses uppfyllt så länge ändamålen knyts till Myndigheten för vård- och omsorgsanalys uppgifter enligt instruktionen och det inte finns någon diskrepans mellan ändamålen och de uppgifter som myndigheten förväntas utföra. Slutligen ska den rättsliga grunden också uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Uppgifter av allmänt intresse som har fastställts i enlighet med svensk rätt uppfyller genomgående dessa krav (prop. 2017/18:105 s. 50). Kravet på proportionalitet kan också tillgodoses genom särskilt reglerade skyddsåtgärder (jfr avsnitt 8). Även andra rättsliga grunder kan vara tillämpliga All den behandling av personuppgifter som Myndigheten för vård- och omsorgsanalys behöver utföra i sin verksamhet som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg bedöms, som framgår ovan, kunna ske med stöd av den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Vid behandling av personuppgifter kan dock flera rättsliga grunder vara tillämpliga avseende en och samma behandling (prop. 2017/18:105 s. 46). I vissa fall kan den rättsliga grunden vara att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige enligt artikel 6.1 c i EU:s dataskyddsförordning. Som Socialdataskyddsutredningen redogjort för, kan samtycke enligt artikel 6.1 a i EU:s dataskyddsförordning också vara en tillämplig rättslig grund för Myndigheten för vård- och omsorgsanalys behandlingar (SOU 2018:52 s. 114–116). Vid behandling med stöd av samtycke ska Myndigheten för vård- och omsorgsanalys tillämpa de allmänna dataskyddsreglerna. Primära ändamål Regeringens förslag: Myndigheten för vård- och omsorgsanalys ska få behandla personuppgifter om det är nödvändigt för 1. undersökningar om vårdens och omsorgens funktionssätt, 2. undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, 3. utvärderingar av information om vård och omsorg som lämnas till enskilda, eller 4. utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Lagen ska innehålla en upplysning om att Myndigheten för vård- och omsorgsanalys inom ramen för sådana undersökningar eller utvärderingar får behandla personuppgifter även för att framställa statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser. Promemorians förslag överensstämmer i sak med regeringens. I promemorian föreslås dock inte att det ska upplysas om att personuppgifter får behandlas även för att bedriva omvärldsbevakning och genomföra internationella jämförelser. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Sveriges advokatsamfund anser att de yttre ramarna för lagförslagets tillämpningsområde bör vara mer konkretiserade. Etikprövningsmyndigheten saknar bestämmelser om bl.a. omvärldsbevakning och framför att ändamålen inte fullt ut tar sikte på verksamheten hos Myndigheten för vård- och omsorgsanalys enligt instruktionen. Kammarrätten i Stockholm noterar att ändamålsbestämmelsen i 6 § korresponderar med sekretessbestämmelsen i 7 § offentlighets- och sekretessförordningen (2009:641) och framför att detta upplägg kan leda till frågor om vad som utgör tillåten behandling t.ex. vad gäller omvärldsbevakning. Myndigheten för vård- och omsorgsanalys, Kammarrätten i Stockholm och Lunds universitet föreslår att paragrafens andra stycke omformuleras så att det klart framgår att personuppgifter även får användas för att framställa statistik. Skälen för regeringens förslag Ett fastställt ändamål är en grundläggande förutsättning för behandlingen Personuppgifter ska enligt artikel 5.1 b i EU:s dataskyddsförordning samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Denna princip kallas för principen om ändamålsbegränsning. Möjligheten att senare behandla personuppgifterna för andra ändamål är begränsad. Den registrerade skyddas därigenom mot oväntad och integritetskränkande behandling av de personuppgifter som har samlats in. I skäl 39 i EU:s dataskyddsförordning klargörs att de specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Utifrån ändamålet avgörs vilka personuppgifter som får behandlas (artikel 5.1 c) och den registrerade har rätt att få information om ändamålet (artiklarna 13.1 c, 14.1 c och 15.1 a). Även lämplig säkerhetsnivå bestäms utifrån bl.a. behandlingens ändamål (artikel 32.1). Ändamålet bestäms av den personuppgiftsansvarige, i EU-rätt eller i nationell rätt (artikel 4.7). Lagstiftning som begränsar tillämpningsområdet för de rättigheter och skyldigheter som följer av EU:s dataskyddsförordning, däribland rätten att invända mot behandling, ska innehålla specifika ändamålsbestämmelser när så är relevant (artikel 23.2 a). I den nu föreslagna lagen bedöms det vara relevant att införa ändamålsbestämmelser för att på ett tydligt sätt ange de ramar inom vilka behandling av personuppgifter är tillåten. De föreslagna ändamålsbestämmelserna är sådana specifika bestämmelser som anpassar tillämpningen av EU:s dataskyddsförordning och säkerställer en laglig och rättvis behandling. Därmed är de tillåtna i nationell rätt enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning. De primära ändamålen bör avse sådana undersökningar och utvärderingar som myndigheten har i uppdrag att göra I avsnitt 6 beskrivs Myndigheten för vård- och omsorgsanalys behov av att behandla personuppgifter för att kunna utföra sitt uppdrag på ett ändamålsenligt sätt. Där framgår att myndigheten har behov av att i olika sammanhang behandla ett relativt stort antal personuppgifter på olika sätt. Exakt vilka kategorier av personuppgifter som myndigheten behöver behandla, vilka registrerade som berörs, hur uppgifterna behöver behandlas och för vilka konkreta ändamål beror på de specifika förutsättningarna i varje projekt. Gemensamt för alla behandlingar av personuppgifter i myndighetens kärnverksamhet är dock att de ska ske inom ramen för det uppdrag som regleras i instruktionen. Regeringen bedömer därför att det är lämpligt att myndighetens instruktionsreglerade uppdrag utgör utgångspunkt för utformningen av den primära ändamålsbestämmelsen i lagen. Enligt 7 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, gäller sekretess för uppgifter om enskildas personliga och ekonomiska förhållanden i Myndigheten för vård- och omsorgsanalys undersökningar om vårdens och omsorgens funktionssätt, undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, utvärderingar av information om vård och omsorg som lämnas till enskilda och utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Sekretessbestämmelsen är utformad för att möjliggöra för myndigheten att få tillgång till sådana uppgifter som den behöver för att följa upp och analysera verksamheter inom sitt ansvarsområde. Det bedöms vara lämpligt att formulera bestämmelsen om de primära ändamålen på liknande sätt som bestämmelsen i 7 § OSF eftersom sekretessbestämmelsen på ett överskådligt sätt ringar in de ändamål för vilka myndigheten behöver behandla uppgifter. En sådan ändamålsbestämmelse bedöms täcka in alla behandlingar av personuppgifter som Myndigheten för vård- och omsorgsanalys behöver göra för att utföra sitt kärnuppdrag. Uttrycken undersökningar och utvärderingar i den föreslagna lagen bör förstås på samma sätt som i 7 § OSF. Det finns dock ingen definition av dessa uttryck i OSF. Enligt Svensk ordbok utgiven av Svenska Akademien definieras undersöka som att noggrant studera för att skaffa fram fakta om en viss, vanligen sammansatt företeelse i fråga om dess uppbyggnad, funktionssätt etc. Utvärdera definieras i samma ordbok som att noggrant bedöma värdet av (resultatet av) ny verksamhet eller dylikt. Genom att utforma den primära ändamålsbestämmelsen utifrån omfattningen av den sekretess som gäller i myndighetens analysverksamhet säkerställs dessutom ett starkt sekretesskydd för samtliga personuppgifter som får behandlas enligt den lag som nu föreslås. Mot bakgrund av hur 7 § OSF är utformad bedömer regeringen att det är lämpligt att i lagen ange att Myndigheten för vård- och omsorgsanalys får behandla personuppgifter om det är nödvändigt för undersökningar om vårdens och omsorgens funktionssätt, undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, utvärderingar av information om vård och omsorg som lämnas till enskilda och utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Den primära ändamålsbestämmelse som nu föreslås bedöms utgöra en lämplig begränsning av myndighetens personuppgiftsbehandling, givet att det med hänsyn till myndighetens breda uppdrag inte är möjligt att på förhand i lag uttömmande ange konkreta ändamål för myndighetens personuppgiftsbehandling. Regeringen bedömer att det inte är lämpligt att ytterligare konkretisera ramarna för lagförslagets tillämpningsområde som Sveriges advokatsamfund förordar. Myndigheten för vård- och omsorgsanalys bör dock i de flesta fall, på samma sätt som exempelvis Rättsmedicinalverket och Utbetalningsmyndigheten, formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet för att leva upp till kraven i EU:s dataskyddsförordning på särskilda, uttryckligt angivna och berättigade ändamål (jfr prop. 2019/20:106 s. 39 och prop. 2022/23:34 s. 124). Det bör införas en upplysning om att personuppgifter får behandlas för att framställa statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser Myndigheten för vård- och omsorgsanalys ansvarar inte för framställning av officiell statistik enligt lagen (2001:99) och förordningen (2001:100) om den officiella statistiken. För att myndigheten ska kunna genomföra undersökningar och uppföljningar i enlighet med sin instruktion behöver den dock bearbeta information på olika sätt, bl.a. genom att framställa statistik. Enligt skäl 162 i EU:s dataskyddsförordning avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Det statistiska resultatet kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett statistiskt ändamål innebär att resultatet av behandlingen av personuppgifter inte består av personuppgifter, utan av aggregerade uppgifter, och att resultatet eller personuppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person. Regeringen har uttalat att med statistik avses metoder för att samla in, bearbeta, utvärdera och analysera data eller information (prop. 2017/18:107 s. 19). Även resultatet av ett sådant arbete, ofta redovisat i numerisk form, benämns ofta statistik. Regeringen har också uttryckt att personuppgifter, med stöd av artikel 6.1 e i EU:s dataskyddsförordning, kan samlas in och i övrigt behandlas utan samtycke från de registrerade vid sådan statistikverksamhet som är nödvändig för att t.ex. en myndighet ska kunna utföra sitt fastställda uppdrag, även om statistik inte uttryckligen nämns i myndighetens uppdrag (prop. 2017/18:105 s. 122). Myndigheten för vård- och omsorgsanalys behöver framställa viss statistik för att säkerställa att resultaten av undersökningar och utvärderingar blir relevanta och tillräckligt säkra. I flera fall behöver statistiska metoder användas för insamling, bearbetning, redovisning och analys. Myndigheten bedriver allmänt utredande verksamhet i fråga om förhållanden i hälso- och sjukvården, tandvården och omsorgen. Det förekommer alltså inte myndighetsutövning och inte heller någon annan handläggning eller något annat beslutsfattande som rör enskilda personer eller organ. Myndighetens verksamhet är oberoende och resultaten av myndighetens analyser utformas inte för att tjäna vissa syften, även om avsikten är att regeringen ska kunna använda dem som kunskapsunderlag. Resultatet av myndighetens behandling av personuppgifter består vidare inte av personuppgifter, utan av avidentifierade och aggregerade uppgifter. Dessutom offentliggörs myndighetens resultat så att de är lätt åtkomliga för patienter, brukare och andra medborgare. Stora delar av Myndigheten för vård- och omsorgsanalys analysverksamhet bör därmed kunna anses ske för statistiska ändamål (jfr prop. 1991/92:118 s. 12–14). Även vid utlämnande av uppgifter som skyddas av statistiksekretess kan det vara relevant att bedöma om uppgifterna ska behandlas för statistikändamål, utifrån hur begreppet ska förstås enligt den lagstiftningen (se 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen [2009:400], förkortad OSL, prop. 1994/95:200 s. 38, prop. 2013/14:162 s. 8–11 och SOU 2018:52 s. 253–256). Den framställning av statistik som Myndigheten för vård- och omsorgsanalys genomför får anses ske inom ramen för myndighetens kärnuppdrag som i dag framgår av 1–3 §§ instruktionen, eftersom det är nödvändigt att framställa statistik för att utföra dessa. Därmed sker framställning av statistik också inom ramen för de föreslagna primära ändamålen. För de aktörer som kan komma att lämna ut uppgifter till Myndigheten för vård- och omsorgsanalys, som Socialstyrelsen och Statistiska centralbyrån (SCB) och andra som berörs av myndighetens personuppgiftsbehandling, är det viktigt att det är tydligt att myndigheten får behandla personuppgifter för statistikändamål. Även för den enskilde är det viktigt att det tydligt framgår hur myndigheten får behandla hans eller hennes personuppgifter. Därför bör det införas en upplysning i den nu föreslagna lagen om att myndigheten får behandla personuppgifter för att framställa statistik inom ramen för sådana undersökningar och utvärderingar som avses i den föreslagna bestämmelsen om de primära ändamålen. Inom de föreslagna ändamålen bedöms även den omvärldsbevakning och de internationella jämförelser myndigheten gör inom sitt verksamhetsområde (jfr 3 § 3 instruktionen) rymmas. Omvärldsbevakning utförs för att få uppslag till undersökningar eller utvärderingar och utgör därmed en förutsättning för myndighetens kärnverksamhet. Myndighetens omvärldsbevakning kan exempelvis handla om att ta del av nyhetsbrev, artiklar, rapporter, litteratur och tips från allmänheten. Internationella jämförelser gör myndigheten bl.a. inom ramen för arbetet med den årliga studien International Health Policy Survey. Myndigheten behandlar personuppgifter för omvärldsbevakningar eller internationella jämförelser när behandlingen är nödvändig för sådana undersökningar eller utvärderingar som anges i den föreslagna ändamålsbestämmelsen. Etikprövningsmyndigheten saknar bestämmelser om bl.a. omvärldsbevakning och anser att ändamålen inte fullt ut tar sikte på verksamheten hos Myndigheten för vård- och omsorgsanalys enligt instruktionen, och Kammarrätten i Stockholm bedömer att den föreslagna ändamålsbestämmelsen kan leda till frågor om vad som utgör tillåten behandling t.ex. vad gäller omvärldsbevakning. Regeringen anser att det är viktigt att det med tillräcklig tydlighet framgår att omvärldsbevakning och arbetet med internationella jämförelser omfattas av ändamålen i den föreslagna lagen. En upplysning om detta bör därför föras in i bestämmelsen. Regeringen bedömer dock att någon motsvarande upplysning inte bör föras in vad gäller den planering som myndigheten gör i samband med de undersökningar och utredningar som avses i bestämmelsen. Planering av myndighetens verksamhet får anses ha ett sådant grundläggande samband med de undersökningar och utvärderingar som myndigheten ska genomföra att en sådan upplysning inte är nödvändig. Regeringen anser att en sådan redaktionell ändring, så som Myndigheten för vård- och omsorgsanalys, Kammarrätten i Stockholm och Lunds universitet föreslår, också bidrar till att göra bestämmelsen tydligare. Sammanfattningsvis anser regeringen därför att det i bestämmelsens andra stycke bör upplysas om att personuppgifter får behandlas även för statistik, omvärldsbevakning och internationella jämförelser. Sekundära ändamål Regeringens förslag: Personuppgifter som behandlas enligt de primära ändamålen ska även få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Promemorians förslag överensstämmer med regeringens. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Lunds universitet för fram att de gärna ser en diskussion om möjligheterna för andra aktörer att begära ut och återanvända registeruppgifter. Skälen för regeringens förslag: Myndigheten för vård- och omsorgsanalys lämnar endast i begränsad omfattning ut personuppgifter. I vissa fall finns dock behov av att behandla personuppgifter för att lämna ut uppgifterna till en annan myndighet eller någon annan i överensstämmelse med lag och förordning, exempelvis vid utlämnande till andra myndigheter eller till forskare för statistik- eller forskningsändamål. Myndigheten för vård- och omsorgsanalys kan med stöd av EU:s dataskyddsförordning behandla personuppgifter för att lämna ut uppgifter, antingen med stöd av artikel 6.1 c (rättslig förpliktelse) eller med stöd av artikel 6.1 e (uppgift av allmänt intresse). En bestämmelse som anger att personuppgifter får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning gör det tydligare för den registrerade att personuppgifter kan behandlas även för detta ändamål och kan därmed ses som en integritetshöjande åtgärd i förhållande till EU:s dataskyddsförordning. Uppgifter som kan bli aktuella att behandla för att fullgöra uppgiftslämnande bör enbart vara sådana uppgifter som redan är föremål för behandling enligt den primära ändamålsbestämmelsen. Myndigheten för vård- och omsorgsanalys omfattas inte av någon sådan uttrycklig uppgiftsskyldighet som avses i 10 kap. 28 § OSL, men myndigheten kan lämna ut uppgifter i syfte att bl.a. fullgöra serviceskyldigheten gentemot enskilda enligt förvaltningslagen. Myndigheten kan också lämna ut uppgifter enligt 6 kap. 5 § OSL som innebär att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (jfr prop. 2014/15:148 s. 41 och 42). Den nu föreslagna bestämmelsen om sekundära ändamål innebär inte några utökade möjligheter för myndigheten att lämna ut personuppgifter i förhållande till vad som gäller i dag. Vid uppgiftslämnande är den viktigaste frågan ur ett integritetsperspektiv om uppgifterna över huvud taget ska lämnas ut. Den frågan aktualiseras redan när en bestämmelse som fastställer en skyldighet eller tillåter ett utlämnande införs. Det får förutsättas att det då görs en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet. Den avvägningen säkerställer att den rättsliga grunden uppfyller ett mål av allmänt intresse och är proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i EU:s dataskyddsförordning). Ett utlämnande av personuppgifter som sker i överensstämmelse med lag eller förordning får alltså anses uppfylla kraven i artikel 6 i EU:s dataskyddsförordning. En ändamålsbestämmelse med det föreslagna innehållet får regleras i nationell rätt (artikel 6.2 och 6.3). Avvägningen säkerställer också att den behandling av personuppgifter som utlämnandet innebär är proportionerlig i enlighet med regeringsformens krav (2 kap. 6, 20 och 21 §§ RF). Frågan om andra aktörers möjlighet att återanvända registeruppgifter, som Lunds universitet lyfter, faller utanför ramen för detta lagstiftningsärende. Regeringen konstaterar att uppgifter kan lämnas ut från Myndigheten för vård- och omsorgsanalys i de fall dataskyddsregleringen och sekretesslagstiftningen tillåter detta. Sammanfattningsvis anser regeringen att Myndigheten för vård- och omsorgsanalys ska få behandla sådana personuppgifter som behandlas för primära ändamål för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Finalitetsprincipen Regeringens bedömning: Det bör inte införas en bestämmelse som ger uttryck för finalitetsprincipen. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser instämmer i bedömningen eller har inget att invända mot den. Region Stockholm och SKPF Pensionärerna anser att det bör övervägas att införa en bestämmelse som ger uttryck för finalitetsprincipen. Skälen för regeringens bedömning: Enligt artikel 5.1 b i EU:s dataskyddsförordning ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. I artikel 6.4 i EU:s dataskyddsförordning beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. Principen om att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål brukar kallas finalitetsprincipen. Flera registerlagar innehåller bestämmelser som ger uttryck för finalitetsprincipen genom att ange att personuppgifter som behandlas för något av de i lagen angivna ändamålen även får behandlas för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Sådana bestämmelser finns bl.a. i 9 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och i 2 kap. 2 § lagen om Rättsmedicinalverkets behandling av personuppgifter. Bestämmelser som ger uttryck för finalitetsprincipen har införts av tydlighetsskäl och avser främst att klargöra att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen (se t.ex. prop. 2018/19:151 s. 24 och prop. 2019/20:106 s. 40). I den föreslagna lagen föreslås det primära ändamålet vara så brett att det täcker Myndigheten för vård- och omsorgsanalys kärnuppdrag. Som en följd av detta bör det inte finnas anledning att behandla personuppgifter för andra ändamål än de som anges i lagen. Region Stockholm och SKPF Pensionärerna anser att det bör övervägas att i lagen införa en bestämmelse som ger uttryck för finalitetsprincipen. Det breda primära ändamålet i lagen avses att specificeras genom att Myndigheten för vård- och omsorgsanalys ska ange syftet med varje projekt (12 § i förslaget). Av finalitetsprincipen följer inte bara att det är möjligt att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen utan också att det är möjligt att behandla personuppgifter för andra ändamål än de specificerade ändamål som myndigheten fastställer vid insamlingstillfället. I avsnitt 7.10 föreslås att personuppgifter ska få behandlas i ett annat projekt än det som de samlats in i om behandlingen är nödvändig för att kunna helt eller delvis upprepa eller följa upp projektet. Behandling i båda projekten sker med stöd av samma ändamålsbestämmelse i den föreslagna lagen, men eftersom Myndigheten för vård- och omsorgsanalys fastställer ändamål för varje enskild undersökning är en förutsättning för behandling i ett annat projekt trots detta att behandlingen också är förenlig med finalitetsprincipen. Finalitetsprincipens tillämpning riskerar därför att bli otydlig om det, i enlighet med utformningen i andra registerförfattningar, endast ges uttryck för den i förhållande till lagens ändamålsbestämmelser. Att i lagen återge finalitetsprincipen bedöms inte heller som nödvändigt. För tillämparen finns det risk att det blir missvisande att endast återge vissa bestämmelser i EU:s dataskyddsförordning när även övriga bestämmelser i förordningen gäller. Det bör enligt regeringen därför inte införas någon bestämmelse som ger uttryck för finalitetsprincipen i lagen. Behandling av känsliga personuppgifter Regeringens förslag: Känsliga personuppgifter ska få behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Kammarrätten i Stockholm anser att det är otydligt om behandlingen av känsliga personuppgifter får ske för både de primära och de sekundära ändamålen. Skälen för regeringens förslag Särskilda kategorier av uppgifter är samma sak som känsliga personuppgifter Av artikel 9.1 i EU:s dataskyddsförordning framgår att behandling av särskilda kategorier av personuppgifter, sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, är förbjuden. I svensk rätt kallas sådana uppgifter för känsliga personuppgifter (se t.ex. 3 kap. 1 § dataskyddslagen). I förarbetena till dataskyddslagen anges att det tidigare begreppet känsliga personuppgifter används eftersom det begreppet är väl inarbetat, även på EU-nivå, och dessutom språkligt enklare att använda och förstå än begreppet särskilda kategorier av personuppgifter, inte minst i författningstext (prop. 2017/18:105 s. 75). Även i den lag som nu föreslås bör därför begreppet känsliga personuppgifter användas. Förbudet i artikel 9.1 i EU:s dataskyddsförordning kompletteras av ett antal undantag i artikel 9.2, som anger när behandling av känsliga personuppgifter trots allt är tillåten eller kan tillåtas. Några av undantagen är direkt tillämpliga medan andra kräver viss reglering i den nationella lagstiftningen för att behandling av känsliga personuppgifter ska få ske. I 3 kap. dataskyddslagen finns kompletterande bestämmelser om behandling av känsliga personuppgifter. Myndigheten bedöms ha behov av att behandla känsliga personuppgifter om hälsa Som konstateras i avsnitt 6 behöver Myndigheten för vård- och omsorgsanalys, för att kunna utföra sitt uppdrag på ett ändamålsenligt sätt, behandla ett stort antal personuppgifter, däribland känsliga personuppgifter. För att kunna följa upp och analysera hälso- och sjukvården och sådana delar av omsorgen där hälsotillståndet är relevant för omsorgsinsatsen behöver myndigheten analysera personuppgifter om hälsa. Uppgifter om hälsa definieras i artikel 4.15 i EU:s dataskyddsförordning som personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. Myndighetens behov kan handla om övergripande uppgifter om vårdområden eller mer specifika uppgifter om diagnoser, funktionsnedsättningar, vård- och omsorgsbehov, vård- och omsorgsinsatser, uppgifter om patienters och brukares upplevelser samt medicinska resultat. Det förekommer exempelvis att myndigheten ges i uppdrag av regeringen att följa upp en viss statlig satsnings effekter eller att granska en viss typ av vård- eller omsorgsverksamhet. I sådana fall behöver myndigheten ofta behandla uppgifter om berörda patient- och brukargrupper eller relevanta uppgifter om det specifika vårdområdet i fråga. För att myndighetens analyser ska bli tillräckligt relevanta krävs ofta uppgifter på så detaljerad nivå att det är fråga om personuppgifter. Uppgifterna kan samlas in på olika sätt, exempelvis från register hos Socialstyrelsen, från patientjournaler eller direkt från de enskilda vid intervju- eller enkätstudier. Myndigheten behöver dock inte alltid behandla direkt hänförliga personuppgifter. Myndigheten bedöms ha behov av att behandla känsliga personuppgifter om etniskt ursprung I vissa fall finns det behov av att beakta uppgifter om medborgarskap eller ursprungsland i myndighetens analyser för att kunna se om vården och omsorgen skiljer sig åt mellan olika grupper utifrån sådana faktorer. En isolerad uppgift om exempelvis medborgarskap anses normalt inte avslöja etniskt ursprung. Skulle emellertid en sådan uppgift i det enskilda fallet avslöja etniskt ursprung faller den in under förbudet (jfr prop. 2009/10:85 s. 325). Det kan i vissa fall också vara relevant att beakta uppgifter om modersmål i analysarbetet, t.ex. för att studera om språkliga faktorer påverkar insatser eller resultat i vården och omsorgen. Även sådana uppgifter torde i vissa enskilda fall kunna betraktas som uppgifter om etniskt ursprung. Uppgifter om medborgarskap eller ursprungsland skulle kunna ingå i beställningar av registeruppgifter från Statistiska centralbyrån (SCB) och därmed samlas in i samband med registerstudier. Uppgifter om modersmål skulle kunna framgå i samband med intervjuundersökningar med enskilda eller ingå i patientjournaler eller personakter från socialtjänsten som myndigheten begär ut. Myndigheten bedöms ha behov av att behandla känsliga personuppgifter om sexuell läggning och sexualliv Myndigheten har ett visst behov av att analysera personuppgifter om sexuell läggning och sexualliv. Uppgifter om sådana förhållanden skulle kunna utläsas ur vissa uppgifter om hälsa, vård eller boendeförhållanden eller förhållanden till anhöriga som myndigheten behöver analysera. Om myndigheten exempelvis ska följa upp och analysera vården inom ett vårdområde som uteslutande eller nästintill uteslutande ges till personer av viss sexuell läggning, kan för analysen relevanta uppgifter om vården även avslöja uppgifter om sexuell läggning. Vilka som har tagit del av vård på ett visst vårdområde kan exempelvis framgå av uppgifter som myndigheten begär ut från Socialstyrelsens hälsodataregister. Oftast behöver myndigheten endast ta del av sådana uppgifter utan uppgift om namn eller personnummer till enskilda, men i kombination med andra uppgifter finns en risk för att enskilda trots det kan identifieras indirekt. Även vid undersökningar av anhörigas roll i vården och omsorgen skulle det kunna bli relevant att hantera uppgifter om sexuell läggning, t.ex. i intervjuer eller enkätundersökningar vid behandling av namn eller kontaktuppgifter till den anhörige och uppgift om dennes relation till en patient eller brukare. Namnuppgifter om make, sambo eller partner har av EU-domstolen ansetts avslöja uppgifter om sexuell läggning (se punkt 117–128 i EU-domstolens dom i målet Vyriausioji tarnybines etikos komisija, C-184/20). Uppgifter om sexuell läggning kan också behöva behandlas för att studera om det finns skillnader i vården och omsorgen beroende på sexuell läggning. Uppgifter om sexualliv kan exempelvis behöva behandlas inom ramen för analyser av vården i samband med könsbyte. Datalagskommittén, vars förslag låg till grund för den tidigare gällande personuppgiftslagen (1998:204), bedömde att en uppgift om att någon har bytt kön förmodligen är en uppgift som kan anses röra den personens hälsa eller sexualliv (SOU 1997:39 s. 371). Uppgifter om sexualliv skulle också kunna behöva behandlas i undersökningar eller uppföljningar om ungdomsmottagningars eller barnmorskemottagningars verksamhet. Uppgifter om vilka som har fått vård i samband med könsbyte eller vård vid ungdomsmottagningar och barnmorskemottagningar kan framgå av registerdata som finns hos bl.a. Socialstyrelsen. I det material som Myndigheten för vård- och omsorgsanalys behöver ta del av kan det finnas personuppgifter om sådana förhållanden, även om myndigheten oftast inte behöver ta del av direkt hänförliga uppgifter som namn eller personnummer. Myndigheten bedöms ha behov av att behandla känsliga personuppgifter om religiös eller filosofisk övertygelse Även uppgifter om religiös eller filosofisk övertygelse kan i vissa fall behöva behandlas av myndigheten, t.ex. för att det ska vara möjligt att studera om vården eller omsorgen skiljer sig åt mellan olika grupper utifrån sådana faktorer. Sådana uppgifter kan också behöva behandlas i undersökningar om socialtjänstens verksamhet där barns och ungas uppväxtmiljö, vilket bl.a. kan innefatta kontakter med olika församlingar eller samfund, har haft betydelse för beslutade insatser. Uppgifterna kan exempelvis finnas i personakter från socialtjänsten som Myndigheten för vård- och omsorgsanalys behöver samla in. Även om behovet av att behandla sådana uppgifter bedöms uppstå vid få tillfällen, bör den lag som nu föreslås ta hänsyn till att det finns ett sådant behov vid myndigheten och att det finns ett värde att behandla sådana uppgifter när behovet uppstår. Myndigheten bedöms ha behov av att inom sina analysområden behandla ovan nämnda personuppgifter för att göra studier om omotiverade skillnader Ovan beskrivs flera skäl till att det är nödvändigt för Myndigheten för vård- och omsorgsanalys att behandla uppgifter om hälsa, etniskt ursprung, sexuell läggning och sexualliv samt religiös och filosofisk övertygelse. Ett skäl som är gemensamt för behovet av alla de kategorierna av personuppgifter är att möjliggöra undersökningar och utvärderingar om omotiverade skillnader och jämlikhet i vården och omsorgen. Enligt 3 kap. 1 § hälso- och sjukvårdslagen (2017:30) är målet för hälso- och sjukvården en god hälsa och en vård på lika villkor för hela befolkningen. Att vården ska vara på lika villkor innebär enligt förarbetena att det i princip bör vara möjligt för alla – oavsett var de bor i landet – att vid behov och på lika villkor få del av hälso- och sjukvårdens tjänster. Därav följer bl.a. att ekonomiska, sociala, språkliga, religiösa, kulturella och geografiska förhållanden inte får hindra den enskilde att erhålla vård (prop. 1981/82:97 s. 27). Motsvarande mål gäller för tandvården (2 § tandvårdslagen [1985:125] och prop. 1984/85:79 s. 14 och 15). Ett av målen för socialtjänsten är enligt 1 kap. 1 § socialtjänstlagen (2001:453) att på demokratins och solidaritetens grund främja människornas jämlikhet i levnadsvillkor. Det är viktigt att Myndigheten för vård- och omsorgsanalys kan följa upp om och hur dessa mål för vården och omsorgen uppfylls och synliggöra omotiverade skillnader på dessa områden. Ett av de analysområden som myndigheten har beslutat om i sin analysplan är en jämlik vård och omsorg utan omotiverade skillnader mellan befolknings- och behovsgrupper (Myndigheten för vård- och omsorgsanalys, Analysplan 2023, s. 46–58). Myndigheten har också publicerat flera rapporter som belyser frågor om jämlikhet i vården och omsorgen utifrån olika dimensioner (se t.ex. Myndigheten för vård- och omsorgsanalys, Ljuset på skillnader – En studie om omotiverade skillnader i LSS-verksamhet, äldreomsorg och socialpsykiatri [rapport 2022:6], Besök via nätet – Resursutnyttjande och jämlikhet kopplat till digitala vårdbesök [rapport 2022:1] och Omotiverat olika – Socioekonomiska och regionala skillnader i cancervården [rapport 2019:8]). För att myndigheten ska ges goda förutsättningar att följa upp och analysera frågor om jämlikhet i vården och omsorgen behöver myndigheten kunna behandla personuppgifter i fråga om hälsa, etniskt ursprung, sexuell läggning och sexualliv samt religiös och filosofisk övertygelse. Känsliga personuppgifter kan utgöra överskottsinformation Myndigheten för vård- och omsorgsanalys har i vissa sammanhang behov av att behandla andra kategorier av känsliga personuppgifter än uppgifter om hälsa, etniskt ursprung, sexuell läggning och sexualliv och religiös och filosofisk övertygelse. Det är dock svårt att förutse och därmed att konkretisera vilka kategorier av känsliga personuppgifter som det kan röra sig om. Detta gäller framför allt i fråga om s.k. journal- eller aktstudier som myndigheten har ett behov av att genomföra i vissa fall (se avsnitt 6). I sådana studier kan myndigheten behöva begära ut ett stort antal patientjournaler från vården eller personakter från socialtjänsten, vars innehåll är svårt att förutse fullt ut. Myndigheten kan känna till att det i sådant material finns uppgifter som är nödvändiga att beakta i en analys, såsom vissa uppgifter om hälsa. Men det kan förekomma att sådant material även innehåller annan information som egentligen inte är relevant för myndigheten att beakta i sina analyser men som behöver samlas in för att andra uppgifter i materialet ska kunna analyseras. För de aktörer som myndigheten skulle begära journalerna och akterna ifrån, riskerar det att bli en i princip omöjlig uppgift att gå igenom dessa för att ta bort sådana uppgifter som Myndigheten för vård- och omsorgsanalys inte behöver analysera. En sådan ordning framstår inte som proportionerlig i förhållande till den integritetsrisk den avser att reducera. Skälet till det är framför allt att de aktörer som myndigheten främst skulle begära journaler och akter ifrån skulle vara kommuner, regioner och privata utförare i vården och omsorgen, vilka redan har en hög arbetsbelastning. Om den utlämnande aktören skulle gå igenom samtliga journaler eller akter och ta bort känsliga personuppgifter som myndigheten inte har behov av att analysera, skulle en sådan genomgång i sig dessutom innebära ett intrång i den personliga integriteten. Det finns också risker för att en sådan ordning gör myndigheten beroende av den utlämnande aktörens urval av uppgifter. Det skulle vara problematiskt utifrån att en av grundförutsättningarna för myndigheten är att den ska vara oberoende i förhållande till exempelvis vårdgivare och andra intressenter, vilket framhölls i direktiven för inrättandet av myndigheten (dir. 2010:58). Risken finns också att uppgifter som faktiskt behövs för myndighetens arbete med undersökningar och utvärderingar skulle tas bort före utlämnande. För att det ska vara möjligt för Myndigheten för vård- och omsorgsanalys att göra journal- eller aktstudier bedöms det därför vara nödvändigt att utlämnande aktörer kan lämna ut materialet i dess helhet och att myndigheten kan ta emot det. Eftersom myndigheten har till uppdrag att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg behöver myndigheten kunna ta del av sådana uppgifter som förekommer i de verksamheterna. Att begränsa vilka kategorier av känsliga personuppgifter som myndigheten får behandla skulle begränsa myndighetens möjligheter att följa upp och analysera verksamheter och förhållanden enligt myndighetens instruktion. Även i vissa andra typer av studier skulle det kunna förekomma att myndigheten behöver samla in uppgifter som den inte har behov av att analysera för sina undersökningar och utvärderingar. Det handlar om enkät- och intervjustudier där det i vissa fall kan vara svårt att förutse vilka uppgifter som kommer in till myndigheten. Myndigheten kan och bör, i enlighet med uppgiftsminimeringsprincipen i artikel 5.1 c i EU:s dataskyddsförordning, vidta nödvändiga åtgärder för att se till att det inte samlas in fler uppgifter än nödvändigt. Det kan handla om att i enkäter och intervjuer tydligt ange vilka uppgifter som är av intresse för myndigheten och att noggrant överväga vilka intervjuer som behöver spelas in och vilka som i stället kan dokumenteras genom anteckningar, vilket innebär en lägre risk för att registrera överskottsinformation. Samtidigt är det svårt att fullt ut kunna förutse vilka uppgifter som kan komma in i exempelvis ett enkätsvar eller vad en enskild kommer att säga vid en intervju som spelas in. Även i sådana typer av studier är det alltså svårt att på förhand helt kunna konkretisera vilka personuppgifter myndigheten behöver behandla. Det kan även vara svårt att förutse vilka kategorier av känsliga personuppgifter som finns i artiklar, rapporter och litteratur som myndigheten behöver ta del av, även om sådant material sällan innehåller känsliga personuppgifter. Behandling av känsliga personuppgifter för ett viktigt allmänt intresse Enligt artikel 9.2 g i EU:s dataskyddsförordning får känsliga person-uppgifter behandlas om behandling är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Artikel 9.2 g i EU:s dataskyddsförordning är direkt tillämplig, men det är enligt artikel 6.2 och 6.3 möjligt för medlemsstaterna att i nationell rätt införa mer specifika bestämmelser även avseende känsliga personuppgifter. Myndigheten för vård- och omsorgsanalys uppdrag regleras i nationell rätt genom instruktionen. I förarbetena till dataskyddslagen gör regeringen bedömningen att det är ett viktigt allmänt intresse att myndigheterna kan sköta sitt uppdrag på ett korrekt, rättssäkert och effektivt sätt (prop. 2017/18:105 s. 85). När Myndigheten för vård- och omsorgsanalys behandlar känsliga personuppgifter som är nödvändiga för att utföra de uppgifter som ålagts myndigheten i dess instruktion rör det sig således om en sådan behandling som avses i artikel 9.2 g i EU:s dataskyddsförordning, dvs. en behandling som är av ett viktigt allmänt intresse på grundval av nationell rätt. I 3 kap. 3 och 4 §§ dataskyddslagen regleras myndigheters behandling av känsliga personuppgifter för ett viktigt allmänt intresse. Där framgår att känsliga personuppgifter, med stöd av artikel 9.2 g i EU:s dataskyddsförordning, får behandlas av en myndighet om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1), om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2) eller, i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3). I vissa fall kan myndigheten behandla personuppgifter enligt 3 kap. 3 § första stycket 1 dataskyddslagen, för att uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, exempelvis enligt offentlighets- och sekretesslagen. Myndigheten bör däremot inte kunna behandla känsliga personuppgifter i sin kärnverksamhet enligt 3 kap. 3 § första stycket 2 dataskyddslagen, som rör sådan behandling som är nödvändig för handläggningen av ett ärende. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande från myndighetens sida som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Uttrycket handläggning innefattar alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det avslutas (prop. 2017/18:105 s. 87 och prop. 2016/17:180 s. 23–25 och 286). Myndigheten för vård- och omsorgsanalys uppgift är att undersöka allmänna förhållanden och att analysera och följa upp viss verksamhet på ett generellt plan. Myndighetens arbete är inte avsett att få några faktiska verkningar i enskilda fall på det sätt som avses i förarbetena. Därför kan myndighetens verksamhet inte anses utgöra sådan verksamhet som har anknytning till ett särskilt ärende i den mening som avses i 3 kap. 3 § första stycket 2 dataskyddslagen. Hanteringen av personuppgifter inom myndighetens kärnverksamhet kan inte heller ske med stöd av det undantag som avser ett viktigt allmänt intresse när behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet, eftersom 3 kap. 3 § 3 dataskyddslagen inte är avsedd att tillämpas slentrianmässigt i den löpande verksamheten (prop. 2017/18:105 s. 194). Dataskyddslagen bedöms därmed inte ge tillräckliga förutsättningar för all den behandling av känsliga personuppgifter som behöver utföras vid Myndigheten för vård- och omsorgsanalys. För att myndigheten ska kunna behandla känsliga personuppgifter i sin kärnverksamhet, krävs således att en särskild bestämmelse om detta införs i den föreslagna lagen. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten innebär, i likhet med vad som gäller enligt artikel 6.3 i EU:s dataskyddsförordning, att uppgiften av viktigt allmänt intresse ska ha stöd i rättsordningen (prop. 2017/18:105 s. 49–52 och s. 84). För Myndigheten för vård- och omsorgsanalys är kravet på en rättslig grund uppfyllt i fråga om behandlingar som sker för de ändamål som anges i lagen (se avsnitt 7.6.1). Kravet på att den rättsliga grunden ska vara förenlig med det väsentliga innehållet i rätten till dataskydd bedöms inte tillföra något utöver de krav som gäller enligt artikel 6 i EU:s dataskyddsförordning (prop. 2017/18:105 s. 84). Som framgår av avsnitt 8 bedöms kravet på proportionalitet vara uppfyllt. Lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen föreslås i avsnitt 7.9–7.14. För att det ska vara tillåtet att behandla känsliga personuppgifter enligt artikel 9.2 g i EU:s dataskyddsförordning måste behandlingen vara nödvändig av hänsyn till det viktiga allmänna intresset. Kravet på nödvändighet i artikel 9 innebär detsamma som kravet på nödvändighet i artikel 6 (prop. 2017/18:105 s. 75 och 76). Att behandlingen ska vara nödvändig innebär således inte att det måste vara omöjligt att utföra uppdraget om inte känsliga personuppgifter behandlas. Behandling av känsliga personuppgifter kan alltså anses nödvändig om den medför effektivitetsvinster, även om arbetsuppgiften skulle kunna utföras utan att personuppgifter behandlas på ett visst sätt. När behandlingen av känsliga personuppgifter tillför relevant information till Myndigheten för vård- och omsorgsanalys undersökningar och utvärderingar och undersökningarna och utvärderingarna inte kan utföras lika effektivt utan uppgifterna, får behandlingen anses nödvändig i den mening som avses i artikel 9.2 g i EU:s dataskyddsförordning. Även sådana uppgifter som egentligen utgör överskottsinformation i förhållande till vad myndigheten behöver analysera får anses nödvändiga att behandla, om de behöver samlas in för att uppgifter som är nödvändiga att analysera ska kunna samlas in av myndigheten, såsom uppgifter som finns i akter och journaler. Vad som är nödvändigt med hänsyn till ändamålet med behandlingen måste dock avgöras i varje enskilt fall, varvid EU:s dataskyddsförordnings grundläggande principer om bl.a. uppgiftsminimering (artikel 5.1 c) och lagringsminimering (artikel 5.1 e) behöver beaktas för att säkerställa att inte fler uppgifter än nödvändigt samlas in. En särskild bestämmelse om behandling av känsliga personuppgifter vid myndigheten gör det tydligt att myndigheten har ett stöd för den behandling av uppgifter som är nödvändig i myndighetens verksamhet. Myndighetens personuppgiftsbehandling kommer vidare att innebära betydande intrång i enskildas personliga integritet som måste förenas med särskilda skyddsåtgärder (se avsnitt 6). En ökad tydlighet skapar förutsättningar för myndigheten att utföra sitt uppdrag på bästa möjliga sätt, utan att rättslig osäkerhet begränsar arbetet. Tydligheten bidrar också till transparens i förhållande till exempelvis de registrerade, tillsynsmyndigheten och de aktörer som lämnar uppgifter till myndigheten. Sammantaget gör regeringen bedömningen att det i lagen bör införas en bestämmelse som anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen. Kammarrätten i Stockholm anser att det är otydligt om behandlingen av känsliga personuppgifter får ske för både de primära och de sekundära ändamålen. Med uttrycket ändamålet med behandlingen avses behandling som utförs både med stöd av den primära och med stöd av den sekundära ändamålsbestämmelsen. Bestämmelsen utgör en sådan specifik bestämmelse som är tillåten enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning. Hänvisningen till artikel 9.2 g i EU:s dataskyddsförordning bör vara dynamisk, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i EU:s dataskyddsförordning får omedelbart genomslag. Det finns även visst utrymme för myndigheten att tillämpa andra undantag Ovan bedöms att behandling av känsliga personuppgifter hos Myndigheten för vård- och omsorgsanalys kan ske med stöd av undantaget för ett viktigt allmänt intresse i artikel 9.2 g i EU:s dataskyddsförordning. Därutöver kan det, beroende på omständigheterna i det enskilda fallet, finnas andra undantag från förbudet att behandla känsliga personuppgifter som skulle kunna aktualiseras i Myndigheten för vård- och omsorgsanalys kärnverksamhet, bl.a. uttryckligt samtycke enligt artikel 9.2 a i EU:s dataskyddsförordning. En prövning av om det undantaget kan tillämpas måste dock göras i varje enskilt fall. Att tillämpa undantaget för uttryckligt samtycke i artikel 9.2 a i EU:s dataskyddsförordning är ofta förenat med praktiska svårigheter. Det skulle dessutom endast vara möjligt vid vissa typer av undersökningar, t.ex. intervju- och enkätstudier, eftersom möjligheten att på förhand kontakta registrerade för att inhämta ett samtycke inte finns vid exempelvis registerstudier. I ett fåtal situationer, främst vid intervjuer med medlemmar i region- eller kommunfullmäktige eller företrädare för vissa organisationer, bör också undantaget för offentliggjorda uppgifter i artikel 9.2 e i EU:s dataskyddsförordning kunna tillämpas. Någon mer omfattande behandling av personuppgifter kommer myndigheten dock inte kunna utföra med stöd av det undantaget. I förarbetena till dataskyddslagen anges att undantaget för hälso- och sjukvård och social omsorg i artikel 9.2 h i EU:s dataskyddsförordning och 3 kap. 5 § dataskyddslagen kan tillämpas för behandling av känsliga personuppgifter vid Myndigheten för vård- och omsorgsanalys (prop. 2017/18:105 s. 93). Trots förarbetsuttalandet bedöms det råda en viss osäkerhet om i vilken utsträckning Myndigheten för vård- och omsorgsanalys kan tillämpa undantaget i sin verksamhet med undersökningar och utvärderingar, bl.a. eftersom det i förarbetena anges att det är svårt att närmare avgränsa innebörden av begreppet social omsorg (prop. 2017/18:105 s. 93). Även Socialdataskyddsutredningen förde ett resonemang om undantagets tillämplighet i Myndigheten för vård- och omsorgsanalys verksamhet. Utredningen bedömde att myndigheten möjligen i vissa fall skulle kunna sägas bedriva kvalitetskontroll, men att den inte kan anses ingå i förvaltningen av hälso- och sjukvården eller den sociala omsorgen och inte är en hälsovårdsmyndighet i enlighet med vad som avses i skäl 53 i EU:s dataskyddsförordning (SOU 2018:52 s. 139). Enligt regeringen bör Myndigheten för vård- och omsorgsanalys kunna tillämpa undantaget för statistiska ändamål i artikel 9.2 j i EU:s dataskyddsförordning och 3 kap. 7 § dataskyddslagen. Detta gäller under förutsättning att behandlingen är nödvändig för statistiska ändamål och att samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Villkoret att samhällsintresset av statistikprojektet klart ska väga över risken för otillbörligt integritetsintrång utgör en sådan lämplig och särskild åtgärd som avses i artikel 9.2 j i EU:s dataskyddsförordning (prop. 2017/18:105 s. 124). Behandling av personuppgifter som rör lagöverträdelser Regeringens bedömning: Möjligheterna att behandla uppgifter som rör lagöverträdelser bör inte begränsas. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna instämmer i bedömningen eller har inget att invända mot den. Skälen för regeringens bedömning: Enligt artikel 10 i EU:s dataskyddsförordning får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av en myndighet eller då sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. I förarbetena till dataskyddslagen angavs att den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet är direkt tillämplig och i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet (prop. 2017/18:105 s. 99). I linje med detta anges i 3 kap. 8 § dataskyddslagen att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter. Personuppgifter om lagöverträdelser är dock av integritetskänslig karaktär och behandling av sådana uppgifter anses därför som särskilt riskfylld. Av det skälet är behandling av uppgifter om lagöverträdelser särskilt reglerad både i EU:s dataskyddsförordning och i många myndighetsspecifika registerförfattningar. Dessutom har begreppet uppgifter om lagöverträdelser en bredare innebörd i bl.a. 3 § lagen (2003:460) om etikprövning av forskning som avser människor, här benämnd etikprövningslagen, 2 kap. 7 § patientdatalagen och 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten än i artikel 10 i EU:s dataskyddsförordning. I de lagarna regleras behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Mot bakgrund av att behandling av lagöverträdelser, både i den vidare och smalare definitionen, kan anses som särskilt riskfylld bör det övervägas om det ska tas in särskilda begränsningar i fråga om behandling av sådana uppgifter i den lag som nu föreslås. Myndigheten för vård- och omsorgsanalys har endast i begränsad utsträckning behov av att behandla uppgifter om lagöverträdelser. I den mån det finns ett sådant behov är det dock inte möjligt att på förhand på ett tydligt sätt avgränsa i vilka typer av undersökningar eller utvärderingar eller för vilka konkreta ändamål behovet finns. Behov kan exempelvis uppstå för att göra analyser om socialtjänstens brottsförebyggande arbete, arbete med unga lagöverträdare och stöd till brottsutsatta. Behovet kan också uppstå i analyser av vård till personer med missbruksproblematik, vården vid straffrättsliga vårdpåföljder, vård och omsorg vid administrativa frihetsberövanden samt vid studier av samarbetet mellan polis, socialtjänst och hälso- och sjukvård. Många gånger torde det räcka med att myndigheten tar del av helt avidentifierad statistik för sådana studier, men i vissa fall krävs det, för att arbetet ska leda till värdefulla resultat, uppgifter på så pass detaljerad nivå att det kan bli fråga om personuppgifter. Dessutom kan det förekomma uppgifter om lagöverträdelser i sådana akter från socialtjänsten eller patientjournaler som myndigheten i vissa fall kan komma att behöva ta del av. Mot bakgrund av detta bedömer regeringen att det inte är möjligt att införa en bestämmelse som begränsar i vilka typer av undersökningar eller utvärderingar som uppgifter om lagöverträdelser får behandlas eller för vilka konkreta ändamål sådana uppgifter får behandlas. Även om det inte föreslås någon specifik bestämmelse som begränsar behandling av personuppgifter om lagöverträdelser, säkerställs ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder i övrigt som föreslås i denna lag. Uppgifter ska enligt artikel 5.1 c i EU:s dataskyddsförordning vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Denna princip begränsar myndighetens möjligheter att över huvud taget samla in personuppgifter om lagöverträdelser. I den mån sådana uppgifter behandlas ska de, enligt artiklarna 5.1 f och 32.1 i EU:s dataskyddsförordning, omfattas av ett skydd som säkerställer lämplig säkerhet för uppgifterna och lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå i förhållande till risken. Uppgifterna omfattas enligt 24 kap. 8 § andra stycket OSL och 7 § OSF som huvudregel av absolut sekretess i myndighetens verksamhet. Dessutom föreslås i lagen flera skyddsåtgärder som omfattar behandling av personuppgifter om lagöverträdelser. Det föreslås bl.a. att myndigheten redan på förhand ska fastställa vilka kategorier av uppgifter om lagöverträdelser som ska analyseras i ett projekt (se avsnitt 7.11). Uppgifterna får som huvudregel endast behandlas inom ramen för det projekt i vilket de samlas in (se avsnitt 7.10) och direkt hänförliga uppgifter om lagöverträdelser ska som huvudregel kodas (se avsnitt 7.13). Ett starkt skydd för uppgifter om lagöverträdelser säkerställs därmed genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder som föreslås i den nya lagen. Regeringen anser därför att det inte är ändamålsenligt att i den föreslagna lagen införa särskilda begränsningar av möjligheten att behandla personuppgifter om lagöverträdelser. För behandling av sådana uppgifter bör samma begränsningar gälla som för behandling av andra personuppgifter som inte är känsliga personuppgifter. Sökbegränsningar Regeringens förslag: Sökningar ska inte få utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökningar ska dock få utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa, sexualliv eller sexuell läggning om sökningen sker för något av de primära ändamålen. Regeringens bedömning: Det bör inte införas sökbegränsningar i lagen för uppgifter om lagöverträdelser. Promemorians förslag och bedömning överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och instämmer i bedömningen eller har inget att invända mot dem. Justitiekanslern anser att det i den fortsätta beredningen finns anledning att uppmärksamma frågan om s.k. potentiella handlingar. Lunds universitet anser att det bör övervägas om det i bestämmelsen i stället ska räknas upp de kategorier av personuppgifter som Myndigheten för vård- och omsorgsanalys inte får utföra sökningar på för att ge bestämmelsen en rakare och tydligare utformning. Kammarrätten i Stockholm och Lunds universitet framför att hänvisningen till den primära ändamålsbestämmelsen i 6 § leder till oklarheter och kan förefalla överflödig. Region Stockholm framför att det bör finnas någon form av sökbegränsning avseende lagöverträdelser. Skälen för regeringens förslag och bedömning Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten EU:s dataskyddsförordning saknar särskilda bestämmelser om sökning eller användning av sökbegrepp. Sådan sökning och sammanställning av uppgifter som sker elektroniskt är dock sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordnings bestämmelser. På grund av detta måste en sökning uppfylla de krav som ställs vid behandling av personuppgifter, bl.a. när det gäller att personuppgifterna enligt artikel 5.1 c ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten. En bestämmelse om sökbegränsningar kan därför vara ett ändamålsenligt sätt att begränsa dessa risker. Sådana bestämmelser finns exempelvis i 3 kap. 3 § andra stycket dataskyddslagen, 2 kap. 3 och 4 §§ lagen om Rättsmedicinalverkets behandling av personuppgifter, 8 § studiestödsdatalagen och 13 § lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen. I förarbetena anges att det med en sökbegränsning uppnås ett skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna, dvs. möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter (prop. 2017/18:105 s. 90). Justitiekanslern efterfrågar vad som gäller i fråga om s.k. potentiella handlingar. Regeringen konstaterar att bestämmelser om sökbegränsningar begränsar myndighetens behandling av personuppgifter och påverkar därigenom myndighetens möjligheter att sammanställa s.k. potentiella handlingar vid begäran om att få ta del av allmän handling (se 2 kap. 6 och 7 §§ tryckfrihetsförordningen och prop. 2023/24:29 s. 69). Det bör införas sökbegränsningar i lagen som anpassas till myndighetens behov och till behovet av skydd för den personliga integriteten Myndigheten för vård- och omsorgsanalys behöver behandla stora mängder känsliga personuppgifter. En bestämmelse som begränsar möjligheterna att göra sökningar baserade på känsliga personuppgifter bedöms därför vara en verkningsfull åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen i enlighet med vad som föreskrivs i artikel 9.2 g i EU:s dataskyddsförordning. En bestämmelse om sökbegränsningar bör därmed införas. En sådan bestämmelse utgör en bestämmelse om skyddsåtgärd, som är tillåten enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning. En bestämmelse om sökbegränsningar måste, för att utgöra en skyddsåtgärd, utformas på ett sådant sätt att den enskildes personliga integritet beaktas. Syftet är dock inte att omöjliggöra sådana sökningar som behövs för att myndighetens verksamhet ska kunna fungera. Bestämmelsen bör i stället utformas med hänsyn tagen till de särskilda behov som gäller i Myndigheten för vård- och omsorgsanalys verksamhet. En sökbegränsning som utgår från syftet med sökningen hindrar inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, exempelvis för att ta fram verksamhetsstatistik eller för registervård (prop. 2017/18:105 s. 195). Till skillnad mot sökförbudet i 3 kap. 3 § andra stycket data-skyddslagen, som endast gäller vid behandling av känsliga person-uppgifter med stöd av det generella myndighetsundantaget i 3 kap. 3 § första stycket, bör en bestämmelse om sökbegränsningar för Myndigheten för vård- och omsorgsanalys ges en mer generell utformning. En sådan bestämmelse bör också kompletteras med de undantag som är nödvändiga för att myndigheten ska kunna fullgöra sina uppgifter på ett ändamålsenligt sätt. På så sätt tas den enskildes intresse av att begränsa behandlingen av känsliga personuppgifter i så stor utsträckning som möjligt till vara, samtidigt som myndighetens behov av att behandla personuppgifter för att utföra sitt uppdrag tillgodoses. I Myndigheten för vård- och omsorgsanalys verksamhet finns behov av att göra sökningar i fråga om uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa, sexualliv eller sexuell läggning. Som beskrivs i avsnitt 7.7 är det ofta helt centralt för myndigheten att kunna analysera uppgifter om sådana förhållanden för att kunna utföra undersökningar och utvärderingar om vården och omsorgen i enlighet med sitt uppdrag. Inom ramen för analyserna behöver myndigheten systematisera informationen på olika sätt, ofta genom att använda statistikprogram och med hjälp av sådana göra sökningar baserade på relevanta faktorer. Skälen för att myndigheten behöver kunna göra sökningar avseende uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa, sexualliv eller sexuell läggning är därmed desamma som de redovisade skälen för behovet av behandling av de kategorierna av känsliga personuppgifter (se avsnitt 7.7). Myndigheten kan exempelvis behöva sortera information utifrån vissa vårdåtgärder. Om uppgifter t.ex. behöver sorteras utifrån vårdåtgärden könsbyte, vilket skulle kunna vara uppgifter om såväl hälsa som sexualliv, är det viktigt att det finns ett tydligt stöd för att en sådan sortering är tillåten. Med tanke på myndighetens behov av att kunna få fram ett urval av personer baserat på uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa och fysiska personers sexualliv eller sexuella läggning bör det föreslagna sökförbudet inte omfatta sådana sökbegrepp, förutsatt att uppgifterna behandlas för de i lagen angivna primära ändamålen. Myndigheten lämnar endast i begränsad omfattning ut personuppgifter. Myndigheten bedöms därför inte ha behov av att kunna utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. För de kategorier av känsliga personuppgifter som undantas från sökförbudet säkerställs integritetsskyddet genom de övriga skyddsbestämmelser som föreslås ingå i lagen, de generella dataskyddsreglerna och uppgifternas sekretesskydd. Risken för integritetsintrång begränsas bl.a. av den föreslagna bestämmelsen om att myndigheten som huvudregel inte får behandla personuppgifter i andra projekt än det som de samlats in för (se avsnitt 7.10). Det betyder att det inte finns någon möjlighet för myndigheten att bygga upp en stor databas på uppgifter från olika projekt vari sökningar kan göras. Sökningar kan i stället endast göras inom mer begränsade ramar. Integritetsrisken med att tillåta sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa och fysiska personers sexualliv eller sexuella läggning får därmed anses vara relativt begränsad. Genom att i lagen ange vilka kategorier av känsliga personuppgifter som får läggas till grund för ett urval blir det tydligt vilka kategorier av personuppgifter som kan komma att behandlas inom ramen för Myndigheten för vård- och omsorgsanalys verksamhet. Regeringen anser därför att bestämmelsens andra stycke bör utformas som ett undantag från huvudregeln om förbud mot sökningar och inte, så som Lunds universitet föreslår, som en uppräkning av de kategorier av känsliga personuppgifter som myndigheten inte får utföra sökningar på. En ordning med en huvudregel med vissa undantag motsvarar dessutom utformningen av sökbegränsningar i nyare registerlagstiftning (se t.ex. 114 kap. 12 § SFB och 1 kap. 10 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten). Regeringen anser att regleringen blir tydligare och mer transparent om den anger tillåten behandling i stället för otillåten behandling. Undantag från sökbegränsningen är vidare avsedd av gälla om sökningen sker för något av ändamålen i 6 §, dvs. för ett primärt ändamål. Det lämnas i bestämmelsen inget undantag från förbudet att göra urval grundat på känsliga personuppgifter för ändamål enligt 7 §, dvs. för den sekundära ändamålsbestämmelsen. Regeringen anser därför att hänvisningen till den primära ändamålsbestämmelsen inte, i motsats till vad Lunds universitet och Kammarrätten i Stockholm framför, är otydlig eller onödig. Det bör inte införas sökbegränsningar i lagen för uppgifter om lagöverträdelser Myndigheten för vård- och omsorgsanalys har endast i begränsad utsträckning behov av att behandla uppgifter om lagöverträdelser. Behovet av att göra sökningar i fråga om sådana uppgifter bedöms vara än mer begränsat. Det kan dock förekomma att myndigheten behöver strukturera uppgifter utifrån brott, t.ex. för att analysera socialtjänstens åtgärder i fråga om barn och unga som begår vissa brott. Vid uppföljningar av vården vid straffprocessuella tvångsmedel kan det också finnas ett behov av att strukturera uppgifter utifrån specifika tvångsmedel. Det kan inte uteslutas att det finns fler exempel på analyser som kräver att myndigheten gör sökningar och sammanställningar utifrån uppgifter om lagöverträdelser. I avsnitt 7.8 anges skäl för att möjligheterna att behandla uppgifter som rör lagöverträdelser inte bör begränsas. Samma skäl talar även för att det inte bör införas några sökbegränsningar i fråga om sådana personuppgifter. I den mån det kan finnas behov av att behandla personuppgifter om lagöverträdelser är det inte möjligt att på förhand i lag på ett tydligt sätt avgränsa i vilka typer av undersökningar eller utvärderingar eller för vilka konkreta ändamål det finns sådana behov. Även om det inte föreslås någon specifik sökbegränsning för uppgifter om lagöverträdelser säkerställs ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretesslagstiftning samt de begränsningar och skyddsåtgärder i övrigt som föreslås i denna lag. Mot denna bakgrund anser regeringen, till skillnad från Region Stockholm, att sökbegränsningar inte bör införas avseende lagöverträdelser. Behandling av personuppgifter i projekt Regeringens förslag: Behandling av personuppgifter för primära ändamål ska ske inom ramen för ett projekt, utom när behandling av personuppgifter utförs för omvärldsbevakning eller planering av verksamheten. Med projekt ska avses en planerad arbetsinsats som genomförs inom bestämda ramar. Personuppgifter som har samlats in inom ramen för ett projekt ska inte få behandlas i ett annat projekt. Personuppgifter ska dock få behandlas i ett annat projekt än det de samlats in för om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Lunds universitet framför att de gärna ser ytterligare förtydliganden om hur bedömningen av uppgiftsminimering och processen för datauttag ska se ut samt exempel på när personuppgifter behöver behandlas för omvärldsbevakning. Region Stockholm anser att nödvändighetsrekvisitet bör förtydligas till de områden som kan komma i fråga och SKPF Pensionärerna anser att det är viktigt att nödvändighetsrekvisitet bara ges ett begränsat tillämpningsutrymme. Region Stockholm och SKPF Pensionärerna för fram att det tydligt bör regleras hur personuppgifter kan vidareutnyttjas för andra ändamål. Skälen för regeringens förslag Behandling av personuppgifter bör ske i projekt I avsnitt 7.6.2 föreslås att Myndigheten för vård- och omsorgsanalys ska få behandla personuppgifter om det är nödvändigt för undersökningar om vårdens och omsorgens funktionssätt, undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, utvärderingar av information om vård och omsorg som lämnas till enskilda eller utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Sådana undersökningar och utvärderingar medför ofta behov av att studera förhållanden utifrån flera olika vinklar. Det är därför inte ovanligt att Myndigheten för vård- och omsorgsanalys utför flera olika behandlingar av personuppgifter inom ramen för ett och samma projekt. I ett projekt kan exempelvis enkät-, intervju- och registerstudier behöva göras. Det sammanhang som de olika behandlingarna tillsammans bildar för ett gemensamt syfte bör ges en gemensam benämning. Uttrycket projekt används i annan lagstiftning. Enligt 6 § etikprövningslagen ska ett etikgodkännande avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. I förarbetena till etikprövningslagen konstateras att ett projekt oftast är avgränsat med avseende på den vetenskapliga frågeställningen, antalet forskningspersoner som ska delta, forskningsledningen, antalet forskare och annan personal som ska ingå i projektet, finansiering och budgetering osv. (prop. 2002/03:50 s. 195). I 15 § lagen om den officiella statistiken används uttrycken forskningsprojekt och statistikprojekt och i 3 kap. 7 § dataskyddslagen finns också uttrycket statistikprojekt. Myndigheten för arbetsmiljökunskap får enligt 12 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap ha samlingar av personuppgifter om det är nödvändigt för ett särskilt projekt. Ett projekt är enligt Svenska Akademiens ordlista ett planerat arbete av större omfattning. Enligt Svensk ordbok betyder ordet projekt idé och utkast för metod att uppnå visst (större) resultat. I Nationalencyklopedin anges ett projekt vara en idé eller plan för uppnåendet av ett visst resultat och ofta även arbetet med att genomföra planen inom vissa givna ramar, t.ex. i fråga om tid och ekonomi. Uttrycket projekt bör därmed kunna användas för att tydligt avgränsa vilken behandling som är nödvändig för specifika undersökningar och utvärderingar. Projektet som helhet måste, i likhet med de enskilda behandlingarna av personuppgifter, bedrivas i syfte att fullgöra myndighetens uppdrag. I avsnitt 7.11 föreslås att Myndigheten för vård- och omsorgsanalys ska fastställa vissa ramar för de projekt myndigheten bedriver. Ramarna avser projektets syfte, vilka känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom projektet och genomförandetiden för projektet. Det kan dock vara aktuellt att fastställa även andra ramar, t.ex. när det gäller metod och resursåtgång. Genom nog-granna förberedelser och planeringsarbete kan lämpliga ramar utformas. Myndigheten för vård- och omsorgsanalys projekt har en central betydelse för integritetsskyddet enligt den föreslagna lagen. Genom att knyta behandlingen av personuppgifter till olika projekt kan behandlingen avgränsas och därmed begränsas på olika sätt, bl.a. i fråga om återanvändning av personuppgifter, åtkomst till personuppgifter och tid. Regeringen anser att det bör förtydligas vad som avses med projekt i den nya lagen. Mot bakgrund av projektets avgränsande funktion och behovet av förberedelser bör ett projekt i den föreslagna lagens mening vara en planerad arbetsinsats som genomförs inom bestämda ramar. Genom att varje projekt ges en tydlig målbild och ramar att förhålla sig till skapas goda förutsättningar för en väl avvägd behandling av personuppgifter. De olika undersökningar som kan aktualiseras inom ramen för projektet måste ha som ändamål att besvara frågeställningar som är relevanta för den gemensamma målbilden. För att säkerställa att behandlingen av personuppgifter begränsas på ett ändamålsenligt sätt, bör behandlingen därmed ske i projekt. Personuppgifter bör som huvudregel behandlas inom ramen för det projekt de samlats in för En viktig förutsättning för att Myndigheten för vård- och omsorgsanalys ska kunna bedriva sin verksamhet är att myndigheten får del av uppgifter för bearbetning och analyser. Behovet av uppgifter kan tillgodoses genom att myndigheten begär in de uppgifter som behövs i varje enskilt projekt. På så sätt säkerställs att uppgifterna är aktuella och korrekta utan att Myndigheten för vård- och omsorgsanalys måste ombesörja eventuell uppdatering och komplettering av uppgifterna. När stora mängder personuppgifter samlas in är det viktigt att behandlingen begränsas och är förutsägbar. Det bör därför som utgångspunkt endast vara tillåtet att behandla de insamlade personuppgifterna i det projekt som de samlats in för. På så sätt blir det tydligt både för vilket ändamål uppgifterna samlas in och hur länge uppgifterna kommer att behandlas. Det begränsar också tillgången till personuppgifterna, både i fråga om antal personer och tid. Tillgång till personuppgifter som behandlas inom ramen för ett projekt bör i huvudsak endast medges personer som arbetar i det aktuella projektet under den tid projektet pågår (se avsnitt 7.14 och 7.15). Dessutom begränsas myndighetens möjlighet att söka och bearbeta personuppgifter som finns i verksamheten till att avse sådana uppgifter som behandlas inom ramen för aktuellt projekt. En begränsning av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begränsning av finalitetsprincipens tillämplighet. Begränsningen utgör en skyddsåtgärd som är tillåten att införa i den föreslagna lagen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning. I vissa fall kan det vara relevant att upprepa eller följa upp ett tidigare genomfört projekt. Tidigare underlag kan då behövas som utgångspunkt för arbetet eller för jämförande studier. Det kan således finnas behov av att behandla personuppgifter som samlats in i det tidigare genomförda projektet. Eftersom personuppgifter som direkt kan hänföras till den registrerade ska separeras från övriga personuppgifter, är en eventuell återanvändning av uppgifter dock i vissa fall avhängig tillgång till kodnyckel. En kodnyckel kan skapas hos den myndighet som lämnat uppgifterna till Myndigheten för vård- och omsorgsanalys. Dessa myndigheter gallrar då nyckeln utifrån de regler som gäller för den egna myndigheten. När Myndigheten för vård- och omsorgsanalys skapar en kodnyckel, får nyckeln enligt artikel 5.1 e i EU:s dataskyddsförordning inte sparas under längre tid än vad som är nödvändigt för ändamålet (se avsnitt 7.15). I många fall kan dock Myndigheten för vård- och omsorgsanalys göra upprepningar och uppföljningar av tidigare projekt genom underlag som inte innehåller direkt hänförliga personuppgifter, dvs. utan användning av kodnyckel. Även i sådana fall kan de tidigare uppgifterna dock utgöra personuppgifter om det finns möjlighet att bakvägsidentifiera den registrerade. Eftersom möjligheterna att koppla tidigare insamlade personuppgifter till nya uppgifter begränsas av både praktiska omständigheter och skyddsåtgärder, har personuppgifter sällan ett faktiskt användningsområde i ett annat projekt än det de samlats in i. Det får dock anses motiverat att myndigheten, i den utsträckning det ändå finns ett behov, kan vidarebehandla personuppgifter om det är nödvändigt för att upprepa eller följa upp ett tidigare projekt eller del av projekt. Att i sådana situationer kräva att myndigheten på nytt ska inhämta personuppgifter som den redan har samlat in i ett annat projekt skulle vara ineffektivt och onödigt betungande för såväl Myndigheten för vård- och omsorgsanalys som uppgiftslämnande myndigheter och enskilda. Eftersom avsikten är att ta tidigare resultat vidare i ett kompletterande projekt, bör ändamålen för behandlingarna ligga relativt nära varandra. Vidarebehandlingen bör därmed vara förenlig med finalitetsprincipen (artikel 5.1 b i EU:s dataskyddsförordning). När personuppgifter vidarebehandlas i ett nytt projekt blir samtliga skyddsåtgärder enligt den föreslagna lagen tillämpliga. Vidarebehandlade personuppgifter ska alltså behandlas på samma sätt som personuppgifter som samlas in från externa aktörer till ett projekt. Region Stockholm anser att nödvändighetsrekvisitet bör förtydligas till de områden som kan komma i fråga. Regeringen anser att uttrycket nödvändig i bestämmelsen bör ges samma innebörd som uttrycket har i den dataskyddsrättsliga regleringen i övrigt. Ett krav på nödvändighet har inte ansetts innebära ett krav på att en behandlingsåtgärd ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten, om behandlingen leder till effektivitetsvinster (jfr prop. 2017/18:105 s. 189, 192, 194 och 196–198). Att behandlingen skulle kunna ske manuellt, dvs. utan tekniska hjälpmedel, medför därför normalt inte att automatisk behandling inte anses nödvändig. Regeringen instämmer med SKPF Pensionärerna i bedömningen att det är viktigt att myndigheten noga överväger om syftet med behandlingen kan uppnås på andra sätt som t.ex. genom att helt anonymisera uppgifterna. Det faller utanför ramen för denna lagstiftningsprodukt att, som Lunds universitet önskar, göra ytterligare förtydliganden avseende hur en aktör som lämnar ut uppgifter till Myndigheten för vård- och omsorgsanalys bör tillämpa principen om uppgiftsminimering och avgöra hur processen för datauttag då ska se ut. Sammantaget anser regeringen att personuppgifter som samlats in i ett projekt som huvudregel inte bör få behandlas i ett annat projekt. Personuppgifter bör dock få behandlas i ett annat projekt än det de samlats in för, om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet. En sådan reglering både tydliggör och begränsar myndighetens möjlighet att vidareutnyttja personuppgifter så som Region Stockholm och SKPF Pensionärerna efterfrågar. Undantag för omvärldsbevakning och planering av verksamheten Myndigheten för vård- och omsorgsanalys utför omvärldsbevakning löpande och utan föregående planering eller förberedelse. Det kan handla om att myndighetens medarbetare läser nyhetsbrev, artiklar, rapporter, litteratur och liknande. Sådant material kan också samlas i ett e-bibliotek. Syftet med omvärldsbevakning är att bevaka utvecklingen på de områden som ryms inom myndighetens uppdrag. Bevakningen är nödvändig för att inhämta uppslag till nya projekt, och främjar medarbetarnas kompetensutveckling. Myndigheten bör därför ha möjlighet att samla in och behandla sådant material löpande utan att det finns en koppling till ett specifikt projekt. Planering av verksamheten äger rum innan myndigheten inleder ett projekt. Planeringen skapar förutsättningar för att arbete senare ska kunna ske i projektform. Det är därför inte möjligt att kräva att planering av verksamheten ska ske i projektform. Viss del av den omvärldsbevakning och planering som myndigheten utför kommer inte heller att omfattas av lagens tillämpningsområde. Det gäller t.ex. när avidentifierad statistik används i stället för personuppgifter, när omvärldsbevakning utförs enbart genom att papperstidningar och annat tryckt material läses eller om personuppgifter behandlas med stöd av den rättsliga grunden samtycke. Behandling som undantas från projektkravet kommer även att undantas från övriga föreslagna skyddsåtgärder som är knutna till projektramen. Det medför en ökad risk för intrång i den personliga integriteten. Det kan dock sällan anses nödvändigt att behandla stora mängder personuppgifter för omvärldsbevakning och planering av myndighetens verksamhet. Syftet med sådan verksamhet är att inhämta kunskap och att få uppslag till nya projekt. Det handlar därför inte om att göra breda analyser. Enligt förslag i avsnitt 7.13 ska dessutom personuppgifter som kan hänföras direkt till den registrerade som huvudregel separeras från övriga personuppgifter. Ofta bör det vara möjligt att använda avidentifierade uppgifter eller statistikuppgifter vid omvärldsbevakning och planering. Riskerna för den personliga integriteten bedöms därmed inte vara så omfattande att behandling av personuppgifter i dessa fall bör kopplas till ett projekt. Behandling av personuppgifter för omvärldsbevakning och planering av verksamheten bör sammantaget undantas från kravet på att all behandling av personuppgifter ska ske i projekt. Fastställande av ramarna för projektet Regeringens förslag: Innan personuppgifter får behandlas inom ramen för ett projekt ska Myndigheten för vård- och omsorgsanalys fastställa syftet med projektet, vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser, som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden, som ska analyseras i projektet och när projektet senast ska vara avslutat. Det syfte som har fastställts ska inte få ändras. Information om vad som har fastställts ska hållas tillgänglig på Myndigheten för vård- och omsorgsanalys webbplats. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Lunds universitet anser att lagförslaget bör kompletteras med procedurer för att hantera ändringar och tillägg i projekt, samt att det bör klargöras hur fastställda projekt ska kommuniceras till övriga berörda myndigheter och i vilken utsträckning registerhållande myndigheter och huvudmän kommer att behöva göra en egen bedömning av projektet och behovet av personuppgifter. Skälen för regeringens förslag Myndigheten bör fastställa vissa ramar för projektet I avsnitt 7.10 görs bedömningen att en begränsning av behandlingen av personuppgifter till projekt med vissa bestämda ramar är fördelaktigt ur integritetssynpunkt och skapar förutsägbarhet. För att sådan förutsägbarhet ska uppnås bör de grundläggande ramarna för projektet fastställas på förhand. Genom att syftet är fastställt säkerställs att alla undersökningar och utvärderingar inom ramen för projektet sker för projektets övergripande syfte och därmed att personuppgiftsbehandlingen inte går utöver syftet med projektet. Det bör därför som en skyddsåtgärd finnas krav på att Myndigheten för vård- och omsorgsanalys ska fastställa syftet med projektet innan personuppgifter behandlas i projektet. För att ytterligare konkretisera de huvudsakliga ramarna för personuppgiftsbehandlingen bör det ställas krav på att myndigheten fastställer vilka kategorier av känsliga personuppgifter eller uppgifter om lagöverträdelser som ska analyseras i projektet och när projektet senast ska vara avslutat. Med analyseras avses här att myndigheten ska bearbeta, systematisera, strukturera och utifrån en analysmodell eller liknande använda uppgifterna för att kunna se samband, göra jämförelser och dra slutsatser. Sådana kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som myndigheten behandlar enbart av det skäl att de finns i samma material som de uppgifter som myndigheten behöver analysera behöver alltså inte fastställas på förhand. Uttrycket lagöverträdelser föreslås ha samma innebörd som i bl.a. 3 § 2 etikprövningslagen, 2 kap. 7 § patientdatalagen och 7 § lagen om behandling av personuppgifter inom socialtjänsten, vilket är en bredare definition än i artikel 10 i EU:s dataskyddsförordning (se avsnitt 7.8). Det bedöms lämpligt att uttrycket lagöverträdelser ges samma innebörd i denna lag som i de lagar som reglerar personuppgiftsbehandling inom vården, omsorgen och forskningen, eftersom det finns många likheter mellan myndighetens personuppgiftsbehandling och behandling av personuppgifter i sådana verksamheter. Dessutom kommer vissa av de personuppgifter som myndigheten behöver behandla ursprungligen från vården eller omsorgen. De fastställda ramarna för projektet bör som huvudregel ligga fast under hela den tid som projektet utförs för att den eftersträvade förutsägbarheten ska uppnås, men det bör finnas viss möjlighet att göra ändringar i fråga om projektets tidsramar och kategorierna av känsliga personuppgifter eller uppgifter om lagöverträdelser som ska analyseras. Sådana ändringar behöver fastställas innan personuppgifter som omfattas av ändringen i fråga behandlas. Syftet med projektet bör dock inte få ändras sedan det har fastställts, eftersom det skulle motverka syftet med bestämmelsen. Den föreslagna bestämmelsen skapar en tydlig ram för personuppgiftsbehandlingen, vilket innefattar en yttersta ram för möjliga ändamål för behandling av personuppgifter i respektive projekt. Därutöver är det nödvändigt att säkerställa att respektive behandling av personuppgifter i projektet uppfyller de krav som finns i dataskyddslagstiftningen i övrigt, bl.a. vad gäller ändamålsbestämning. Regeringen instämmer i Lunds universitets bedömning om att rutiner och procedurer behöver tas fram för den praktiska hanteringen av projekt. Regeringen bedömer dock att sådana mer detaljerade rutiner och procedurer inte bör regleras i lag utan främst kommer att behöva regleras i myndighetens interna styrdokument. Myndigheten bör hålla information om vad som fastställts tillgänglig på sin webbplats För att ytterligare bidra till tydlighet och förutsägbarhet kring behandlingen bör myndigheten på sin webbplats hålla information tillgänglig om vad som har fastställts i fråga om ett projekts syfte, kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras och när projektet senast ska vara avslutat. Genom att sådan information hålls tillgänglig på myndighetens webbplats ges alla berörda eller intresserade, som de registrerade, allmänheten, tillsynsmyndigheten och aktörer som myndigheten begär uppgifter från, möjlighet till insyn i myndighetens behandlingar. Dessutom följer det av artiklarna 13 och 14 i EU:s dataskyddsförordning att den registrerade ska ges viss information. Det krav som nu föreslås avser inte ersätta EU:s dataskyddsförordnings krav på information. Förslaget ger myndigheten frihet att bedöma det mest lämpliga sättet att utforma den information som ska tillgängliggöras på webbplatsen. Förslaget innebär inte att en viss handling, som ett beslut eller en projektplan, måste publiceras i sin helhet. Myndigheten bör vid utformningen av informationen i stället ta hänsyn till vilka som kan komma att ha intresse av informationen och anpassa utformningen till de målgrupperna. Det viktiga är att det tydligt framgår av den information som hålls tillgänglig på webbplatsen vad syftet med projektet är, när projektet senast ska avslutas, och, i förekommande fall, vilka kategorier av känsliga personuppgifter eller uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet. Förslaget innebär att myndigheten på sin webbplats även ska tillgängliggöra information om eventuella ändringar i fråga om vilka kategorier av känsliga personuppgifter eller uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet samt när projektet senast ska avslutas. Lunds universitet anser att det bör klargöras hur fastställda projekt ska kommuniceras till övriga berörda myndigheter och i vilken utsträckning registerhållande myndigheter och huvudmän för t.ex. kvalitetsregistren kommer att behöva göra en egen bedömning av projektet och behovet av personuppgifter. Regeringen bedömer att utöver den reglering som föreslås i lagen är Myndigheten för vård- och omsorgsanalys bäst lämpad att närmare avgöra hur projekten kommuniceras ut till berörda myndigheter och andra. En myndighet eller en huvudman behöver vid en begäran om utlämnande av personuppgifter, i likhet med hur de hanterar utlämnande i dag, alltid bedöma om personuppgifter kan lämnas ut. Det föreslås i den nya lagen ingen ytterligare uppgiftsskyldighet jämfört med i dag. Medgivande till behandling av personuppgifter Regeringens förslag: Om personuppgifter samlas in direkt från den enskilde, ska de endast få behandlas om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen. Den registrerade ska ha rätt att när som helst återkalla ett lämnat medgivande. Om ett medgivande återkallas, ska de personuppgifter som omfattas av det återkallade medgivandet raderas. Behandlingen ska dock få fortsätta om Myndigheten för vård- och omsorgsanalys inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen ska också få fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering. Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås att behandling av personuppgifter som omfattas av ett återkallat medgivande endast ska upphöra. I promemorian föreslås inget undantag för arkiverade personuppgifter. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Riksarkivet anser att det bör framgå av bestämmelsen att personuppgifterna ska raderas om ett medgivande återkallas samt att undantag bör gälla för arkiverade personuppgifter i avslutade projekt. Myndigheten för delaktighet framhåller vikten av att ett funktionshinderperspektiv beaktas när nya bestämmelser om samtycke tas fram. Stockholms kommun framför att skrivningen gällande inhämtande av samtycke från den enskilde bör stärkas. Skälen för regeringens förslag Det bör införas ett krav på uttryckligt medgivande vid insamling av personuppgifter direkt från den enskilde Myndigheten för vård- och omsorgsanalys har behov av att samla in personuppgifter direkt från enskilda på olika sätt, exempelvis i enkät- och intervjuundersökningar. Deltagande i sådana undersökningar bygger på frivillighet. För att värna den frivilligheten och så långt som möjligt säkerställa de registrerades kontroll över de personuppgifter som behandlas, bör ett krav på att inhämta ett uttryckligt medgivande från den enskilde införas för att myndigheten ska få behandla personuppgifter som samlas in direkt från denne. Genom ett sådant krav blir det tydligt för den enskilde att han eller hon själv kan välja att lämna uppgifter till myndigheten. Ett sådant krav bidrar därmed till att skydda den enskildes personliga integritet. Kravet utgör en skyddsåtgärd, som är tillåten enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning (jfr prop. 2017/18:171 s. 140 och 141). Ett sådant uttryckligt medgivande som avses i den nu föreslagna bestämmelsen ska anses utgöra en integritetshöjande åtgärd, som inte ska förväxlas med kravet på samtycke som rättslig grund för behandlingen. För att den integritetshöjande åtgärden inte ska uppfattas som den rättsliga grunden bör ordet medgivande användas i stället för ordet samtycke på motsvarande sätt som i t.ex. 5 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap. Även om det är fråga om en integritetshöjande åtgärd, bör det ställas i princip samma krav på ett uttryckligt medgivande enligt den nu föreslagna bestämmelsen som på ett uttryckligt samtycke enligt artikel 9.2 a i EU:s dataskyddsförordning. Det bör alltså vara fråga om en frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11 i EU:s dataskyddsförordning). Enligt Europeiska dataskyddsstyrelsen krävs för att samtycket ska uppfylla kravet på att vara informerat att information bl.a. lämnas om syftet med behandlingen och vilken information som kommer att samlas in och användas (EDPB riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1. antagna den 4 maj 2020, s. 16). Med att medgivandet ska vara uttryckligt avses hur medgivandet lämnas. I Europeiska dataskyddsstyrelsens riktlinjer anges att kravet i artikel 9.2 a i EU:s dataskyddsförordning innebär att den enskilde ska lämna en uttrycklig samtyckesförklaring på något sätt, exempelvis skriftligt, i ett elektroniskt formulär, i ett e-postmeddelande eller muntligt (EDPB riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1. antagna den 4 maj 2020, s. 21). Kraven på ett uttryckligt medgivande behöver dock inte vara lika strikta som de krav som ställs på ett samtycke som utgör en rättslig grund. Ett samtycke som används som en integritetshöjande åtgärd har enligt tidigare förarbeten ansetts kunna användas även i ojämlika situationer (jfr prop. 2017/18:171 s. 140). Regeringen har vidare anfört att utrymmet för att bedöma samtycke som frivilligt, då det är fråga om en integritetshöjande åtgärd, torde vara större än när samtycket utgör den rättsliga grunden för behandlingen (prop. 2021/22:177 s. 116). Regeringen föreslår därmed att om uppgifterna samlas in direkt från den enskilde ska personuppgifter få behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen. Ett lämnat medgivande bör kunna återkallas För att ytterligare värna den enskildes kontroll över uppgifter som han eller hon lämnar till myndigheten bör det vara möjligt för den registrerade att när som helst återkalla ett lämnat medgivande. Därefter ska det inte längre vara tillåtet för myndigheten att behandla personuppgifter som omfattas av det återkallade medgivandet. Den registrerade ges på så sätt en möjlighet att ångra sitt val att lämna uppgifter till myndigheten. Eftersom även radering utgör behandling av personuppgifter bör det, i enlighet med vad Riksarkivet framför, förtydligas i lagtexten att personuppgifterna ska raderas. Det föreslås endast vara sådana personuppgifter som omfattas av det återkallade medgivandet som får raderas. Om medgivandet endast delvis återkallas behöver Myndigheten för vård- och omsorgsanalys inte radera de övriga uppgifterna. Ett medgivande skulle t.ex. kunna återkallas endast för vissa kategorier av lämnande personuppgifter. Den nu föreslagna bestämmelsen om återkallelse av medgivande är mer långtgående än motsvarande bestämmelser i bl.a. 5 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och 3 a § lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Konsekvensen av ett återkallat medgivande eller samtycke enligt dessa bestämmelser är att ytterligare personuppgifter om den registrerade därefter inte får behandlas, men behandlingen av redan insamlade personuppgifter får fortsätta (prop. 2018/19:151 s. 46 och prop. 2011/12:176 s. 65). I denna proposition föreslås att även behandling av sådana personuppgifter som redan har samlats in ska upphöra, om de omfattas av det återkallade medgivandet. En förutsättning för att myndigheten ska kunna upphöra med behandlingen är dock att myndigheten kan identifiera den enskildes uppgifter. I likhet med vad som gäller enligt artikel 11.1 i EU:s dataskyddsförordning bör myndigheten inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den enskilde endast i syfte att kunna radera personuppgifter vid ett återkallat medgivande. En sådan ordning skulle inte vara förenlig med principerna om uppgiftsminimering och lagringsminimering i artikel 5.1 c och e i EU:s dataskyddsförordning. Regeringen anser därför att det bör anges i lagen att fortsatt behandling är tillåten om Myndigheten för vård- och omsorgsanalys inte utan att bevara, förvärva eller behandla ytterligare personuppgifter kan hänföra uppgifterna till den registrerade. Återkallandet av det uttryckliga medgivandet bör inte påverka tillåtligheten av sådan behandling som skett innan medgivandet återkallades. Konsekvensen av att återkalla ett lämnat medgivande föreslås i denna del alltså bli densamma som konsekvensen av ett återkallat samtycke enligt artiklarna 7.3 och 17.1 b i EU:s dataskyddsförordning. För att tillgodose intresset av att bevara allmänna handlingar, bör personuppgifter som finns i handlingar som har tagits om hand för arkivering, i enlighet med vad Riksarkivet framför, inte heller raderas. Som en följd av att Myndigheten för vård- och omsorgsanalys inte behöver behandla ytterligare information i syfte att identifiera den registrerade blir det därmed i praktiken endast sådana uppgifter som kan hänföras till den registrerade och som behandlas inom ramen för pågående projekt som kommer att raderas vid ett återkallat medgivande. Sammanfattningsvis anser regeringen att den registrerade när som helst bör kunna återkalla ett lämnat medgivande, varvid de personuppgifter som omfattas av det återkallade medgivandet ska raderas. Personuppgifterna bör dock få fortsätta att behandlas om Myndigheten för vård- och omsorgsanalys har arkiverat uppgifterna eller om myndigheten i övrigt inte utan att bevara, förvärva eller behandla ytterligare personuppgifter kan hänföra uppgifterna till den registrerade. Information vid medgivande Myndigheten för delaktighet framhåller vikten av ett funktionshinderperspektiv när bestämmelser om samtycke tas fram, och Stockholms kommun för fram att skrivningen om inhämtande av samtycke bör stärkas så att det tydliggörs hur myndigheten ska beakta att det finns enskilda som har t.ex. språkliga svårigheter och nedsatt kognitiv förmåga. Regeringen instämmer i att det är viktigt att beakta den enskildes förmåga att ta tillvara sina rättigheter. För att den enskilde ska kunna ta ställning till ett medgivande krävs framför allt information om behandlingen av personuppgifter. Den personuppgiftsansvarige är enligt artikel 13 i EU:s dataskyddsförordning skyldig att tillhandahålla information när personuppgifter samlas in direkt från den registrerade. Informationen ska enligt artikel 12.1 i EU:s dataskyddsförordning tillhandahållas i en koncis, klar och tydlig, begriplig och lättillgänglig form, med användning av klart och tydligt språk. Det är Myndigheten för vård- och omsorgsanalys uppgift att se till att medgivandet lämnas frivilligt och informerat, vilket bl.a. innebär att myndigheten måste anpassa sin information om behandlingen och om innebörden av ett medgivande utifrån den enskildes förutsättningar att ta till sig informationen. I förordningen (2001:526) om de statliga myndigheternas ansvar för genomförande av funktionshinderspolitiken regleras dessutom en generell skyldighet för myndigheter under regeringen att verka för att bl.a. information är tillgänglig för personer med funktionsnedsättning. Regeringen bedömer att det därmed inte krävs någon reglering i den nya lagen som särskilt gäller personer med funktionsnedsättning, personer med språkliga svårigheter eller nedsatt kognitiv förmåga. Skillnad mellan att lämna medgivande och att invända mot behandlingen Om personuppgifter samlas in direkt från den enskilde, har denne rätt att invända mot behandlingen (se avsnitt 7.4). En invändning görs efter att behandling av personuppgifter har påbörjats medan ett medgivande enligt förslaget ska lämnas innan behandlingen av personuppgifter påbörjas. Konsekvensen av en invändning blir att den personuppgiftsansvarige ska upphöra med behandlingen, såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1 i EU:s dataskyddsförordning). Om ett medgivande återkallas ska personuppgifter som omfattas av återkallandet enligt huvudregeln raderas. Rätten att göra invändningar kan således inte ersätta ett krav på medgivande och en möjlighet att återkalla medgivandet. Genom att kravet på medgivande regleras separat från bestämmelsen om undantaget från rätten att göra invändningar minskar risken för att de olika bestämmelserna sammanblandas (jfr prop. 2017/18:112 s. 53). Begränsning av möjligheterna att identifiera den registrerade Regeringens förslag: Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Sådana personuppgifter ska dock få behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen. Kravet på att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter ska inte hindra att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Sveriges advokatsamfund anser dels att myndighetens behov av att hantera direkt hänförliga personuppgifter överlag bör utredas vidare, dels att skyddsvärdet av bestämmelsen om begränsning av möjligheterna att identifiera den registrerade kan ifrågasättas. Skälen för regeringens förslag Pseudonymisering och kryptering minskar integritetsriskerna Behandling av personuppgifter som direkt kan hänföras till den registrerade är förenad med större integritetsrisker än behandling av personuppgifter som endast genom kompletterande uppgifter kan kopplas till den registrerade. Genom pseudonymisering eller kryptering av personuppgifter är det därmed möjligt att minska riskerna för de registrerade och bidra till att säkerställa en tillräcklig skyddsnivå (skäl 28 och 83 i EU:s dataskyddsförordning). Både kryptering och pseudonymisering tillgodoser principen om uppgiftsminimering enligt artikel 5.1 c i EU:s dataskyddsförordning samt bidrar till att uppfylla principen om integritet och konfidentialitet enligt artikel 5.1 f i EU:s dataskyddsförordning. Pseudonymisering och kryptering nämns bl.a. i artikel 32.1 a i EU:s dataskyddsförordning som sådana tekniska och organisatoriska åtgärder som ska säkerställa en lämplig säkerhetsnivå vid behandling av personuppgifter. Därutöver minskar behovet av att behandla uppgifter om personnummer och samordningsnummer när pseudonymisering och kryptering används. Sådana uppgifter får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (artikel 87 i EU:s dataskyddsförordning och 3 kap. 10 § dataskyddslagen). Enligt artikel 4.5 i EU:s dataskyddsförordning är pseudonymisering behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. För pseudonymisering bör det alltså krävas att all information som direkt kan identifiera en person, t.ex. namn eller personnummer, ersätts med pseudonymer. Utöver detta bör det krävas att annan information som kan användas för att indirekt identifiera personen hanteras så att detta inte längre är möjligt. Variabler som rör exempelvis kön, bostadsort och diagnos kan alltså behöva tas bort, om de möjliggör s.k. bakvägsidentifiering. Efter pseudonymisering rör det sig fortfarande om personuppgifter eftersom man behåller möjligheten att återidentifiera individerna med hjälp av kompletterande uppgifter som förvaras separat. De kompletterande uppgifterna utgörs ofta av en kodnyckel som beskriver relationen mellan de pseudonymiserade uppgifterna, som exempelvis är kopplade till löpnummer, och direkt hänförliga personuppgifter, såsom namn eller personnummer. Det saknas i EU:s dataskyddsförordning och dataskyddslagen en definition av vad som ska anses utgöra kryptering. Kryptering brukar vanligen användas när det handlar om att göra information svårläslig för alla som inte ska kunna läsa den. Genom att använda ett kodsystem eller ett chiffer kastas bokstäver och siffror om, och texten blir oläslig. För att göra informationen läslig igen krävs dekryptering, som bara kan göras av de personer som texten är ämnad för. Det är vanligt att känslig information krypteras när den skickas elektroniskt mellan olika mottagare. Sveriges advokatsamfund anser att myndighetens behov av att hantera direkt hänförliga personuppgifter överlag bör utredas vidare. Regeringen gör i avsnitt 6 bedömningen att Myndigheten för vård- och omsorgsanalys behöver behandla direkt hänförliga personuppgifter och i vissa fall även känsliga personuppgifter för att på ett effektivt och kvalitetssäkert sätt kunna utföra sin verksamhet enligt myndighetens instruktion. Regeringen bedömer att vidare utredning av myndighetens behov av att hantera direkt hänförliga personuppgifter inte är nödvändig. Det bedöms inte vara lämpligt att införa krav på pseudonymisering eller kryptering i lagen Myndigheten för vård- och omsorgsanalys har ett begränsat behov av att behandla personuppgifter som direkt kan hänföras till den registrerade. Uppgifter som namn och personnummer bör därför så långt det är möjligt inte vara tillgängliga i klartext i det underlag som myndigheten baserar sina undersökningar och utvärderingar på. Ett krav på att de uppgifter som Myndigheten för vård- och omsorgsanalys får behandla ska vara pseudonymiserade på ett sådant sätt att de varken direkt eller indirekt kan hänföras till en person utan kompletterande uppgifter skulle dock försvåra och ibland omöjliggöra genomförandet av sådana analyser som myndigheten behöver göra. Som konstateras i avsnitt 6 behöver myndigheten ofta kunna analysera ett antal olika kategorier av personuppgifter för att se vilka parametrar som sticker ut, vilka förhållanden som verkar förekomma och hur dessa hänger ihop. Om uppgifter om exempelvis diagnoser inte får behandlas i myndighetens analysmaterial för att inte riskera bakvägsidentifiering av personer med sällsynta sjukdomar eller om åldersuppgifter inte får behandlas för att inte riskera att identifiera personer i särskilt höga åldersgrupper, skulle alltså möjligheten att göra relevanta analyser begränsas i stor utsträckning. Det skulle också vara svårt att bedöma om och vilka variabler eller kombinationer av variabler som skulle kunna riskera att bryta pseudonymiseringen. Ett krav på att personuppgifter varken direkt eller indirekt ska gå att hänföra till en person, såsom krävs för att det ska vara fråga om pseudonymisering i EU:s dataskyddsförordnings mening, bedöms därför inte vara möjligt att införa utifrån ändamålet med Myndigheten för vård- och omsorgsanalys personuppgiftsbehandling. Inte heller bedöms ett lagkrav på kryptering av personuppgifter utgöra en lämplig skyddsåtgärd vid myndighetens behandling av personuppgifter, eftersom det saknas en legaldefinition av kryptering samtidigt som den nya lagen bör hållas teknikneutral. Det finns dock inget som hindrar myndigheten från att använda kryptering i de fall myndigheten bedömer detta vara en lämplig skyddsåtgärd. En skyddsåtgärd som begränsar möjligheten att identifiera den registrerade bör införas En skyddsåtgärd bör dock införas med innebörden att personuppgifter som direkt kan hänföras till den registrerade i normalfallet inte ska behandlas i analysarbetet vid undersökningar och utvärderingar. Det bedöms i detta fall vara lämpligt att ställa krav på att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. På så sätt säkerställs att direkta identifikationsuppgifter som namn och personnummer förvaras helt skilt från de uppgifter som myndigheten behöver använda i sitt analysarbete, som uppgifter om ålder, kön, bostadsort, hälsa m.m. Ett sådant krav utgör en skyddsåtgärd som är tillåten att införa enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning. Från huvudregeln om separering av direkt hänförliga personuppgifter från övriga personuppgifter bör dock ett undantag föras in som gör det möjligt att förse de personuppgifter som inte direkt kan hänföras till den registrerade med en beteckning, t.ex. ett löpnummer, som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning, t.ex. genom en kodnyckel. Skälet till detta är att det i vissa fall finns tydliga behov av att kunna se kopplingen mellan uppgifter som används i analysarbetet, dvs. direkt hänförliga personuppgifter, och övriga personuppgifter. Sådana behov kan t.ex. finnas för att möjliggöra vissa samkörningar av uppgifter som kommer från olika källor. Det kan också vara nödvändigt i enkät- eller intervjuundersökningar. I första hand bör det övervägas om direkt hänförliga personuppgifter behöver behandlas av Myndigheten för vård- och omsorgsanalys över huvud taget. Om myndigheten samlar in uppgifter från en annan aktör räcker det många gånger att den utlämnande aktören ersätter uppgifterna med ett löpnummer eller liknande och själv behåller kodnyckeln. Ett sådant tillvägagångssätt är i linje med principen om uppgiftsminimering i artikel 5.1 c i EU:s dataskyddsförordning. När det inte är möjligt att förvara de kompletterande uppgifterna hos en annan aktör, bör dock myndigheten separera de direkt hänförliga personuppgifterna från övriga personuppgifter och förvara dem separat från varandra vid myndigheten i enlighet med den föreslagna bestämmelsen. I sådana fall bör separeringen av direkt hänförliga personuppgifter från övriga personuppgifter ske så snart uppgifterna kommer in till myndigheten. Dessutom följer det av förslaget i avsnitt 7.14 att endast en mycket begränsad krets bör ges tillgång till de kompletterande uppgifterna, eftersom det torde vara mycket få som behöver dessa för att kunna fullgöra sina arbetsuppgifter. De som arbetar med att utföra analysarbete i ett projekt torde huvudsakligen ha behov av indirekt hänförliga personuppgifter. Regeringen bedömer att den föreslagna bestämmelsen utgör ett lämpligt alternativ till ett krav på pseudonymisering. Bestämmelsen torde tillgodose myndighetens behov av behandling av personuppgifter samtidigt som integritetsintrånget begränsas väsentligt. Det finns visserligen en risk att det går att bakvägsidentifiera individer i analysmaterial även om materialet inte innehåller direkt hänförliga personuppgifter, särskilt när stora mängder uppgifter behandlas. En sådan risk bedöms dock vara mycket låg. Det skulle t.ex. kunna vara fallet om uppgifter om en mycket ovanlig diagnos behandlas och det även finns uppgifter om kön, bostadsort eller ålder kopplat till diagnosen. Att direkt hänförliga personuppgifter förvaras separat bidrar till ett gott skydd för personuppgifterna, eftersom det minskar möjligheterna att identifiera de registrerade. Enligt Lagrådet framstår undantaget i lagförslaget inte som helt klart, och förslaget ger intrycket av att undantaget och huvudregeln handlar om olika saker. För att förtydliga förslaget anser regeringen att bestämmelsen i huvudsak bör utformas enligt Lagrådets förslag. Det bör dock genom ett tillägg till Lagrådets förslag tydliggöras att beteckningen kan kopplas till ett personnummer eller motsvarande identitetsbeteckning. Sammantaget bedömer regeringen skyddsåtgärden vara väl avvägd mot de integritetsrisker som kan uppstå vid myndighetens behandling av personuppgifter. Undantag vid oproportionerlig ansträngning eller om syftet motverkas I vissa fall kan det innebära en mycket stor arbetsinsats för myndigheten att separera de direkt hänförliga personuppgifterna från övriga personuppgifter, och i vissa fall skulle det också kunna motverka syftet med behandlingen. Ett undantag från huvudregeln om att direkt hänförliga personuppgifter ska förvaras separat från övriga personuppgifter bör därför införas. Det kan exempelvis i fråga om patientjournaler eller akter från socialtjänsten vara svårt och mycket arbetskrävande att separera uppgifter i materialet från varandra. En sådan separering skulle också förutsätta en noggrann genomgång av materialet, vilket i sig skulle kunna utgöra en mycket integritetskänslig hantering. En sådan arbetsinsats kan, i synnerhet med hänsyn till den tveksamma vinsten ur integritetshänseende, inte alltid anses proportionerlig i förhållande till det integritetsskydd den medför. Syftet med en sådan insats, vilket skulle vara att skydda den enskilde mot integritetsintrång, riskerar att motverkas av en sådan genomgång. Det skulle också motverka syftet med behandlingen om uppgifter om namn inte skulle kunna hanteras i e-bibliotek, källhänvisningar i myndighetens rapporter och liknande. Sveriges advokatsamfund anser att den praktiska funktionen av bestämmelsen som en skyddsåtgärd kan ifrågasättas. Regeringen anser dock att en sådan bestämmelse leder till en mer integritetssäker hantering av personuppgifter (se avsnitt 8). Regeringen bedömer det vara ändamålsenligt att den föreslagna huvudregeln om att direkt hänförliga personuppgifter ska förvaras separat från övriga personuppgifter förenas med ett undantag som innebär att separeringen inte behöver göras om det medför en oproportionerlig ansträngning eller motverkar syftet med behandlingen. Möjligheten till undantag bör bedömas i förhållande till varje enskild behandling. Begränsning av tillgången till personuppgifter Regeringens förslag: Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Myndigheten för vård- och omsorgsanalys. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Promemorians förslag överensstämmer med regeringens. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Skälen för regeringens förslag: Personuppgiftsansvariga är enligt EU:s dataskyddsförordning skyldiga att vidta tekniska eller organisatoriska åtgärder för att säkerställa lämplig säkerhet för personuppgifter som behandlas, detta inkluderar bl.a. skydd mot obehörig eller otillåten behandling. I artikel 5.1 c i EU:s dataskyddsförordning uttrycks den grundläggande principen att personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering). Enligt artikel 24.1 ska den personuppgiftsansvarige, med beaktande av bl.a. behandlingens art, omfattning, ändamål och riskerna, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Enligt artikel 25.2 ska den personuppgiftsansvarige också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål för behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för lagringen av dem och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i normalfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer. Enligt artikel 32 i EU:s dataskyddsförordning har den personuppgiftsansvarige vidare en skyldighet att se till att en lämplig säkerhetsnivå för behandlingen av personuppgifter upprätthålls. Det ska ske bl.a. genom lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvariges skyldigheter i detta avseende återfinns även i de allmänna principer för personuppgiftsbehandling som framgår av artikel 5.1 f. Det följer således av EU:s dataskyddsförordning att den personuppgiftsansvarige är skyldig att på olika sätt begränsa tillgången till personuppgifter. Mer specifika krav på att vidta åtgärder kan fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör (prop. 2017/18:171 s. 138). Myndigheten för vård- och omsorgsanalys behöver behandla en stor mängd personuppgifter, varav många är känsliga personuppgifter eller i övrigt integritetskänsliga uppgifter, såsom uppgifter om familjeförhållanden och ekonomi. Vem som har rätt att ta del av uppgifterna och hur uppgifterna sprids är omständigheter som påverkar risken för intrång i den personliga integriteten. Det är därför viktigt att motverka spridning av uppgifterna. För att minska risken för obefogade intrång i den personliga integriteten vid Myndigheten för vård- och omsorgsanalys behandling av personuppgifter bör det därför införas en bestämmelse som begränsar den krets av personer som får ha tillgång till personuppgifter. Tillgången till personuppgifter kan begränsas på olika sätt. Det kan handla om både tekniska och organisatoriska åtgärder. Vilka åtgärder som är lämpligast beror på bl.a. vilka tekniska möjligheter myndigheten har och hur myndighetens organisation ser ut. Nya it-system ger ofta ökade möjligheter att skräddarsy och begränsa olika roller i systemen. Ju mer information det finns i ett it-system, desto större krav ställs på behörighetstilldelningen och rutinerna för behörighetsstyrning. Det framstår därför inte som ändamålsenligt att reglera vilka konkreta åtgärder som ska vidtas för att begränsa tillgången. Myndigheten för vård- och omsorgsanalys behandlar personuppgifter för att kunna utföra sitt uppdrag att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. I förlängningen utförs uppdraget av myndighetens medarbetare, som följaktligen behöver ha tillgång till personuppgifter för att kunna utföra sitt arbete. Den enskilda medarbetaren bör dock inte ha tillgång till fler personuppgifter än vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter. I 114 kap. 13 § SFB, 1 kap. 11§ lagen om behandling av personuppgifter vid Utbetalningsmyndigheten och 2 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter anges att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Detta utgör en rimlig och naturlig avvägning mellan effektivitet och integritet. Regeringen anser att samma begränsning bör gälla för Myndigheten för vård- och omsorgsanalys. En behovsbaserad tillgång till personuppgifter förutsätter att myndigheten aktivt tar ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och att nödvändig behörighet tilldelas utifrån det. Det blir då tjänsteåliggandena och inte den faktiska möjligheten att ta del av uppgifter som anger den yttersta ramen för den egentliga behörigheten. I detta sammanhang är brottet dataintrång av betydelse. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling under vissa förutsättningar ska dömas för dataintrång till böter eller fängelse i högst två år (4 kap. 9 c § brottsbalken). Bestämmelsen förutsätter inte att den som olovligen berett sig tillgång till en upptagning haft något särskilt syfte med intrånget för att gärningen ska vara straffbar. Vad som beläggs med straff är alltså bl.a. själva intrånget i en upptagning. Avgörande för om någon anställd eller av annan anledning verksam inom myndigheten kan bedömas ha olovligen berett sig tillgång till uppgifter bör vara om det skett inom ramen för dennes behörighet, dvs. den rättsligt betingade rättigheten att ta del av uppgifter eller inte (jfr RH 2000:90). Detta förhållande talar för att tilldelningen av behörighet bör ske under sådana former att det otvetydigt kan konstateras dels vilken behörighet som tilldelats en person, dels att denne faktiskt tagit del av och förstått innebörden av tilldelningen av behörigheten och de angivna ramarna för behörigheten. Den personuppgiftsansvarige ska enligt artiklarna 24 och 32 i EU:s dataskyddsförordning bl.a. säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Myndigheter ska dessutom enligt myndighetsförordningen löpande följa upp sina verksamheter i syfte att se till att de bedrivs effektivt och lagenligt. Det kan därför hävdas att en skyldighet att regelbundet kontrollera och följa upp åtkomsten av personuppgifter redan följer av befintlig reglering. Med anledning av den stora mängden personuppgifter som Myndigheten för vård- och omsorgsanalys hanterar, bedömer regeringen det dock lämpligt att det i den föreslagna lagen uttryckligen anges att åtkomsten till personuppgifter regelbundet ska kontrolleras och följas upp. Liknande regleringar finns i andra registerförfattningar, t.ex. 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten och 1 kap. 9 § andra stycket studiestödsdatalagen. Det bör vara upp till myndigheten att närmare bestämma formerna för kontrollen och uppföljningen men den bör exempelvis kunna ske genom uppföljning av loggar. Kontroll och uppföljning bör genomföras regelbundet, dvs. systematiskt och återkommande, och inte endast om myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Sammanfattningsvis anser regeringen att tillgången till personuppgifter vid Myndigheten för vård- och omsorgsanalys bör begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter bör kontrolleras och följas upp regelbundet. Längsta tid som personuppgifter får behandlas Regeringens bedömning: Det bör inte införas en bestämmelse om gallring eller längsta tid för behandling av personuppgifter i lagen. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser instämmer i bedömningen eller har inget att invända mot den. Sveriges advokatsamfund anser att en konkret tidsgräns bör övervägas, alternativt att det bör uttryckas i den föreslagna lagen att EU:s dataskyddsförordning och arkivlagen ska tillämpas i denna del. Skälen för regeringens bedömning: Enligt artikel 5.1 e i EU:s dataskyddsförordning får inte personuppgifter förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får dock lagras under en längre period i den mån uppgifterna enbart behandlas för arkivändamål av allmänt intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Det förutsätter dock att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt EU:s dataskyddsförordning genomförs för att garantera den registrerades fri- och rättigheter. Regeringen har bedömt att den behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen (1990:782) och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse (prop. 2017/18:105 s. 110). Behandlingen ska därmed inte anses som oförenlig med de ursprungliga ändamålen. I arkivlagen och arkivförordningen (1991:446) finns bestämmelser om bevarande av uppgifter hos myndigheter och vissa andra organ. Utgångspunkten är enligt 3 § arkivlagen att allmänna handlingar ska bevaras, hållas ordnade och vårdas så att myndigheternas arkiv kan tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Om arkivändamålen kan tillgodoses får under vissa förutsättningar allmänna handlingar dock gallras (10 § arkivlagen). Utgångspunkten i det arkivrättsliga regelverket är alltså att uppgifter ska bevaras, medan presumtionen i regelverk som skyddar personuppgifter är den omvända. Gallring enligt det arkivrättsliga regelverket syftar till att begränsa arkivens omfattning, bl.a. för att därmed öka deras tillgänglighet, medan bestämmelser om längsta tid för behandling av personuppgifter enligt det dataskyddsrättsliga regelverket syftar till att skydda enskildas personliga integritet. En bestämmelse om en viss specificerad längsta tid under vilken personuppgifter får behandlas skulle kunna motiveras av tydlighets- och integritetsskäl. Det bör därför, som Sveriges advokatsamfund för fram, övervägas om en sådan tidsgräns bör införas i den föreslagna lagen. All behandling av personuppgifter behöver enligt förslagen i avsnitt 7.6.2 och 7.6.3 ske för de där angivna ändamålen. Som framgår av skälen till förslaget är dock myndighetens uppdrag brett, och det är svårt att i lagen precisera konkreta ändamål fullt ut. Det blir därför upp till myndigheten att konkretisera ändamålen för varje behandling inom ramen för de i lagen föreslagna ändamålen. Detta innebär att det är svårt att på förhand i lag bestämma hur länge det kan vara relevant att behandla uppgifter som har samlats in i myndighetens verksamhet. En sådan bedömning måste göras från fall till fall med hänsyn tagen till vilka uppgifter och vilket projekt det handlar om. Det är därmed inte möjligt att föreslå mer konkreta tidsgränser än sådana som bygger på lagringsminimeringsprincipen i artikel 5.1 e i EU:s dataskyddsförordning, nämligen att uppgifter inte ska behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. En fast tidsgräns skulle kunna leda till att personuppgifter inte skulle få behandlas under hela den tid som behandlingen bedöms vara nödvändig. Mot bakgrund av detta bedömer regeringen att det inte finns behov av att i lagen särskilt reglera frågan om längsta tid för behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. I stället ska bestämmelserna i EU:s dataskyddsförordning och arkivlagen tillämpas. Sveriges advokatsamfund anser att om en konkret tidsgräns inte införs bör det i den föreslagna lagen uttryckas att EU:s dataskyddsförordning och arkivlagen ska tillämpas. En sådan upplysningsbestämmelse saknar motsvarighet i andra liknande registerlagar. Det finns vidare även andra regleringar som följer direkt av EU:s dataskyddsförordning men som inte anges i den nya lagen, t.ex. principerna för behandling av personuppgifter (artikel 5) och bestämmelser om den registrerades rättigheter (artiklarna 13–22). Regeringen anser därför att det saknas anledning att, så som Sveriges advokatsamfund föreslår, införa en sådan upplysningsbestämmelse i lagen. Myndigheten för vård- och omsorgsanalys behöver dock utifrån det generella regelverket säkerställa att det finns interna rutiner och riktlinjer för längsta tid för behandlingen utifrån myndighetens behov och integritetsskyddsintresset. Samlad integritets- och proportionalitetsanalys Regeringens bedömning: Den personuppgiftsbehandling som möjliggörs av den föreslagna lagen utgör en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt Europeiska unionens stadga om de grundläggande rättigheterna. Förslaget är förenligt med EU:s dataskyddsförordnings krav på proportionalitet. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser, bl.a. Integritetsskyddsmyndigheten och Riksdagens ombudsmän, instämmer i bedömningen eller har inget att invända mot den. Myndigheten för delaktighet framhåller att det finns risk för icke informerade medgivanden för enskilda med nedsatt beslutsförmåga eller kognitiv funktionsnedsättning. Stockholms kommun anser att det är viktigt att sekretessen och skyddet av personuppgifter hålls på samma nivå inom Myndigheten för vård- och omsorgsanalys som inom socialtjänsten samt framför att det är önskvärt att i de fall en konsekvensanalys inte genomförs motiveringen till detta, den s.k. tröskelanalysen, publiceras. Sveriges advokatsamfund är inte övertygat om att införandet av en lag står i proportion till de medförda riskerna. Skälen för regeringens bedömning Några utgångspunkter vid bedömningen av förslagets påverkan på den personliga integriteten och proportionalitet I avsnitt 6 konstateras att den behandling av personuppgifter som Myndigheten för vård- och omsorgsanalys behöver utföra, och som möjliggörs genom den föreslagna lagen, i vissa fall kan innebära ett betydande intrång i den enskildes personliga integritet. I flera av de tidigare avsnitten beskrivs hur de föreslagna bestämmelserna bedöms bidra till att skydda den personliga integriteten (se t.ex. avsnitt 7.10, 7.12 och 7.13). Även de behov som ligger till grund för förslagen redovisas, inbegripet bl.a. en bedömning av att Myndigheten för vård- och omsorgsanalys utför en uppgift av allmänt intresse. Det kan i sammanhanget nämnas att inskränkningar i skyddet för den personliga integriteten tidigare har godtagits bl.a. när syftet har varit att möjliggöra för analysmyndigheter att behandla sådana personuppgifter som behövs i deras verksamheter (se t.ex. prop. 2011/12:176 s. 62 och prop. 2018/19:151 s. 31). I det följande ges en bredare och mer samlad bedömning av integritets- och proportionalitetsaspekter av lagförslaget i denna proposition. Respekten för individens självbestämmande och integritet är grundläggande i en demokrati. Någon enhetlig definition av begreppet personlig integritet finns inte. Regeringen uttalade dock i samband med den senaste utvidgningen av integritetsskyddet i regeringsformen att en rimlig utgångspunkt för bedömningen av behovet av ett utökat skydd för den personliga integriteten var att den skulle ske utifrån den enskildes intresse av att skydda information om sina personliga förhållanden (prop. 2009/10:80 s. 175). Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid helt eller delvis automatiserad behandling av personuppgifter. Det gäller arten av person-uppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar (prop. 2005/06:173 s. 15). Även rådande samhällsvärderingar kan ha viss påverkan på vilken reglering och begränsning av behandlingen av personuppgifter som är nödvändig för att skydda den personliga integriteten. Begränsningar i skyddet för den personliga integriteten får göras Den föreslagna lagen ger Myndigheten för vård- och omsorgsanalys ett tydligt stöd för att utföra sådan behandling av personuppgifter som myndigheten bedöms ha behov av. I avsnitt 6 görs bedömningen att den behandling av personuppgifter som Myndigheten för vård- och omsorgsanalys har behov av att utföra i vissa fall kan utgöra ett sådant betydande intrång i den personliga integriteten som omfattas av 2 kap. 6 § andra stycket regeringsformen, förkortad RF. Skyddet för den personliga integriteten är inte absolut och kan under vissa förutsättningar begränsas. En begränsning måste ske genom lag (2 kap. 20 § RF). Begränsningen får endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar (2 kap. 21 § RF). Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Vid en begränsning ska det därför göras en proportionalitetsbedömning där integritetsriskerna med personuppgiftsbehandlingen vägs mot fördelarna med behandlingen. I detta ingår att bedöma om behandlingen av personuppgifterna är nödvändig utifrån det avsedda ändamålet med behandlingen och om det finns alternativ som är mindre integritetskänsliga. Även Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, förutsätter att proportionalitetsbedömningar görs vid behandling av personuppgifter. I avsnitt 7.6.1 konstateras att den rättsliga grunden för myndighetens behandling av personuppgifter enligt artikel 6.1 e i EU:s dataskyddsförordning bedöms vara proportionell mot det legitima mål som eftersträvas, i enlighet med artikel 6.3 andra stycket sista meningen i EU:s dataskyddsförordning. Krav på proportionalitet finns även i bl.a. artikel 9.2 g i EU:s dataskyddsförordning, enligt vilken behandling av känsliga personuppgifter är tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Rätten till skydd för den personliga integriteten måste enligt skälen i EU:s dataskyddsförordning förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter utifrån proportionalitetsprincipen (skäl 4 i EU:s dataskyddsförordning). Behandling av personuppgifter berör vidare rätten till respekt för privatlivet enligt artikel 8.1 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, här benämnd Europakonventionen. Enligt denna artikel har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen gäller som svensk lag, se lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Enligt 2 kap. 19 § RF får inte lag eller annan föreskrift meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Enligt artikel 8.2 i Europakonventionen får rätten till skydd för privatlivet inte inskränkas annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller skydd för hälsa eller moral eller för andra personers fri- och rättigheter. I artiklarna 3, 7 och 8 i Europeiska unionens stadga om de grund-läggande rättigheterna (2010/C 83/02), här benämnd EU:s rättighetsstadga, slås det fast att var och en har rätt till fysisk och mental integritet, respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer samt skydd av de personuppgifter som rör honom eller henne. Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen, men att bestämmelsen inte hindrar unionsrätten från att tillförsäkra ett mer långtgående skydd. I EU:s rättighetsstadga är utgångspunkten att en inskränkning av rättigheter och friheter enligt stadgan endast får göras i lag och måste vara förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stadgan. Begränsningar får med beaktande av proportionalitetsprincipen endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1). För att det ska vara motiverat att införa möjligheter till behandling av personuppgifter på det sätt som föreslås måste alltså behovet av behandlingen väga tyngre än den enskildes intresse av skydd för den personliga integriteten. För att en proportionalitetsbedömning ska kunna göras behöver riskerna för intrång i den personliga integriteten kartläggas. Genom att det införs skyddsåtgärder som begränsar den tillåtna behandlingen kan behovet av behandling balanseras mot intresset av integritetsskydd. Omfattande behandling av personuppgifter bedöms innebära integritetsrisker Den föreslagna lagen innebär att Myndigheten för vård- och omsorgsanalys, inom vissa bestämda ramar, får möjlighet att behandla en stor mängd personuppgifter om ett stort antal personer. Det innebär en integritetsrisk, eftersom omfattande behandling av personuppgifter generellt sett är förenad med större integritetsrisker än mer begränsad behandling. Den föreslagna lagen ger även vissa möjligheter till sammanställning och systematisering, även om möjligheterna begränsas utifrån projekt och sökbegränsningar. När personuppgifterna samlas på ett sådant sätt att informationen enkelt kan sammanställas och systematiseras, ges möjlighet till kontroll över och kartläggning av individer, vilket innebär en integritetsrisk. Risken för integritetskränkningar blir vidare större ju fler organisationer, it-system och användare som har tillgång till uppgifter om en viss person. Därmed innebär Myndigheten för vård- och omsorgsanalys utökade möjligheter att behandla personuppgifter en ökad integritetsrisk. Personuppgifterna kan användas av dem som har tillgång till uppgifterna i ovidkommande syften, såsom att göra vidare eftersökningar av personer. Det finns också risk för att myndigheten genom en personuppgiftsincident förlorar kontrollen över uppgifterna. Vid förlorad kontroll över uppgifterna skulle de kunna komma i utomståendes händer och användas för exempelvis negativ särbehandling, övervakning, kartläggning av enskildas personliga förhållanden eller för att utsätta de registrerade för fara eller kränkningar. Behandling av de kategorier av personuppgifter som tillåts enligt förslaget bedöms medföra integritetsrisker Enligt den föreslagna lagen får Myndigheten för vård- och omsorgsanalys behandla känsliga personuppgifter om det är nödvändigt för ändamålen med behandlingen. Behandling av känsliga personuppgifter är förenad med särskilda integritetsrisker. Vid förlorad kontroll över uppgifterna skulle hälsouppgifter exempelvis kunna vidareförmedlas till någon som använder dem för att selektera bort personer med vissa hälsotillstånd i anställningsprocesser eller liknande. Uppgifter om etniskt ursprung skulle t.ex. kunna vidareförmedlas till någon som har ett intresse av att kartlägga och förfölja ett visst lands medborgare eller en viss etnisk grupp. Likaså kan någon ha ett intresse av att förfölja personer med en viss sexuell läggning eller en viss religiös övertygelse. Även behandling av sådana personuppgifter som inte är känsliga i EU:s dataskyddsförordnings mening kan vara förenad med integritetsrisker. Det beskrivs att myndigheten i vissa fall behöver behandla personnummer, t.ex. för att kunna göra vissa samkörningar av personuppgifter. Behandling av personnummer och andra personuppgifter som direkt kan hänföras till den registrerade kan utgöra en integritetsrisk eftersom det möjliggör samkörning av uppgifter som finns i olika källor och behandling för andra ändamål än de ursprungligen avsedda. Personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (3 kap. 10 § dataskyddslagen). Också personuppgifter som normalt uppfattas som relativt harmlösa eller är av mindre känslig karaktär kan tillsammans skapa en integritetskänslig sammanställning av en person. Eftersom förslaget möjliggör en relativt omfattande behandling av personuppgifter finns alltså risken för sådana integritetskänsliga sammanställningar. Grupper med behov av särskilt skydd Särskild stor risk finns vid behandling av personuppgifter som avser personer med skyddade personuppgifter och personer som är utsatta för våld eller förtryck. Det är högst osannolikt att myndigheten skulle samla in personuppgifter om personer med skyddade personuppgifter eftersom det finns begränsade möjligheter att ta del av uppgifter om sådana personer, men det skulle t.ex. kunna hända om den enskilde själv väljer att kontakta myndigheten och lämna information. Eftersom det är svårt att veta vilka som är utsatta för våld och förtryck i övrigt kan det hända att myndigheten behandlar personuppgifter om sådana personer. Barns personuppgifter förtjänar också särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter (skäl 38 i EU:s dataskyddsförordning). Även personer med vissa kognitiva funktionsnedsättningar kan vara mindre medvetna om sådana faktorer. Den tidigare Artikel 29-gruppen för skydd av personuppgifter har uttalat att bl.a. psykiskt sjuka personer, asylsökande, äldre personer och patienter är sårbara registrerade, vilket innebär att det kan vara svårt för dem att på ett enkelt sätt lämna samtycke eller motsätta sig behandling av sina uppgifter eller utöva sina rättigheter (Artikel 29-gruppen för skydd av personuppgifter, Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, 2017, s. 11 och 12). Eftersom myndighetens uppdrag avser hela vården och omsorgen kan det, beroende på projekt, bli aktuellt att behandla uppgifter om sådana personer, t.ex. i uppföljningar av barn- och ungdomspsykiatrin eller andra delar av vården eller omsorgen där många olika personer kan vara patienter eller brukare. Det finns integritetsrisker både när personuppgifter samlas in direkt från den registrerade och när de samlas in på annat sätt Vissa av de personuppgifter som Myndigheten för vård- och omsorgsanalys behöver behandla kommer ursprungligen från vården och omsorgen och kan komma att samlas in antingen från andra statliga myndigheter eller direkt från huvudmän eller utförare inom vården och omsorgen. När den enskilde uppsöker vården eller omsorgen för att få hjälp eller stöd kan det vara svårt för den enskilde att förutse eller förstå att dennes personuppgifter i framtiden kan komma att behandlas av Myndigheten för vård- och omsorgsanalys för uppföljning och utvärdering. Behandling av personuppgifter för andra ändamål än ursprungsändamålet innebär därmed i sig en integritetsrisk, eftersom det innebär att det är svårt för den registrerade att ha full kontroll över sina personuppgifter. Personuppgifter som samlas in från andra än den registrerade själv innehåller oftast inte kontaktuppgifter, vilket gör att det inte är möjligt att informera den enskilde om myndighetens behandling (jfr artikel 14.5 b i EU:s dataskyddsförordning). Även detta utgör en integritetsrisk på grund av avsaknad av kontroll för den registrerade. Det finns även särskilda risker vid insamling av vissa typer av personuppgifter direkt från den registrerade, t.ex. vid insamling genom enkäter eller intervjuer. Av 2 kap. 2 § RF följer ett skydd för de s.k. negativa opinionsfriheterna, vilket bl.a. innebär att myndigheter aldrig får tvinga någon att ge till känna sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Det är frivilligt att lämna uppgifter till myndigheten, vilket myndigheten också är skyldig att informera om enligt artikel 13.2 e i EU:s dataskyddsförordning, men det finns ändå en risk för att enskilda kan uppleva insamlingen av vissa uppgifter som kränkande. Föreslagna ändamålsbestämmelser bedöms minska integritetsriskerna De i lagen föreslagna ändamålen för behandling av personuppgifter utgör en grundläggande begränsning av all personuppgiftsbehandling enligt lagen (se avsnitt 7.6.2 och 7.6.3). Genom att det i lag fastställs för vilka ändamål myndigheten får behandla personuppgifter fastställs en yttersta ram för behandlingen, vilken endast kan ändras genom lag. Ändringar på lägre författningsnivå, såsom en eventuell ändring av myndighetens instruktion, skulle alltså inte kunna utöka myndighetens utrymme att behandla personuppgifter. Detta skapar förutsättningar för långsiktig tydlighet i fråga om myndighetens behandlingar. Dessutom torde det många gånger krävas att myndigheten konkretiserar ändamålen för respektive behandling ytterligare (artikel 5.1 b i EU:s dataskyddsförordning), vilket borgar för än mer förutsägbarhet. Det har övervägts att föreslå att lagen ska innehålla mer konkreta ändamål, men detta har inte bedömts vara möjligt givet myndighetens breda uppdrag och de olika typer av undersökningar och utvärderingar där behovet att behandla personuppgifter kan uppstå. En mer konkret ändamålsbestämmelse skulle snarare riskera att bli svåröverskådlig och skapa hinder för myndigheten att utföra sitt uppdrag på ett ändamålsenligt sätt. Föreslagna bestämmelser om känsliga personuppgifter och sökbegränsningar bedöms minska integritetsriskerna Känsliga personuppgifter föreslås som utgångspunkt få behandlas om det är nödvändigt för ändamålet (se avsnitt 7.7), men sökningar får enligt förslaget inte utföras i syfte att få fram ett urval av personer grundat på andra känsliga personuppgifter än uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexualliv eller sexuella läggning (se avsnitt 7.9). För att det över huvud taget ska vara tillåtet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter krävs det också enligt förslaget att sökningen görs för de i lagen angivna primära ändamålen. Sökbegränsningen begränsar möjligheten att analysera och sortera känsliga personuppgifter, vilket minskar risken för obefogad behandling av sådana uppgifter. Sökbegränsningen säkerställer att myndigheten inte bearbetar eller hanterar andra personuppgifter än sådana som är strikt nödvändiga för myndighetens analyser på annat sätt än att uppgifterna samlas in och lagras. Det har övervägts att föreslå ett förbud mot all sökning på känsliga personuppgifter, men detta är enligt regeringens bedömning inte möjligt givet myndighetens behov av att kunna analysera och bearbeta vissa känsliga personuppgifter för att kunna utföra sitt uppdrag. Föreslagna bestämmelser om att behandling av personuppgifter ska ske i projekt bedöms minska integritetsriskerna För att begränsa behandlingen och säkerställa en god förutsägbarhet föreslås att personuppgifter som huvudregel ska behandlas i projekt och inte får behandlas i andra projekt än det de samlas in i (se avsnitt 7.10). Projekt avgränsar därmed behandlingen ytterligare jämfört med ändamålen för behandling av personuppgifter som föreslås i den nya lagen. Projektets ramar i fråga om syfte, kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser samt tid ska fastställas på förhand och information om detta ska hållas tillgänglig på myndighetens webbplats (se avsnitt 7.11). Genom tillgängliggörandet av sådan information skapas transparens och tydlighet gentemot de registrerade, allmänheten, tillsynsmyndigheten och andra intresserade. Det är ett sätt att skapa kännedom om myndighetens personuppgiftsbehandlingar även i situationer då det inte är möjligt att informera den enskilde direkt om personuppgiftsbehandlingen, t.ex. eftersom myndigheten inte har kontaktuppgifter till den enskilde. Vissa undantag från huvudregeln föreslås, men dessa bedöms inte påverka integritetsskyddet i någon större utsträckning. Skälet till detta är att undantaget för uppföljning och upprepning av ett projekt förutsätter att det nya projektet och ändamålet med den nya behandlingen ligger mycket nära det ursprungliga projektet och den ursprungliga behandlingen. Omvärldsbevakning och verksamhetsplanering ger endast ett begränsat utrymme för att göra undantag från huvudregeln och torde som utgångspunkt inte innebära någon omfattande behandling av integritetskänsliga uppgifter. Föreslagna bestämmelser om medgivande och återkallelse av medgivande bedöms minska integritetsriskerna En viktig del av skyddet för den personliga integriteten är den enskildes möjlighet att själv bestämma över tillgången till och behandlingen av dennes personuppgifter. I avsnitt 7.12 föreslås ett krav på medgivande för behandling av personuppgifter som samlas in direkt från den enskilde. Den registrerade har enligt förslaget rätt att när som helst återkalla ett lämnat medgivande, varvid behandling av personuppgifter som omfattas av det återkallade medgivandet ska raderas. Detta säkerställer att den enskilde själv kan bestämma om och vilka personuppgifter denne lämnar till myndigheten och ger den enskilde möjligheten att ångra sig efter att uppgifter har lämnats. Registrerade som medverkar i en intervju- eller enkätundersökning eller på annat sätt lämnar uppgifter till myndigheten torde normalt inte befinna sig i någon beroendeställning till myndigheten, varför medgivandet som utgångspunkt bör kunna lämnas helt frivilligt. Detta är fallet eftersom myndigheten har ett renodlat uppdrag bestående av analys och uppföljning på övergripande nivå, utan att hantera eller direkt påverka enskilda personers ärenden och utan några maktbefogenheter vare sig i förhållande till enskilda eller andra myndigheter. Personer som av olika skäl har nedsatt beslutsförmåga eller kognitiva funktionsnedsättningar kan inte alltid lämna ett uttryckligt medgivande. Det kan även vara svårare att få ett uttryckligt medgivande från barn, beroende på bl.a. barnets ålder och mognad och behandlingens art. Ett sådant medgivande, i form av en integritetshöjande åtgärd, föreslås dock utgöra en förutsättning för personuppgiftsbehandling när uppgifter samlas in direkt från den enskilde, t.ex. vid enkät- eller intervjustudier. Det är myndighetens uppgift att se till att medgivandet lämnas frivilligt och informerat (se avsnitt 7.12), vilket bl.a. innebär att myndigheten måste anpassa sin information om behandlingen och om innebörden av ett medgivande utifrån den enskildes förutsättningar att ta till sig informationen. Mot bakgrund av detta bedömer regeringen, till skillnad från Myndigheten för delaktighet, att risken för medgivanden som inte är frivilliga eller informerade är låg, även om den enskilde har nedsatt beslutsförmåga eller en kognitiv funktionsnedsättning. Föreslagna bestämmelser om att separera direkt hänförliga personuppgifter från övriga personuppgifter bedöms minska integritetsriskerna Som anges ovan är personuppgifter som direkt kan hänföras till den registrerade, som personnummer och samordningsnummer, förenade med särskilda integritetsrisker. Att förbjuda behandling av uppgifter som direkt kan hänföras till den registrerade är således en effektiv skyddsåtgärd som har övervägts i arbetet med den föreslagna lagen. Eftersom Myndigheten för vård- och omsorgsanalys i vissa fall inte kan utföra sitt uppdrag utan behandling av direkt hänförliga personuppgifter är det dock inte möjligt att helt förbjuda sådan behandling. I stället föreslås en bestämmelse om att personuppgifter som direkt kan hänföras till den registrerade som huvudregel ska separeras från övriga personuppgifter (se avsnitt 7.13). Detta tillgodoser principen om uppgiftsminimering i artikel 5.1 c i EU:s dataskyddsförordning samt bidrar till att uppfylla principen om integritet och konfidentialitet i artikel 5.1 f i EU:s dataskyddsförordning. Föreslagna bestämmelser om begränsad tillgång till uppgifterna bedöms minska integritetsriskerna Förslaget om begränsad tillgång till uppgifterna (se avsnitt 7.14) säkerställer ett aktivt arbete med behörighetsstyrning. Det bör endast vara de personer som arbetar i ett visst projekt som har behov av att ta del av de personuppgifter som finns i projektet. Behörighetstilldelningen bör vara i linje med detta, dvs. endast en begränsad krets av personer får tillgång till uppgifterna i respektive projekt vid myndigheten. Det bör i de allra flesta fall vara tillräckligt för dem som arbetar i projektet att ta del av personuppgifter som inte är direkt hänförliga till den registrerade. Om det finns kompletterande uppgifter som gör identifiering möjlig, bör så få personer som möjligt tilldelas behörighet att ta del av dessa. Kravet på att regelbundet kontrollera och följa upp åtkomsten till personuppgifter bidrar till att missbruk av behörigheter, intrång och andra säkerhetsrisker kan förebyggas och upptäckas i ett tidigt skede, vilket minskar risken för att personuppgifter används på ett sätt som de inte var avsedda för. Risken minskar också för att personuppgiftsincidenter i övrigt inträffar. Förslaget om begränsad tillgång till personuppgifter tillgodoser alltså principen om uppgiftsminimering i artikel 5.1 c i EU:s dataskyddsförordning samt bidrar till att uppfylla principen om integritet och konfidentialitet i artikel 5.1 f i EU:s dataskyddsförordning. Den allmänna dataskydds- och sekretessregleringen bedöms bidra till ett starkt skydd för uppgifterna Stockholms kommun för fram att det är viktigt att sekretessen och skyddet av personuppgifter hålls på samma nivå inom Myndigheten för vård- och omsorgsanalys som inom socialtjänsten. Utöver de skyddsåtgärder som föreslås i den nu aktuella lagen ger de krav som följer av den allmänna dataskyddsregleringen ett gott skydd för personuppgifterna. Ett exempel på en central skyddsbestämmelse är kravet i artikel 24 i EU:s dataskyddsförordning på att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen sker i enlighet med EU:s dataskyddsförordning. Myndigheten måste också se till att behandlingen av personnummer och samordningsnummer är klart motiverad i enlighet med 3 kap. 10 § dataskyddslagen. Därutöver utgör den sekretess som gäller för myndighetens undersökningar och utvärderingar ett gott skydd för uppgifterna. Som huvudregel är sekretessen för de personuppgifter som behandlas i myndighetens analysverksamhet absolut och uppgifterna kan endast lämnas ut för forsknings- eller statistikändamål (24 kap. 8 § offentlighets- och sekretesslagen [2009:400] samt 7 § offentlighets- och sekretessförordningen [2009:641]). Uppgifter som inte direkt kan hänföras till den enskilde får också lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Därmed är sekretessen exempelvis starkare hos Myndigheten för vård- och omsorgsanalys än hos utförare inom vården och omsorgen, vilka kan komma att lämna ut uppgifter till myndigheten vid exempelvis journal- och aktstudier. Sekretessen vid myndigheten är densamma som den sekretess som gäller vid exempelvis Socialstyrelsen och Statistiska centralbyrån (SCB). Sammantaget bedömer regeringen att sekretesskyddet för uppgifterna vid myndigheten är mycket starkt. I sammanhanget kan det också nämnas att det inte lämnas några förslag på ändringar i regelverket om sekretess eller tystnadsplikt. Det innebär att statliga myndigheter, kommuner, regioner och privata utförare inom vården och omsorgen inför ett utlämnande av uppgifter till Myndigheten för vård- och omsorgsanalys på samma sätt som tidigare behöver pröva om uppgifterna kan lämnas ut enligt tillämpliga bestämmelser om sekretess och tystnadsplikt. Behandlingen av personuppgifter bedöms vara proportionerlig Intrånget i den personliga integriteten måste vägas mot behovet av att behandla uppgifterna i det avsedda syftet. Den reglering av personuppgiftsbehandling vid Myndigheten för vård- och omsorgsanalys som föreslås syftar till att balansera myndighetens behov av att utföra sitt uppdrag på ett ändamålsenligt sätt och ge ett starkt skydd för enskildas personliga integritet. Myndigheten för vård- och omsorgsanalys fullgör viktiga sam-hällsuppgifter, eftersom dess arbete i förlängningen ska bidra till att förbättra och effektivisera hälso- och sjukvården, tandvården och omsorgen samt stärka patienters och brukares ställning. Ändamålsenliga undersökningar och utvärderingar, och därmed ökad kunskap om de sektorerna, bidrar till att säkerställa en god och effektiv vård och omsorg för alla i Sverige. Det är regeringen som har beslutat om myndighetens uppdrag efter att i direktiven om inrättande av myndigheten ha konstaterat ett behov av en oberoende, kvalificerad och systematisk uppföljning, utvärdering och effektivitetsgranskning av de aktuella sektorerna (dir. 2010:58). Som beskrivs i avsnitt 6 är det nödvändigt för myndigheten att kunna behandla en stor mängd personuppgifter, inklusive känsliga personuppgifter, för att kunna utföra myndighetens samhällsviktiga uppdrag på ett ändamålsenligt sätt. Myndigheten måste behandla personuppgifter för att kunna besvara relevanta frågeställningar på ett tillräckligt djupgående sätt, vilket skapar mervärde för regeringen och andra målgrupper. Att använda övergripande statistik utan personuppgifter kan vara tillräckligt i vissa fall, men kan sällan generera tillräckliga svar om vårdens och omsorgens funktionssätt nedbrutet på olika patient- och brukargrupper eller vårdområden eller förklara olika samband som kan vara viktiga som underlag för att kunna fatta informerade beslut om vårdens och omsorgens utveckling. Den behandling av personuppgifter som möjliggörs genom den föreslagna lagen är alltså nödvändig för att kunna utföra relevanta undersökningar och utvärderingar, men också för att möjliggöra kontroll och kvalitetssäkring av myndighetens resultat samt tillförsäkra att myndigheten på ett oberoende och effektivt sätt kan utföra sitt arbete. Det är ur ett effektivitetsperspektiv inte möjligt – och inte heller befogat – att göra analyserna manuellt. För att myndigheten ska kunna utföra sitt uppdrag krävs således användning av digitala verktyg och en automatiserad behandling av personuppgifter. Det bedöms inte finnas några alternativ som är mindre integritetskänsliga. Sveriges advokatsamfund anger att de inte är övertygade om att införandet av en lag ligger i proportion till de medförda riskerna. Myndighetens arbete tar inte sikte på enskilda vård- eller omsorgsärenden utan handlar om att på en övergripande nivå följa upp och utvärdera vården och omsorgen och att ta fram underlag till regeringen på området. Den behandling som regleras i den föreslagna lagen syftar därmed inte till att övervaka eller kartlägga enskilda. Trots detta finns det vissa risker förenade med den behandling av personuppgifter som möjliggörs genom lagförslaget. Dessa risker får dock anses vara begränsade eftersom det i den föreslagna lagen finns omfattande skyddsbestämmelser som motverkar riskerna. Även det dataskyddsrättsliga regelverket i övrigt – EU:s dataskyddsförordning, dataskyddslagen och tillhörande föreskrifter – i kombination med sekretesslagstiftningen bedöms bidra till ett starkt skydd för den personliga integriteten. Mot bakgrund av detta skydd samt det starka intresset av att Myndigheten för vård- och omsorgsanalys kan fullgöra sitt uppdrag på ett ändamålsenligt sätt, bedömer regeringen det nödvändigt och proportionerligt att myndigheten får behandla personuppgifter för de föreslagna ändamålen och inom de övriga ramar som anges i den föreslagna lagen. Det kan också noteras att Integritetsskyddsmyndigheten anser att det i promemorian gjorts en gedigen integritetsanalys och tillstyrker förslaget om en registerlag. Sammanfattningsvis anser regeringen att den personuppgiftsbehandling som möjliggörs av den föreslagna lagen utgör en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, Europakonventionen samt EU:s rättighetsstadga. Förslaget bedöms även vara förenligt med kraven på proportionalitet enligt EU:s dataskyddsförordning. Konsekvensbedömning avseende dataskydd Myndigheten för vård- och omsorgsanalys ska, när det är nödvändigt, göra en konsekvensbedömning avseende dataskyddet och en framställan om s.k. förhandssamråd till Integritetsskyddsmyndigheten (artiklarna 35 och 36 i EU:s dataskyddsförordning). De överväganden som redovisas här är alltså inte avsedda att utgöra en sådan konsekvensbedömning som ersätter kravet på en konsekvensbedömning avseende dataskydd enligt EU:s dataskyddsförordning. En konsekvensbedömning görs bäst av Myndigheten för vård- och omsorgsanalys eftersom det ytterst är upp till myndigheten att besluta om de närmare förutsättningarna för behandlingen, t.ex. när det gäller vilken teknik och vilka säkerhetslösningar som ska användas. Regeringen bedömer, till skillnad från Stockholms kommun, att det inte är aktuellt att i detta lagstiftningsärende förtydliga informationskravet avseende de konsekvensbedömningar som regleras i EU:s dataskyddsförordning. Ikraftträdande- och övergångsbestämmelser Regeringens förslag: Lagen ska träda i kraft den 1 januari 2025. Bestämmelserna om behandling av personuppgifter i projekt och medgivande till behandling av personuppgifter ska inte tillämpas på projekt som har inletts före ikraftträdandet. Promemorians förslag överensstämmer med regeringens. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Skälen för regeringens förslag: Den föreslagna lagen bör träda i kraft så snart som möjligt för att tillgodose Myndigheten för vård- och omsorgs-analys behov av att behandla personuppgifter för att därigenom kunna utföra sitt uppdrag på ett så ändamålsenligt sätt som möjligt. Den 1 januari 2025 bedöms vara den tidigaste tidpunkt som lagen kan träda i kraft. Myndigheten för vård- och omsorgsanalys bedöms i dag uppfylla merparten av de krav som ställs i den föreslagna lagen. Det kan dock inte förutsättas att myndigheten fullt ut uppfyller de föreslagna kraven på projekt och medgivande i 11–13 §§ i fråga om projekt som har inletts innan lagen träder i kraft. För att myndigheten inte ska tvingas upphöra med pågående behandlingar i förtid, bör de bestämmelserna därför inte tillämpas på projekt som har inletts före ikraftträdandet. Behandling av personuppgifter som myndigheten utför med stöd av samtycke regleras inte i förslaget om ny registerlag. Sådan behandling utförs med direkt stöd av EU:s dataskyddsförordning. Pågående projekt som sker med stöd av samtycke påverkas således inte av ikraftträdandet av lagen. Konsekvenser Ekonomiska konsekvenser Förslaget till ny lag syftar till att möjliggöra för Myndigheten för vård- och omsorgsanalys att genomföra sitt uppdrag på ett effektivt och ändamålsenligt sätt samtidigt som restriktioner och skyddsåtgärder värnar den personliga integriteten. De skyddsåtgärder som föreslås går utöver de som följer av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Förslagen kan förväntas leda till att myndigheten vidtar vissa förändringar i fråga om organisation och arbetssätt. Behovet av tekniska anpassningar för att uppfylla föreslagna krav på skyddsåtgärder bedöms dock vara begränsat. Myndigheten arbetar redan i dag i projektform och inhämtar ofta de enskildas medgivanden inför behandling. Vidare separerar myndigheten direkt hänförliga personuppgifter från övriga uppgifter och arbetar med behörighetsstyrning. Därför kan det antas att eventuella anpassningar för att uppfylla de föreslagna kraven i den nya lagen kommer att vara begränsade. Det kan dock initialt komma att krävas viss utbildning för de medarbetare vid myndigheten som ska tillämpa de nya reglerna. Nya interna styrdokument kan också behöva tas fram och implementeras. Eventuella kostnader för utbildning och styrande dokument får dock anses ingå i myndighetens ordinarie uppgifter och bedöms rymmas inom befintliga anslag. Förslaget kan också innebära att det krävs viss anpassning av myndighetens it-system och arbetssätt, t.ex. för att kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Det finns dock redan i dag krav på intern styrning och kontroll vid myndigheter och krav på att personuppgiftsansvariga ska säkerställa och kunna visa att principerna om integritet och konfidentialitet uppfylls (4 § 4 myndighetsförordningen [2007:515] och artikel 5.1 f och 5.2 i EU:s dataskyddsförordning). Eventuella kostnader för sådana anpassningar bedöms därmed vara begränsade och rymmas inom befintliga anslag. Lunds universitet befarar att förslaget kommer att leda till undanträngningseffekter vid registerhållande myndigheter som ytterligare skulle försvåra möjligheterna att bedriva samhällsviktig forskning med hjälp av register, och Stockholms kommun för fram att lagförslaget kan komma att leda till en ökad efterfrågan på data och information från socialtjänsten, vilket kan leda till en ökad administrativ börda för dessa. Regeringen bedömer att positiva konsekvenser kan uppstå för de aktörer som i dag bistår Myndigheten för vård- och omsorgsanalys med att bearbeta personuppgifter för att avidentifiera dem innan uppgifterna lämnas ut till myndigheten. Sådan bearbetning av materialet kommer sannolikt inte behöva ske i samma utsträckning som i dag, eftersom Myndigheten för vård- och omsorgsanalys genom förslaget får en utökad möjlighet att behandla personuppgifter. Regeringen bedömer därför att någon sådan undanträngningseffekt som Lunds universitet befarar inte kommer att uppstå utan i stället att lagförslaget kommer att få positiva effekter för myndighetens samhällsviktiga undersökningar och utvärderingar. Förslaget kan även underlätta den prövning som andra myndigheter behöver göra innan de överlämnar underlag till Myndigheten för vård- och omsorgsanalys då den nya lagen gör ramarna för myndighetens behandling av personuppgifter tydligare. Regeringen bedömer vidare att lagförslaget endast kommer att leda till mindre konsekvenser för den administrativa bördan inom socialtjänsten, vilket dock vägs upp av de positiva konsekvenser som förslaget i stort kan förväntas leda till för utveckling av socialtjänsten. Både Förvaltningsrätten i Stockholm och SKPF pensionärerna noterar att det i promemorian inte har beskrivits i vilken omfattning förslaget kan medföra att Myndigheten för vård- och omsorgsanalys fattar fler beslut om den registrerades rättigheter enligt artiklarna 12.4 och 15–21 i EU:s dataskyddsförordning samt i vilken utsträckning dessa beslut kan komma att överklagas och därmed leda till en ökad arbetsbörda för de allmänna förvaltningsdomstolarna. Regeringen bedömer att det, i den mån lagförslaget medför ett ökat behov för myndigheten att fatta sådana beslut, kommer att bli i en ytterst begränsad omfattning. Därmed bedöms förslaget inte leda till en ökad arbetsbörda för domstolarna. Regeringen bedömer således att förslaget inte får några negativa ekonomiska konsekvenser för statliga myndigheter, kommuner, regioner, de allmänna förvaltningsdomstolarna, företag eller andra enskilda. Konsekvenser för den personliga integriteten Lagförslaget innebär att Myndigheten för vård- och omsorgsanalys ges möjlighet att behandla stora mängder personuppgifter, inklusive känsliga personuppgifter, även när det skulle kunna innebära ett betydande intrång i den personliga integriteten. Genom kraven på skyddsåtgärder som föreslås samt befintlig reglering om dataskydd och sekretess säkerställs dock ett långsiktigt och hållbart integritetsskydd. Regeringen bedömer att förslaget utgör en lämplig avvägning mellan skyddet för den enskildes personliga integritet och behovet av en ändamålsenlig reglering för myndighetens behandling av personuppgifter. För sådan behandling som myndigheten utför i dag medför förslaget ett bättre skydd för den personliga integriteten än vad som nu gäller. Även för sådan ytterligare behandling som möjliggörs genom förslaget bedöms ett gott skydd för den personliga integriteten uppnås. För en mer utförlig integritetsanalys hänvisas till avsnitt 8. Övriga konsekvenser Regeringen bedömer att lagförslaget inte får några konsekvenser för den kommunala självstyrelsen eller för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till stora företags villkor. Brottsligheten och det brottsförebyggande arbetet förväntas inte påverkas på ett negativt sätt av förslaget. Däremot ger förslaget bättre förutsättningar för uppföljning, analys och kunskap om socialtjänstens brottsförebyggande arbete, vilket i förlängningen kan bidra till att utveckla arbetet. Författningsförslaget är könsneutralt utformat och förväntas inte få några negativa konsekvenser för jämställdheten mellan kvinnor och män. Förslaget bedöms inte heller få några negativa konsekvenser för möjligheten att nå de integrationspolitiska målen. Med förslaget får myndigheten däremot goda möjligheter att genomföra analyser på jämställdhets- och integrationsområdet, vilket bör ge goda förutsättningar för beslut på dessa politikområden med åtföljande positiva konsekvenser för integrationen och jämställdheten mellan kvinnor och män. Barnombudsmannen framför vikten av att i förarbeten göra tydliga kopplingar till rättigheterna i barnkonventionen. Regeringen bedömer att förslaget är förenligt med FN:s konvention om barnets rättigheter (barnkonventionen). I barnkonventionen anges bl.a. att vid alla åtgärder som rör barn, vare sig de vidtas av offentliga eller privata sociala välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ, i första hand beaktas vad som bedöms vara barnets bästa (artikel 3.1). Vidare anges att barn inte får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende (artikel 16.1). Barns personuppgifter nämns också i skäl 38 i EU:s dataskyddsförordning där det anges att dessa förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Som anges i avsnitt 6 behöver Myndigheten för vård- och omsorgsanalys behandla personuppgifter om olika kategorier av registrerade. Detta inkluderar i vissa fall personuppgifter om barn. Vid behandling av dessa uppgifter gäller på samma sätt som vid behandling av vuxnas personuppgifter att behandlingen ska vara nödvändig för att vara tillåten. Begränsningarna och skyddsåtgärderna i lagförslaget gäller, liksom det skydd som finns för den personliga integriteten i befintlig dataskydds- och sekretessreglering, på motsvarande sätt för barns personuppgifter som för vuxnas personuppgifter. Barnets rättigheter kan dock beroende av barnets ålder utövas av den som har föräldraansvar för barnet. Regeringen anser att lagförslaget kan bidra till en förbättrad uppföljning och utvärdering av vården och omsorgen för barn, vilket kan påverka barns rättigheter på ett positivt sätt. Det föreslås inte någon reglering som går utöver vad som är tillåtet enligt EU:s dataskyddsförordning. I respektive avsnitt har det gjorts en bedömning av vilken nationell reglering som är möjlig att införa med beaktande av EU:s dataskyddsförordning. Även i övrigt bedöms förslaget vara förenligt med EU-rätten. Författningskommentar Förslaget till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Lagens tillämpningsområde 1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitt 7.1. I första stycket anges att lagen gäller vid behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. Definitioner av begreppen personuppgifter och behandling finns i artikel 4.1 och 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Lagen gäller behandling av personuppgifter som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Tillämpningsområdet motsvarar myndighetens uppdrag inom dessa områden, som för närvarande regleras i 1–3 §§ förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys, här benämnd instruktionen. Det innebär att lagen inte är tillämplig i annan verksamhet vid myndigheten, t.ex. i den administrativa verksamheten. I andra stycket begränsas lagens tillämpningsområde till att avse helt eller delvis automatiserad behandling eller manuell behandling om uppgifterna ingår i eller kommer att ingå i ett register. Manuell behandling som inte ingår i, eller kommer att ingå i, ett register faller således utanför lagens tillämpningsområde. Bestämmelsen motsvarar i denna del artikel 2.1 i EU:s dataskyddsförordning och ska tolkas på samma sätt som den bestämmelsen. Definitionen av register finns i artikel 4.6 i EU:s dataskyddsförordning. Förhållandet till annan dataskyddsreglering 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen anger lagens förhållande till annan dataskyddsreglering. Övervägandena finns i avsnitt 7.2. I första stycket anges att lagen kompletterar EU:s dataskyddsförordning. Det innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med EU:s dataskyddsförordning. EU:s dataskyddsförordning är direkt tillämplig men förutsätter eller tillåter i vissa avseenden nationella bestämmelser som kompletterar förordningen. Enligt andra stycket är dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen subsidiära i förhållande till denna lag. Det regleras även att föreskrifter som meddelats i anslutning till denna lag ska ha företräde framför dataskyddslagen och föreskrifter som meddelats i anslutning till dataskyddslagen. Uppgifter om avlidna personer 3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar: 1. denna lag och föreskrifter som har meddelats i anslutning till lagen, 2. EU:s dataskyddsförordning, och 3. lagen (2018:218) med kompletterande bestämmelser till EU:s data-skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen. I paragrafen regleras vad som gäller vid behandling av uppgifter om avlidna personer. Övervägandena finns i avsnitt 7.3. I paragrafen slås fast att lagen och föreskrifter som har meddelats i anslutning till lagen, EU:s dataskyddsförordning och dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen i tillämpliga delar ska gälla för behandling av uppgifter om avlidna personer. Genom paragrafen utvidgas därmed lagens tillämpningsområde i förhållande till EU:s dataskyddsförordning. Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt är inte tillämpliga på avlidna personer. Någon möjlighet för efterlevande eller andra att överta rättigheter som tillkom den avlidne när denne var i livet finns inte heller. Det innebär exempelvis att bestämmelser om rätten till information, rätten till skadestånd och möjligheten att begära rättelse av uppgifter inte är tillämpliga på behandling av uppgifter om avlidna personer. Bestämmelser som däremot ska tillämpas även vid behandling av uppgifter om avlidna personer är sådana som avser bl.a. ändamål för behandlingen, tillåtna rättsliga grunder och de grundläggande principerna i artikel 5 i EU:s dataskyddsförordning. Enligt 1 § lagen (1987:269) om kriterier för bestämmande av människans död är en människa död, dvs. avliden, när hjärnans samtliga funktioner totalt och oåterkalleligt har fallit bort. Begränsning av rätten att göra invändningar 4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde. Paragrafen innehåller en begränsning av rätten att göra invändningar mot behandling av personuppgifter. Övervägandena finns i avsnitt 7.4. Av artikel 21.1 i EU:s dataskyddsförordning följer att den registrerade har rätt att när som helst invända mot myndigheters behandling av personuppgifter avseende honom eller henne som grundar sig på sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e i EU:s dataskyddsförordning. Paragrafens första stycke är utformat som ett undantag från artikel 21.1 i EU:s dataskyddsförordning. Undantaget är en sådan begränsning i den nationella rätten av den registrerades rättigheter som är tillåten enligt artikel 23 i EU:s dataskyddsförordning. Hänvisningen till EU:s dataskyddsförordning är dynamisk, dvs. den avser förordningen i den vid varje tidpunkt gällande lydelsen. Andra stycket innebär att rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning gäller när uppgifterna samlas in direkt från den enskilde, exempelvis vid insamling av personuppgifter i intervju- eller enkätundersökningar. Personuppgiftsansvar 5 § Myndigheten för vård- och omsorgsanalys är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag. Paragrafen anger att Myndigheten för vård- och omsorgsanalys är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen. Övervägandena finns i avsnitt 7.5. I artikel 4.7 i EU:s dataskyddsförordning finns definitionen av personuppgiftsansvarig. Ändamål för behandling av personuppgifter 6 § Myndigheten för vård- och omsorgsanalys får behandla personuppgifter om det är nödvändigt för 1. undersökningar om vårdens och omsorgens funktionssätt, 2. undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, 3. utvärderingar av information om vård och omsorg som lämnas till enskilda, eller 4. utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Inom ramen för sådana undersökningar eller utvärderingar får personuppgifter behandlas även för att framställa statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser. Paragrafen innehåller en bestämmelse om de primära ändamål som personuppgifter får behandlas för inom lagens tillämpningsområde. Övervägandena finns i avsnitt 7.6.2. Regleringen av ändamålen i första stycket utgör en begränsning av vilken behandling av personuppgifter som är tillåten enligt lagen. Ändamålen återspeglar Myndigheten för vård- och omsorgsanalys behov av att behandla personuppgifter för att utföra sitt kärnuppdrag. De undersökningar och utvärderingar som anges i ändamålen är uttryckta på samma sätt som i 7 § offentlighets- och sekretessförordningen (2009:641). Det kan t.ex. handla om de uppdrag som myndigheten har fått att följa upp satsningen på förlossningsvård och kvinnors hälsa ur ett system- och patientperspektiv, att följa och utvärdera hälso- och sjukvårdens omställning till en god och nära vård eller myndighetens arbete med International Health Policy Survey. Ändamålen är brett formulerade. Kravet i artikel 5.1 b i EU:s dataskyddsförordning på särskilda, uttryckligt angivna och berättigade ändamål vid behandling av personuppgifter innebär att Myndigheten för vård- och omsorgsanalys kan behöva formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet. Ändamålet preciseras också genom det syfte som enligt 12 § ska fastställas för alla projekt. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig om den behövs för att myndigheten på ett effektivt sätt ska kunna utföra arbetsuppgiften eller om den leder till effektivitetsvinster (prop. 2017/18:105 s. 189). Om behandling av personuppgifter tillför relevant information till en undersökning eller utvärdering eller om undersökningen eller utvärderingen inte kan utföras lika effektivt utan uppgifterna, får behandlingen anses vara nödvändig. Även sådana uppgifter som visar sig utgöra överskottsinformation i förhållande till vad myndigheten behöver analysera får anses nödvändiga att behandla, om uppgifter som är nödvändiga att analysera annars inte kan samlas in av myndigheten. Exempelvis får det anses nödvändigt att behandla samtliga personuppgifter i en ärendeakt som samlats in för en aktstudie, även om samtliga personuppgifter inte behöver analyseras i studien. Det får också anses nödvändigt att behandla samtliga personuppgifter i ett enkätsvar, även om samtliga personuppgifter inte är relevanta för ändamålet med enkäten. Vad som är nödvändigt med hänsyn till ändamålet med behandlingen måste avgöras i varje enskilt fall. Vid en sådan prövning ska bl.a. de grundläggande principerna om uppgiftsminimering och lagringsminimering enligt artikel 5.1 c och e i EU:s dataskyddsförordning beaktas. Kravet på nödvändighet innebär att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (prop. 2017/18:232 s. 117). I paragrafens andra stycke finns en upplysning om att myndigheten får behandla personuppgifter även för att framställa statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser inom ramen för behandling enligt de primära ändamålen. Myndigheten för vård- och omsorgsanalys har inget statistikuppdrag och får inte behandla personuppgifter för statistik som ett självständigt ändamål. Däremot får myndigheten ta fram statistik som en del i den behandling som sker för de ändamål som anges i första stycket. Myndighetens uppdrag att inom sitt verksamhetsområde bedriva omvärldsbevakning och genomföra internationella jämförelser framgår av 3 § 3 instruktionen. 7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I paragrafen anges för vilka sekundära ändamål personuppgifter får behandlas inom lagens tillämpningsområde. Övervägandena finns i avsnitt 7.6.3. Bestämmelsen innebär att myndigheten får behandla personuppgifter för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning. Behandlingen förutsätter att uppgifterna redan är föremål för behandling enligt 6 §. Ett sådant uppgiftslämnande som avses i paragrafen kan exempelvis bli aktuellt vid uppgiftslämnande som sker i syfte att fullgöra serviceskyldigheten gentemot enskilda enligt förvaltningslagen (2017:900) eller som följer av skyldigheten för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång enligt 6 kap. 5 § offentlighets- och sekretesslagen (2009:400). Känsliga personuppgifter 8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen. Paragrafen anger när känsliga personuppgifter får behandlas. Övervägandena finns i avsnitt 7.7. De personuppgifter som myndigheten får behandla med stöd av bestämmelsen är sådana som avses i artikel 9.1 i EU:s dataskyddsförordning, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Definitioner av genetiska och biometriska uppgifter samt uppgifter om hälsa finns i artikel 4.13, 4.14 och 4.15 i EU:s dataskyddsförordning. Hänvisningen till EU:s dataskyddsförordning är dynamisk, dvs. den avser förordningen i den vid varje tidpunkt gällande lydelsen. Känsliga personuppgifter får enligt bestämmelsen behandlas om det är nödvändigt med hänsyn till ändamålet med behandlingen. Behandling av känsliga personuppgifter bör typiskt sett kunna bedömas som nödvändig när sådana uppgifter behöver ligga till grund för myndighetens analyser eller samlas in för att möjliggöra behandling av uppgifter som behöver analyseras. Behandlingen måste dock kunna motiveras i varje enskilt fall. Nödvändighetsrekvisitet har samma innebörd som i 6 § (jfr prop. 2017/18:105 s. 75 och 76). Med uttrycket ändamålet med behandlingen avses behandling som utförs både med stöd av den primära och med stöd av den sekundära ändamålsbestämmelsen. Känsliga personuppgifter kan också behandlas med stöd av övriga undantag i artikel 9.2 i EU:s dataskyddsförordning och dataskyddslagen. Till exempel finns stöd för behandling av känsliga personuppgifter för statistiska ändamål i artikel 9.2 j i EU:s dataskyddsförordning och i 3 kap. 7 § dataskyddslagen. 9 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa, sexualliv eller sexuell läggning, om sökningen sker för något av ändamålen i 6 §. Paragrafen innehåller sökbegränsningar avseende känsliga personuppgifter. Övervägandena finns i avsnitt 7.9. Enligt paragrafens första stycke är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Sökförbudet avser alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att ta fram verksamhetsstatistik eller för registervård (prop. 2017/18:105 s. 91 och 195). Andra stycket innehåller undantag från bestämmelsen i första stycket. Undantaget anger att det är tillåtet att använda uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa, sexualliv eller sexuell läggning för att utföra sökningar i syfte att få fram ett urval av personer. Förutsättningen för att det ska vara tillåtet att göra sökningar i enlighet med undantaget är dock att sökningen görs för något av de i 6 § angivna primära ändamålen. Ändamål enligt 7 § omfattas inte av undantaget från sökförbudet. Bestämmelsen om sökbegränsningar påverkar därmed i vilken utsträckning myndigheten kan sammanställa s.k. potentiella handlingar vid begäran om att få ta del av allmän handling (se 2 kap. 6 och 7 §§ tryckfrihetsförordningen och prop. 2023/24:29 s. 69). Behandling av personuppgifter i projekt 10 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar. I paragrafen anges vad som avses med projekt i lagen. Övervägandena finns i avsnitt 7.10. Enligt paragrafen avses med projekt en planerad arbetsinsats som genomförs inom bestämda ramar. Att arbetsinsatsen ska vara planerad medför ett krav på att varje projekt ska föregås av vissa förberedelser. Förberedelserna bör omfatta att bestämma vilka ramar som ska gälla för projektet. Med detta avses de ramar som ska fastställas enligt 12 § men också andra förutsättningar t.ex. rörande metod och resursåtgång. 11 § Behandling av personuppgifter enligt 6 § ska ske inom ramen för ett projekt. Personuppgifter som har samlats in för att behandlas inom ramen för ett projekt får inte behandlas i ett annat projekt. Personuppgifter får dock behandlas inom ramen för ett annat projekt än det som uppgifterna samlats in för, om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet. Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Myndigheten för vård- och omsorgsanalys verksamhet behöver inte ske inom ramen för ett projekt. Paragrafen reglerar behandling av personuppgifter i projekt. Övervägandena finns i avsnitt 7.10. Enligt första stycket ska behandling av personuppgifter för de i 6 § angivna primära ändamålen ske inom ramen för ett projekt. Vad som avses med projekt framgår av 10 §. Första stycket anger också att personuppgifter som har samlats in för att behandlas inom ramen för ett projekt inte får behandlas i ett annat projekt. Begränsningen av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begränsning av finalitetsprincipens tillämplighet (artikel 5.1 b i EU:s dataskyddsförordning). Andra stycket utgör ett undantag från första styckets andra mening. Personuppgifter får behandlas i ett annat projekt än det som uppgifterna samlats in för om behandlingen är nödvändig för att myndigheten helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet. En förutsättning för att det ska vara fråga om uppföljning eller upprepning är att det projekt eller den del av ett projekt där uppgifterna ska återanvändas är mycket likt det projekt eller den del av projektet som uppgifterna samlades in för. Ett exempel på en uppföljning är att resultat som genererats inom ramen för ett projekt jämförs med resultat från ett tidigare projekt. Vidarebehandlingen får i dessa fall ske med stöd av finalitetsprincipen enligt artikel 5.1 b i EU:s dataskyddsförordning. Tredje stycket utgör ett undantag från kravet att behandla personuppgifter inom ramen för ett projekt. Personuppgifter som behandlas för omvärldsbevakning eller planering av myndighetens verksamhet behöver inte behandlas i ett projekt och kan därmed också vidarebehandlas med stöd av finalitetsprincipen. Med omvärldsbevakning avses den innebörd som läggs i begreppet i normalt språkbruk. Det kan i myndighetens fall bl.a. handla om att ta del av nyhetsbrev, artiklar, rapporter, litteratur och tips från allmänheten. Omvärldsbevakning och planering av verksamheten äger rum innan myndigheten inleder ett projekt och skapar förutsättningar för fortsatt arbete i projektform. Genom att behandling av personuppgifter för omvärldsbevakning och planering av verksamheten undantas från kravet på behandling i projekt, undantas behandlingen också från övriga skyddsåtgärder som är knutna till projektramen. 12 § Innan personuppgifter får behandlas inom ramen för ett projekt ska Myndigheten för vård- och omsorgsanalys fastställa 1. syftet med projektet, 2. vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden som ska analyseras i projektet, och 3. när projektet senast ska vara avslutat. Det fastställda syftet får inte ändras. Information om vad som har fastställts ska hållas tillgänglig på Myndigheten för vård- och omsorgsanalys webbplats. Paragrafen innehåller krav på fastställande av ramarna för projekt och tillgängliggörande på myndighetens webbplats av vad som har fastställts. Övervägandena finns i avsnitt 7.11. I första stycket räknas upp vad som ska fastställas i fråga om ett projekt, nämligen projektets syfte, kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras i projektet och när projektet senast ska vara avslutat. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Med uppgifter om lagöverträdelser avses detsamma som i bl.a. 2 kap. 7 § patientdatalagen (2008:355) och 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, vilket innebär att fler uppgifter omfattas än enbart sådana som avses i artikel 10 i EU:s dataskyddsförordning. Med analyseras avses bearbetning, systematisering och strukturering samt användning av uppgifterna, utifrån en analysmodell eller liknande, i syfte att se samband, göra jämförelser och dra slutsatser. Slutligen ska även tidpunkt för när projektet senast ska vara avslutat fastställas. Bestämmelsen innebär att fastställandet ska ske innan personuppgifter börjar behandlas eller innan en tillåten ändring av personuppgiftsbehandlingen vidtas. Fastställandet görs lämpligen skriftligen. Enligt andra stycket får det fastställda syftet med projektet inte ändras. Om syftet med projektet inte längre är aktuellt behöver projektet därmed avslutas. Ändringar får dock göras i ett pågående projekt i fråga om vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras samt den tidpunkt inom vilken projektet senast ska vara avslutat. Tredje stycket innebär ett krav på att hålla information tillgänglig på myndighetens webbplats om vad som har fastställts enligt första stycket. Kravet på att hålla information tillgänglig påverkar inte informationskraven enligt artiklarna 13 och 14 i EU:s dataskyddsförordning. Medgivande till behandling av personuppgifter 13 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen. Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas. Om ett medgivande återkallas, får behandlingen dock fortsätta om Myndigheten för vård- och omsorgsanalys inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering. I paragrafen anges vad som gäller i fråga om medgivande och återkallelse av medgivande i vissa fall. Övervägandena finns i avsnitt 7.12. Enligt första stycket krävs ett uttryckligt medgivande från den enskilde för behandling av personuppgifter som samlas in direkt från honom eller henne. Kravet är en integritetshöjande åtgärd i förhållande till den allmänna dataskyddsregleringen. Ett medgivande enligt denna bestämmelse är alltså inte att anse som en rättslig grund för myndighetens behandling av personuppgifter. Med uttryckligt medgivande bör avses detsamma som ett uttryckligt samtycke enligt artikel 9.2 a i EU:s dataskyddsförordning, även om utrymmet för att bedöma medgivandet som frivilligt är större än när ett samtycke utgör den rättsliga grunden för behandlingen (prop. 2021/22:177 s. 116). Kravet på uttrycklighet kan uppfyllas genom att medgivandet lämnas skriftligen, i ett elektroniskt formulär, ett e-postmeddelande med en elektronisk underskrift eller i vissa fall muntligen (jfr Europeiska dataskyddsstyrelsens [EDPB] riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1. antagna den 4 maj 2020, s. 21). Det andra stycket reglerar återkallelse av ett lämnat medgivande. Den registrerade kan när som helst återkalla ett lämnat medgivande. Återkallelsen kan avse hela eller delar av den behandling av personuppgifter som medgivandet omfattar, t.ex. vissa kategorier av personuppgifter eller personuppgifter som har samlats in under en viss tidsperiod. När ett lämnat medgivande återkallas ska personuppgifterna som omfattas av det återkallade medgivandet raderas. Enligt tredje stycket får dock behandlingen fortsätta om myndigheten inte kan hänföra uppgifterna till den registrerade. Om de ändamål för vilka myndigheten behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av myndigheten, är myndigheten i likhet med vad som anges i artikel 11.1 i EU:s dataskyddsförordning, inte tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast för att kunna upphöra med behandlingen och radera personuppgifterna. Återkallandet av ett lämnat medgivande påverkar inte tillåtligheten av sådan behandling som skett innan medgivandet återkallades. Konsekvensen av att återkalla ett lämnat medgivande motsvarar därmed konsekvensen av ett återkallat samtycke enligt artiklarna 7.3 och 17.1 b i EU:s dataskyddsförordning. Behandlingen av personuppgifter får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering. Det innebär att personuppgifter som finns i arkiverade ärenden inte ska raderas om ett medgivande återkallas. Begränsning av möjligheterna att identifiera den registrerade 14 § Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen. Det som sägs i första stycket hindrar inte att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning. Paragrafen innehåller bestämmelser som begränsar möjligheterna att identifiera den registrerade. Övervägandena finns i avsnitt 7.13. Paragrafen utformas i huvudsak enligt Lagrådets förslag. Enligt första styckets första mening ska direkt och indirekt hänförliga personuppgifter förvaras separat från varandra. Personuppgifter som direkt kan hänföras till den registrerade är framför allt uppgifter om namn, personnummer och samordningsnummer. Sådana uppgifter ska således avskiljas från övriga personuppgifter för att motverka en direkt identifiering av den registrerade. Första styckets andra mening utgör ett undantag från vad som anges i första meningen. Undantaget kan bli aktuellt om det skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen att separera personuppgifterna. Vid bedömningen av om huruvida ansträngningen är proportionerlig eller inte ska ansträngningen vägas mot det integritetsskydd som separeringen skulle medföra. En ansträngning kan anses oproportionerlig när den är mycket omfattande, t.ex. medför manuell genomgång av stora mängder patientjournaler eller akter från socialtjänsten. Syftet med behandlingen kan anses motverkas när personuppgifter som direkt kan hänföras till den registrerade är centrala för behandlingen, t.ex. när uppgifterna behövs för att myndigheten ska kunna kontakta registrerade eller göra källhänvisningar. Enligt andra stycket får personuppgifter som inte direkt kan hänföras till den registrerade, utan hinder av vad som sägs i första stycket, vara försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning. Det kan exempelvis ske genom att direkt hänförliga personuppgifter ersätts med ett löpnummer i det analysmaterial som myndigheten arbetar med och att en kodnyckel med de direkt hänförliga personuppgifterna förvaras separat från analysmaterialet. Tillgång till personuppgifter 15 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Myndigheten för vård- och omsorgsanalys. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Paragrafen reglerar tillgången till personuppgifter. Övervägandena finns i avsnitt 7.14. Första stycket innebär ett uttryckligt krav på myndigheten att se till att tillgången till personuppgifter begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid myndigheten. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som personer med tidsbegränsade anställningar eller uppdrag vid myndigheten. I och med begränsningen förstärks skyddet för den personliga integriteten genom att personuppgifter sprids till en så liten krets som möjligt. Myndigheten ska aktivt ta ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och tilldela den behörighet som behövs utifrån det. Tillgången kan begränsas genom tekniska och organisatoriska åtgärder (jfr artikel 32 i EU:s dataskyddsförordning). Av andra stycket framgår att myndigheten är skyldig att se till att åtkomsten till personuppgifter kontrolleras och följs upp regelbundet. Sådana kontroller och uppföljningar bör genomföras systematiskt och återkommande och inte endast om myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Det är i första hand upp till myndigheten att närmare bestämma formerna för kontroll och uppföljning, men det kan t.ex. ske genom loggar. Ikraftträdande- och övergångsbestämmelser 1. Denna lag träder i kraft den 1 januari 2025. 2. Bestämmelserna i 11–13 §§ tillämpas inte på projekt som har inletts före ikraftträdandet. Övervägandena finns i avsnitt 9. Lagen träder enligt punkt 1 i kraft den 1 januari 2025. Av punkt 2 framgår att bestämmelserna om behandling av person-uppgifter i projekt enligt 11 och 12 §§ samt bestämmelserna om medgivande till behandling av personuppgifter enligt 13 § inte ska tillämpas på projekt som har inletts före ikraftträdandet. För sådana projekt ska dock övriga bestämmelser i lagen tillämpas. Sammanfattning av promemorian En registerlag för Myndigheten för vård- och omsorgsanalys I promemorian föreslås en lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys som ska komplettera Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förslaget syftar till att ge myndigheten möjlighet att behandla de personuppgifter som är nödvändiga för att myndigheten ska kunna utföra sitt uppdrag på ett så ändamålsenligt sätt som möjligt samtidigt som enskildas personliga integritet värnas. Lagen föreslås omfatta behandling av personuppgifter i den del av myndighetens verksamhet som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Den föreslagna lagen innehåller olika begränsningar och skydds-åtgärder som syftar till att värna enskildas personliga integritet. Myndigheten för vård- och omsorgsanalys föreslås som huvudregel endast få behandla personuppgifter i det projekt som uppgifterna har samlats in för. Det föreslås vidare att personuppgifter som direkt kan hänföras till den registrerade som huvudregel ska förvaras separat från övriga personuppgifter. Dessutom lämnas förslag till bestämmelser om bl.a. personuppgiftsansvar, sökbegränsningar, den enskildes medgivande till viss behandling och tillgången till personuppgifter. Lagen föreslås träda i kraft den 1 januari 2025. Promemorians lagförslag Förslag till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Härigenom föreskrivs följande. Lagens tillämpningsområde 1 §    Denna lag gäller vid behandling av personuppgifter i verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Förhållande till annan dataskyddsreglering 2 §    Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds-förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Uppgifter om avlidna personer 3 §    Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar: 1. denna lag och föreskrifter som har meddelats i anslutning till lagen, 2. EU:s dataskyddsförordning, och 3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen. Begränsningar av rätten att göra invändningar 4 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde. Personuppgiftsansvar 5 §    Myndigheten för vård- och omsorgsanalys är personuppgifts-ansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag. Ändamål för behandling av personuppgifter 6 §    Myndigheten för vård- och omsorgsanalys får behandla personuppgifter om det är nödvändigt för 1. undersökningar om vårdens och omsorgens funktionssätt, 2. undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, 3. utvärderingar av information om vård och omsorg som lämnas till enskilda, eller 4. utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Inom ramen för sådana undersökningar och utvärderingar får personuppgifter behandlas för att framställa statistik. 7 §    Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Känsliga personuppgifter 8 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 9 §    Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexualliv eller sexuella läggning, om sökningen sker för något av ändamålen i 6 §. Behandling av personuppgifter i projekt 10 §    Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar. 11 §    Behandling av personuppgifter enligt 6 § ska ske i projekt. Personuppgifter som samlas in för att behandlas i ett projekt får inte behandlas i ett annat projekt. Personuppgifter får dock behandlas i ett annat projekt än det som uppgifterna samlats in i, om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet. Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Myndigheten för vård- och omsorgsanalys verksamhet behöver inte ske i projekt. 12 §    Innan personuppgifter behandlas i ett projekt ska Myndigheten för vård- och omsorgsanalys fastställa 1. syftet med projektet, 2. vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) som ska analyseras inom ramen för projektet, och 3. när projektet senast ska vara avslutat. Det fastställda syftet får inte ändras. Information om vad som har fastställts ska hållas tillgänglig på Myndigheten för vård- och omsorgsanalys webbplats. Medgivande till behandling av personuppgifter 13 §    Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen. Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Om ett medgivande återkallas, ska den behandling av personuppgifter som omfattas av det återkallade medgivandet upphöra. Behandlingen får dock fortsätta om Myndigheten för vård- och omsorgsanalys inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Begränsning av möjligheterna att identifiera den registrerade 14 §    Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen. Personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning. Tillgång till personuppgifter 15 §    Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Myndigheten för vård- och omsorgsanalys. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. 1. Denna lag träder i kraft den 1 januari 2025. 2. Bestämmelserna i 11–13 §§ ska inte tillämpas på projekt som har inletts före ikraftträdandet. Förteckning över remissinstanserna Efter remiss har yttranden kommit in från Advokatsamfundet, Arjeplogs kommun, Arvidsjaurs kommun, Barnombudsmannen, Brottsförebyggande rådet, Demensförbundet, E-hälsomyndigheten, Etikprövningsmyndigheten, Forte - Forskningsrådet för hälsa, arbetsliv och välfärd, Försäkringskassan, Förvaltningsrätten i Stockholm, Integritetsskyddsmyndigheten, Inspektionen för socialförsäkringen, Inspektionen för vård och omsorg, Justitiekanslern, Jämställdhetsmyndigheten, Jönköpings kommun, Kammarrätten i Stockholm, Karolinska institutet, Ljusnarsbergs kommun, Lunds universitet, Malmö kommun, Mora kommun, Myndigheten för delaktighet, Myndigheten för vård- och omsorgsanalys, Oskarshamns kommun, Region Kalmar, Region Stockholm, Region Värmland, Riksarkivet, Riksdagens ombudsmän, Statens beredning för medicinsk och social utvärdering, Statistiska centralbyrån (SCB), Statens institutionsstyrelse, SKPF pensionärerna, Sveriges kommuner och regioner, Socialstyrelsen, Statskontoret, Stenungssunds kommun och Stockholms kommun. Följande remissinstanser har inte svarat eller angett att de avstår från att lämna synpunkter: Akademikerförbundet SSR, Cancerfonden, Dorotea kommun, Diskrimineringsombudsmannen, Falu kommun, Fryshuset, Funktionsrätt Sverige, Föreningen Sveriges socialchefer, Grums kommun, Göteborgs kommun, Hofors kommun, Håbo kommun, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Kiruna kommun, Kommunal, Kungälvs kommun, Laxå kommun, Ljusdals kommun, Luleå kommun, Mjölby kommun, Munkedals kommun, Nationell Samverkan för psykisk hälsa, Norrköpings kommun, Pensionärernas riksorganisation, Piteå kommun, Region Skåne, Region Västerbotten, Riksrevisionen Rädda Barnen, Sala kommun, SPF Seniorerna, Stadsmissionen, Staffanstorp, Statens medicinsk-etiska råd, Svensk Sjuksköterskeförening, Svenska Läkarsällskapet, Sveriges Läkarförbund, Sveriges Psykologförbund, Sveriges Tandläkarförbund, Verdandi, Vetenskapsrådet, Vindelns kommun, Vårdförbundet, Vårdföretagarna, Västra Götalandsregionen, Älvdalens kommun och Östersunds kommun. Lagrådsremissens lagförslag Lagens tillämpningsområde 1 §    Denna lag gäller vid behandling av personuppgifter i sådan verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Förhållande till annan dataskyddsreglering 2 §    Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Uppgifter om avlidna personer 3 §    Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar: 1. denna lag och föreskrifter som har meddelats i anslutning till lagen, 2. EU:s dataskyddsförordning, och 3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen. Begränsningar av rätten att göra invändningar 4 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde. Personuppgiftsansvar 5 §    Myndigheten för vård- och omsorgsanalys är personuppgifts-ansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag. Ändamål för behandling av personuppgifter 6 §    Myndigheten för vård- och omsorgsanalys får behandla personuppgifter om det är nödvändigt för 1. undersökningar om vårdens och omsorgens funktionssätt, 2. undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, 3. utvärderingar av information om vård och omsorg som lämnas till enskilda, eller 4. utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Inom ramen för sådana undersökningar eller utvärderingar får personuppgifter behandlas även för att framställa statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser. 7 §    Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Känsliga personuppgifter 8 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen. 9 §    Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa, sexualliv eller sexuell läggning, om sökningen sker för något av ändamålen i 6 §. Behandling av personuppgifter i projekt 10 §    Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar. 11 §    Behandling av personuppgifter enligt 6 § ska ske inom ramen för ett projekt. Personuppgifter som har samlats in för att behandlas inom ramen för ett projekt får inte behandlas i ett annat projekt. Personuppgifter får dock behandlas inom ramen för ett annat projekt än det som uppgifterna samlats in för, om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet. Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Myndigheten för vård- och omsorgsanalys verksamhet behöver inte ske i projekt. 12 §    Innan personuppgifter får behandlas inom ramen för ett projekt ska Myndigheten för vård- och omsorgsanalys fastställa 1. syftet med projektet, 2. vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden som ska analyseras i projektet, och 3. när projektet senast ska vara avslutat. Det fastställda syftet får inte ändras. Information om vad som har fastställts ska hållas tillgänglig på Myndigheten för vård- och omsorgsanalys webbplats. Medgivande till behandling av personuppgifter 13 §    Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen. Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas. Om ett medgivande återkallas, får behandlingen dock fortsätta om Myndigheten för vård- och omsorgsanalys inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering. Begränsning av möjligheterna att identifiera den registrerade 14 §    Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen. Personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning. Tillgång till personuppgifter 15 §    Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Myndigheten för vård- och omsorgsanalys. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. 1. Denna lag träder i kraft den 1 januari 2025. 2. Bestämmelserna i 11–13 §§ tillämpas inte på projekt som har inletts före ikraftträdandet. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2024-04-25 Närvarande: F.d. justitierådet Sten Andersson samt justitieråden Ulrik von Essen och Cecilia Renfors En registerlag för Myndigheten för vård- och omsorgsanalys Enligt en lagrådsremiss den 11 april 2024 har regeringen (Socialdepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. Förslaget har inför Lagrådet föredragits av kanslirådet Jenny Gaudio, biträdd av departementssekreteraren Sara Salomonsson. Förslaget föranleder följande yttrande. Förslaget till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys 14 § Enligt paragrafens första stycke ska personuppgifter som direkt kan hänföras till den registrerade förvaras separat från övriga personuppgifter och får därmed, som huvudregel, inte förvaras tillsammans med övriga personuppgifter. I andra stycket sägs att personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan kopplas till ett person-nummer eller motsvarande identitetsbeteckning. Förslaget överensstämmer i denna del med vad som har föreslagits i 15 § förslaget till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen i lagrådsremissen En registerlag för Inspektionen för socialförsäkringen. Lagrådet har i yttrande den 12 april 2024 föreslagit att den paragrafens andra stycke formuleras om så att innebörden blir tydligare. Enligt Lagrådets mening bör, av samma skäl som har anförts i det tidigare yttrandet, 14 § andra stycket i förevarande lag ges följande lydelse. Det som sägs i första stycket hindrar inte att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till den registrerade. Socialdepartementet Utdrag ur protokoll vid regeringssammanträde den 23 maj 2024 Närvarande: statsminister Kristersson, ordförande, och statsråden Busch, Billström, Svantesson, Ankarberg Johansson, Edholm, J Pehrson, Waltersson Grönvall, Strömmer, Roswall, Forssmed, Tenje, Slottner, Wykman, Malmer Stenergard, Kullgren, Pourmokhtari Föredragande: statsrådet Ankarberg Johansson Regeringen beslutar proposition En registerlag för Myndigheten för vård- och omsorgsanalys