Regeringskansliets rättsdatabaser

Regeringskansliets rättsdatabaser innehåller lagar, förordningar, kommittédirektiv och kommittéregistret.

Testa betasidan för Regeringskansliets rättsdatabaser

Söker du efter lagar och förordningar? Testa gärna betasidan för den nya webbplatsen för Regeringskansliets rättsdatabaser.

Klicka här för att komma dit

 
Post 1465 av 7189 träffar
Propositionsnummer · 2017/18:112 · Hämta Doc · Hämta Pdf
Anpassningar av registerförfattningar på arbetsmarknadsområdet till EU:s dataskyddsförordning Prop. 2017/18:112
Ansvarig myndighet: Arbetsmarknadsdepartementet
Dokument: Prop. 112
Regeringens proposition 2017/18:112 Anpassningar av registerförfattningar på arbetsmarknadsområdet till EU:s dataskyddsförordning Prop. 2017/18:112 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 1 mars 2018 Stefan Löfven Ylva Johansson (Arbetsmarknadsdepartementet) Propositionens huvudsakliga innehåll Propositionen innehåller förslag till anpassningar av registerförfattningar på arbetsmarknadsområdet till EU:s dataskyddsförordning. Förordningen ska börja tillämpas den 25 maj 2018. En ny lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador föreslås. Den nya lagen bidrar till öppenhet och förutsebarhet i verksamheten. Det föreslås också anpassningar till EU:s dataskyddsförordning av registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. I den arbetsmarknadspolitiska verksamheten föreslås även en förlängd gallringstid från två till tre år i syfte att underlätta återinträde i arbetsmarknadspolitiska program. Ändringen innebär att personuppgifter ska gallras så fort de inte längre behövs i verksamheten, dock senast efter tre år. Den nya lagen och lagändringarna föreslås träda i kraft den 25 maj 2018. Innehållsförteckning 1 Förslag till riksdagsbeslut 5 2 Lagtext 6 2.1 Förslag till lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador 6 2.2 Förslag till lag om ändring i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten 8 2.3 Förslag till lag om ändring i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen 13 2.4 Förslag till lag om ändring i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering 18 3 Ärendet och dess beredning 22 4 Bakgrund 22 4.1 EU:s dataskyddsreform 22 4.2 Personuppgiftslagen och den föreslagna dataskyddslagen 23 4.3 Registerlagar på arbetsmarknadsområdet 23 5 Utgångspunkter 24 5.1 Huvuddragen och grunderna i registerlagarna på arbetsmarknadsområdet kan och bör bevaras 24 5.2 Rättslig grund för behandling av personuppgifter 26 5.3 Begränsningar av enskildas rättigheter 31 6 Behandling av personuppgifter i Arbetsmiljöverkets verksamhet 33 6.1 En ny lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador 33 6.2 Den nya lagen ska tillämpas på automatiserad behandling av personuppgifter och personuppgifter i register 35 6.3 Förhållandet till annan reglering 35 6.3.1 Förhållandet till dataskyddsförordningen 35 6.3.2 Förhållandet till dataskyddslagen 36 6.4 Undantag från rätten att göra invändningar 36 6.5 Arbetsmiljöverket ska ha personuppgiftsansvaret 40 6.6 Ändamålsbestämmelser 40 6.6.1 Ändamålen med behandlingen 40 6.6.2 Lagen ska upplysa om att regeringen kan begränsa ändamålen och vilka uppgifter som får behandlas 42 6.6.3 Utlämnande av uppgifter i överensstämmelse med lag eller förordning 42 6.6.4 Ändamålsbegränsning 43 6.7 Känsliga personuppgifter 43 6.8 Tillgången till personuppgifter ska begränsas 46 6.9 Det ska inte finnas begränsningar av tillåtna sökbegrepp 46 7 Behandling av personuppgifter hos Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering 48 7.1 Registerlagarna ska tillämpas på automatiserad behandling av personuppgifter och personuppgifter i register 48 7.2 Förhållandet till annan reglering 49 7.2.1 Hänvisningar till personuppgiftslagen ska tas bort 49 7.2.2 Förhållandet till dataskyddsförordningen 49 7.2.3 Förhållandet till dataskyddslagen 50 7.3 Undantag från rätten att göra invändningar 50 7.4 Ändamålsbestämmelser 53 7.5 Ändamålsbegränsning 54 7.6 Känsliga personuppgifter 54 7.6.1 Känsliga personuppgifter i Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens verksamheter 54 7.6.2 Känsliga personuppgifter i Institutet för arbetsmarknads- och utbildningspolitisk utvärderings verksamhet 59 7.7 Personuppgifter om lagöverträdelser i Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens verksamheter 62 7.8 Automatiserat beslutsfattande i Arbetsförmedlingens verksamhet 63 7.9 Samlingar av personuppgifter i Institutet för arbetsmarknads- och utbildningspolitisk utvärderings verksamhet 65 7.10 Registerutdrag i Institutet för arbetsmarknads- och utbildningspolitisk utvärderings verksamhet 68 7.11 Tillgång till personuppgifter i Inspektionen för arbetslöshetsförsäkringens verksamhet 70 7.12 Rättelse och skadestånd 71 7.13 Gallring 71 7.13.1 En förlängd gallringstid i Arbetsförmedlingens verksamhet 71 7.13.2 Språkliga justeringar av gallringsbestämmelserna 74 7.14 Överklagande 75 8 Ikraftträdande och behovet av övergångsbestämmelser 76 9 Konsekvenser 77 9.1 Övergripande konsekvenser 77 9.2 Alternativa lösningar eller att inte reglera alls 78 9.3 Ekonomiska konsekvenser 78 9.4 Konsekvenser för jämställdhet, miljö och små företag 78 10 Författningskommentar 79 10.1 Förslaget till lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador 79 10.2 Förslaget till lag om ändring i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten 82 10.3 Förslaget till lag om ändring i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen 87 10.4 Förslaget till lag om ändring i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering 93 Bilaga 1 Sammanfattning av promemorian Anpassningar till dataskyddsförordningen av registerförfattningar inom Arbetsmarknadsdepartementets ansvarsområde (Ds 2017:33) 98 Bilaga 2 Promemorians lagförslag 99 Bilaga 3 Förteckning över remissinstanserna 116 Bilaga 4 Lagrådsremissens lagförslag 117 Bilaga 5 Lagrådets yttrande 133 Utdrag ur protokoll vid regeringssammanträde den 1 mars 2018 134 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till 1. lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador, 2. lag om ändring i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, 3. lag om ändring i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen, 4. lag om ändring i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. 2 Lagtext Regeringen har följande förslag till lagtext. 2.1 Förslag till lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador Härigenom föreskrivs följande. Lagens tillämpningsområde 1 § Denna lag tillämpas vid behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador. Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Förhållandet till annan reglering 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. 3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar 4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 5 § Arbetsmiljöverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt denna lag. Ändamål med behandlingen 6 § Arbetsmiljöverket får behandla personuppgifter i informationssystemet om arbetsskador om det är nödvändigt för att ge underlag för arbetet med att förebygga arbetsskador. En sådan behandling får innefatta 1. registrering av arbetsskador och bearbetning av sådana uppgifter, 2. tillsynsverksamhet, 3. skadeutredningar, 4. forskning och undervisning, 5. framställning av statistik, och 6. planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. 7 § Personuppgifter som behandlas för de ändamål som anges i 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 8 § Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Behandling av känsliga personuppgifter 9 § Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som rör hälsa får behandlas i informationssystemet om arbetsskador. Tillgång till personuppgifter 10 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Denna lag träder i kraft den 25 maj 2018. 2.2 Förslag till lag om ändring i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten Härigenom föreskrivs i fråga om lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten dels att 1 a, 15 och 18 §§ ska upphöra att gälla, dels att rubrikerna närmast före 15 och 18 §§ ska utgå, dels att 1, 2, 4, 5, 8, 9, 14 och 16 §§ och rubriken närmast före 2 § ska ha följande lydelse, dels att det ska införas två nya paragrafer, 2 a och 5 a §§, och närmast före 1 § och 2 a § nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse Lagens tillämpningsområde 1 § Denna lag tillämpas vid behandling av personuppgifter i Arbetsförmedlingens arbetsmarknadspolitiska verksamhet. Lagen ska inte tillämpas i den del av den arbetsmarknadspolitiska verksamheten som även utgör hälso- och sjukvårdsverksamhet enligt hälso- och sjukvårdslagen (2017:30). I den delen av verksamheten tillämpas i stället patientdatalagen (2008:355). Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Förhållandet till personuppgiftslagen Förhållandet till annan reglering 2 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar 2 a § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om undantag från första stycket. 4 § Arbetsförmedlingen får behandla personuppgifter inom den arbetsmarknadspolitiska verksamheten bara om det behövs för Arbetsförmedlingen får behandla personuppgifter inom den arbetsmarknadspolitiska verksamheten bara om det är nödvändigt för 1. handläggning av ärenden, 2. publicering av platsinformation, information om kompletterande aktörer och ansökningar om anställning, 3. planering, metodutveckling, tillsyn, uppföljning, resultatredovisning och utvärdering av verksamheten, 4. framställning av avidentifierad statistik, och 5. samarbete på det arbetsmarknadspolitiska området inom Europeiska unionen och Europeiska ekonomiska samarbetsområdet samt enligt överenskommelsen den 6 mars 1982 om en gemensam nordisk arbetsmarknad. 5 § Arbetsförmedlingen får behandla personuppgifter för tillhandahållande av information som behövs inom 1. Försäkringskassans, Centrala studiestödsnämndens eller arbetslöshetskassornas verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd, 2. Skatteverkets verksamhet som underlag för beslut om och kontroll av skatt, 3. Inspektionen för arbetslöshetsförsäkringens verksamhet som avser tillsyn och uppföljning samt utfärdande av intyg enligt 48 § lagen (1997:238) om arbetslöshetsförsäkring, 4. Kronofogdemyndighetens verksamhet som underlag för bedömning enligt 4 kap. utsökningsbalken av i vilken utsträckning en gäldenär har utmätningsbar egendom, 5. socialnämndernas verksamhet som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. socialtjänstlagen (2001:453), 6. Migrationsverkets verksamhet som underlag för beslut om bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl., samt 7. kompletterande aktörers verksamhet enligt uppdrag från Arbetsförmedlingen. Arbetsförmedlingen får även behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204). Arbetsförmedlingen får även behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till någon annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. 5 a § Personuppgifter som behandlas enligt 4 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. 8 § Arbetsförmedlingen får behandla känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Arbetsförmedlingen får utanför en databas behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. 9 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får behandlas i en databas endast om de har lämnats i ett ärende. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende. Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas i en databas endast om de har lämnats i ett ärende. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende. Personuppgifter om sociala förhållanden och omdömen, slutsatser eller andra värderande upplysningar om en enskild får behandlas i en databas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detsamma gäller sådana personuppgifter som avses i 21 § personuppgiftslagen. Personuppgifter om sociala förhållanden och omdömen, slutsatser eller andra värderande upplysningar om en enskild får behandlas i en databas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detsamma gäller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. 14 § Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) samt sådana ömtåliga personuppgifter som avses i 9 § andra stycket eller 10 § får inte användas som sökbegrepp. Det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter och sådana personuppgifter som avses i 9 § andra stycket eller 10 §. Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga användas som sökbegrepp för planering av insatser och förmedling av arbete. Kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program eller insats samt kod för sökandekategori eller anvisningsgrund får även användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas. 16 § Uppgifter om arbetssökande i en arbetsmarknadspolitisk databas skall gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten. Uppgifter om arbetssökande i en arbetsmarknadspolitisk databas ska gallras senast tre år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Arbetsförmedlingen. Uppgifter som har avskiljts för statistikändamål skall gallras tio år efter avskiljandet. Uppgifter som har avskilts för statistikändamål ska gallras tio år efter avskiljandet. Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från dessa gallringstider när det gäller bevarande av material för forskningens behov. Sådant material skall lämnas över till en arkivmyndighet. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från dessa gallringstider när det gäller bevarande av material för vetenskapliga eller historiska forskningsändamål. Sådant material ska lämnas över till en arkivmyndighet. Denna lag träder i kraft den 25 maj 2018. 2.3 Förslag till lag om ändring i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen Härigenom föreskrivs i fråga om lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen dels att 16 § ska upphöra att gälla, dels att rubriken närmast före 16 § ska utgå, dels att 1, 2, 4, 5, 8-10 och 13-15 §§ och rubrikerna närmast före 2 och 14 §§ ska ha följande lydelse, dels att det ska införas två nya paragrafer, 2 a och 5 a §§, och närmast före 2 a § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Denna lag tillämpas vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för arbetslöshetsförsäkringen som gäller tillsyn, uppföljning, registrering av uppgifter om arbetslöshetskassor, utfärdande av intyg, framtagande av statistik samt rapportering av vissa uppgifter till Arbetsförmedlingen. Lagen gäller endast för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen. Förhållandet till personuppgiftslagen Förhållandet till annan reglering 2 § Bestämmelserna i personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom verksamhet vid Inspektionen för arbetslöshetsförsäkringen, i den utsträckning som denna lag eller föreskrifter som har meddelats med stöd av denna lag inte innehåller föreskrifter som avviker från personuppgiftslagens motsvarande bestämmelser. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar 2 a § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 4 § Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter, om det behövs Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter, om det är nödvändigt 1. för tillsyn över arbetslöshetskassorna och uppföljning av arbetslöshetsförsäkringen enligt 89 § första stycket lagen (1997:239) om arbetslöshetskassor, 2. för tillsyn över handläggning av och rutiner för handläggning av sådana ärenden hos Arbetsförmedlingen som har samband med arbetslöshetsförsäkringen eller som rör återkallande av anvisningar till arbetsmarknadspolitiska program, 3. för tillsyn över handläggning av och rutiner för handläggning av sådana ärenden hos Arbetsförmedlingen och Försäkringskassan som rör åtgärder inom aktivitetsstöd, utvecklingsersättning och etableringsersättning eller för uppföljning av sådana åtgärder, 4. för registrering av uppgifter enligt lagen om arbetslöshetskassor, eller 5. som underlag och för kontroll vid utfärdande av intyg enligt 48 § lagen (1997:238) om arbetslöshetsförsäkring. Personuppgifter som behandlas enligt första stycket får också behandlas, om det behövs för statistiska och vetenskapliga ändamål. 5 § Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter för att tillhandahålla information som behövs inom Arbetsförmedlingens verksamhet som underlag i uppföljnings-, analys- och utvärderingsarbete. Inspektionen för arbetslöshetsförsäkringen får vidare behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204). Inspektionen för arbetslöshetsförsäkringen får vidare behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till någon annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. 5 a § Personuppgifter som behandlas enligt 4 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. 8 § Inspektionen för arbetslöshetsförsäkringen får behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och sådana personuppgifter som avses i 21 § samma lag, om uppgifterna har lämnats i ett ärende eller annars är nödvändiga för handläggningen av ett ärende. Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. 9 § I statistik- och tillsynsdatabasen får inga andra känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) behandlas än sådana som avslöjar etniskt ursprung eller rör hälsa. I statistik- och tillsynsdatabasen får inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) behandlas än sådana som avslöjar etniskt ursprung eller rör hälsa. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa, personuppgifter om sociala förhållanden samt omdömen, slutsatser eller andra värderande upplysningar om en enskild, får behandlas i statistik- och tillsynsdatabasen endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. 10 § Sådana personuppgifter som avses i 21 § personuppgiftslagen (1998:204) samt uppgifter om att den enskilde har vårdats med stöd av socialtjänstlagen (2001:453) eller varit föremål för åtgärd enligt utlänningslagen (2005:716) får inte behandlas i statistik- och tillsynsdatabasen. Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte behandlas i statistik- och tillsynsdatabasen. Detsamma gäller uppgifter om att den enskilde har vårdats med stöd av socialtjänstlagen (2001:453) eller varit föremål för en åtgärd enligt utlänningslagen (2005:716). 13 § Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) samt sådana personuppgifter som avses i 9 § andra stycket och 10 § denna lag får inte användas som sökbegrepp. Det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter och sådana personuppgifter som avses i 9 § andra stycket eller 10 §. Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program eller insats samt kod för sökandekategori eller anvisningsgrund användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik. Regeringen får meddela föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas. Rättelse och skadestånd Tillgång till personuppgifter 14 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag. Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. 15 § Personuppgifter som behandlas för ändamål som anges i 4 § första stycket 1, 2, 3 och 5 ska gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten. Personuppgifter som behandlas för ändamål som anges i 4 § första stycket 1, 2, 3 och 5 ska gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Inspektionen för arbetslöshetsförsäkringen. Om personuppgifter enligt första stycket behövs för statistiska eller vetenskapliga ändamål ska de gallras tio år efter det att uppgifterna avskildes för dessa ändamål. Om personuppgifter enligt första stycket är nödvändiga för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska de gallras tio år efter det att uppgifterna avskildes för dessa ändamål. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från föreskrifterna i första och andra styckena, om detta behövs för forskningens behov. Material med personuppgifter som omfattas av en sådan föreskrift ska lämnas över till en arkivmyndighet. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från föreskrifterna i första och andra styckena, om detta är nödvändigt för vetenskapliga eller historiska forskningsändamål. Material med personuppgifter som omfattas av en sådan föreskrift ska lämnas över till en arkivmyndighet. Denna lag träder i kraft den 25 maj 2018. 2.4 Förslag till lag om ändring i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering Härigenom föreskrivs i fråga om lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering dels att 13 och 15 §§ ska upphöra att gälla, dels att rubrikerna närmast före 13 och 15 §§ ska utgå, dels att 1-3, 5-9 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse, dels att det ska införas två nya paragrafer, 3 a och 6 a §§, och närmast före 2 och 3 a §§ nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet hos Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Lagen gäller inte behandling av personuppgifter vid tilldelning av forskningsbidrag. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Förhållandet till annan reglering 2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Första stycket gäller dock inte när personuppgifterna samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen. För återkallelse av ett lämnat samtycke tillämpas 12 § personuppgiftslagen (1998:204). Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Förhållandet till personuppgiftslagen Rätten att göra invändningar 3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till denna lag. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Första stycket gäller dock inte när personuppgifterna samlas in direkt från den enskilde. Samtycke när uppgifter har samlats in direkt från den enskilde 3 a § Om personuppgifterna har samlats in direkt från den enskilde, får uppgifterna behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen. Den registrerade har rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. 5 § Personuppgifter får endast behandlas om det behövs för att fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Personuppgifter får endast behandlas om det är nödvändigt för att fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. 6 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204). Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 6 a § Personuppgifter som behandlas enligt 5 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. 7 § Andra känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) än sådana som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa får inte behandlas för de ändamål som anges i 5 §. Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning får behandlas för de ändamål som anges i 5 §. Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen eller sådana uppgifter som avses i 21 § samma lag måste etikprövas. Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas. 8 § Om det behövs för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning. Om det är nödvändigt för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning. 9 § Om det behövs för de ändamål som anges i 5 §, får det hos institutet även finnas samlingar av personuppgifter som behandlas automatiserat som inte är sådana personuppgifter som avses i 8 §, om uppgifterna är nödvändiga för en viss avgränsad studie, uppföljning eller utvärdering. Om det är nödvändigt för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat och som inte är sådana personuppgifter som avses i 8 §, om uppgifterna är nödvändiga för en viss avgränsad studie, uppföljning eller utvärdering. 14 § Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter ska gallras så snart uppgifterna inte längre är nödvändiga för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Denna lag träder i kraft den 25 maj 2018. 3 Ärendet och dess beredning Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen börjar tillämpas den 25 maj 2018. I en promemoria som har utarbetats inom Arbetsmarknadsdepartementet lämnas förslag till lagändringar på arbetsmarknadsområdet med anledning av dataskyddsförordningen (Ds 2017:33). En sammanfattning av promemorian finns i bilaga 1 och promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren och en sammanställning av remissvaren finns tillgängliga i Arbetsmarknadsdepartementet (A2017/00468/A). Lagrådet Regeringen beslutade den 11 januari 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet har lämnat förslagen utan erinran. I förhållande till lagrådsremissens lagförslag har vissa språkliga och redaktionella ändringar gjorts. 4 Bakgrund 4.1 EU:s dataskyddsreform Europeiska kommissionen lade 2012 fram ett förslag till en reformerad dataskyddsreglering i Europeiska unionen (EU). Förslaget innehöll dels en förordning med generella bestämmelser inom unionen om skydd av personuppgifter, dels ett direktiv med regler om skydd av personuppgifter som behandlas i samband med förebyggande, utredning, avslöjande eller lagföring av brott och därmed förbunden rättslig verksamhet. Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen (härefter kallad dataskyddsförordningen) kommer från och med den 25 maj 2018 att utgöra den generella regleringen av behandling av personuppgifter inom EU. Dataskyddsförordningen kommer att vara direkt tillämplig i medlemsstaterna men förutsätter och möjliggör samtidigt kompletterande och mer detaljerade bestämmelser i medlemsstaternas nationella rätt. Samtidigt med dataskyddsförordningen antogs ett nytt dataskydds-direktiv med bestämmelser om behandling av personuppgifter inom den brottsbekämpande sektorn, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 4.2 Personuppgiftslagen och den föreslagna dataskyddslagen De grundläggande bestämmelserna om behandling av personuppgifter finns i dag i personuppgiftslagen (1998:204), kompletterad av personuppgiftsförordningen (1998:1191). Personuppgiftslagen utgör det generella, nationella regelverk genom vilket Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) har genomförts i svensk rätt. För att säkerställa att det finns en generell och ändamålsenlig nationell reglering som kompletterar dataskyddsförordningen när förordningen börjar tillämpas utsågs 2016 en särskild utredare med uppdrag att föreslå de generella anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till (Ju 2016:04, dir. 2016:15). Utredningen, som tog namnet Dataskyddsutredningen, redovisade den 12 maj 2017 sitt uppdrag i betänkandet Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). I februari 2018 beslutade regeringen propositionen Ny dataskyddslag (prop. 2017/18:105) som grundar sig på Dataskyddsutredningens betänkande. I propositionen föreslås att personuppgiftslagen upphävs och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning införs, härefter kallad dataskyddslagen. Dataskyddslagen ska enligt förslaget vara subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i så kallade registerförfattningar. 4.3 Registerlagar på arbetsmarknadsområdet I denna proposition presenteras förslag på anpassningar av registerlagar på arbetsmarknadsområdet. Inom Arbetsmarknadsdepartementets ansvarsområde finns i dag registerlagar för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Därutöver finns en förordning om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador. Arbetsmiljöverkets förordning innehåller dataskyddsbestämmelser som i hög grad motsvarar de tre ovan nämnda registerlagarna, både när det gäller struktur och innehåll. De registerförfattningar som är aktuella i denna proposition är uppbyggda på ett sådant sätt att de endast innehåller bestämmelser som kompletterar eller avviker från personuppgiftslagen. De myndigheter som har en egen registerförfattning, till exempel Arbetsförmedlingen, tillämpar således i dag både den egna registerförfattningen och personuppgiftslagen. 5 Utgångspunkter 5.1 Huvuddragen och grunderna i registerlagarna på arbetsmarknadsområdet kan och bör bevaras Regeringens bedömning: Eftersom registerlagarna på arbetsmarknadsområdet i allt väsentligt väl balanserar enskildas integritetsintresse mot myndigheternas verksamhetsbehov bör huvuddragen i registerlagarna bevaras så långt EU:s dataskyddsförordning tillåter. Promemorians bedömning: Överensstämmer i sak med regeringens. Remissinstanserna: Datainspektionen anser att det inte är möjligt att förutsätta att de bedömningar som gjorts i samband med framtagande av nationell författningsreglering uppfyller dataskyddsförordningens krav på bedömningar. Dataskydd.net ifrågasätter om de bedömningar om dataskydd som har gjorts tidigare uppfyller de höjda krav som dataskyddsförordningen ställer. Centrala studiestödsnämnden är positiv till att registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering behålls. Myndigheten efterlyser dock en allmän översyn av samtliga registerförfattningar i syfte att åstadkomma ett mer sammanhållet och enhetligt regelverk. Skälen för regeringens bedömning Dataskyddsförordningen lämnar ett relativt stort utrymme för registerförfattningar Dataskyddsförordningen kommer att, i enlighet med artikel 288 i fördraget om Europeiska unionens funktionssätt, vara i alla delar bindande och direkt tillämplig från och med den 25 maj 2018. Det innebär att den inte ska genomföras på det sätt som EU-direktiv behöver genomföras i nationell rätt. Dataskyddsförordningen lämnar emellertid ett relativt stort utrymme för nationell lagstiftning inom förordningens tillämpningsområde. Den föreslagna dataskyddslagen är tänkt att i likhet med personuppgiftslagen (1998:204) tillämpas i den utsträckning det inte finns andra bestämmelser i författning som reglerar en viss typ av behandling av personuppgifter, se propositionen Ny dataskyddslag (prop. 2017/18:105). Lagen föreslås med andra ord vara subsidiär i förhållande till andra dataskyddsbestämmelser i lag eller förordning. I dataskyddsförordningen lämnas utrymme till medlemsstaterna att ha bestämmelser i nationell rätt som är mer specifika än förordningens bestämmelser. Enligt artikel 6.2 får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Bestämmelserna i den nationella rätten får i dessa fall närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av skäl 10 till dataskyddsförordningen framgår att möjligheten att precisera bestämmelser för personuppgiftsbehandlingen också gäller känsliga personuppgifter. Det lämnas även utrymme i dataskyddsförordningen för medlemsstaterna att ha särskilda bestämmelser som preciserar den rättsliga grunden för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen (artikel 6.3). Förordningen anger att dessa särskilda bestämmelser bland annat kan reglera de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas och ändamålsbegränsningar. Dataskyddsförordningen anger vidare att vem som är personuppgiftsansvarig kan föreskrivas i den nationella rätten om ändamålen och medlen för behandling fastställs av medlemsstatens nationella rätt (artikel 4.7). Enligt skäl 8 i dataskyddsförordningen kan medlemsstaterna införliva delar av förordningen i nationell rätt i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på. Vid sidan av de ovan beskrivna möjligheterna för medlemsstaterna att ha nationella bestämmelser som preciserar eller kompletterar dataskyddsförordningen ges också medlemsstaterna utrymme enligt artikel 23 att begränsa vissa av de rättigheter och skyldigheter som föreskrivs i förordningen. Möjligheten att ha begränsningar förutsätter dock att de är nödvändiga, proportionella och främjar ett i dataskyddsförordningens mening legitimt ändamål. Även efter det att dataskyddsförordningen ska börja tillämpas kommer det att finnas ett förhållandevist stort utrymme för medlemsstaterna att ha sektorspecifik, nationell reglering av behandling av personuppgifter. Huvuddragen och grunderna i registerlagar på arbetsmarknadsområdet kan och bör bevaras så långt dataskyddsförordningen tillåter Det aktuella lagstiftningsärendet innehåller förslag till nödvändiga anpassningar av registerlagar på arbetsmarknadsområdet till dataskyddsförordningen. Syftet är alltså inte, vilket Centrala studiestödsnämnden efterlyser, en allmän översyn av registerförfattningar i syfte att skapa ett gemensamt dataskyddsregelverk för myndigheters personuppgiftsbehandling. I förarbetena till lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen och lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering har avvägningar mellan verksamhetsbehov och integritetshänsyn gjorts utifrån då gällande EU-rättslig och svensk personuppgiftsreglering. Bestämmelserna om behandling av personuppgifter inom dessa myndigheter har placerats i lag utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör vara reglerade i lag. I lagarna har det införts bestämmelser som i stor utsträckning syftar till att reglera och begränsa utrymmet för myndigheterna att behandla personuppgifter för egna behov och behandla uppgifter för utlämnande till andra myndigheter. Lagarna innehåller också bestämmelser om rättigheter för enskilda när det till exempel gäller information, rättelse och skadestånd. I vissa fall finns bestämmelser som begränsar enskildas rättigheter till förmån för verksamhetsbehov, det gäller bland annat möjligheten att motsätta sig behandling som är inskränkt i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Enligt regeringens uppfattning balanseras skyddet för enskildas integritet och myndigheternas verksamhetsbehov i allt väsentligt väl i nu aktuella registerlagar. Registerlagarna har dessutom en struktur som är inarbetad och välbekant. I registerlagarna finns bestämmelser som har prövats mot de krav som uppställs i dataskyddsdirektivet som i viktiga avseenden ställer motsvarande krav som dataskyddsförordningen. Som bland andra Datainspektionen är inne på finns det anledning att på nytt överväga de nationella bestämmelserna i de delar dataskyddsförordningen ställer andra krav än dataskyddsdirektivet. Huvuddragen och grunderna i registerförfattningarna kan och bör dock bevaras så långt dataskyddsförordningen tillåter. 5.2 Rättslig grund för behandling av personuppgifter Regeringens bedömning: Det finns rättsliga grunder i EU:s dataskyddsförordnings mening för myndigheternas behandling av personuppgifter på arbetsmarknadsområdet. Promemorians bedömning: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen efterlyser närmare överväganden om vilken rättslig grund som är tillämplig, hur den är fastställd och om den är fastställd i den nationella lagstiftningen på ett tillräckligt tydligt, precist och förutsägbart sätt. Datainspektionen anger vidare att om lagstiftaren inte säkerställer att nationell lagstiftning införs där behov finns och dataskyddsförordningen så kräver, kan det leda till att samhällsviktiga behandlingar av personuppgifter kan komma att sakna rättsligt stöd när förordningen ska börja tillämpas. Detta gör sig enligt myndigheten särskilt gällande beträffande de verksamheter som hanterar känslig eller integritetskänslig information såsom arbetslöshetskassorna, Arbetsdomstolen och Rådet för Europeiska socialfonden i Sverige. Arbetslöshetskassornas Samorganisation påpekar att arbetslöshetskassorna har behov av att kunna behandla uppgifter om lagöverträdelser. Dataskydd.net anger att promemorian blandar ihop vad som i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna rättsliga grunder för behandling. Centrala studiestödsnämnden framför att myndighetens behandling av personuppgifter i samband med hemutrustningslån bör ses över med anledning av dataskyddsförordningen. Skälen för regeringens bedömning Kravet på rättslig grund i dataskyddsförordningen För att behandling av personuppgifter ska vara laglig måste minst ett av de villkor som anges i artikel 6.1 a-f i dataskyddsförordningen vara uppfyllt. Dessa villkor utgör den rättsliga grunden för uppgiftsbehandlingen. Av särskilt intresse för myndigheters verksamhet är artikel 6.1 c som gäller när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och artikel 6.1 e som gäller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden samtycke i artikel 6.1 a bör, som framgår av skäl 43 i dataskyddsförordningen, användas med försiktighet av myndigheter eftersom det i regel finns en betydande ojämlikhet mellan de registrerade och de personuppgiftsansvariga myndigheterna. Artikel 6 i dataskyddsförordningen motsvarar i allt väsentligt artikel 7 i dataskyddsdirektivet. Artikel 7 i dataskyddsdirektivet har genomförts i svensk rätt genom 10 § personuppgiftslagen. I ett avseende innebär dataskyddsförordningen dock en inskränkning av myndigheters möjlighet att behandla personuppgifter i jämförelse med vad som gäller enligt dataskyddsdirektivet och personuppgiftslagen. Myndigheter har nämligen enligt dataskyddsförordningen inte möjlighet när de fullgör sina uppgifter att lägga en intresseavvägning till grund för sin behandling av personuppgifter, till exempel en avvägning mellan den registrerades intresse av personlig integritet och en myndighets intresse av att kunna fullgöra sina uppgifter (artikel 6.1 andra stycket). Uppräkningen i artikel 6.1 är uttömmande vilket innebär att om ingen av grunderna är tillämplig på en behandling av personuppgifter är behandlingen inte laglig och får därmed inte genomföras. De rättsliga grunderna är i viss mån överlappande vilket innebär att flera rättsliga grunder kan vara tillämpliga avseende en och samma behandling. I dataskyddsförordningen ställs också krav på att vissa av de rättsliga grunderna (artikel 6.1 c och e) för behandlingen av personuppgifter ska vara fastställda i enlighet med unionsrätten eller den nationella rätten (artikel 6.3 första stycket). Med detta avses, enligt skäl 41, inte att den rättsliga grunden nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag. Däremot måste grunden vara fastställd på ett konstitutionellt korrekt sätt. Enligt artikel 6.3 andra stycket ska vidare syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan enligt artikel 6.3 andra stycket innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstider samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig rättvis behandling. Den nationella rätten ska i detta avseende uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105) att det i den nya dataskyddslagen ska införas bestämmelser som tydliggör att personuppgifter får behandlas för att utföra en uppgift av allmänt intresse som följer av lag, annan författning, kollektivavtal eller beslut som har meddelats med stöd av lag eller annan författning. Motsvarande förtydligande bestämmelser föreslås för behandling som är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse. I fråga om personuppgiftsbehandling som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning tydliggör den föreslagna dataskyddslagen att det krävs stöd i lag eller annan författning. Det finns rättsliga grunder för myndigheters behandling av personuppgifter på arbetsmarknadsområdet Dataskyddsförordningen kommer från och med den 25 maj 2018 att vara i alla delar bindande och direkt tillämplig i medlemsstaterna vilket innebär att de svenska myndigheterna efter den tidpunkten endast får behandla personuppgifter om det finns rättslig grund för behandlingen och att den rättsliga grunden är fastställd på det sätt som dataskyddsförordningen föreskriver. Myndigheterna inom Arbetsmarknadsdepartementets ansvarsområde har som övergripande uppgift att främja en väl fungerande arbetsmarknad. I avsaknad av vägledande domar från Europeiska unionens domstol förefaller det med hänsyn till svensk förvaltningstradition rimligt att anta att de uppgifter som utförs av dessa statliga myndigheter, i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering, är av allmänt intresse. Enligt regeringens bedömning i propositionen Ny dataskyddslag måste begreppet uppgift av allmänt intresse ges en vid betydelse för att myndigheternas verksamhet ska kunna fungera även fortsättningsvis, se propositionen Ny dataskyddslag (prop. 2017/18:105 s. 56). Den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen, det vill säga att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse, bör därför i regel kunna tillämpas av myndigheterna. Myndigheterna utövar också myndighetsutövning med stöd av lag och annan författning. Arbetsmiljöverkets tillsynsverksamhet enligt 7 kap. arbetsmiljölagen (1977:1160) är ett exempel. I dessa fall är kravet på rättslig grund enligt dataskyddsförordningen uppfyllt om personuppgiftsbehandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Enligt artikel 6.1 c är personuppgiftsbehandling laglig om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse. Det är frågan om rättsliga förpliktelser som följer av lag eller annan författning. Det kan också vara förpliktelser som följer av en domstols dom eller en förvaltningsmyndighets beslut. Däremot faller avtalsrättsliga förpliktelser utanför denna rättsliga grund. Sådana förpliktelser behandlas i stället i en separat rättslig grund (artikel 6.1 b). Även statliga myndigheter kan grunda personuppgiftsbehandling på en rättslig förpliktelse. Så kan till exempel vara fallet om en myndighet enligt författning har en skyldighet att föra ett register eller lämna uppgifter till en annan myndighet. Givetvis kan det också förekomma sådana situationer i myndigheternas verksamhet då myndigheterna även kan stödja sin behandling av personuppgifter på andra rättsliga grunder. Så kan till exempel vara fallet om en myndighet är part i ett avtalsförhållande och behandlingen är nödvändig för att fullgöra avtalet (artikel 6.1 b). Datainspektionen efterlyser inte endast närmare överväganden om vilken rättslig grund som är tillämplig, utan också hur den är fastställd och om den är fastställd i den nationella lagstiftningen på ett tillräckligt tydligt, precist och förutsägbart sätt. Som ovan konstaterats ska de rättsliga grunderna i artikel 6.1 c och e enligt dataskyddsförordningen fastställas i enlighet med unionsrätten eller den nationella rätten (artikel 6.3). Kraven på att de rättsliga grunderna ska fastställas i nationell rätt har skärpts i dataskyddsförordningen. Det finns därför anledning att närmare granska hur myndigheternas uppgifter som ligger till grund för deras personuppgiftsbehandling är fastställda i en europarättslig mening. Skäl 41 i dataskyddsförordningen anger att en rättslig grund eller lagstiftningsåtgärd bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Dataskyddsförordningen kräver alltså inte endast att en rättslig grund formellt fastställs på ett konstitutionellt riktigt sätt, utan också att fastställandet materiellt uppfyller vissa grundläggande krav på till exempel tydlighet och precision. Kraven på att grunden för myndigheters behandling av personuppgifter ska vara fastställd är dock inte någon nyhet i svensk rätt. Som regeringen konstaterar i propositionen Ny dataskyddslag är legalitetsprincipen en av de principer som kännetecknar Sverige som rättsstat. Principen innebär att myndigheters maktutövning i vidsträckt mening, även i den mån den förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Mot den bakgrunden bedömer regeringen i propositionen Ny dataskyddslag att risken för att behandling av personuppgifter av vikt för samhällets funktioner inte kan utföras för att den inte är fastställd i dataskyddsförordningens mening är mycket liten eftersom det inte torde förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser (prop. 2017/18:105 s. 50). Regeringens bedömning är sammantaget att det finns rättsliga grunder i dataskyddsförordningens mening för den behandling av personuppgifter som sker vid myndigheterna på arbetsmarknadsområdet. Regeringen konstaterar samtidigt att kraven på fastställande skärps i och med dataskyddsförordningen och att det inte finns utrymme för myndigheterna efter den 25 maj 2018 att behandla personuppgifter enligt två av de rättsliga grunderna (artikel 6.1 c och e) om grunderna inte fastställts på ett sätt som lever upp till dataskyddsförordningens krav. Det är myndigheterna som är skyldiga att som personuppgiftsansvariga försäkra sig om att behandlingen i varje enskilt fall har stöd i en rättslig grund som, när så krävs enligt dataskyddsförordningen, är fastställd på ett korrekt sätt. Verksamheter på arbetsmarknadsområdet som saknar registerlagar Datainspektionen anger att om lagstiftaren inte säkerställer att nationell lagstiftning införs där behov finns och dataskyddsförordningen så kräver, kan det leda till att samhällsviktiga behandlingar av personuppgifter kan komma att sakna rättsligt stöd när förordningen ska börja tillämpas. Detta gör enligt Datainspektionen sig särskilt gällande beträffande de verksamheter som hanterar känslig eller integritetskänslig information såsom arbetslöshetskassorna, Arbetsdomstolen och Rådet för Europeiska socialfonden i Sverige. Ett antal myndigheter på arbetsmarknadsområdet saknar i dag registerlagar, det gäller Arbetsmiljöverket, Arbetsdomstolen, Medlingsinstitutet, Svenska ILO-kommittén, Nämnden för styrelserepresentationsfrågor, Rådet för Europeiska socialfonden i Sverige och Statens nämnd för arbetstagares uppfinningar. Regeringen kan konstatera att de rättsliga grunderna för myndigheternas behandling av personuppgifter endast i begränsad omfattning fastställs eller preciseras i registerlagar. Uppgifter av allmänt intresse, myndighetsutövning och rättsliga förpliktelser fastställs i normalfallet i andra typer av författningar eller, utom när det gäller myndighetsutövning, i till exempel regeringsbeslut. Om en myndighet har eller saknar en registerlag har alltså inte någon avgörande betydelse för om det finns rättslig grund för personuppgiftsbehandlingen. Den väsentliga skillnaden mellan de myndigheter som har och de som saknar registerlagar är att de senare inte kommer att omfattas av särskilda bestämmelser om dataskydd, till exempel när det gäller begränsningar av ändamålen med behandlingen av personuppgifter. I de fallen kommer i stället endast dataskyddsförordningens och den föreslagna dataskyddslagens allmänna bestämmelser att gälla. Centrala studiestödsnämnden framför att myndighetens behandling av personuppgifter i samband med hemutrustningslån bör ses över med anledning av dataskyddsförordningen. Regeringen har för avsikt att se över och vid behov anpassa förordningar till dataskyddsförordningen i särskild ordning. Detta gäller även förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar. Arbetslöshetskassornas Samorganisation påpekar att arbetslöshetskassorna har behov av att kunna behandla uppgifter om lagöverträdelser. Arbetslöshetskassornas Samorganisation anger i sitt yttrande att arbetslöshetskassorna anmäler misstänkta brott enligt bidragsbrottslagen (2007:612) och tar hänsyn till uppgifter om frihetsberövanden på kriminalvårdens område vid fastställande av ersättningsrätten. I propositionen Ny dataskyddslag föreslås att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om att andra än myndigheter får behandla uppgifter om lagöverträdelser. Den myndighet som regeringen bestämmer ska i enskilda fall även få besluta om sådan behandling. Regeringen lämnar i denna proposition förslag till en ny lag om behandling av personuppgifter i Arbetsmiljöverkets verksamhet, se avsnitt 6. I övrigt bedömer regeringen att det inte finns behov av någon ny registerlag på arbetsmarknadsområdet. 5.3 Begränsningar av enskildas rättigheter Regeringens bedömning: Registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering uppfyller generellt kraven på proportionalitet och nödvändighet. Promemorians bedömning: Överensstämmer med regeringens. Remissinstanserna: Enligt Datainspektionen saknas analyser som visar hur lagstiftningen är proportionell i förhållande till de legitima mål som eftersträvas. Myndigheten anser vidare att man i lagstiftningsarbetet bör ta ställning till om en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen krävs och om det i så fall räcker att den genomförs som ett led i lagstiftningsarbetet. Enligt dataskydd.net är dataskyddsförordningen betydligt tydligare än tidigare europeisk lagstiftning när det gäller behovet av proportionalitetsbedömningar. Förordningen innehåller också enligt dataskydd.net nya regler till skydd för enskilda, högre krav på konsekvensbedömningar, säkerhetsåtgärder och information till enskilda. Skälen för regeringens bedömning Inledning Dataskyddsförordningen ger medlemsstaterna utrymme att i nationell rätt begränsa vissa av förordningens rättigheter och skyldigheter (artikel 23.1). Det ställs emellertid vissa krav i dataskyddsförordningen på begränsningarna, bland annat krav på att begränsningarna ska vara nödvändiga och proportionella. Medlemsstaterna ska också vid antagandet av begränsande lagstiftning, när så är relevant, inkludera specifika bestämmelser om bland annat skyddsåtgärder för att förhindra missbruk (artikel 23.2). Vidare finns i dataskyddsförordningen krav på konsekvensbedömningar i vissa fall (artikel 35). Sådana bedömningar kan i vissa fall göras som en del av en allmän konsekvensbedömning i samband med att den rättsliga grunden antas (artikel 35.10). Proportionalitetsprincipen vid reglering av personuppgiftsbehandling Enligt dataskyddsförordningen ska unionsrätten eller medlemsstaternas nationella rätt som fastställer den rättsliga grunden uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). I skäl 4 anges att rätten till skydd av personuppgifter inte är en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Enligt dataskyddsförordningen ska det vidare vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt begränsa rättigheter och skyldigheter om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa ändamål som uppräknas i förordningen (artikel 23.1). Bestämmelserna i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering har prövats mot de krav som ställs på nationell rätt i dataskyddsdirektivet. Som regeringen konstaterar i propositionen Ny dataskyddslag är lagarna förenliga med regeringsformens och Europakonventionens krav (prop. 2017/18:105 s. 50). Registerlagarna uppfyller därmed i huvudsak dataskyddsförordningens krav på nödvändighet och proportionalitet. Regeringen återkommer i avsnitt 6.4 och 7.3 med en proportionalitetsbedömning i fråga om begränsning av rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen. Kravet på konsekvensbedömningar i vissa fall Enligt dataskyddsförordningen ska den personuppgiftsansvarige i vissa fall göra en konsekvensbedömning avseende dataskydd före behandlingen av personuppgifter (artikel 35). Konsekvensbedömningen ska enligt förordningen göras om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. En konsekvensbedömning behöver dock i regel inte göras vid behandling som sker med stöd av artikel 6.1 c och e (rättslig förpliktelse, allmänt intresse och myndighetsutövning), om en konsekvensutredning redan har gjorts vid antagandet av den reglering som utgör den rättsliga grunden för behandlingen (artikel 35.10). Datainspektionen anser att man i lagstiftningsarbetet bör ta ställning till om en konsekvensbedömning enligt artikel 35 krävs och om det i så fall räcker att den genomförs som ett led i lagstiftningsarbetet. Regeringen kan konstatera att de behandlingar av personuppgifter som regleras i de aktuella registerförfattningarna redan har varit föremål för konsekvensbedömningar vid antagandet av författningarna. Vid dessa konsekvensbedömningar finns bland annat överväganden om behandlingarnas proportionalitet i förhållande till det integritetsintrång som behandlingarna kan innebära. Bedömningen är att integritetsriskerna med behandlingarna av personuppgifter inte på något avgörande sätt har förändrats och att det därför inte behövs några nya konsekvensbedömningar enligt artikel 35 i dataskyddsförordningen. 6 Behandling av personuppgifter i Arbetsmiljöverkets verksamhet 6.1 En ny lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador Regeringens förslag: En ny lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador ska införas. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Juridiska fakulteten vid Uppsala universitet och Socialstyrelsen tillstyrker förslaget. Arbetsmiljöverket, Centrala studiestödsnämnden och Datainspektionen ser positivt på att Arbetsmiljöverkets nuvarande registerförordning ersätts av en lag. Lagformen bidrar enligt Centrala studiestödsnämnden till en större enhetlighet på registerlagstiftningens område. Enligt Datainspektionen är de överväganden som redovisas i promemorian när det gäller den övriga verksamheten hos Arbetsmiljöverket inte tillräckliga. Dataskydd.net avstyrker förslaget till ny lag för Arbetsmiljöverket. Skälen för regeringens förslag Allmänt om behandling av personuppgifter i Arbetsmiljöverkets verksamhet I Arbetsmiljöverkets verksamhet förekommer en omfattande behandling av personuppgifter som även inkluderar behandling av känsliga personuppgifter. Särskilt omfattande är behandlingen av personuppgifter inom ramen för informationssystemet om arbetsskador. Antalet ärenden i informationssystemet uppgår till cirka 120 000 per år. Informationssystemet om arbetsskador utgör ett viktigt verktyg i arbetet med att kartlägga och förebygga olyckor i arbetslivet och sjukdomar som beror på arbetet. Med stöd av systemet tar Arbetsmiljöverket fram statistik som kan användas dels i det förebyggande arbetet, dels som underlag för inriktningen på myndighetens arbetsmiljötillsyn. Uppgifterna i informationssystemet kommer från anmälningar av arbetsskador som arbetsgivare är skyldiga att göra. Eftersom arbetsskador handlar om olyckor och sjukdomar förekommer inte sällan integritetskänsliga uppgifter om enskildas hälsa i informationssystemet. Behandlingen av personuppgifter inom informationssystemet regleras i dag i förordningen (2001:706) om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador. Vid sidan av behandling av personuppgifter inom informationssystemet om arbetsskador har Arbetsmiljöverket behov av att behandla personuppgifter i andra delar av myndighetens verksamhet. Det gäller till exempel inom handläggningen av inspektionsärenden och hanteringen av det så kallade Utstationeringsregistret. För dessa delar av myndighetens verksamhet finns ingen särskild registerförfattning. Behandlingen av personuppgifter i Arbetsmiljöverkets verksamhet ska regleras i lag I svensk rätt har det länge varit en ambition att särskilt integritetskänslig registerföring ska regleras i lag, främst därför att en sådan normgivningsnivå säkerställer att det görs en grundlig utredning och en ingående avvägning mellan integritetsintresset och de intressen som talar för registerföringen, se betänkandet Myndighetsdatalag (SOU 2015:39 s. 94). Lagreglering bidrar även till stabilitet och långsiktig förutsebarhet. I tidigare lagstiftningsarbeten finns principiella ställningstaganden om att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör vara reglerade i registerlag, se propositionen Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten (prop. 2001/02:144 s. 16). Vidare är enligt 2 kap. 6 § andra stycket regeringsformen var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Om det rör sig om ett sådant betydande intrång i den personliga integriteten krävs enligt 2 kap. 20 § regeringsformen lag för att begränsa skyddet mot övervakning och kartläggning av den enskildes personliga förhållanden. Behandlingen av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador bör som Juridiska fakulteten vid Uppsala universitet, Socialstyrelsen, Arbetsmiljöverket, Centrala studiestödsnämnden och Datainspektionen är inne på regleras i lag. Regeringen delar inte den uppfattning som dataskydd.net ger uttryck för, det vill säga att förslaget i onödan begränsar privatpersoners rättigheter och inte är proportionerligt. Tvärtom innebär förslaget i huvudsak att dataskyddsförordningens bestämmelser kompletteras och preciseras på ett sådant sätt att enskildas integritet tillgodoses samtidigt som myndighetens utrymme att behandla uppgifter begränsas. I de delar den nya lagen begränsar enskildas rättigheter bidrar den till förutsebarhet och öppenhet på så sätt att enskilda genom lagen kan skapa sig en bild av ramarna för myndighetens behandling av personuppgifter. Lagen ska inte reglera behandlingen av personuppgifter inom andra delar av Arbetsmiljöverkets verksamhet Enligt Datainspektionen är de överväganden som redovisas i promemorian inte tillräckliga när det gäller bedömningen att dataskyddsförordningen och den föreslagna dataskyddslagen kommer att möjliggöra fortsatt personuppgiftsbehandling för den övriga verksamheten hos Arbetsmiljöverket. En allmän redogörelse för hur regeringen ser på rättslig grund och anknytande frågor för Arbetsmiljöverket och andra myndigheter finns i avsnitt 5.2. Regeringens bedömning är att det finns rättsliga grunder i dataskyddsförordningens mening för den behandling av personuppgifter som utförs vid myndigheterna på arbetsmarknadsområdet. I informationssystemet om arbetsskador är behandlingen av personuppgifter som ovan nämns särskilt omfattande och innefattar ett stort antal integritetskänsliga uppgifter. Utanför informationssystemet förekommer dock inte en sådan omfattande behandling av integritetskänsliga personuppgifter. Av dessa skäl lämnas inte förslag på någon registerlag som reglerar Arbetsmiljöverkets behandling av personuppgifter vid sidan av den behandling som sker i informationssystemet om arbetsskador. 6.2 Den nya lagen ska tillämpas på automatiserad behandling av personuppgifter och personuppgifter i register Regeringens förslag: Lagen ska tillämpas på automatiserad behandling av personuppgifter och personuppgifter i register. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har haft synpunkter på förslaget. Skälen för regeringens förslag: Förordningen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador reglerar behandling av personuppgifter som är helt eller delvis automatiserad. Dataskyddsförordningens materiella tillämpningsområde omfattar dock enligt artikel 2.1 även annan behandling än automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Det saknas skäl för att den föreslagna lagen ska omfatta mer eller mindre manuell behandling av personuppgifter än dataskyddsförordningen gör. Regelverket blir enklare och begripligare om tillämpningsområdena är desamma. Tillämpningsområdet för den föreslagna lagen bör därför innefatta samma behandling av personuppgifter som dataskyddsförordningen enligt artikel 2.1. 6.3 Förhållandet till annan reglering 6.3.1 Förhållandet till dataskyddsförordningen Regeringens förslag: Lagen ska innehålla en bestämmelse som tydliggör att lagen kompletterar EU:s dataskyddsförordning. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att det är bra att det framgår att bestämmelserna kompletterar dataskyddsförordningen. Datainspektionen anser dock att det också behöver anges direkt i författningen om en viss reglering kompletterar eller förtydligar en artikel i dataskyddsförordningen. I övrigt har remissinstanserna inga synpunkter på förslaget. Skälen för regeringens förslag: Dataskyddsförordningen kommer att vara direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt. Dataskyddsförordningen gäller alltså oavsett om det i den föreslagna lagen införs en bestämmelse som hänvisar till förordningen eller inte. Liksom Datainspektionen anser regeringen dock att det bör införas en bestämmelse i lagen som tydliggör att den innehåller kompletterande bestämmelser till dataskyddsförordningen. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. Dataskyddsförordningen är direkt tillämplig och är den huvudsakliga rättsakten på området för dataskydd. De hänvisningar till dataskyddsförordningen som föreslås i lagen avser klargöranden av förhållandet mellan lagen och dataskyddsförordningen, bestämmelser av upplysningskaraktär, hänvisningar till definitioner i och undantag från dataskyddsförordningen. Hänvisningarna föreslås, i likhet med vad som med några få undantag föreslås i den föreslagna dataskyddslagen, vara dynamiska. Valet av dynamiska hänvisningar innebär att de kommer att omfatta eventuella ändringar i dataskyddsförordningen efter dess ikraftträdande. Det bör inte i varje bestämmelse anges om en viss reglering kompletterar eller förtydligar en artikel i dataskyddsförordningen. En sådan ordning skulle tynga lagen utan att tillföra ett tillräckligt mervärde. Bestämmelsen som hänvisar till dataskyddsförordningen ska därför ange att lagen kompletterar dataskyddsförordningen. 6.3.2 Förhållandet till dataskyddslagen Regeringens förslag: Lagen ska innehålla en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen gäller vid behandling av personuppgifter inom Arbetsmiljöverkets informationssystem om arbetsskador, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget. Skälen för regeringens förslag: I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås en lag med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, som på generell nivå kompletterar dataskyddsförordningen i Sverige. Bestämmelserna i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen bör gälla vid behandling av personuppgifter inom Arbetsmiljöverkets informationssystem om arbetsskador, om inte annat följer av den här föreslagna lagen eller föreskrifter som har meddelats i anslutning till den här föreslagna lagen. En bestämmelse som upplyser om detta bör införas i lagen. 6.4 Undantag från rätten att göra invändningar Regeringens förslag: Rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning ska inte gälla vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den. Promemorians förslag: Överensstämmer med regeringens. Promemorian föreslår dock en annan redaktionell utformning av bestämmelsen. Remissinstanserna: Skatteverket föreslår en annan lydelse av bestämmelsen. Juridiska fakulteten vid Uppsala universitet delar inte promemorians bedömning att förslaget uppfyller kraven i artikel 23.1 och 23.2 i dataskyddsförordningen. Juridiska fakulteten pekar bland annat på kraven i artikel 23.2 på att den registrerade ska bli informerad om en begränsning. Datainspektionen ifrågasätter bland annat om inte promemorians förslag att ersätta "motsätter sig" med "invänder mot" innebär en förändring i sak. Datainspektionen efterlyser ett klargörande av om samtycke utgör en rättslig grund för behandlingen och i så fall hur de övriga reglerna i den aktuella författningen, med beaktande av artikel 6.2, förhåller sig till samtycket. Datainspektionen är positiv till att låta den enskildes inställning avgöra om behandlingen ska få utföras eller inte. Skälen för regeringens förslag Den nuvarande ordningen Enligt artikel 14 a i dataskyddsdirektivet ska medlemsstaterna tillförsäkra den registrerade rätten att, under vissa närmare angivna förutsättningar, när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. I 11 § personuppgiftslagen (1998:204) finns vissa möjligheter vid direkt marknadsföring att motsätta sig behandling av personuppgifter. Det finns också möjlighet att återkalla samtycke i vissa fall enligt 12 § första stycket. I övrigt kan den registrerade inte med rättslig verkan motsätta sig sådan behandling som är tillåten enligt personuppgiftslagen (12 § andra stycket). I förordningen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador, liksom i flera andra registerförfattningar, finns en bestämmelse som anger att en registrerad inte har rätt att motsätta sig sådan behandling som är tillåten enligt författningen. Dataskyddsförordningen Enligt dataskyddsförordningen har den registrerade rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne (artikel 21.1). Rätten att göra invändningar begränsar sig enligt denna bestämmelse till behandling av personuppgifter, såvitt avser myndigheter som utför sina uppgifter, som grundar sig på att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Rätten att göra invändningar ska senast vid den första kommunikationen med den registrerade uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information (artikel 21.4). Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). Rätten att göra invändningar innebär att den registrerade har en möjlighet att få till stånd en överprövning av behandlingens tillåtlighet. Överprövningen innebär att den personuppgiftsansvarige måste kunna visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen (artikel 21.1). Under tiden det sker en överprövning har den registrerade rätt att kräva att behandlingen av personuppgifterna begränsas (artikel 18.1 d). Om det saknas berättigade skäl har den registrerade rätt att få personuppgifterna raderade (artikel 17.1 c). Regleringen i dataskyddsförordningen skiljer sig från den i dataskyddsdirektivet på så sätt att det inte längre är den registrerade som ska ha berättigade skäl (artikel 14 a i dataskyddsdirektivet). I stället är det den som är personuppgiftsansvarig som ska kunna redogöra för varför behandlingen ska få äga rum. Rätten att göra invändningar kan begränsas i unionsrätten eller i nationell rätt, men då måste begränsningen uppfylla de krav som nämns ovan på nödvändighet, proportionalitet och legitimt ändamål (artikel 23.1). Vid en eventuell begränsning ska det, när så är relevant, finnas vissa specifika bestämmelser, bland annat om omfattningen av begränsningen och skyddsåtgärder för att förhindra missbruk (artikel 23.2). Rätten att göra invändningar får en begränsad betydelse när det gäller informationssystemet om arbetsskador Rätten att invända mot behandlingen av personuppgifter enligt artikel 21 i dataskyddsförordningen är begränsad i flera avseenden. För det första gäller den endast vid behandling av personuppgifter på en rättslig grund som är relevant för myndigheter när de utför sina uppgifter, nämligen behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Det innebär att de registrerade inte har rätt att invända om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c). Arbetsmiljöverket har ett uppdrag som bland annat följer av förordningen (2007:913) med instruktion för Arbetsmiljöverket att sköta informationssystemet om arbetsskador. Den personuppgiftsbehandling som sker i samband med informationssystemet har därmed stöd i en rättslig förpliktelse. För det andra är rätten att göra invändningar begränsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall har den registrerade rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). I fråga om informationssystemet om arbetsskador kan regeringen konstatera att informationssystemet i första hand inte är ett ärenderegister utan att det framför allt ligger till grund för statistik och förebyggande arbete som saknar koppling till enskilda individer. Mot bakgrund av de inskränkningar som finns av rätten att göra invändningar enligt dataskyddsförordningen får den begränsad betydelse vid Arbetsmiljöverkets behandling av personuppgifter i informationssystemet om arbetsskador. Det har att göra med att en betydande del av myndighetens behandling av uppgifter sker för statistiska ändamål i enlighet med artikel 89.1. I den utsträckning det då är nödvändigt att behandla uppgifter för att utföra en uppgift av allmänt intresse har de registrerade inte rätt att invända mot behandlingen. Det kan också i sammanhanget tilläggas att i den utsträckning uppgifterna i informationssystemet inte avser en identifierad eller identifierbar fysisk person gäller inte dataskyddsförordningen (skäl 26, se också artikel 4.1 och 4.5). Vidare innebär artikel 11 i dataskyddsförordningen att en personuppgiftsansvarig som behandlar avidentifierade personuppgifter inte behöver göra efterforskningar av en registrerads identitet i syfte att informera den registrerade om rätten att göra invändningar. Rätten att göra invändningar bör begränsas Även om rätten att invända enligt dataskyddsförordningen får en begränsad betydelse finns det ändå skäl att införa en begränsning. Det huvudsakliga skälet är att invändningar skulle innebära att myndighetens förutsättningar för att kunna bedriva ett effektivt förebyggande arbete mot arbetsskador skulle försämras. Det har att göra med att myndigheten i enskilda fall skulle behöva påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter innan myndigheten kan fortsätta behandla personuppgifterna (artikel 21.1). En sådan prövning i enskilda fall kan inte anses motiverad eftersom de tvingande berättigade skälen till att behandla personuppgifter för att kartlägga och förebygga arbetsskador nästan undantagslöst får anses väga tyngre än enskildas intressen. Vidare skulle det vara svårt för både de registrerade och för Arbetsmiljöverket att avgöra när rätten att göra invändningar skulle gälla eftersom behandlingen av uppgifter i informationssystemet i stor omfattning sker för statistiska ändamål. Behandlingen stödjer sig också på överlappande rättsliga grunder där en av grunderna ger rätt att göra invändningar medan den andra grunden inte gör det (artikel 6.1 c och e). Begränsningen av rätten att göra invändningar uppfyller dataskyddsförordningens krav En begränsning av rätten att invända kan under vissa förutsättningar göras enligt artikel 23 i dataskyddsförordningen. Inledningsvis kan det konstateras att arbetet med att kartlägga och förebygga arbetsskador är ett viktigt mål för både EU och Sverige som rör folkhälsa och social trygghet (artikel 21.1 e). Begränsningen är både nödvändig för att undvika ett oklart rättsläge och proportionell eftersom begränsningen i praktiken rör ett begränsat antal registrerade. Regeringen återkommer i avsnitt 6.5-6.8 med förslag på en reglering som motsvarar kraven i artikel 23.2 på begränsande lagstiftning. Det rör bland annat specificering av vem som är personuppgiftsansvarig, preciserade ändamålsbestämmelser och begränsning av tillgång till personuppgifter. Några ytterligare lagstiftningsåtgärder, av det slag Juridiska fakulteten vid Uppsala universitet efterfrågar, krävs inte för att uppfylla dataskyddsförordningens krav i detta fall. Bestämmelsens utformning Som Skatteverket påpekar bör bestämmelsen som begränsar rätten att göra invändningar utformas som ett undantag från artikel 21.1 i dataskyddsförordningen i syfte att tydliggöra normhierarkin och att den föreslagna lagen inte utgör en uttömmande reglering. Av bestämmelsen bör alltså framgå att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte gäller vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den. 6.5 Arbetsmiljöverket ska ha personuppgiftsansvaret Regeringens förslag: Arbetsmiljöverket ska vara personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt lagen. Promemorians förslag Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget. Skälen för regeringens förslag: Medlemsstaterna kan enligt artikel 4.7 i dataskyddsförordningen ange vem som är personuppgiftsansvarig i den nationella rätten om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt. Denna möjlighet bör enligt regeringens uppfattning användas eftersom det bidrar till tydlighet om vem som har ansvaret för den behandling av personuppgifter som myndigheten utför enligt lagen. 6.6 Ändamålsbestämmelser 6.6.1 Ändamålen med behandlingen Regeringens förslag: Behandling av personuppgifter i informationssystemet om arbetsskador ska vara tillåten om behandlingen är nödvändig för att ge underlag för arbetet med att förebygga arbetsskador. Behandlingen ska få innefatta 1. registrering av arbetsskador och bearbetning av sådana uppgifter, 2. tillsynsverksamhet, 3. skadeutredningar, 4. forskning och undervisning, 5. framställning av statistik, och 6. planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att det saknas en analys av hur ändamålsbestämmelserna förhåller sig till dataskyddsförordningens bestämmelser om rättslig grund i artikel 6.1 och hur kraven i artikel 6.3 har säkerställts. I övrigt har remissinstanserna inga synpunkter på förslaget. Skälen för regeringens förslag: Det är en allmän dataskyddsrättslig princip att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det är vidare vanligt att ändamålsbestämmelser tas in i registerförfattningar för att ange den yttersta ramen för behandlingen av personuppgifter. I promemorian föreslås sådana ändamålsbestämmelser. En bestämmelse som anger ändamålen innebär att ramen för behandlingen av personuppgifter i ett informationssystem med ett stort antal integritetskänsliga uppgifter fastställs av riksdagen. En ändamålsbestämmelse ger vidare möjlighet att på ett övergripande plan balansera intresset av informationssystemet om arbetsskador mot intresset av det intrång i den personliga integriteten som behandlingen i informationssystemet kan innebära. Enligt regeringens uppfattning är den bestämmelse som anger ändamålen i förordningen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador ändamålsenligt utformad på ett sätt som balanserar verksamhetsbehovet och integritetsintresset väl. Ändamålsbestämmelsen i den nya lagen bör alltså utformas så att den utesluter behandling som inte är nödvändig för att ge underlag för arbetet med att förebygga arbetsskador. Vidare bör den ange att behandlingen får innefatta registrering av arbetsskador och bearbetning av sådana uppgifter, tillsynsverksamhet, skadeutredningar, forskning och undervisning, framställning av statistik samt planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador. Datainspektionen anser att det saknas en analys av hur förslaget förhåller sig till dataskyddsförordningens bestämmelser om rättslig grund och hur kraven i artikel 6.3 andra stycket i dataskyddsförordningen säkerställs. Regeringen redogör allmänt i avsnitt 5.2 för de rättsliga grunderna och hur de fastställs i nationell rätt. När det gäller den bestämmelse som anger ändamålen som här föreslås får den anses utgöra en precisering av den rättsliga grunden som fastställs enligt artikel 6.3. Behandlingen av personuppgifter kan vila på åtminstone två rättsliga grunder i dataskyddsförordningen. Den kan dels vara nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c), dels nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). 6.6.2 Lagen ska upplysa om att regeringen kan begränsa ändamålen och vilka uppgifter som får behandlas Regeringens förslag: Det ska införas en upplysningsbestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget. Skälen för regeringens förslag: Det kan finnas skäl att införa mer detaljerade bestämmelser som ytterligare begränsar ändamålen och vilka uppgifter som får behandlas. Sådana mer detaljerade bestämmelser kan behöva ändras relativt ofta och det är därför lämpligt att de införs i förordning eller i myndighetsföreskrifter. Det bör därför i den föreslagna lagen införas en upplysningsbestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. 6.6.3 Utlämnande av uppgifter i överensstämmelse med lag eller förordning Regeringens förslag: Personuppgifter ska få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att det saknas en analys av hur ändamålsbestämmelserna förhåller sig till dataskyddsförordningens bestämmelser om rättslig grund i artikel 6.1 och hur kraven på fastställande i artikel 6.3 har säkerställts. I övrigt har remissinstanserna inga synpunkter på förslaget. Skälen för regeringens förslag: I vissa fall finns behov av att lämna ut personuppgifter till en annan myndighet eller någon annan i enlighet med annan författning. Exempel på detta är när uppgifter inom informationssystemet behöver lämnas ut för att Arbetsmiljöverket ska kunna uppfylla krav i offentlighets- och sekretesslagen (2009:400). I promemorian föreslås en bestämmelse som anger att Arbetsmiljöverket får behandla personuppgifter för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. Datainspektionen frågar hur förslaget förhåller sig till dataskyddsförordningens bestämmelser om bland annat rättslig grund. Arbetsmiljöverket kommer direkt med stöd av dataskyddsförordningen att kunna behandla personuppgifter för att fullgöra ett utlämnande enligt lag eller förordning, antingen med stöd av artikel 6.1 c (rättslig förpliktelse) eller med stöd av 6.1 e (allmänt intresse). Frågan är då om det ändå behövs en bestämmelse som anger att personuppgifter får behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. På motsvarande sätt som ett angivande av de så kallade primära ändamålen, se avsnitt 6.6.1, kan en bestämmelse om behandling för utlämnande ses som en integritetshöjande åtgärd i förhållande till dataskyddsförordningen. Lagen bör därför innehålla en sådan bestämmelse. 6.6.4 Ändamålsbegränsning Regeringens förslag: Det ska i lagen införas en bestämmelse av vilken det framgår att personuppgifter som har samlats in för de primära ändamålen även får behandlas för andra ändamål under förutsättning att dessa inte är oförenliga med det ändamål för vilket uppgifterna samlades in. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Centrala studiestödsnämnden anser att en uttrycklig reglering av finalitetsprincipen är mycket positivt. Ingen annan remissinstans har synpunkter på förslaget. Skälen för regeringens förslag: Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. I artikel 6.4 i förordningen beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. Principen om att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål brukar kallas finalitetsprincipen. Finalitetsprincipen enligt artikel 5.1 b dataskyddsförordningen gäller även vid behandling enligt den föreslagna lagen. Tydlighetsskäl talar dock, liksom Centrala studiestödsnämnden påpekar, för att det bör införas en bestämmelse i lagen som anger att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen. Denna bestämmelse utgör tillsammans med uppräkningen av tillåtna ändamål en sådan ändamålsbegränsning som avses i artikel 6.3 i dataskyddsförordningen. 6.7 Känsliga personuppgifter Regeringens förslag: Inga andra känsliga personuppgifter än sådana som rör hälsa ska få behandlas i informationssystemet om arbetsskador. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen har bland annat synpunkter på hur förslaget förhåller sig till dataskyddsförordningens bestämmelser om rättslig grund och på vilka ändamål som det kan vara berättigat att behandla känsliga personuppgifter. Ingen annan av remissinstanserna har haft synpunkter på förslaget. Skälen för regeringens förslag Dataskyddsdirektivet Enligt dataskyddsdirektivet får undantag göras från förbudet mot behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse, förutsatt att sådana undantag förses med lämpliga skyddsåtgärder (artikel 8.4). I personuppgiftslagen har undantaget som rör viktiga allmänna intressen genomförts dels genom regleringen av behandling för forsknings- och statistikändamål, dels genom ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att föreskriva ytterligare undantag om det behövs med hänsyn till ett viktigt allmänt intresse. Vidare har undantaget som rör viktiga allmänna intressen genomförts genom bestämmelser i registerförfattningar. Dataskyddsförordningen Artikel 9.1 i dataskyddsförordningen innehåller ett förbud att behandla särskilda kategorier av personuppgifter (känsliga personuppgifter). Vidare anger artikel 9.2 i förordningen att det finns undantag från förbudet att behandla känsliga personuppgifter. Ett sådant undantag är om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Denna ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Förbudet i artikel 9.1 omfattar uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Kategorierna av känsliga personuppgifter i bestämmelsen har utökats jämfört med motsvarande bestämmelse i dataskyddsdirektivet (artikel 8.1). Dataskyddsförordningens bestämmelse innefattar även genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en persons sexuella läggning vilket dataskyddsdirektivets motsvarande bestämmelse inte gjorde. Uppgifter om sexuell läggning har emellertid i svensk rätt ansetts ingå i begreppet sexualliv. Detta innebär att tillägget av begreppet sexuell läggning i förordningen inte innebär någon egentlig utvidgning från ett svenskt perspektiv, se till exempel propositionen Behandling av personuppgifter inom Kriminalvården (prop. 2000/01:126 s. 31) och propositionen Ett starkare skydd mot diskriminering (prop. 2007/08:95 s. 125-129). Det finns rättsliga grunder som är fastställda i enlighet med dataskyddsförordningen I promemorian lämnas förslag på ett undantag från förbudet att behandla känsliga personuppgifter. Undantaget är i förslaget begränsat till sådana känsliga personuppgifter som rör hälsa. Datainspektionen saknar en analys av hur bestämmelsen om känsliga personuppgifter förhåller sig till dataskyddsförordningens bestämmelser om rättslig grund i artikel 6.1 och hur kraven i artikel 6.3 har säkerställts. Regeringen konstaterar att Arbetsmiljöverket sköter informationssystemet om arbetsskador enligt förordningen med instruktion för Arbetsmiljöverket. Myndigheten har alltså en rättslig förpliktelse som är fastställd i författning (jfr artikel 6.1 c). Vidare får, enligt regeringens bedömning, arbetet med att kartlägga och förebygga arbetsskador anses vara en uppgift av allmänt intresse i dataskyddsförordningens mening (jfr artikel 6.1 e). Uppgiften av allmänt intresse är fastställd på motsvarande sätt som den rättsliga förpliktelsen. Lagen ska innehålla lämpliga skyddsåtgärder Som Datainspektionen framhåller krävs överväganden om lämpliga skyddsåtgärder enligt artikel 9.2, som kompenserar för det intrång i den personliga integriteten som behandlingen av känsliga personuppgifter innebär. Känsliga personuppgifter om hälsa bör endast få behandlas inom de ramar som ändamålsbestämmelserna fastställer. I avsnitt 6.8 föreslås vidare att tillgången till personuppgifter ska begränsas på ett sådant sätt att endast de som behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter ska ha tillgång till dem. Behandlingen är nödvändig för ett viktigt allmänt intresse Datainspektionen anger att om undantaget regleras i artikel 9.2 g, det vill säga ett viktigt allmänt intresse, krävs det komplettering i EU-rätt eller nationell rätt och lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Varför behandlingen är nödvändig för ett viktigt allmänt intresse måste enligt Datainspektionen framgå. Regeringen redogör ovan för sin bedömning att informationssystemet om arbetsskador är ett led i en uppgift av allmänt intresse i dataskyddsförordningens mening. Det får vidare anses vara nödvändigt att behandla uppgifter om hälsa i informationssystemet eftersom informationssystemet behövs för att kartlägga och förebygga arbetsskador. Eftersom arbetsskador är ett väsentligt samhällsproblem och att forskning och statistik är nödvändigt för att minska problemet anser regeringen att informationssystemet når upp till dataskyddsförordningens krav på ett viktigt allmänt intresse. Eftersom framtagande av meningsfull information om arbetsskador förutsätter att uppgifter om hälsa registreras bör personuppgifter som rör hälsa få behandlas. Andra känsliga personuppgifter bör dock inte få behandlas. Uppgifter om hälsa ska få behandlas för alla primära ändamål Datainspektionen efterfrågar en närmare utredning om för vilka ändamål känsliga personuppgifter får behandlas. Enligt förslaget i avsnitt 6.6.1 ska behandling av personuppgifter kunna innefatta registrering av arbetsskador och bearbetning av sådana uppgifter, tillsynsverksamhet, skadeutredningar, forskning och undervisning, framställning av statistik samt planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador. Hälsouppgifter är centrala för hela arbetet med att kartlägga och förebygga arbetsskador. Frågan är då om det ändå finns anledning att begränsa behandlingen av hälsouppgifter i något avseende. Som Datainspektionen konstaterar finns det möjlighet i vissa fall att behandla uppgifter som har avidentifierats och som därför inte är personuppgifter i dataskyddsförordningens mening, till exempel för undervisningsändamål (artikel 4.1). Regeringen vill dock i detta sammanhang påminna om principen om uppgiftsminimering som gäller enligt dataskyddsförordningen (artikel 5.1 c). Enligt den principen ska den personuppgiftsansvarige inte behandla personuppgifter som är för omfattande i förhållande till de ändamål för vilka de behandlas. Det är mot den bakgrunden rimligt att personuppgifter om hälsa enligt lagen ska kunna behandlas för alla de ändamål för personuppgiftsbehandlingen som fastställs i lagen. 6.8 Tillgången till personuppgifter ska begränsas Regeringens förslag: Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget. Skälen för regeringens förslag: En bestämmelse om att tillgången till personuppgifter ska vara begränsad till vad var och en behöver för att kunna fullgöra sina uppgifter ligger i linje med artikel 32.4 i dataskyddsförordningen om säkerheten i samband med behandling av personuppgifter. En sådan bestämmelse finns i dag i förordningen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador och det saknas enligt regeringens uppfattning anledning att inte ha en motsvarande bestämmelse i den nya lagen. 6.9 Det ska inte finnas begränsningar av tillåtna sökbegrepp Regeringens bedömning: Lagen bör inte innehålla några begränsningar av tillåtna sökbegrepp. Promemorians bedömning: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på bedömningen. Skälen för regeringens bedömning Dataskyddsförordningen Dataskyddsförordningen saknar bestämmelser om sökning eller användning av sökbegrepp. Sökning och sammanställning av uppgifter som sker elektroniskt är dock behandling av personuppgifter och omfattas därför av dataskyddsförordningens bestämmelser. På grund av detta måste en sökning vara laglig enligt artikel 6 och uppfylla kraven i bland annat artikel 5 i dataskyddsförordningen för att vara tillåten. Av artikel 9.2 g i dataskyddsförordningen framgår att behandling av känsliga personuppgifter får ske om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Denna ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga eller särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Riskerna med sök- och sammanställningsteknik I en databas eller annan textmassa som har lagrats på ett medium för automatiserad behandling är det möjligt att genom att ange ett så kallat sökbegrepp i en sökmotor söka igenom den lagrade informationen och hitta de poster där begreppet förekommer. På detta sätt är det möjligt att snabbt göra en sammanställning av personuppgifter i en databas och skapa statistik. Statistiken i sig innehåller inte personuppgifter, men för att skapa den är behandlingen av personuppgifter nödvändig. Något generellt förbud mot sökning i en databas är dock normalt sett inte motiverat. Ofta kan en sökmotor vara ett värdefullt redskap i myndighetens verksamhet, utan att det för den sakens skull måste innebära risker för den personliga integriteten. De integritetsrisker som följer med användningen av ny informationsteknik är nära kopplade till informationsteknikens egenskaper att söka och sammanställa stora mängder av uppgifter. Sök- och sammanställningsmöjligheter kan medföra att uppgifter lättare kan knytas till en fysisk person. De kan även medföra att personuppgifter som annars uppfattas som relativt harmlösa får en mer integritetskänslig karaktär till exempel genom omfattande registrering. Myndigheternas sökmöjligheter har även betydelse för vad som utgör allmän handling enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen. Avvägningen mellan för- och nackdelar med begränsningar av sökbegrepp Vid bedömningen av vilka sökbegrepp som bör vara tillåtna måste en avvägning göras mellan intresset av effektivitet i en myndighets verksamhet och risken för integritetsintrång. Regler om begränsning av tillåtna sökbegrepp bör således ta sikte direkt på sådana typer av sökning som typiskt sett medför särskilda integritetsrisker. I vissa sådana fall måste integriteten ges företräde framför andra intressen, även om goda skäl i och för sig talar för att en viss typ av sökning eller behandling bör vara tillåten. I förordningen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador finns ingen begränsning i fråga om att använda uppgifter som rör hälsa som sökbegrepp. I Inspektionen för arbetslöshetsförsäkringens och Arbetsförmedlingens registerlagar är det dock förbjudet att använda känsliga personuppgifter som sökbegrepp. I lagarna föreskrivs emellertid ett undantag på så sätt att bland annat kod för hälsotillstånd får användas som sökbegrepp. Denna lösning är emellertid mindre lämplig för Arbetsmiljöverket. De EU-klassificeringar, det vill säga koder för olika hälsobegrepp, som finns framtagna på EU-nivå är inte tillräckligt precisa och anpassade till arbetsskador. Vidare förekommer ofta uppgifter om hälsa i fältet i Arbetsmiljöverkets webbformulär där anmälaren skriver in ett händelseförlopp, vilket innebär att det inte finns någon koppling till kod för dessa uppgifter. Ett ytterligare argument mot användning av koder är att det ständigt pågår en utveckling av olika hälsobegrepp, vilket gör det svårt att se vilka begrepp som kommer att användas framöver. Samtidigt står det klart att Arbetsmiljöverket måste ha möjlighet att använda uppgifter som rör hälsa som sökbegrepp, bland annat för att kunna fullfölja sitt uppdrag vad gäller framställande av statistik. Det bör i detta sammanhang beaktas att informationssystemet är separerat från myndighetens övriga verksamhet och att regeringen i avsnitt 6.8 föreslår en bestämmelse där tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Utifrån dessa avvägningar gör regeringen bedömningen att det inte bör införas någon begränsning vad gäller sökbegrepp i den nya lagen. 7 Behandling av personuppgifter hos Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering 7.1 Registerlagarna ska tillämpas på automatiserad behandling av personuppgifter och personuppgifter i register Regeringens förslag: Registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska tillämpas på automatiserad behandling av personuppgifter och personuppgifter i register. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget. Skälen för regeringens förslag: De skäl som anges i avsnitt 6.2 i fråga om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador gör sig gällande även i fråga om nu aktuella lagar. Registerlagarna bör därför tillämpas på automatiserad behandling av personuppgifter och personuppgifter i register. 7.2 Förhållandet till annan reglering 7.2.1 Hänvisningar till personuppgiftslagen ska tas bort Regeringens förslag: Hänvisningarna till personuppgiftslagen ska tas bort i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget. Skälen för regeringens förslag: Enligt propositionen Ny dataskyddslag (prop. 2017/18:105) ska personuppgiftslagen (1998:204) upphävas. Hänvisningarna till personuppgiftslagen bör därför tas bort i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. 7.2.2 Förhållandet till dataskyddsförordningen Regeringens förslag: Registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska innehålla bestämmelser som tydliggör att lagarna kompletterar EU:s dataskyddsförordning. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att det är bra att det framgår i de föreslagna författningarna att bestämmelserna kompletterar dataskyddsförordningen. Datainspektionen anser dock att det också behöver anges direkt i författningen om en viss reglering kompletterar eller förtydligar en artikel i dataskyddsförordningen. Dataskydd.net tillstyrker förslaget att lagarna ska innehålla en bestämmelse där det tydliggörs att lagarna kompletterar dataskyddsförordningen. Skälen för regeringens förslag: De skäl som anges i avsnitt 6.3.1 i fråga om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador gör sig gällande även i fråga om nu aktuella lagar. Registerlagarna bör därför innehålla en bestämmelse som tydliggör att lagarna kompletterar dataskyddsförordningen. Alla hänvisningar i registerlagarna till dataskyddsförordningen bör av motsvarande skäl som anges i avsnitt 6.3.1 vara dynamiska. 7.2.3 Förhållandet till dataskyddslagen Regeringens förslag: Det ska tydliggöras i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering att dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen gäller vid behandling av personuppgifter inom lagarnas tillämpningsområden, om inte annat följer av registerlagarna eller föreskrifter som har meddelats i anslutning till de lagarna. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Dataskydd.net avstyrker delvis förslagen att registerlagarna ska innehålla en bestämmelse som anger att lagen med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter inom lagarnas tillämpningsområden, om inte annat följer av lagarna eller föreskrifter som har meddelats i anslutning till dem. I övrigt har remissinstanserna inga synpunkter på förslaget. Skälen för regeringens förslag: De skäl som anges i avsnitt 6.3.2 i fråga om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador gör sig gällande även i fråga om nu aktuella lagar. Registerlagarna bör därför innehålla en bestämmelse som klargör förhållandet till dataskyddslagen. 7.3 Undantag från rätten att göra invändningar Regeringens förslag: Rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen ska inte gälla vid sådan behandling som är tillåten enligt registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering eller föreskrifter som har meddelats i anslutning till registerlagarna. Promemorians förslag: Överensstämmer i sak med regeringens. Promemorian föreslår dock en annan redaktionell utformning av bestämmelserna. Remissinstanserna: Skatteverket föreslår en annan lydelse av bestämmelserna. Datainspektionen ifrågasätter bland annat om promemorians förslag att ersätta uttrycket "motsätter sig" med "invänder mot" inte innebär någon förändring i sak. Datainspektionen efterlyser klargörande om samtycke utgör en rättslig grund för behandlingen och i så fall hur de övriga reglerna, med beaktande av artikel 6.2, förhåller sig till samtycket. Datainspektionen är positiv till att låta den enskildes inställning avgöra om behandlingen ska få utföras eller inte. Dataskydd.net avstyrker förslagen och anser att de föreslagna bestämmelserna utgör en oproportionerlig begränsning av enskildas rättigheter. Skälen för regeringens förslag Inledning Regeringen redogör i avsnitt 6.4 för regleringen av rätten att motsätta sig behandling av personuppgifter i dataskyddsdirektivet och personuppgiftslagen. I samma avsnitt finns också en redovisning av rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. Datainspektionens fråga om uttrycket "motsätter sig" och "invänder mot" behandlas även den i det avsnittet. I promemorian föreslås att rätten att göra invändningar i lagarna ska begränsas och bedömningen görs att en sådan begränsning uppfyller dataskyddsförordningens krav. Begränsningen av rätten att göra invändningar föreslås ersätta de bestämmelser som i dag finns som begränsar rätten att motsätta sig behandling av personuppgifter. Rätten att göra invändningar ska begränsas Regeringen kan konstatera att rätten att göra invändningar mot behandlingen av personuppgifter enligt artikel 21 i dataskyddsförordningen är begränsad i flera avseenden. För det första gäller den endast vid myndigheters behandling av personuppgifter, när de utför sina uppgifter, som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Det innebär att den registrerade inte har rätt att invända om myndighetens behandling är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c). För det andra är rätten att invända begränsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall har den registrerade rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). Även om rätten att invända enligt dataskyddsförordningen är begränsad i flera avseenden bör den enligt regeringens uppfattning ändå inte gälla vid behandling av personuppgifter som är tillåten enligt registerlagarna. Det huvudsakliga skälet för det är att en rätt att göra invändningar skulle innebära försämrade förutsättningar för myndigheterna att fullgöra sina uppgifter eftersom myndigheterna i enskilda fall skulle behöva påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter innan myndigheterna kan fortsätta behandla personuppgifterna (artikel 21.1). I fråga om de aktuella myndigheterna får det antas att intresset att främja en väl fungerande arbetsmarknad vid en prövning i det enskilda fallet regelmässigt kommer att anses väga tyngre än den registrerades intressen. Det kan dessutom, när det gäller Arbetsförmedlingens verksamhet, vara svårt från den enskildes perspektiv att överblicka konsekvenserna av att denne invänder mot behandlingen. Det kan till exempel vara så att en arbetsmarknadspolitisk insats som den enskilde behöver inte kan ges eftersom Arbetsförmedlingen inte kan behandla nödvändiga personuppgifter efter att den enskilde har invänt. En rätt för den registrerade att invända mot behandlingen av personuppgifter om honom eller henne kan alltså påverka effektiviteten negativt i myndigheternas verksamhet samtidigt som den kan få oförutsedda och oönskade effekter för den enskilde. Rätten att göra invändningar kan under vissa förutsättningar begränsas enligt artikel 23 i dataskyddsförordningen. Det finns därför anledning att pröva om en begränsning av rätten att göra invändningar når upp till de krav som ställs i dataskyddsförordningen på begränsningar. Inledningsvis kan det konstateras att en väl fungerande arbetsmarknad är ett viktigt mål för både EU och Sverige som rör viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet (artikel 21.1 e). En obegränsad rätt att göra invändningar skulle kunna ha negativa konsekvenser för en väl fungerande arbetsmarknad. En begränsning av rätten att göra invändningar får därför enligt regeringens uppfattning anses syfta till att säkerställa viktiga mål av generellt allmänt intresse. Begränsningen är vidare enligt regeringens mening nödvändig och proportionell för att enskilda ska få det stöd de behöver och för att myndigheterna effektivt ska kunna utföra sina uppgifter som de tilldelats av riksdag och regering. Vidare finns specifika bestämmelser i registerlagarna som enligt regeringens uppfattning uppfyller de krav som ställs i artikel 23.2 på begränsande lagstiftning. I registerlagarna finns bland annat specificering av vem som är personuppgiftsansvarig, preciserade ändamålsbestämmelser samt bestämmelser om tillgång till personuppgifter. Sammantaget anser regeringen att det i lagarna kan och bör finnas begränsningar av rätten att invända enligt artikel 21.1. Samtycke som rättslig grund Datainspektionen efterlyser klargörande om samtycke utgör en rättslig grund för behandlingen och i så fall hur de övriga reglerna i den aktuella författningen, med beaktande av artikel 6.2, förhåller sig till samtycket. Myndigheternas utrymme för att lägga enskildas samtycke till grund för behandling av personuppgifter är begränsat, i vart fall i sådana situationer där det är osannolikt att ett samtycke lämnas frivilligt (skäl 43). Av bland annat det skälet anser regeringen att det är olämpligt för myndigheterna på arbetsmarknadsområdet att använda samtycke som rättslig grund för behandling av personuppgifter. Begränsningen av rätten att göra invändningar är emellertid inte ett undantag från samtycke som rättslig grund enligt artikel 6.2. Det är en begränsning av rätten för den registrerade att genom invändningar få till en överprövning av om myndighetens skäl för behandlingen väger tyngre än motstående intressen såsom den registrerades intressen. Regeringen delar Datainspektionens uppfattning att samtycke kan vara en integritetshöjande åtgärd. Så är till exempel fallet i 2 § andra stycket lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Bestämmelsernas utformning Av motsvarande skäl som regeringen redogör för i avsnitt 6.4 bör bestämmelserna utformas som undantag från artikel 21.1 i dataskyddsförordningen. Bestämmelserna bör alltså, liksom Skatteverket föreslår, ange att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte gäller vid sådan behandling som är tillåten enligt lagarna eller föreskrifter som har meddelats i anslutning till dem. Bestämmelsen i registerlagen för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering om att den registrerade inte kan motsätta sig behandling följs i dag av en bestämmelse med krav på samtycke när personuppgifter har samlats in direkt från den enskilde. Bestämmelsen med krav på samtycke bör enligt regeringens mening placeras separat från bestämmelsen om undantaget från rätten att göra invändningar. I annat fall finns en risk att kravet på samtycke blandas ihop med rätten att göra invändningar. Genom att bestämmelsen placeras separat tydliggörs också att den ska ses som en integritetshöjande åtgärd och inte den rättsliga grunden för behandlingen av personuppgifter. 7.4 Ändamålsbestämmelser Regeringens förslag: Registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska ange att myndigheterna får behandla personuppgifter för vissa ändamål om det är nödvändigt. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Dataskydd.net anger att ändamålen följer av myndigheternas instruktioner och därmed redan är en rättslig förpliktelse eller en del av myndigheternas myndighetsutövning och att ändamålsbestämmelserna därför är onödiga. Skälen för regeringens förslag: Dataskydd.net anger att ändamålsbestämmelserna är onödiga eftersom det redan finns rättslig grund i andra författningar. Regeringen delar inte den uppfattningen. Ändamålsbestämmelserna fastställer ramarna för behandlingen av personuppgifter i myndigheternas verksamhet och bidrar även till att behandlingen av personuppgifter sker på ett korrekt, lagligt och öppet sätt (jfr artikel 5.1 a i dataskyddsförordningen). Att ta bort ändamålsbestämmelserna skulle enligt regeringens mening leda till otydlighet och oförutsebarhet och inte vara till nytta för vare sig myndigheterna eller de registrerade personerna. Enligt artikel 6.1 b-f i dataskyddsförordningen är ett grundläggande krav att behandlingen ska vara nödvändig. Begreppet nödvändig används även på andra ställen i dataskyddsförordningen, till exempel i artikel 9 om behandling av känsliga personuppgifter. I registerlagarnas ändamålsbestämmelser anges ofta att personuppgifter får behandlas om det behövs, se till exempel 4 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Enligt regeringens uppfattning bör terminologin i registerlagarna anpassas i detta avseende till dataskyddsförordningens terminologi eftersom det är olämpligt att använda begrepp i de svenska registerlagarna som kan ge det felaktiga intrycket att det ställs lägre krav på behandlingen i de svenska registerlagarna än i dataskyddsförordningen. Ändamålsbestämmelserna i lagarna bör alltså ange att myndigheterna får behandla personuppgifter för vissa ändamål om det är nödvändigt i stället för om det behövs. 7.5 Ändamålsbegränsning Regeringens förslag: Det ska i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering framgå att personuppgifter som har samlats in för de primära ändamålen även får behandlas för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Centrala studiestödsnämnden anser att en uttrycklig reglering av finalitetsprincipen är mycket positiv och tillstyrker förslagen. Dataskydd.net avstyrker förslagen med motiveringen att bestämmelserna riskerar att förhindra myndigheterna från att göra proportionalitetsbedömningen de borde göra enligt 6.4 i dataskyddsförordningen. Ingen av de övriga remissinstanserna har synpunkter på förslaget. Skälen för regeringens förslag: Liksom i fråga om lagen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador bör registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering innehålla bestämmelser av vilka det framgår att personuppgifter som har samlats in för de primära ändamålen även får behandlas för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in. 7.6 Känsliga personuppgifter 7.6.1 Känsliga personuppgifter i Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens verksamheter Regeringens bedömning: Den generella regleringen i den föreslagna dataskyddslagen i fråga om behandling av känsliga personuppgifter för ett viktigt allmänt intresse motsvarar Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens behov. Regeringens förslag: Bestämmelserna i registerlagarna om att Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen får behandla känsliga personuppgifter om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det ska tas bort. Hänvisningar till personuppgiftslagen i bestämmelserna om känsliga personuppgifter ska ersättas med hänvisningar till dataskyddsförordningens bestämmelser om känsliga personuppgifter. Promemorians bedömning: Överensstämmer delvis med regeringens. Promemorian bedömer att bestämmelserna om att Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen får behandla känsliga personuppgifter om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det kan behållas. Remissinstanserna: Datainspektionen avstyrker förslagen om känsliga personuppgifter i både Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens lagar. Centrala studiestödsnämnden anser att begreppet databas bör utmönstras ur författningstexterna avseende lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen. I övrigt har remissinstanserna inga synpunkter på förslaget. Skälen för regeringens bedömning och förslag Den nuvarande ordningen I 8 § lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten anges att Arbetsförmedlingen får behandla känsliga personuppgifter om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Av 9 § framgår när behandling av känsliga personuppgifter får ske i en databas och att de får behandlas endast om de har lämnats i ett ärende. Sådana känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende. I 14 § anges att känsliga personuppgifter inte får användas som sökbegrepp. Undantag från sökförbudet finns i vissa fall vad gäller kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga. I 8 § lagen om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen anges att myndigheten får behandla känsliga personuppgifter om uppgifterna har lämnats i ett ärende eller annars är nödvändiga för handläggningen av det. Av 9 § framgår att endast sådana känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får behandlas i myndighetens statistik- och tillsynsdatabas - och då endast under förutsättning att de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I 13 § anges att känsliga personuppgifter inte får användas som sökbegrepp. Undantag finns bland annat vad gäller kod för hälsotillstånd, kod för sådan funktionsnedsättning som medför nedsatt arbetsförmåga och kod för sökandebegrepp och anvisningsgrund. Sådana får nämligen användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik. Utvidgningen av förbudet mot behandling av känsliga personuppgifter Dataskyddsförordningen innebär en förändring i fråga om känsliga personuppgifter. Förbudet i artikel 9.1 omfattar nämligen, som Datainspektionen påpekar, även behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. I dag finns inget generellt förbud för Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen att behandla sådana uppgifter. Uppgifter om sexuell läggning har emellertid i svensk rätt ansetts ingå i begreppet sexualliv. Detta innebär att tillägget av begreppet sexuell läggning i förordningen inte innebär någon egentlig utvidgning från ett svenskt perspektiv, se till exempel propositionen Behandling av personuppgifter inom Kriminalvården (prop. 2000/01:126 s. 31) och propositionen Ett starkare skydd mot diskriminering (prop. 2007/08:95 s. 125-129). Den nya dataskyddslagen I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslår regeringen vissa bestämmelser om behandling av känsliga personuppgifter när behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Enligt regeringens förslag får känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en myndighet 1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, 2. om behandlingen är nödvändig för handläggningen av ett ärende, eller 3. i annat fall, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Förslaget i propositionen Ny dataskyddslag innehåller också en bestämmelse som anger att vid behandling som sker enbart med stöd av bestämmelsen ovan är det förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Behandling av känsliga personuppgifter i ärendehanteringen Regeringen konstaterar att Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen i dag får behandla känsliga personuppgifter om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Eftersom myndigheterna i allmänhet inte kan påverka vilka handlingar som lämnas till dem har utgångspunkten ansetts vara att samtliga uppgifter som förekommer i ett ärende, även känsliga sådana, får behandlas. När det gäller handlingar som upprättats av myndigheterna finns det däremot utrymme att påverka innehållet. Känsliga personuppgifter har i sådana fall endast ansetts få behandlas om det är nödvändigt för handläggningen av ärendet, se propositionen Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten (prop. 2001/02:144 s. 31). Regeringen gör samma bedömning som den har gjort i tidigare lagstiftningsarbeten, nämligen att det inte bör finnas någon begränsning av vilka kategorier av känsliga personuppgifter som får behandlas om de har lämnats i ett ärende. Om myndigheterna behandlar känsliga personuppgifter vid handläggningen av ett ärende och uppgifterna inte har lämnats i ett ärende, bör det liksom i dag finnas ett krav på nödvändighet. Regeringen föreslår som ovan nämns i propositionen Ny dataskyddslag att stöd för myndigheters behandling av känsliga personuppgifter ska finnas i den nya dataskyddslagen om uppgifterna har lämnats till myndigheterna. Den föreslagna bestämmelsen i dataskyddslagen har en annan utformning än motsvarande bestämmelser i registerlagarna. Innebörden är emellertid huvudsakligen densamma. Enligt den föreslagna dataskyddslagen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Vad som avses med lag är framför allt offentlighets- och sekretesslagens (2009:400) och förvaltningslagens (2017:900) bestämmelser om hur allmänna handlingar ska hanteras, exempelvis genom krav på diarieföring och skyldighet att ta emot e-post (prop. 2017/18:105 s. 194). Skillnaden mellan denna bestämmelse och motsvarande bestämmelser i registerlagarna är alltså att bestämmelsen i den föreslagna dataskyddslagen inte ställer krav på att uppgifterna har lämnats i ett ärende. Denna skillnad motiverar dock enligt regeringens uppfattning inte särskilda begränsningar för Arbetsförmedlingen eller Inspektionen för arbetslöshetsförsäkringen. Vidare får känsliga personuppgifter behandlas enligt propositionen Ny dataskyddslag av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om behandlingen är nödvändig för handläggningen av ett ärende. Denna bestämmelse skiljer sig från registerlagarnas motsvarande bestämmelser på så sätt att det är behandlingen som ska vara nödvändig i förslaget till dataskyddslag, inte uppgifterna. Enligt regeringens bedömning ska dock skillnaden i lydelse inte uppfattas som en skillnad i sak (prop. 2017/18:105 s. 87). Behandling av känsliga personuppgifter i faktisk verksamhet Regeringen föreslår i propositionen Ny dataskyddslag att känsliga personuppgifter ska få behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning i annat fall, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Denna bestämmelse tar sikte på så kallad faktisk verksamhet hos myndigheter, det vill säga i sådan förvaltningsverksamhet som inte utgör ärendehandläggning (prop. 2017/18:105 s. 194). Bestämmelserna om behandling av känsliga personuppgifter i ärendehanteringen ska tas bort Sammantaget gör regeringen till skillnad från förslaget i promemorian bedömningen att de bestämmelser som föreslås i propositionen Ny dataskyddslag om behandling av känsliga personuppgifter för ett viktigt allmänt intresse svarar mot Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens behov av att kunna behandla känsliga personuppgifter i ärendehanteringen. Det finns därmed ingen anledning att ha sådana bestämmelser i registerlagarna för Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen. Dessa bestämmelser bör alltså tas bort. När det gäller behandling av känsliga personuppgifter i den faktiska verksamheten gör regeringen bedömningen att det kan finnas behov av stöd för sådan behandling även i Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens verksamhet. Det bör alltså inte införas en begränsning av möjligheten att behandla känsliga personuppgifter utanför ärendehanteringen. Behandling av känsliga personuppgifter i databas När det gäller behandling av känsliga personuppgifter i databaser finns begränsningar i syfte att värna enskildas personliga integritet. Som Informationshanteringsutredningen har framfört hanteras myndigheters ärenden i dag vanligen inom ramen för ett elektroniskt ärendehanteringssystem, det vill säga i en databas, se betänkandet Myndighetsdatalag (SOU 2015:39 s. 306). En konsekvens av detta är att allt fler känsliga personuppgifter omfattas av de striktare krav som gäller för behandling av känsliga personuppgifter i databas. För Arbetsförmedlingen får känsliga personuppgifter behandlas i en databas endast om de har lämnats i ett ärende. Känsliga personuppgifter som avslöjar etniskt ursprung eller som rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende. Dessa uppgifter behöver inom den arbetsmarknadspolitiska verksamheten kunna behandlas för att fastställa om en person kvalificerar sig för arbetsmarknadspolitiska insatser som riktar sig till nyanlända invandrare eller personer med funktionsnedsättning som medför nedsatt arbetsförmåga. Motsvarande begränsningar för behandling av känsliga personuppgifter gäller i Inspektionen för arbetslöshetsförsäkringens statistik- och tillsynsdatabas vilket har att göra med att Inspektionen för arbetslöshetsförsäkringen utövar tillsyn över Arbetsförmedlingen och därför behöver kunna behandla känsliga personuppgifter på samma sätt som Arbetsförmedlingen, se propositionen Behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen m.m. (prop. 2005/06:152 s. 32). Den behandling av känsliga personuppgifter som registerlagarna för Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen tillåter får anses vara nödvändig med hänsyn till ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Det övergripande viktiga allmänna intresset är en väl fungerande arbetsmarknad. Det får också anses vara ett viktigt allmänt intresse att myndigheterna kan handlägga de ärenden som behövs för att myndigheterna ska kunna fullgöra sina uppgifter som de tilldelats av riksdagen och regeringen och i enstaka fall behandla känsliga personuppgifter utanför ärendehandläggningen. I lagarna finns särskilda bestämmelser som värnar enskildas personliga integritet, till exempel begränsning till uppgifter som har lämnats i ett ärende eller är nödvändiga för handläggningen av det samt begränsningar av vilka sökbegrepp som får användas för sökning av personuppgifter i databaser. Dessa bestämmelser uppfyller de krav som ställs i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Datainspektionen anser att det bör framgå av bestämmelserna om känsliga personuppgifter att behandlingen måste vara nödvändig för ett viktigt allmänt intresse alternativt att behandlingen preciseras så att den enbart omfattar det som utgör ett viktigt allmänt intresse. Enligt regeringens bedömning står det klart att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt och att ärendebegreppet i de allra flesta fall är förhållandevis tydligt, jfr propositionen Ny dataskyddslag (prop. 2017/18:105 s. 87). Det behöver därmed inte framgå av registerlagarna att behandlingen måste vara nödvändig för ett viktigt allmänt intresse eftersom behandlingen preciseras så att den enbart omfattar det som utgör ett viktigt allmänt intresse. Användningen av termen databas i författningstexten Som Centrala studiestödsnämnden påpekar kan det diskuteras om termen databas bör utmönstras ur de aktuella författningarna. Vid införandet av lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering angavs att uppgifter numera förs in helt ostrukturerat och oorganiserat i olika filer i en dator, utan att det hindrar en effektiv hantering av uppgifterna. Det väsentliga är inte på vilket sätt uppgifterna är lagrade, utan i vilken omfattning uppgifterna är tillgängliga, sökbara och möjliga att sambearbeta, se propositionen Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (prop. 2011/12:176 s. 39 f). Det kan dock noteras att termen databas fortfarande används i registerförfattningar och i annan författning. Den beskriver även relativt väl hur personuppgifter hanteras i Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens verksamhet i dag och hur behandlingen av personuppgifter sannolikt kommer att se ut framöver. Regeringen ser därför inte skäl att utmönstra termen databas i de två lagarna. 7.6.2 Känsliga personuppgifter i Institutet för arbetsmarknads- och utbildningspolitisk utvärderings verksamhet Regeringens förslag: I registerlagen för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska det införas en hänvisning till dataskyddsförordningens bestämmelser om känsliga personuppgifter. Institutet ska kunna behandla personuppgifter om en persons sexuella läggning för de ändamål som anges i registerlagen. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Institutet för arbetsmarknads- och utbildningspolitisk utvärdering tillstyrker förslaget. Diskrimineringsombudsmannen har synpunkter på förslaget att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska ha rätt att, utan samtycke, behandla uppgifter om sexuell läggning. Centrala etikprövningsnämnden föreslår att det införs en upplysning i de lagar som rör forskning om att det ibland krävs etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor. Skälen för regeringens förslag Behovet av att behandla vissa känsliga personuppgifter Enligt 7 § lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får myndigheten för de primära ändamål som anges i lagen behandla sådana känsliga personuppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa. Uppgifter om hälsa behandlas i samband med utvärdering av insatser som baseras på den enskildes hälsotillstånd och utökat behov av hjälp och stöd från Arbetsförmedlingen. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering behandlar också uppgifter om personer som har en funktionsnedsättning som medför nedsatt arbetsförmåga. När det gäller personuppgifter som avslöjar etniskt ursprung utgör studier, uppföljningar och utvärderingar av etableringsreformen, riktade insatser och situationen på arbetsmarknaden i övrigt för personer som har invandrat till Sverige en viktig del av myndighetens arbete. Vidare behöver Institutet för arbetsmarknads- och utbildningspolitisk utvärdering få behandla uppgifter om fackligt medlemskap för att kunna bedriva viss forskning om arbetsmarknadens funktionssätt, i synnerhet forskning angående frågor som rör lönebildningen. Information om fackanslutning kan även utgöra en förutsättning för annan typ av forskning, exempelvis studier av effekterna av medlemsförmåner och studier gällande diskriminering av organiserade respektive oorganiserade arbetstagare i samband med lönebildning. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering bör även fortsättningsvis få behandla de kategorier av känsliga personuppgifter som myndigheten får behandla i dag och det ska finnas en hänvisning i bestämmelsen om känsliga personuppgifter till dataskyddsförordningens bestämmelser om känsliga personuppgifter. Uppgifter om sexuell läggning Enligt promemorians förslag ska myndigheten även få behandla känsliga personuppgifter om en persons sexuella läggning. Promemorian motiverar förslaget med att myndigheten annars inte kan behandla personuppgifter inom ramen för studier av om personer diskrimineras på grund av sexuell läggning på arbetsmarknaden eller inom utbildningsväsendet. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering tillstyrker förslaget om att verksamheten ska kunna bedrivas med oförändrade förutsättningar. Diskrimineringsombudsmannen har synpunkter på förslaget att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska ha rätt att, utan samtycke, behandla uppgifter om sexuell läggning. Medan Diskrimineringsombudsmannen fullt ut delar uppfattningen att det finns ett behov av ökad kunskap om förekomsten av diskriminering, inklusive kunskap om sådan diskriminering som har samband med sexuell läggning, finns det enligt myndigheten anledning att framhålla att erfarenheter visar att registrering av denna typ av uppgifter i vissa situationer kan leda till diskriminering i kontakter mellan myndigheter och allmänhet. Insamling, registrering och behandling av personuppgifter av detta slag väcker också frågeställningar ur integritetssynpunkt enligt Diskrimineringsombudsmannen. Myndigheten påpekar också att frågan om under vilka förutsättningar det kan anses lämpligt att, i syfte att få ökad kunskap om diskriminering, samla in och behandla uppgifter om sexuell läggning kräver ingående överväganden. När det gäller risken för att registrering av uppgifter om sexuell läggning kan leda till diskriminering i kontakten mellan myndigheter och allmänheten vill regeringen understryka att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering i stor utsträckning behandlar avidentifierade personuppgifter som har samlats in av andra myndigheter. Institutet har sällan anledning att själv ha kontakt med allmänheten på ett sådant sätt som kan innebära någon mer påtaglig risk för diskriminering. I promemorian föreslås att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska få behandla uppgifter om sexuell läggning men, liksom i dag, inte uppgifter om en persons sexualliv. När det gäller frågan om förhållandet mellan begreppen sexuell läggning och sexualliv kan regeringen konstatera att det senare begreppet anses ha en vidare innebörd och innefattar vissa aspekter som inte begreppet sexuell läggning innefattar, se till exempel propositionen Behandling av personuppgifter inom Kriminalvården (prop. 2000/01:126 s. 31) och propositionen Ett starkare skydd mot diskriminering (prop. 2007/08:95 s. 125-129). Myndigheten bör få behandla uppgifter om sexuell läggning för att kunna bedriva studier om diskriminering av personer på grund av sexuell läggning på arbetsmarknaden eller inom utbildningsväsendet. Övriga uppgifter om en persons sexualliv bör däremot inte få behandlas av myndigheten. Behovet av behandling av andra känsliga personuppgifter i syfte att studera diskriminering Diskrimineringsombudsmannen efterlyser överväganden om Institutet för arbetsmarknads- och utbildningspolitisk utvärdering bör ha möjlighet att behandla andra kategorier av känsliga personuppgifter än uppgifter om sexuell läggning som kan utgöra diskrimineringsgrunder enligt diskrimineringslagen (2008:567). Regeringen har ovan redovisat de skäl som ligger till grund för bedömningen att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering bör kunna behandla känsliga personuppgifter om etniskt ursprung, medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning. De känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen som Institutet för arbetsmarknads- och utbildningspolitisk utvärdering inte föreslås få behandla och som samtidigt utgör en diskrimineringsgrund enligt diskrimineringslagen gäller religiös eller filosofisk övertygelse. I fråga om personuppgifter om religiös eller filosofisk övertygelse har det inte med anledning av dataskyddsförordningen framkommit något som ger regeringen anledning att överväga om Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska få behandla sådana uppgifter i syfte att studera diskriminering. Regeringen ser mot den bakgrunden inte tillräckliga skäl att närmare överväga den frågan. Behandlingen uppfyller dataskyddsförordningens krav Den behandling av känsliga personuppgifter som föreslås i registerlagen för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får anses vara nödvändig med hänsyn till ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Det viktiga allmänna intresset är en väl fungerande arbetsmarknad och ett väl fungerande utbildningsväsende som myndigheten bidrar till genom studier, utvärderingar och uppföljningar. I lagarna finns särskilda bestämmelser som värnar enskildas personliga integritet, till exempel begränsningar av möjligheten att behandla uppgifter för att röja en persons identitet och begränsningar av möjligheten att sambearbeta personuppgifter som har samlats in för att behandlas inom olika avgränsade studier, uppföljningar eller utvärderingar. Dessa bestämmelser uppfyller de krav som ställs i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering kan inte endast behandla känsliga personuppgifter med stöd av artikel 9.2 g. Myndigheten kan också behandla känsliga personuppgifter med stöd av artikel 9.2. j. Av artikel 9.2 j framgår att förbudet i artikel 9.1 inte ska tillämpas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Regeringen gör motsvarande bedömning vid tillämpningen av artikel 9.2 j som vid tillämpningen av artikel 9.2 g när det gäller proportionalitet och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Etikprövning av forskning som avser människor I lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering finns en hänvisningsbestämmelse till lagen om etikprövning av forskning som avser människor. Regeringen föreslår ingen ändring i det avseendet. Däremot föreslås justeringar av utformningen av hänvisningsbestämmelsen som en följd av de ändringar med anledning av dataskyddsförordningen som görs i lagen om etikprövning av forskning som avser människor. 7.7 Personuppgifter om lagöverträdelser i Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens verksamheter Regeringens förslag: Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens registerlagar ska innehålla en uppräkning av de typer av uppgifter om lagöverträdelser som myndigheterna får behandla. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget. Skälen för regeringens förslag: I artikel 10 i dataskyddsförordningen anges bland annat att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller där behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Motsvarande reglering i dataskyddsdirektivet omfattar fler uppgifter, nämligen även uppgifter om friande brottmålsdomar, uppgifter om administrativa sanktioner och avgöranden av tvistemål. Dataskyddsdirektivet har genomförts genom 21 § personuppgiftslagen och Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens registerlagar innehåller hänvisningar till den bestämmelsen. Med beaktande av att ett förstärkt skydd för de registrerade är ett av dataskyddsförordningens huvudsyften, framstår det som olämpligt att friande brottmålsdomar, straffprocessuella tvångsmedel och administrativa frihetsberövanden som i dag omfattas av särskilda skyddsregler skulle få behandlas utan motsvarande skydd endast för att de faller utanför definitionen i artikel 10 i dataskyddsförordningen. Dataskyddsförordningen hindrar inte heller att medlemsstaterna behåller eller inför mer restriktiva bestämmelser i nationell rätt vad gäller de egna myndigheternas behandling av sådana personuppgifter. Därför bör de uppgifter som räknas upp i den nuvarande 21 § personuppgiftslagen, och på grund av detta omfattas av vissa säkerhets- och skyddsregler, även i fortsättningen ha motsvarande skydd i lag. I stället för en hänvisning till personuppgiftslagens bestämmelser om lagöverträdelser bör dock lagarna innehålla en uppräkning av de typer av uppgifter om lagöverträdelser som Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen får behandla. 7.8 Automatiserat beslutsfattande i Arbetsförmedlingens verksamhet Regeringens bedömning: Det ska inte införas lagstöd för automatiskt beslutsfattande i Arbetsförmedlingens registerlag. Promemorians bedömning: Överensstämmer med regeringens. Remissinstanserna: Arbetsförmedlingen anser att myndigheten har behov av lagstöd för automatiserade beslut. I övrigt har remissinstanserna inga synpunkter på bedömningen. Skälen för regeringens bedömning Dataskyddsförordningen I artikel 22.1 i dataskyddsförordningen anges att den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar denne. Profilering definieras i artikel 4.4 i dataskyddsförordningen som varje form av automatisk behandling av personuppgifter som består i att personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar. Enligt skäl 71 bör den registrerade ha rätt att inte bli föremål för ett beslut, vilket enbart grundas på automatiserad behandling. Beslutsfattande grundat på sådan behandling, inbegripet profilering, bör dock, enligt skäl 71, tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt, bland annat för att sörja för tillförlitlighet hos en tjänst som tillhandahålls av den personuppgiftsansvarige. Denna form av uppgiftsbehandling bör under alla omständigheter omfattas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, rätt att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och rätt att överklaga beslutet. Möjlighet till undantag från huvudregeln i artikel 22.1 finns i artikel 22.2. En förutsättning för undantag enligt artikel 22.2 är att den personuppgiftsansvarige genomför lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och intressen (artikel 22.3). Särskilda kategorier av personuppgifter (känsliga personuppgifter) får endast i undantagsfall finnas med som grund i sådana beslut (artikel 22.4). Det bör inte införas lagstöd för automatiserat beslutsfattande i Arbetsförmedlingens registerlag Promemorians bedömning är att det inte i dag inom de myndigheter som faller inom Arbetsmarknadsdepartementets ansvarsområde förekommer de slags automatiserade beslut som avses i artikel 22.1 i dataskyddsförordningen. Några bestämmelser om automatiserat beslutsfattande föreslås inte heller i promemorian. Arbetsförmedlingen anger att myndigheten har behov av ett lagstöd när det gäller automatiserade beslut i vissa delar av den verksamhet som bedrivs i dag och att behovet kommer att öka ytterligare i och med krav på framtida effektivisering genom automatisering. Arbetsförmedlingen har i vissa fall även behov av att utföra profilering, till exempel vid stöd och matchning mot arbete. För automatiserade beslut krävs vissa skyddsåtgärder som också måste regleras i lag. Nuvarande reglering, till exempel förvaltningslagen (1986:223), uppfyller endast delvis de skyddsåtgärder som krävs för automatiserade beslut. Det är därför av stor vikt att även denna fråga regleras i lag. Regeringen kan konstatera att det råder en viss osäkerhet om artikel 22.1 i dataskyddsförordningen ska anses omfatta även annat automatiskt beslutsfattande än sådant som innefattar profilering. Mycket talar dock för att artikel 22 i dataskyddsförordningen endast reglerar automatiskt beslutsfattande som innefattar profilering. Även om det skulle visa sig att artikel 22.1 ska tolkas så att den även omfattar automatiserat beslutsfattande som inte innefattar profilering kan det konstateras att automatiserat beslutsfattande generellt är tillåtet för svenska förvaltningsmyndigheter. I 28 § förvaltningslagen (2017:900) som träder i kraft den 1 juli 2018 förtydligas att myndighetsbeslut kan fattas på automatiserad väg. I skälen till lagen anges att bestämmelsen tydliggör att det inte behövs en reglering i en specialförfattning för att en myndighet ska kunna använda den automatiserade beslutsformen, se propositionen En modern och rättssäker förvaltning - ny förvaltningslag (prop. 2016/17:180 s. 179). Det finns alltså författningsstöd i svensk rätt för automatiskt beslutsfattande vid svenska förvaltningsmyndigheter. Den förvaltningsrättsliga regleringen ställer allmänna krav på legalitet, objektivitet och proportionalitet. Dessutom säkerställs i det förvaltningsrättsliga regelverket rätten till insyn, krav på kommunikation liksom möjligheten till ändring och rättelse av beslut samt rätten att överklaga beslut som kan antas påverka någons situation på ett inte obetydligt sätt. Denna reglering får anses svara mot de krav som ställs i dataskyddsförordningen på bland annat lämpliga skyddsåtgärder enligt artikel 22.2 b. Det bör i detta sammanhang understrykas att även om det i förvaltningslagen finns författningsstöd för automatiskt beslutsfattande måste givetvis den personuppgiftsansvarige uppfylla sina skyldigheter som följer direkt av dataskyddsförordningen. Regeringen föreslår mot bakgrund av det ovanstående inget särskilt lagstöd som medger undantag inom den arbetsmarknadspolitiska verksamheten från rätten för registrerade i artikel 22.1 i dataskyddsförordningen att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling. 7.9 Samlingar av personuppgifter i Institutet för arbetsmarknads- och utbildningspolitisk utvärderings verksamhet Regeringens förslag: Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska få ha samlingar av personuppgifter som inte direkt kan hänföras till en person om det är nödvändigt för vissa ändamål. Ordet behövs ska ersättas av "är nödvändigt" i bestämmelserna om samlingar av personuppgifter. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen ifrågasätter behovet av att skapa egna samlingar av personuppgifter som redan finns hos andra myndigheter. Datainspektionen efterfrågar också en närmare analys av om bestämmelsen är proportionell mot det legitima ändamål som eftersträvas och om den uppfyller kraven på de grundläggande principerna för behandling enligt artikel 5.1 i dataskyddsförordningen. Statistiska centralbyrån förutsätter att frågan om Institutet för arbetsmarknads- och utbildningspolitisk utvärderings forskningsdatabas och därmed relaterade frågor kommer att lyftas inom Forskningsdatautredningens fortsatta arbete. Skälen för regeringens förslag Dataskyddsförordningen Medlemsstaterna har möjlighet att behålla och införa bestämmelser i enlighet med artikel 6.2 i dataskyddsförordningen. Artikeln innehåller i fråga om bland annat vetenskapliga och historiska forskningsändamål en koppling till artikel 89.1 med vissa särskilda krav på lämpliga skyddsåtgärder. Enligt artikel 89.1 ska skyddsåtgärderna säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Principen om uppgiftsminimering innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c). Pseudonymisering nämns som exempel på sådana tekniska och organisatoriska åtgärder. Pseudonymisering definieras i artikel 4.5 som behandling av personuppgifter som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. Den nuvarande ordningen Av 8 § lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering framgår att det hos myndigheten får finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock, enligt bestämmelsen, vara försedda med en beteckning som den myndighet som uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning. Samlingarna av personuppgifter behöver inte nödvändigtvis vara knutna till en avgränsad studie, uppföljning eller utvärdering, jfr propositionen Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (prop. 2011/12:176 s. 43). Behovet av samlingar och hur dessa förhåller sig till dataskyddsförordningen Datainspektionen pekar på att myndigheten i sitt remissyttrande vid införandet av lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ifrågasatte myndighetens behov av att skapa egna samlingar av personuppgifter som redan finns hos andra myndigheter, till exempel Statistiska centralbyrån och Arbetsförmedlingen. Datainspektionen efterfrågar också en närmare redovisning av om bestämmelsen är proportionell mot det legitima mål som eftersträvas och om den uppfyller kraven på de grundläggande principerna för behandling enligt artikel 5.1 i dataskyddsförordningen. Vid införandet av lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ansåg regeringen att det fanns behov för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering att bygga upp samlingar av avidentifierade personuppgifter. I förarbetena till lagen anges att ett av huvudsyftena med lagen är att möjliggöra för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering att mer långsiktigt hålla denna typ av databaser utan krav på att samlingarna ska vara knutna till ett visst avgränsat projekt eller utredningsuppdrag. Om myndigheten i stället skulle behöva bygga upp nya specifika databaser för varje enskild utvärdering, skulle myndigheten inte kunna fylla den funktion den har i dag. Vidare ansågs det inte möjligt att möta Institutet för arbetsmarknads- och utbildningspolitisk utvärderings behov genom Statistiska centralbyråns system för direktåtkomst eftersom det inte är anpassat för de stora datamängder som myndigheten har behov av i sina effektutvärderingar. Sammantaget gjordes bedömningen att intresset av att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering mer långsiktigt skulle få behandla denna typ av uppgiftssamlingar fick anses väga tyngre än den integritetskränkning som behandlingen riskerade att medföra, se propositionen Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (prop. 2011/12:176 s. 42). Regeringens bedömning är att behovet för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering att ha egna samlingar av avidentifierade personuppgifter kvarstår. Samlingarna möjliggör effektutvärderingar som kan göras snabbt för att skapa beslutsunderlag vid utformningen av arbetsmarknadspolitiken, den ekonomiska politiken och utbildningspolitiken. Eftersom det sker snabba förändringar inom dessa politikområden beroende på bland annat konjunkturen finns ett stort behov av att utvärdera åtgärder, insatser och reformer utan långa utredningstider. Enligt regeringens uppfattning fyller samlingarna därmed en mycket viktig samhällsfunktion. När det gäller intrånget i den personliga integriteten kan regeringen konstatera att personuppgifterna är avidentifierade. Avidentifieringen innebär att varje enskild person inte längre kan identifieras genom namn, personnummer eller samordningsnummer. I stället förses varje person med en beteckning. Statistiska centralbyrån sparar dock en nyckel som kan användas för att identifiera de enskilda personerna på nytt, vilket är en förutsättning för att uppgifterna ska kunna uppdateras eller kompletteras för att göra de kopplingar mellan exempelvis arbetsliv och utbildning som behöver göras för en viss studie (angiven prop. s. 40). Vidare har regleringen av samlingarna placerats i lag eftersom det handlar om en förhållandevis stor mängd personuppgifter som dessutom kan komma att sparas under en längre tid (s. 19 f). I samma förarbeten görs bedömningen att de möjligheter som finns till direktåtkomst till Statistiska centralbyråns system inte tillfredsställer behoven hos Institutet. Den främsta orsaken som anges är att systemen med direktåtkomst inte är anpassade för de stora datamängder som behövs för effektutvärderingar (s. 43). Regeringen kan konstatera att inga avgörande tekniska eller andra verksamhetsmässiga förändringar har skett sedan införandet av registerlagen som möjliggör att myndigheterna kan skicka de nödvändiga datamängder som behövs mellan sig. Bestämmelsen, som ger Institutet för arbetsmarknads- och utbildningspolitisk utvärdering möjlighet att ha samlingar av personuppgifter, innehåller ett krav på att samlingen behövs för de primära ändamålen. Bestämmelsen innehåller även skydds- och säkerhetsåtgärder - såsom att uppgifterna inte direkt kan hänföras till en person. Paragrafen är även ett förtydligande och en tillämpning av vad som gäller enligt bland annat den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Bestämmelsen är en sådan lämplig skyddsåtgärd för att säkerställa de registrerades fri- och rättigheter som föreskrivs i artikel 89.1. I detta sammanhang kan det även framhållas att lagen innehåller även andra skydds- och säkerhetsbestämmelser bland annat om begränsning i behandling av personuppgifter, begränsning av tillgång till personuppgifter och krav för behandling av känsliga personuppgifter. När det gäller lagringsminimering som Datainspektionen nämner i sitt yttrande kan regeringen konstatera att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska gallra personuppgifter som inte längre behövs för att myndigheten ska kunna fullgöra sitt uppdrag (14 §). Myndigheten måste också enligt artikel 5.1 c i dataskyddsförordningen säkerställa att personuppgifter är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Regeringen anser sammantaget att det fortfarande finns ett starkt behov av samlingarna och att det behovet väger tyngre än det intrång i enskildas personliga integritet som samlingarna kan innebära. Regleringen av samlingarna uppfyller vidare enligt regeringens uppfattning de krav som ställs i artikel 5.1 i dataskyddsförordningen, till exempel kraven på laglighet och uppgiftsminimering. Bestämmelsernas utformning I bestämmelserna om samlingar av personuppgifter i lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering anges att samlingar får finnas om det behövs för vissa ändamål. Terminologin bör anpassas till dataskyddsförordningen genom att ordet behövs ersätts av "är nödvändigt". Förhållandet till annan reglering av behandling av personuppgifter för forskningsändamål Statistiska centralbyrån förutsätter att frågan om Institutet för arbetsmarknads- och utbildningspolitisk utvärderings forskningsdatabas och därmed relaterade frågor kommer att lyftas inom Forskningsdatautredningens fortsatta arbete. I betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50) lämnas förslag till en ny forskningsdatalag som föreslås vara subsidiär i förhållande till andra bestämmelser i lag eller förordning om behandling av personuppgifter för forskningsändamål. Betänkandet bereds inom Regeringskansliet. 7.10 Registerutdrag i Institutet för arbetsmarknads- och utbildningspolitisk utvärderings verksamhet Regeringens förslag: Bestämmelsen om undantag från rätten till information efter begäran i registerlagen för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska tas bort. Promemorians förslag: I promemorian föreslås undantaget finnas kvar men med en hänvisning till dataskyddsförordningen i stället för till personuppgiftslagen Remissinstanserna: Datainspektionen ifrågasätter om inte bestämmelsen om undantag från rätten till information efter begäran egentligen avser att återge dataskyddsförordningens artikel 11. Datainspektionen ifrågasätter också behovet av bestämmelsen och anser att den kan tas bort. Dataskydd.net avstyrker förslaget. I övrigt har remissinstanserna inga synpunkter på förslaget. Skälen för regeringens förslag Dataskyddsförordningen Artikel 15 i dataskyddsförordningen reglerar den registrerades rätt till tillgång till personuppgifter, som motsvarar rätten till information efter ansökan i 26 § personuppgiftslagen, det vill säga rätt till så kallade registerutdrag. I artikel 89.2 i dataskyddsförordningen anges att i de fall personuppgifter behandlas för bland annat vetenskapliga eller historiska forskningsändamål får det i nationell rätt föreskrivas undantag från de rättigheter som avses i bland annat artikel 15. Den nuvarande ordningen I 13 § lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering finns ett undantag från den skyldighet att lämna registerutdrag på begäran som regleras i 26 § personuppgiftslagen. Undantaget gäller de fall då Institutet för arbetsmarknads- och utbildningspolitisk utvärdering endast har personuppgifter som inte är hänförliga till en viss person, men även de fall då personuppgifterna har försetts med något slags beteckning, så länge inte Institutet för arbetsmarknads- och utbildningspolitisk utvärdering har tillgång till den nyckel som behövs för att åter knyta uppgifterna till en enskild individ. De uppgifter som Institutet för arbetsmarknads- och utbildningspolitisk utvärdering behandlar är sådana att myndigheten inte har möjlighet att utan bistånd från andra myndigheter sammanställa ett registerutdrag över de uppgifter som behandlas. Undantaget från rätten till registerutdrag ska tas bort En skyldighet att sammanställa registerutdrag och lämna ut annan information enligt artikel 15 i dataskyddsförordningen skulle innebära att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering blev tvunget att identifiera uppgifterna på ett sätt som i sig skulle innebära oönskade risker för intrång i den personliga integriteten, jfr propositionen Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (prop. 2011/12:176 s. 58). Ett sådant krav skulle leda till en större spridning av en personuppgift än vad som annars hade varit nödvändigt. Artikel 11 innebär att den personuppgiftsansvarige inte behöver skaffa ytterligare uppgifter för att fullgöra sina skyldigheter enligt artikel 15 om personuppgifterna som behandlas inte gör det möjligt att identifiera någon fysisk person (jfr skäl 57). Om den registrerade lämnar kompletterande information som gör det möjligt att identifiera den registrerade, ska dock rätten till registerutdrag enligt artikel 15 gälla. Den personuppgiftsansvarige ska om möjligt informera den registrerade om att denne inte behöver skaffa ytterligare uppgifter för att följa dataskyddsförordningen om personuppgifterna som behandlas inte gör det möjligt att identifiera någon fysisk person. Bestämmelsen i artikel 11 är direkt tillämplig från och med den 25 maj 2018 och det krävs inte att den införs i svensk rätt för att den ska gälla. Man kan alltså, liksom Datainspektionen, ifrågasätta behovet av en bestämmelse som gör ett undantag från rätten till registerutdrag enligt artikel 15 i dataskyddsförordningen när det gäller personuppgifter som inte direkt kan hänföras till en person. Som Datainspektionen framför bör därför bestämmelsen om undantag från rätten till registerutdrag tas bort. Undantaget framgår redan av artikel 11 i dataskyddsförordningen. 7.11 Tillgång till personuppgifter i Inspektionen för arbetslöshetsförsäkringens verksamhet Regeringens förslag: Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget. Skälen för regeringens förslag: Enligt artikel 29 i dataskyddsförordningen gäller att personuppgiftsbiträden och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansvarige såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Enligt artikel 32.4 ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det. Spridning av personuppgifter har av naturliga skäl stor betydelse för integritetsriskerna med behandlingen. En ökad spridning av personuppgifter innebär en ökad risk för att uppgifterna kommer att användas på ett otillbörligt och icke avsett sätt. Utgångspunkten är därför att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det saknas i princip betydelse hur många som faktiskt tar del av personuppgifterna. Integritetsriskerna är desamma i de fall spridningen innebär att mottagarna har möjlighet att ta del av dem, det vill säga har tillgång till personuppgifterna. En bestämmelse om att tillgång till personuppgifter ska vara begränsad till vad var och en behöver för att kunna fullgöra sina uppgifter ligger i linje med dataskyddsförordningen och minskar risken för otillåten behandling av personuppgifter. Det är även fråga om en bestämmelse om lämpliga och särskilda åtgärder för att säkerställa den registrerades intressen som ska införas i fråga om behandling av känsliga personuppgifter enligt artikel 9.1 g i dataskyddsförordningen. En sådan bestämmelse bör därför införas i lagen. 7.12 Rättelse och skadestånd Regeringens förslag: Bestämmelserna om rättelse och skadestånd ska tas ur registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Dataskydd.net tillstyrker förslagen att bestämmelserna om rättelse och skadestånd ska tas bort. Ingen av de övriga remissinstanserna har synpunkter på förslaget. Skälen för regeringens förslag: Den registrerades rätt till rättelse behandlas i artikel 16 i dataskyddsförordningen. Bestämmelsen anger att den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande. Även bestämmelsen om skadestånd i artikel 82 i dataskyddsförordningen är direkt tillämplig. I den föreslagna dataskyddslagen finns en bestämmelse, 8 kap. 1 §, som upplyser om att rätten till ersättning enligt artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i lagen och andra författningar som kompletterar dataskyddsförordningen. Det är varken behövligt eller lämpligt att registerlagarna innehåller specifika bestämmelser eller hänvisningar till dataskyddsförordningen eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning i fråga om rättelse, skadestånd eller sanktioner i övrigt. Bestämmelserna om rättelse och skadestånd ska därför tas bort i registerlagarna. 7.13 Gallring 7.13.1 En förlängd gallringstid i Arbetsförmedlingens verksamhet Regeringens förslag: Gallring av personuppgifter om arbetssökande i en arbetsmarknadspolitisk databas ska göras senast tre år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende. Promemorians förslag: Överensstämmer i huvudsak med regeringens. Promemorian föreslår dock att gallring ska ske tre år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende. Remissinstanserna: Datainspektionen avstyrker förslaget om en generellt utökad gallringstid till tre år inom den arbetsmarknadspolitiska verksamheten. Dataskydd.net avstyrker delvis förslaget och anför att gallring ska ske så fort uppgifterna inte längre behövs enligt principen om lagringsminimering. Skälen för regeringens förslag Dataskyddsförordningen Lagring av personuppgifter är enligt dataskyddsförordningen en form av behandling av personuppgifter (artikel 4.2). Huvudregeln i artikel 5.1 e är att personuppgifter inte får förvaras i en form som möjliggör identifiering under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Samma bestämmelse finns i 6.1 e i dataskyddsdirektivet, vilket innebär att huvudregeln som sådan inte har förändrats genom dataskyddsförordningen. Det är den personuppgiftsansvarige som ansvarar för att personuppgifter inte lagras på fel sätt eller för lång tid. I artikel 6.2 och 6.3 i dataskyddsförordningen ges en möjlighet för medlemsstater att i nationell rätt fastställa mer specifika krav, däribland särskilda bestämmelser om lagringstid. Den nuvarande ordningen I dag gäller att uppgifter om arbetssökande i en arbetsmarknadspolitisk databas ska gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Arbetsförmedlingen. Bestämmelsen om två års gallringstid fanns redan i den tidigare lagen (1994:459) om arbetsförmedlingsregister. I förarbetena till den bestämmelsen vägdes behoven av bevarande mot integritetsaspekten. En gallringstid om två år bedömdes som en relativt kort men nödvändig gallringstid för uppgift om arbetssökande i en arbetsmarknadspolitisk databas, medan tio år bedömdes nödvändigt för statistikregister, se propositionen Lag om arbetsförmedlingsregister (prop. 1993/94:235 s. 37) och propositionen Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten (prop. 2001/02:144 s. 55). Promemorians förslag I promemorian föreslås en förlängd gallringstid i lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Den förlängda gallringstiden motiveras på följande sätt. Enligt förordningen (2007:414) om jobb- och utvecklingsgarantin har den som skrivits ut för att påbörja en utbildning inom skolväsendet eller motsvarande utbildning vid en folkhögskola möjlighet att återinträda i jobb- och utvecklingsgarantin under förutsättning att avbrottet har varat i högst tre år. Eftersom Arbetsförmedlingen enligt registerlagens nuvarande lydelse ska gallra personuppgifter efter två år, blir den praktiska konsekvensen av gallringsfristen att Arbetsförmedlingen inte kan överblicka hela den tidsperiod om tre år, från inträdet till utträdet i programmet, som rätten till återinträde avser. Det går inte heller att återuppta ett sådant ärende eftersom uppgifterna har överlämnats till Riksarkivet för arkivering. Det är den enskilde som själv måste begära ut uppgifterna från Riksarkivet. Det är angeläget att det ska vara möjligt att återinträda i arbetsmarknadspolitiska program efter till exempel studier eller föräldraledighet. Tvåårsfristen innebär därmed att Arbetsförmedlingen inte på ett ändamålsenligt och effektivt sätt kan fullgöra sitt uppdrag. Behovet av lagring som är längre än två år i etableringsprogrammet Återinträde i ett arbetsmarknadspolitiskt program efter en längre tid än två år kommer även att vara möjligt efter den 1 januari 2018 i det så kallade etableringsprogrammet enligt förordningen (2017:820) om etableringsinsatser för vissa nyanlända invandrare. Detta innebär att Arbetsförmedlingen kommer att ha motsvarande problem med den tvååriga gallringstiden när det gäller etableringsprogrammet som när det gäller jobb- och utvecklingsgarantin. Principen om lagringsminimering ska gälla tillsammans med en treårsfrist Datainspektionen invänder mot den förlängda gallringstiden. Myndigheten påpekar att enligt den grundläggande principen i 5.1 e i dataskyddsförordningen får personuppgifter inte lagras under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifter behandlas. Det finns, enligt Datainspektionen, inte något utrymme i dataskyddsförordningen för att behandla personuppgifter under en längre tid än vad som är nödvändigt, enbart för att det kan bli besvärligt att ha olika gallringstider. Datainspektionen avstyrker därför promemorians förslag om en generellt utökad gallringstid till tre år. Även dataskydd.net har invändningar mot förslaget och avstyrker det delvis. En generell förlängning av gallringstiden från två till tre år innebär, liksom Datainspektionen påpekar, ett visst ingrepp i den personliga integriteten hos många arbetssökande som är inskrivna vid Arbetsförmedlingen och som inte berörs av ovan nämnda bestämmelser i jobb- och utvecklingsgarantin eller etableringsprogrammet. Att införa olika gallringstider för olika arbetsmarknadspolitiska program och insatser skulle dock riskera att innebära ett frekvent behov av ändringar i registerlagens gallringstider. Vidare är det svårt att vid inskrivningen förutse vilka program som kan komma att bli aktuella för en arbetssökande på sikt. Integritetsaspekterna måste alltså vägas mot behovet av ett robust och förutsägbart regelverk. Regeringen anser mot den bakgrunden att det inte i registerlagen ska föreskrivas olika gallringstider för olika program och insatser. Integritetsintresset bör därför beaktas på annat sätt än genom att olika gallringstider föreskrivs i registerlagen. Som Datainspektionen och dataskydd.net konstaterar innehåller dataskyddsförordningen i artikel 5.1 e en princip om så kallad lagringsminimering. Enligt principen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter. Principen i artikel 5.1 e bör vara utgångspunkten för lagring och gallring av personuppgifter i den arbetsmarknadspolitiska verksamheten. Det bör dock anges en bortre gräns för när gallringen ska ske i registerlagen. På så vis blir huvudregeln att gallring ska ske så snart personuppgifterna inte längre är nödvändiga för de ändamål för vilka personuppgifterna behandlas. Den bortre gränsen bör sättas vid tre år om det inte handlar om uppgifter som behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Denna tid är visserligen en förlängning i förhållande till vad som gäller i dag men behövs med tanke på intresset av att det ska vara möjligt att återinträda i arbetsmarknadspolitiska program efter till exempel studier eller föräldraledighet. Uppgifter om arbetssökande i en arbetsmarknadspolitisk databas ska därför gallras senast tre år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Arbetsförmedlingen. 7.13.2 Språkliga justeringar av gallringsbestämmelserna Regeringens förslag: Uttrycket "handläggande myndighet" i registerlagarna för Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen ska ersättas av Arbetsförmedlingen respektive Inspektionen för arbetslöshetsförsäkringen. I registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska vissa språkliga anpassningar av gallringsbestämmelserna göras till EU:s dataskyddsförordning. Promemorians förslag: Överensstämmer i huvudsak med regeringens. Promemorian föreslår inte att handläggande myndighet ska ändras till Inspektionen för arbetslöshetsförsäkringen. Remissinstanserna: Inspektionen för arbetslöshetsförsäkringen anser att lydelsen "den handläggande myndigheten" i 15 § lagen om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen bör ersättas med Inspektionen för arbetslöshetsförsäkringen. I övrigt har remissinstanserna inga synpunkter. Skälen för regeringens förslag: I 16 § första stycket lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten anges att personuppgifter om en arbetssökande i en databas ska gallras två år efter utgången av året då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten. Uttrycket "handläggande myndighet" tar sikte på den tidigare organisationen med olika myndigheter inom Arbetsmarknadsverket, se propositionen Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten (prop. 2001/02:144 s. 46 f). Eftersom Arbetsförmedlingen numera är den enda myndighet som avses i detta sammanhang bör beteckningen handläggande myndighet ersättas av Arbetsförmedlingen. Inspektionen för arbetslöshetsförsäkringen anser att "den handläggande myndigheten" i 15 § lagen om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen bör ersättas med Inspektionen för arbetslöshetsförsäkringen av motsvarande skäl. Regeringen delar Inspektionen för arbetslöshetsförsäkringens uppfattning. Den handläggande myndigheten ska alltså ersättas av Inspektionen för arbetslöshetsförsäkringen. Artikel 89.1 i dataskyddsförordningen innehåller bestämmelser om skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Motsvarande bestämmelser i dataskyddsdirektivet talar i stället för "vetenskapliga eller historiska forskningsändamål eller statistiska ändamål" om "historiska, statistiska eller vetenskapliga ändamål". Bedömningen är dock att den nya formuleringen i dataskyddsförordningen inte innebär någon skillnad i sak. Bestämmelserna i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering bör justeras till dataskyddsförordningens terminologi i syfte att undvika att en betydelseskillnad läses in mellan formuleringarna i dataskyddsförordningen och formuleringarna i registerlagarna. Även ordet behövs bör i gallringsbestämmelserna ersättas av "är nödvändigt" i syfte att anpassa terminologin till dataskyddsförordningens terminologi. 7.14 Överklagande Regeringens förslag: Överklagandebestämmelserna ska tas bort ur registerlagarna för Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen. Promemorians förslag: Överensstämmer inte med regeringens. Promemorian föreslår att det ska finnas hänvisningar i lagarna till den föreslagna dataskyddslagen. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget att ha hänvisningar till den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Skälen för regeringens förslag: Av 18 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten framgår att rätten att överklaga är begränsad till två typer av beslut, nämligen Arbetsförmedlingens beslut om rättelse respektive avslag på ansökan om information enligt 26 § personuppgiftslagen. Prövningstillstånd krävs vid överklagande till kammarrätten. I 16 § lagen om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen finns motsvarande bestämmelse. Lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering innehåller inga bestämmelser om överklagande. Däremot är personuppgiftslagen tillämplig i den mån inte annat föreskrivs i registerlagen. Enligt personuppgiftslagen är rätten att överklaga begränsad till en myndighets beslut om rättelse eller avslag på ansökan om information enligt 26 § samma lag. En registrerad ska enligt artikel 79 i dataskyddsförordningen ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105) att dataskyddslagen, i likhet med personuppgiftslagen, ska innehålla en bestämmelse om att vissa myndighetsbeslut får överklagas till allmän förvaltningsdomstol. Den föreslagna dataskyddslagen kommer att gälla inom registerlagarnas tillämpningsområden om inte annat följer av registerlagarna eller föreskrifter som har meddelats i anslutning till dem, se avsnitt 7.2.3. Detta innebär att dataskyddslagens bestämmelser om överklagande kommer att gälla om inte annat föreskrivs i registerlagarna eller i föreskrifter som har meddelats i anslutning till dem. I promemorian görs bedömningen att det av pedagogiska skäl är lämpligt att ha upplysningsbestämmelser i registerlagarna som hänvisar till dataskyddslagen. Regeringen konstaterar att det inte har framkommit att det finns behov av särskilda bestämmelser om överklagande som avviker från dem som föreslås i dataskyddslagen. Det finns enligt regeringens uppfattning inte heller tillräckliga skäl att införa upplysningsbestämmelser i registerlagarna om att dataskyddslagen innehåller bestämmelser om överklagande. Regeringen anser därför att överklagandebestämmelserna i registerlagarna för Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen bör tas bort. 8 Ikraftträdande och behovet av övergångsbestämmelser Regeringens förslag: Den nya lagen och ändringarna i registerlagarna ska träda i kraft den 25 maj 2018. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Dataskydd.net tillstyrker promemorians förslag. Ingen av de övriga remissinstanserna har haft synpunkter på förslaget. Skälen för regeringens förslag: Dataskyddsförordningen ska tillämpas från och med den 25 maj 2018. Av artikel 94 i dataskyddsförordningen framgår att dataskyddsdirektivet ska upphöra att gälla med verkan från och med samma datum och att hänvisningar till det upphävda dataskyddsdirektivet ska anses som hänvisningar till dataskyddsförordningen. Förutom vissa bestämmelser av övergångskaraktär i fråga om Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), respektive i fråga om förhållande till internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer och som ingicks före den 24 maj 2016 (artikel 96), saknar dataskyddsförordningen övergångsbestämmelser. Den nya lagen och ändringarna som föreslås i denna proposition bör träda i kraft samtidigt som dataskyddsförordningen börjar tillämpas, det vill säga den 25 maj 2018. En utgångspunkt i dataskyddsförordningen är att behandling som pågår den dag då förordningen börjar tillämpas från och med den dagen ska bringas i överensstämmelse med förordningen (skäl 171). Personuppgiftsansvariga och personuppgiftsbiträden får därför förutsättas ha ordnat sin behandling av personuppgifter så att exempelvis en begäran om information från en registrerad som har kommit in före den 25 maj 2018 men som inte har hunnit besvaras, kan tillmötesgås i enlighet med förordningens bestämmelser. För skadestånd bör äldre bestämmelser gälla om skadan har orsakats före den 25 maj 2018. Att så är fallet följer av allmänna rättsgrundsatser, varför det inte finns något behov av övergångsbestämmelser i det avseendet, jfr propositionen Förslag till skadeståndslag m.m. (prop. 1972:5 s. 593) och propositionen Ny dataskyddslag (prop. 2017/18:105 s. 176). Inte heller i övrigt finns skäl att införa övergångsbestämmelser. 9 Konsekvenser 9.1 Övergripande konsekvenser De förslag som regeringen lägger fram i denna proposition syftar huvudsakligen till att anpassa registerförfattningar på arbetsmarknadsområdet till dataskyddsförordningen. Det föreslås också att Arbetsmiljöverkets registerförordning som reglerar personuppgiftsbehandling i informationssystemet om arbetsskador ersätts av en lag och att gallringstiden i den arbetsmarknadspolitiska verksamheten förlängs i Arbetsförmedlingens registerlag. De senare förslagen motiveras inte av behovet av anpassning till dataskyddsförordningen. Merparten av bestämmelserna i registerförfattningarna kvarstår oförändrade. De flesta förslag är följder av eller anpassningar till dataskyddsförordningen och till att personuppgiftslagen (1998:204) upphävs. Hänvisningar till personuppgiftslagen tas som en konsekvens till detta bort. Vissa andra bestämmelser tas bort eftersom motsvarande bestämmelser finns i dataskyddsförordningen eller i den föreslagna dataskyddslagen. I andra fall förs hänvisningar in till dataskyddsförordningen eller den föreslagna dataskyddslagen. Dessa förslag bidrar till att undvika dubbelreglering och klargör de olika regelverkens förhållande till varandra. I de flesta fall innebär ändringarna i sig inte någon ändring i sak i förhållande till vad som gäller i dag. Förslagen i propositionen bedöms ge förutsättningar för myndigheterna på arbetsmarknadsområdet att även i fortsättningen bedriva sin verksamhet på ett effektivt och rättssäkert sätt samtidigt som de registrerade ges ett fullgott skydd mot onödiga intrång i den personliga integriteten. Dataskyddsförordningen kommer i sig att leda till stora konsekvenser för både det allmänna och enskilda. Dessa behandlas dock inte i detta lagstiftningsärende. 9.2 Alternativa lösningar eller att inte reglera alls En alternativ lösning till förslagen i propositionen är att upphäva registerförfattningar på arbetsmarknadsområdet och låta myndigheternas personuppgiftbehandling ha sitt rättsliga stöd i dataskyddsförordningen kompletterad av den föreslagna dataskyddslagen. En sådan lösning skulle dock i hög grad försämra berörda myndigheters möjligheter till en effektiv och ändamålsenlig behandling av personuppgifter samtidigt som rättsläget skulle bli mer oklart för både personuppgiftsansvariga myndigheter och för de registrerade. 9.3 Ekonomiska konsekvenser Regeringen bedömer att de ekonomiska konsekvenserna av förslagen i denna proposition blir ytterst begränsade. Initialt kan förslagen innebära högre kostnader för myndigheterna för bland annat anpassning av it-system och utbildning av personal. Dessa bedöms dock vara av den omfattningen att de ryms inom de befintliga ekonomiska ramarna. Förslagen bedöms inte medföra några kostnader eller ökad administrativ börda för enskilda. 9.4 Konsekvenser för jämställdhet, miljö och små företag Förslagen bedöms inte få några konsekvenser för jämställdheten mellan kvinnor och män. Förslagen bedöms inte ha några sociala eller miljömässiga konsekvenser eller några särskilda effekter för vare sig små eller stora företag. 10 Författningskommentar 10.1 Förslaget till lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador Lagens tillämpningsområde 1 § Denna lag tillämpas vid behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador. Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Förslaget behandlas i avsnitt 6.1 och 6.2. I paragrafen anges lagens tillämpningsområde. Informationssystemet om arbetsskador utgör en av de särskilda uppgifter som Arbetsmiljöverket ansvarar för enligt 2 § förordningen (2007:913) med instruktion för Arbetsmiljöverket. Informationssystemet utgör också en del av myndighetens ansvar för den officiella statistiken enligt förordningen (2001:100) om den officiella statistiken. Av första stycket framgår att sådan behandling av personuppgifter vid Arbetsmiljöverket som inte rör informationssystemet om arbetsskador, inklusive intern administration, faller utanför lagens tillämpningsområde. I paragrafens andra stycke begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter. Manuell behandling som inte ingår eller kommer att ingå i ett register faller utanför lagens tillämpningsområde. Bestämmelsen i andra stycket är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt. Förhållandet till annan reglering 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Förslaget behandlas i avsnitt 6.3.1. Av paragrafen framgår att lagen utgör ett komplement till dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Lagens hänvisningar till dataskyddsförordningen är dynamiska, det vill säga avser förordningen i dess vid varje tidpunkt gällande lydelse. 3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Förslaget behandlas i avsnitt 6.3.2. Paragrafen upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen. Bestämmelsens första led klargör att det i dataskyddslagen finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller för Arbetsmiljöverkets hantering av personuppgifter i informationssystemet om arbetsskador. Andra ledet anger att dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att dataskyddslagens bestämmelser endast gäller om inte annat föreskrivs i lagen eller föreskrifter meddelade i anslutning till lagen. Rätten att göra invändningar 4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Förslaget behandlas i avsnitt 6.4. I paragrafen görs ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen. Personuppgiftsansvar 5 § Arbetsmiljöverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt denna lag. Förslaget behandlas i avsnitt 6.5. Paragrafen anger vem som är personuppgiftsansvarig för behandling av personuppgifter enligt lagen. Utpekandet av Arbetsmiljöverket som personuppgiftsavsvarigt är i enlighet med artikel 4.7 andra ledet i dataskyddsförordningen. Ändamål med behandlingen 6 § Arbetsmiljöverket får behandla personuppgifter i informationssystemet om arbetsskador om det är nödvändigt för att ge underlag för arbetet med att förebygga arbetsskador. En sådan behandling får innefatta 1. registrering av arbetsskador och bearbetning av sådana uppgifter, 2. tillsynsverksamhet, 3. skadeutredningar, 4. forskning och undervisning, 5. framställning av statistik, och 6. planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. Förslaget behandlas i avsnitt 6.6.1 och 6.6.2. Paragrafen behandlar de så kallade primära ändamålen för behandlingen av personuppgifter i informationssystemet om arbetsskador. I paragrafens första stycke anges de primära ändamålen. Beskrivningen av ändamålen får betydelse för vilken insamling och annan behandling av personuppgifter som är tillåten enligt lagen. Att ändamålen fastställs i lag främjar att personuppgiftsbehandlingen sker i enlighet med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a i dataskyddsförordningen). Bestämmelsen utgör en yttre ram för vilka slags personuppgiftsbehandlingar som är tillåtna enligt lagen och är en sådan specifikationsbestämmelse som är tillåten enligt artikel 6.2 i dataskyddsförordningen. Att det anges ett krav på att behandlingen ska vara nödvändig för de angivna ändamålen innebär ett tydliggörande av kraven på laglig behandling enligt artikel 6.1 i dataskyddsförordningen. Paragrafens andra stycke upplyser om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. 7 § Personuppgifter som behandlas för de ändamål som anges i 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Förslaget behandlas i avsnitt 6.6.3. I paragrafen klargörs att Arbetsmiljöverket får behandla personuppgifter för uppgiftslämnande. Ett sådant uppgiftslämnande kan till exempel bli aktuellt om myndigheten behöver lämna ut uppgifter för att uppfylla krav i offentlighets- och sekretesslagen (2009:400). 8 § Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Förslaget behandlas i avsnitt 6.6.4. Paragrafen tydliggör att den så kallade finalitetsprincipen gäller vid behandling av personuppgifter enligt lagen. Bestämmelsen i paragrafen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bland annat att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen. Behandling av känsliga personuppgifter 9 § Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som rör hälsa får behandlas i informationssystemet om arbetsskador. Förslaget behandlas i avsnitt 6.7. I paragrafen regleras i vilken utsträckning Arbetsmiljöverket får behandla sådana särskilda kategorier av personuppgifter (känsliga personuppgifter) som avses i artikel 9.1 i dataskyddsförordningen. Paragrafen innebär att lagen endast ger stöd för behandling av sådana känsliga personuppgifter som rör hälsa. Tillgång till personuppgifter 10 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Förslaget behandlas i avsnitt 6.8. Av paragrafen följer att Arbetsmiljöverket är skyldigt att se till att tillgången till personuppgifter begränsas. Genom begränsningen förstärks skyddet för den personliga integriteten genom att uppgifterna sprids till en så liten krets som möjligt. Bestämmelsen är en skydds- och säkerhetsbestämmelse som det är tillåtet att införa enligt artikel 6.2 och 6.3 i dataskyddsförordningen. 10.2 Förslaget till lag om ändring i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten Lagens tillämpningsområde 1 § Denna lag tillämpas vid behandling av personuppgifter i Arbetsförmedlingens arbetsmarknadspolitiska verksamhet. Lagen ska inte tillämpas i den del av den arbetsmarknadspolitiska verksamheten som även utgör hälso- och sjukvård enligt hälso- och sjukvårdslagen (2017:30). I den delen av verksamheten tillämpas i stället patientdatalagen (2008:355). Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Förslaget behandlas i avsnitt 7.1. Paragrafen anger lagens tillämpningsområde. Paragrafens tredje stycke anpassas till dataskyddsförordningen på så sätt att den behandling som omfattas av lagen är densamma som den som omfattas av dataskyddsförordningen. Bestämmelsen i tredje stycket är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt. Anpassningen av tredje stycket är inte avsedd att medföra någon skillnad i sak. Förhållandet till annan reglering 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Förslaget behandlas i avsnitt 7.2.2 och 7.2.3. Paragrafen behandlar lagens förhållande till dataskyddsförordningen och dataskyddslagen. Av paragrafens första stycke framgår att lagen utgör ett komplement till dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Lagens hänvisningar till dataskyddsförordningen är dynamiska, det vill säga avser förordningen i dess vid varje tidpunkt gällande lydelse. Paragrafens andra stycke upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen. Bestämmelsens första led utgör en upplysning om att det i dataskyddslagen finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller i Arbetsförmedlingens arbetsmarknadspolitiska verksamhet. Andra ledet anger att dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att dataskyddslagens bestämmelser endast gäller i den mån inte annat föreskrivs i lagen eller föreskrifter meddelade i anslutning till lagen. Rätten att göra invändningar 2 a § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om undantag från första stycket. Förslaget behandlas i avsnitt 7.3. Paragrafen, som är ny, reglerar rätten att göra invändningar. Paragrafen motsvarar den upphävda bestämmelsen i 1 a §. Första stycket anger att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte gäller för behandling enligt lagen. Stycket utgör en sådan begränsning som tillåts enligt artikel 23 i dataskyddsförordningen. Andra stycket anpassas till gällande riktlinjer för hur upplysningsbestämmelser ska utformas. 4 § Arbetsförmedlingen får behandla personuppgifter inom den arbetsmarknadspolitiska verksamheten bara om det är nödvändigt för 1. handläggning av ärenden, 2. publicering av platsinformation, information om kompletterande aktörer och ansökningar om anställning, 3. planering, metodutveckling, tillsyn, uppföljning, resultatredovisning och utvärdering av verksamheten, 4. framställning av avidentifierad statistik, och 5. samarbete på det arbetsmarknadspolitiska området inom Europeiska unionen och Europeiska ekonomiska samarbetsområdet samt enligt överenskommelsen den 6 mars 1982 om en gemensam nordisk arbetsmarknad. Förslaget behandlas i avsnitt 7.4. I paragrafen regleras de så kallade primära ändamålen. Bestämmelsen ändras på så sätt att "behövs" ersätts av "är nödvändigt". Ändringen är en språklig justering i syfte att anpassa bestämmelsen till terminologin i dataskyddsförordningen och är inte avsedd att innebära någon förändring i sak. 5 § Arbetsförmedlingen får behandla personuppgifter för tillhandahållande av information som behövs inom 1. Försäkringskassans, Centrala studiestödsnämndens eller arbetslöshetskassornas verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd, 2. Skatteverkets verksamhet som underlag för beslut om och kontroll av skatt, 3. Inspektionen för arbetslöshetsförsäkringens verksamhet som avser tillsyn och uppföljning samt utfärdande av intyg enligt 48 § lagen (1997:238) om arbetslöshetsförsäkring, 4. Kronofogdemyndighetens verksamhet som underlag för bedömning enligt 4 kap. utsökningsbalken av i vilken utsträckning en gäldenär har utmätningsbar egendom, 5. socialnämndernas verksamhet som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. socialtjänstlagen (2001:453), 6. Migrationsverkets verksamhet som underlag för beslut om bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl., samt 7. kompletterande aktörers verksamhet enligt uppdrag från Arbetsförmedlingen. Arbetsförmedlingen får även behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till någon annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. Förslaget behandlas i avsnitt 7.4. I paragrafen anges de så kallade sekundära ändamålen, det vill säga för vilka ändamål som uppgifter får tillhandahållas för verksamheter utanför Arbetsförmedlingens arbetsmarknadspolitiska verksamhet. I andra stycket tas hänvisningen till personuppgiftslagens (1998:204) bestämmelser om bland annat finalitetsprincipen bort. En motsvarande reglering införs i stället i en ny paragraf, 5 a §. 5 a § Personuppgifter som behandlas enligt 4 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Förslaget behandlas i avsnitt 7.5. Paragrafen, som är ny, tydliggör att den så kallade finalitetsprincipen gäller vid behandling av personuppgifter enligt lagen. En hänvisning till personuppgiftslagens bestämmelser om bland annat finalitetsprincipen fanns tidigare i 5 § andra stycket. Bestämmelsen i paragrafen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bland annat att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen. 8 § Arbetsförmedlingen får utanför en databas behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Förslaget behandlas i avsnitt 7.7. Paragrafen reglerar myndighetens möjlighet att behandla uppgifter som rör lagöverträdelser. Tidigare fanns i denna paragraf en hänvisning till 21 § personuppgiftslagen. I stället för hänvisningen till personuppgiftslagen innehåller paragrafen nu en uppräkning av de uppgiftskategorier som tidigare fanns i personuppgiftslagen. Bestämmelsen omfattar fler uppgiftskategorier än de som framgår av artikel 10 i dataskyddsförordningen. Bestämmelsen utgör i denna del en skyddsbestämmelse som är tillåten i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen. Regleringen i paragrafen om behandling av känsliga personuppgifter som har lämnats i ett ärende eller är nödvändiga för handläggningen av det tas bort. Arbetsförmedlingen kommer även fortsättningsvis att kunna behandla sådana personuppgifter i ärendehanteringen med stöd av 3 kap. 2 § dataskyddslagen. I paragrafen har det tydliggjorts att bestämmelsen inte gäller behandling av personuppgifter i en databas. Vad som gäller för behandling av uppgifter om lagöverträdelser i en databas framgår av 9 §. 9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas i en databas endast om de har lämnats i ett ärende. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende. Personuppgifter om sociala förhållanden och omdömen, slutsatser eller andra värderande upplysningar om en enskild får behandlas i en databas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detsamma gäller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Förslaget behandlas i avsnitt 7.6.1 och 7.7. I paragrafen regleras när känsliga personuppgifter, personuppgifter om sociala förhållanden m.m. och personuppgifter om lagöverträdelser får behandlas i en arbetsmarknadspolitisk databas. Första stycket ändras på så sätt att hänvisningen till personuppgiftslagen tas bort. Vad som avses med känsliga personuppgifter framgår av artikel 9.1 i dataskyddsförordningen. Eftersom genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om en fysisk persons sexuella läggning numera ingår i begreppet känsliga personuppgifter, innebär ändringen att behandling av sådana personuppgifter i en databas endast får ske om de har lämnats i ett ärende. Första ledet i bestämmelsens andra stycke kvarstår oförändrat. Andra ledet ändras på så sätt att hänvisningen till personuppgiftslagen tas bort. I stället för hänvisningen till personuppgiftslagen innehåller paragrafen nu en uppräkning av de uppgiftskategorier som tidigare fanns i personuppgiftslagen. Bestämmelsen omfattar fler uppgiftskategorier än de som framgår av artikel 10 i dataskyddsförordningen. Bestämmelsen utgör i denna del en skyddsbestämmelse som är tillåten i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen. 14 § Det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter och sådana personuppgifter som avses i 9 § andra stycket eller 10 §. Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga användas som sökbegrepp för planering av insatser och förmedling av arbete. Kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program eller insats samt kod för sökandekategori eller anvisningsgrund får även användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas. Förslaget behandlas i avsnitt 7.2.1. I paragrafen begränsas uppgifter som får användas som sökbegrepp. Paragrafens första stycke ändras på så sätt att hänvisningen till personuppgiftslagen tas bort. Den redaktionella utformningen av första stycket ändras också så att den stämmer bättre överens med motsvarande bestämmelser i andra lagar, till exempel 14 § domstolsdatalagen (2015:728). Ändringen innebär ingen skillnad i sak. Paragrafens fjärde stycke anpassas till gällande riktlinjer för hur upplysningsbestämmelser ska utformas. 16 § Uppgifter om arbetssökande i en arbetsmarknadspolitisk databas ska gallras senast tre år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Arbetsförmedlingen. Uppgifter som har avskilts för statistikändamål ska gallras tio år efter avskiljandet. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från dessa gallringstider när det gäller bevarande av material för vetenskapliga eller historiska forskningsändamål. Sådant material ska lämnas över till en arkivmyndighet. Förslaget behandlas i avsnitt 7.13. I paragrafen anges de särskilda bestämmelser som tar över arkivlagens (1990:782) bestämmelser om bevarande och gallring. I första stycket ersätts handläggande myndighet av Arbetsförmedlingen eftersom Arbetsförmedlingen, till skillnad från det tidigare Arbetsmarknadsverket, utgör en enda myndighet. Första stycket ändras vidare på så sätt att den maximala gallringstiden förlängs från två till tre år. Samtidigt införs ordet senast vilket innebär att uppgifter som regel ska gallras enligt artikel 5.1 e i dataskyddsförordningen, det vill säga enligt principen om så kallad lagringsminimering. Lagringsminimering innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Paragrafens tredje stycke justeras terminologiskt som en anpassning till dataskyddsförordningen. De språkliga justeringarna är inte avsedda att innebära någon skillnad i sak. 10.3 Förslaget till lag om ändring i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen 1 § Denna lag tillämpas vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för arbetslöshetsförsäkringen som gäller tillsyn, uppföljning, registrering av uppgifter om arbetslöshetskassor, utfärdande av intyg, framtagande av statistik samt rapportering av vissa uppgifter till Arbetsförmedlingen. Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Förslaget behandlas i avsnitt 7.1. Paragrafen anger lagens tillämpningsområde. Paragrafens andra stycke anpassas till dataskyddsförordningen på så sätt att den behandling som omfattas av lagen är densamma som den som omfattas av dataskyddsförordningen. Andra stycket är utformat i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt. Anpassningen av andra stycket är inte avsedd att medföra någon skillnad i sak. Paragrafens tredje stycke tas bort. I stället införs en ny paragraf, 2 a §, med motsvarande innehåll. Förhållandet till annan reglering 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Förslaget behandlas i avsnitt 7.2. Paragrafen behandlar lagens förhållande till dataskyddsförordningen och dataskyddslagen. Av paragrafens första stycke framgår att lagen utgör ett komplement till dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Lagens hänvisningar till dataskyddsförordningen är dynamiska, det vill säga avser förordningen i dess vid varje tidpunkt gällande lydelse. Paragrafens andra stycke upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen. Bestämmelsens första led utgör en upplysning om att det i dataskyddslagen finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller inom verksamhet vid Inspektionen för arbetslöshetsförsäkringen. Andra ledet anger att dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att dataskyddslagens bestämmelser endast gäller i den mån inte annat föreskrivs i denna lag eller föreskrifter meddelade i anslutning till den. Rätten att göra invändningar 2 a § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Förslaget behandlas i avsnitt 7.3. Paragrafen, som är ny, reglerar rätten att göra invändningar. Paragrafen motsvarar den upphävda bestämmelsen i 1 § tredje stycket. Bestämmelsen anger ett undantag från artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som tillåts enligt artikel 23 i dataskyddsförordningen. 4 § Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter, om det är nödvändigt 1. för tillsyn över arbetslöshetskassorna och uppföljning av arbetslöshetsförsäkringen enligt 89 § första stycket lagen (1997:239) om arbetslöshetskassor, 2. för tillsyn över handläggning av och rutiner för handläggning av sådana ärenden hos Arbetsförmedlingen som har samband med arbetslöshetsförsäkringen eller som rör återkallande av anvisningar till arbetsmarknadspolitiska program, 3. för tillsyn över handläggning av och rutiner för handläggning av sådana ärenden hos Arbetsförmedlingen och Försäkringskassan som rör åtgärder inom aktivitetsstöd, utvecklingsersättning och etableringsersättning eller för uppföljning av sådana åtgärder, 4. för registrering av uppgifter enligt lagen om arbetslöshetskassor, eller 5. som underlag och för kontroll vid utfärdande av intyg enligt 48 § lagen (1997:238) om arbetslöshetsförsäkring. Förslaget behandlas i avsnitt 7.4. I paragrafen anges de så kallade primära ändamålen. Första stycket ändras på så sätt att "behövs" ersätts med "är nödvändigt". Ändringen är en språklig justering i syfte att anpassa bestämmelsen till terminologin i dataskyddsförordningen och är inte avsedd att innebära någon förändring i sak. Paragrafens andra stycke tas bort. Att personuppgifter som behandlas enligt bestämmelsens första stycke även får behandlas för statistiska och vetenskapliga ändamål framgår av den nya paragrafen 5 a. 5 § Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter för att tillhandahålla information som behövs inom Arbetsförmedlingens verksamhet som underlag i uppföljnings-, analys- och utvärderingsarbete. Inspektionen för arbetslöshetsförsäkringen får vidare behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till någon annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. Förslaget behandlas i avsnitt 7.4. I paragrafen anges de så kallade sekundära ändamålen, det vill säga att Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter även för vissa ändamål som ligger utanför myndighetens eget verksamhetsområde. Den sista meningen i andra stycket som hänvisar till personuppgiftslagens (1998:204) bestämmelse om bland annat finalitetsprincipen tas bort. En motsvarande reglering införs i stället i en ny paragraf, 5 a §. 5 a § Personuppgifter som behandlas enligt 4 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Förslaget behandlas i avsnitt 7.5. Paragrafen, som är ny, tydliggör att den så kallade finalitetsprincipen gäller vid behandling av personuppgifter enligt lagen. Motsvarande reglering fanns tidigare i 5 § sista meningen i form av en hänvisning till personuppgiftslagen. Bestämmelsen i paragrafen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bland annat att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen. 8 § Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Förslaget behandlas i avsnitt 7.6.1 och 7.7. Paragrafen reglerar myndighetens möjlighet att behandla uppgifter som rör lagöverträdelser. Bestämmelsen, som omfattar fler uppgifter än de som framgår av artikel 10 i dataskyddsförordningen, innebär att skyddet för alla de kategorier som tidigare omfattades genom en hänvisning till 21 § personuppgiftslagen behålls. Bestämmelsen är tillåten i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen. Paragrafen reglerade tidigare även behandling av känsliga personuppgifter som lämnats i ett ärende eller var nödvändiga för handläggningen av det. Inspektionen för arbetslöshetsförsäkringen kommer även fortsättningsvis att kunna behandla känsliga personuppgifter i ärendehanteringen med stöd av 3 kap. 2 § dataskyddslagen. 9 § I statistik- och tillsynsdatabasen får inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) behandlas än sådana som avslöjar etniskt ursprung eller rör hälsa. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa, personuppgifter om sociala förhållanden samt omdömen, slutsatser eller andra värderande upplysningar om en enskild, får behandlas i statistik- och tillsynsdatabasen endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Förslaget behandlas i avsnitt 7.6.1. I paragrafen regleras vilka känsliga personuppgifter som får behandlas i en statistik- och tillsynsdatabas. Första stycket ändras på så sätt att hänvisningen till 13 § personuppgiftslagen tas bort och ersätts med en hänvisning till artikel 9.1 i dataskyddsförordningen. Förbudet i artikel 9.1 i dataskyddsförordningen omfattar fler kategorier av uppgifter än motsvarande förbud i dataskyddsdirektivet och personuppgiftslagen. Dessa nya kategorier är genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. 10 § Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte behandlas i statistik- och tillsynsdatabasen. Detsamma gäller uppgifter om att den enskilde har vårdats med stöd av socialtjänstlagen (2001:453) eller varit föremål för en åtgärd enligt utlänningslagen (2005:716). Förslaget behandlas i avsnitt 7.7. Paragrafen innehåller begränsningar av de typer av personuppgifter som får behandlas i Inspektionen för arbetslöshetsförsäkringens statistik- och tillsynsdatabas. Första stycket ändras på så sätt att hänvisningen till 21 § personuppgiftslagen tas bort. I stället anges vilka typer av uppgifter om lagöverträdelser som inte får behandlas i statistik- och tillsynsdatabasen. Bestämmelsen i första stycket innebär att skyddet för alla de kategorier som omfattades av den tidigare hänvisningen till 21 § personuppgiftslagen behålls. I paragrafen införs ett andra stycke. Motsvarande reglering återfanns tidigare i första stycket andra ledet. 13 § Det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter och sådana personuppgifter som avses i 9 § andra stycket eller 10 §. Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program eller insats samt kod för sökandekategori eller anvisningsgrund användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik. Regeringen får meddela föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas. Förslaget behandlas i avsnitt 7.2.1. I paragrafen regleras vilka typer av uppgifter som Inspektionen för arbetslöshetsförsäkringen inte får använda som sökbegrepp. Paragrafens första stycke ändras på så sätt att hänvisningar till personuppgiftslagen tas bort. Den redaktionella utformningen av första stycket ändras också så att den stämmer bättre överens med motsvarande bestämmelser i andra lagar, till exempel 14 § domstolsdatalagen (2015:728). Ändringen innebär ingen skillnad i sak. Tillgång till personuppgifter 14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Förslaget behandlas i avsnitt 7.11. Paragrafen har fått ett nytt innehåll. Den tidigare hänvisningen till personuppgiftslagens bestämmelser om rättelse och skadestånd tas bort. Bestämmelser om detta kommer att finnas i dataskyddsförordningen och kompletteras av bestämmelser i dataskyddslagen. Av paragrafens nya innehåll följer att Inspektionen för arbetslöshetsförsäkringen är skyldig att begränsa behörigheten att behandla personuppgifter. Genom begränsningen förstärks skyddet för den personliga integriteten genom att uppgifterna sprids till en så liten krets som möjligt. Bestämmelsen är en skydds- och säkerhetsbestämmelse som det är tillåtet att införa enligt artikel 6.2 och 6.3 i dataskyddsförordningen. 15 § Personuppgifter som behandlas för ändamål som anges i 4 § första stycket 1, 2, 3 och 5 ska gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Inspektionen för arbetslöshetsförsäkringen. Om personuppgifter enligt första stycket är nödvändiga för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska de gallras tio år efter det att uppgifterna avskildes för dessa ändamål. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från föreskrifterna i första och andra styckena, om detta är nödvändigt för vetenskapliga eller historiska forskningsändamål. Material med personuppgifter, som omfattas av en sådan föreskrift, ska lämnas över till en arkivmyndighet. Förslaget behandlas i avsnitt 7.13.2. Paragrafen behandlar gallring av personuppgifter. I paragrafens första och andra stycken anges de särskilda bestämmelser som tar över arkivlagens (1990:782) bestämmelser om bevarande och gallring. Andra stycket anpassas till terminologin i artikel 5.1 e i dataskyddsförordningen. I stället för att hänvisa till statistiska respektive vetenskapliga ändamål hänvisas nu till vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Därutöver ändras bestämmelsen i andra stycket på så sätt att "behövs" ersätts av "är nödvändigt". Ändringarna är språkliga justeringar och är inte avsedda att innebära någon förändring i sak. Även i tredje stycket görs en terminologisk anpassning till dataskyddsförordningen genom att "forskningens behov" ersätts av "vetenskapliga eller historiska forskningsändamål" och "behövs" ersätts av "är nödvändigt". Inte heller dessa ändringar är avsedda att innebära någon skillnad i sak. 10.4 Förslaget till lag om ändring i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering 1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet hos Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Lagen gäller inte behandling av personuppgifter vid tilldelning av forskningsbidrag. Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Förslaget behandlas i avsnitt 7.1. Paragrafen anger lagens tillämpningsområde. Paragrafen ändras på så sätt att det tredje stycket anpassas till dataskyddsförordningen. Bestämmelsen i stycket är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt. Anpassningen av tredje stycket är inte avsedd att medföra någon skillnad i sak. Förhållandet till annan reglering 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Förslaget behandlas i avsnitt 7.2. Paragrafens innehåll är nytt och reglerar lagens förhållande till dataskyddsförordningen och dataskyddslagen. Lagens förhållande till personuppgiftslagen (1998:204) fanns tidigare i 3 §. Bestämmelser som motsvarar paragrafens tidigare innehåll finns nu i 3 §. Av paragrafens första stycke framgår att lagen utgör ett komplement till dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Lagens hänvisningar till dataskyddsförordningen är dynamiska, det vill säga avser förordningen i dess vid varje tidpunkt gällande lydelse. Paragrafens andra stycke upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen. Bestämmelsens första led utgör en upplysning om att det i dataskyddslagen finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller inom verksamhet vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Andra ledet anger att dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att dataskyddslagens bestämmelser endast gäller i den mån inte annat föreskrivs i denna lag eller föreskrifter meddelade i anslutning till lagen. Rätten att göra invändningar 3 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Första stycket gäller dock inte när personuppgifterna samlas in direkt från den enskilde. Förslaget behandlas i avsnitt 7.3. Paragrafen behandlar rätten att göra invändningar enligt dataskyddsförordningen. Paragrafens första stycke är utformat som ett undantag från artikel 21.1 i dataskyddsförordningen. Motsvarande bestämmelse fanns tidigare i 2 § första stycket. Undantaget utgör en sådan begränsning i den nationella rätten som tillåts enligt artikel 23 i dataskyddsförordningen. Paragrafens andra stycke, som delvis motsvarar den bestämmelse som tidigare fanns i 2 § andra stycket, ändras på så sätt att kravet på samtycke och hänvisningen till 12 § personuppgiftslagen om återkallelse av samtycke tas bort. I stället placeras bestämmelser som motsvarar de här borttagna bestämmelserna i en ny paragraf, 3 a §. Andra stycket innebär att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller när personuppgifterna samlas in direkt från den enskilde. Samtycke när uppgifter har samlats in direkt från den enskilde 3 a § Om personuppgifterna har samlats in direkt från den enskilde, får uppgifterna behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen. Den registrerade har rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. Förslaget behandlas i avsnitt 7.3. Paragrafen innehåller bestämmelser om samtycke och återkallelse av samtycke i vissa fall. Paragrafens innehåll motsvarar innehållet i tidigare 2 § andra stycket andra och tredje meningen. I första stycket anges att ett uttryckligt samtycke krävs i vissa fall. Kravet på samtycke är en integritetshöjande åtgärd i förhållande till dataskyddsförordningen. Samtycke ska alltså inte ses som den rättsliga grunden för myndighetens behandling av personuppgifter enligt artikel 6.1 a i dataskyddsförordningen. Detta innebär att det utöver samtycket från den enskilde krävs en rättslig grund, till exempel genom att behandlingen är nödvändig för att myndigheten ska kunna fullgöra en rättslig förpliktelse (artikel 6.1 c). Andra stycket motsvarar det som tidigare gällde enligt 12 § personuppgiftslagen om återkallelse av ett lämnat samtycke. En återkallelse kan göras skriftligt eller muntligt till Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Sedan återkallelsen har gjorts och kommit till myndighetens kännedom får ytterligare personuppgifter om den enskilde inte behandlas. Behandlingen av redan insamlade uppgifter får dock fortsätta. 5 § Personuppgifter får endast behandlas om det är nödvändigt för att fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Förslaget behandlas i avsnitt 7.4. I paragrafen anges de så kallade primära ändamålen. Paragrafen ändras på så sätt att "behövs" ersätts med "är nödvändigt". Ändringen är en språklig justering i syfte att anpassa terminologin i bestämmelsen till terminologin i dataskyddsförordningen. Ändringen är inte avsedd att innebära någon förändring i sak 6 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Förslaget behandlas i avsnitt 7.4. I paragrafen anges de så kallade sekundära ändamålen, det vill säga att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får behandla personuppgifter även för vissa ändamål som ligger utanför myndighetens eget verksamhetsområde. Den sista meningen som hänvisar till personuppgiftslagen tas bort. En motsvarande reglering införs i stället i en ny paragraf, 6 a §. 6 a § Personuppgifter som behandlas enligt 5 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Förslaget behandlas i avsnitt 7.5. Paragrafen, som är ny, tydliggör att den så kallade finalitetsprincipen gäller vid behandling av personuppgifter enligt lagen. Motsvarande reglering fanns tidigare i 5 § sista meningen i form av en hänvisning till personuppgiftslagen. Bestämmelsen i paragrafen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bland annat att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen. 7 § Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning får behandlas för de ändamål som anges i 5 §. Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas. Förslaget behandlas i avsnitt 7.6.2. I paragrafen regleras i vilken utsträckning Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får behandla känsliga personuppgifter och att det finns krav på etikprövning av forskning i vissa fall vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser. Paragrafens första stycke ändras på så vis att hänvisningen till personuppgiftslagen ersätts med en hänvisning till bestämmelsen om känsliga personuppgifter i artikel 9.1 i dataskyddsförordningen. Första stycket ändras vidare genom att känsliga personuppgifter som avser en fysisk persons sexuella läggning läggs till som en ny kategori känsliga personuppgifter som Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får behandla för de ändamål som avses i 5 §. Vilka kategorier av personuppgifter som utgör känsliga personuppgifter framgår av artikel 9.1 i dataskyddsförordningen. Dataskyddsförordningens katalog av känsliga personuppgifter är vidgad jämfört med vad som gäller enligt dataskyddsdirektivet och personuppgiftslagen. De nytillkomna kategorierna är genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en persons sexuella läggning. Sådana uppgifter kommer således att räknas till sådana känsliga personuppgifter som det råder förbud mot att behandla enligt huvudregeln i artikel 9.1 i dataskyddsförordningen. Ändringen innebär att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får behandla uppgifter som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning, för de ändamål som anges i 5 §. I andra stycket tas hänvisningarna till personuppgiftslagen bort. Samtidigt anges de kategorier av personuppgifter som tidigare omfattades av hänvisningen till 21 § personuppgiftslagen. Detta är en anpassning till de ändringar som görs med anledning av dataskyddsförordningen i lagen (2003:460) om etikprövning av forskning som avser människor. 8 § Om det är nödvändigt för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning. Förslaget behandlas i avsnitt 7.9. Paragrafen reglerar Institutet för arbetsmarknads- och utbildningspolitisk utvärderings möjligheter att inneha samlingar av personuppgifter i databaser eller motsvarande som inte nödvändigtvis är knutna till en viss avgränsad studie, uppföljning eller utvärdering. Paragrafen ändras på så sätt att "behövs" ersätts av "är nödvändigt". Ändringen är en språklig justering i syfte att anpassa bestämmelsen till terminologin i dataskyddsförordningen. Ändringen är inte avsedd att innebära någon förändring i sak. 9 § Om det är nödvändigt för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat och som inte är sådana personuppgifter som avses i 8 §, om uppgifterna är nödvändiga för en viss avgränsad studie, uppföljning eller utvärdering. Förslaget behandlas i avsnitt 7.9. Paragrafen reglerar Institutet för arbetsmarknads- och utbildningspolitisk utvärderings möjligheter att inneha samlingar av personuppgifter som inte är avidentifierade på det sätt som avses i 8 §. Paragrafen ändras på så sätt att "behövs" ersätts av "är nödvändigt". Ändringen är en språklig justering i syfte att anpassa bestämmelsen till terminologin i dataskyddsförordningen och är inte avsedd att innebära någon förändring i sak. 14 § Personuppgifter ska gallras så snart uppgifterna inte längre är nödvändiga för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Förslaget behandlas i avsnitt 7.13.2. Paragrafen innehåller bestämmelser om gallring av personuppgifter. Paragrafen ändras på så sätt att "historiska, statistiska eller vetenskapliga ändamål" ersätts av " vetenskapliga eller historiska forskningsändamål eller statistiska ändamål". Ändringen är en terminologisk anpassning till dataskyddsförordningen. Ordet behövs ersätts vidare av "är nödvändigt". Även den ändringen är en språklig justering i syfte att anpassa bestämmelsen till terminologin i dataskyddsförordningen. Ändringarna är inte avsedda att innebära någon förändring i sak. Sammanfattning av promemorian Anpassningar till dataskyddsförordningen av registerförfattningar inom Arbetsmarknadsdepartementets ansvarsområde (Ds 2017:33) I promemorian övervägs och föreslås författningsändringar inom Arbetsmarknadsdepartementets ansvarsområde med anledning av dataskyddsförordningen. De tre registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som finns i dag bedöms, efter vissa justeringar, kunna behållas. Det föreslås dock att Arbetsmiljöverkets registerförordning ska ersättas av en lag, med samma tillämpningsområde som den nu gällande registerförordningen. De myndigheter inom Arbetsmarknadsdepartementets ansvarsområde som i dag saknar egna registerförfattningar bedöms kunna fortsätta sin behandling av personuppgifter när dataskyddsförordningen börjar tillämpas, men då med stöd av dataskyddsförordningen och den generella, nationellt tillämpliga kompletteringslag som föreslås i Dataskyddsutredningens betänkande (SOU 2017:39). Vidare finns det vissa enskilda dataskyddsbestämmelser i författningar inom departementets ansvarsområde. Även dessa bedöms kunna kvarstå. Författningsändringarna föreslås träda i kraft den 25 maj 2018, vilket är samma dag som dataskyddsförordningen ska börja tillämpas. Promemorians lagförslag Förslag till lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador Härigenom föreskrivs följande. Lagens tillämpningsområde 1 § Denna lag tillämpas vid behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador. Lagen tillämpas endast på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. 2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade invänder mot behandlingen. Förhållandet till annan författning 3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 4 § Lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter inom Arbetsmiljöverkets informationssystem om arbetsskador, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag. 5 § I lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken finns bestämmelser om behandling av personuppgifter. Personuppgiftsansvar 6 § Arbetsmiljöverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt denna lag. Ändamål 7 § Arbetsmiljöverket får behandla personuppgifter i informationssystemet om arbetsskador om det är nödvändigt för att ge underlag för arbetet med att förebygga arbetsskador. Detta innefattar registrering av arbetsskador och bearbetning av sådana uppgifter, tillsynsverksamhet, skadeutredningar, forskning och undervisning, framställning av statistik samt planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. 8 § Personuppgifter som behandlas för de ändamål som anges i 7 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. 9 § Personuppgifter som behandlas i informationssystemet om arbetsskador för ändamål som anges i 7 och 8 §§ får behandlas även för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in. Behandling av känsliga personuppgifter 10 § Inga andra särskilda kategorier av personuppgifter som anges i artikel 9.1 Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) än sådana som rör hälsa får behandlas för de ändamål som anges i 7-9 §§. Tillgång till personuppgifter 11 § Tillgång till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Överklagande 12 § Bestämmelser om överklagande finns i 8 kap. lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten Härigenom föreskrivs i fråga om lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten dels att 15 § ska upphävas, dels att rubriken närmast före 15 § ska utgå, dels att 1, 1 a, 2, 4, 5, 8, 9, 14, 16 och 18 §§ ska ha följande lydelse, dels att rubriken närmast före 2 § ska ha följande lydelse "Förhållandet till annan författning", dels att en ny paragraf 5 a § ska införas med följande lydelse, dels att det närmast före 1 § ska införas en ny rubrik som ska lyda "Lagens tillämpningsområde". Lydelse enligt bet. 2016/17:AU15 Föreslagen lydelse 1 § Denna lag tillämpas vid behandling av personuppgifter i Arbetsförmedlingens arbetsmarknadspolitiska verksamhet. Lagen ska inte tillämpas i den del av den arbetsmarknadspolitiska verksamheten som även utgör hälso- och sjukvård enligt hälso- och sjukvårdslagen (2017:30). I den delen av verksamheten tillämpas i stället patientdatalagen (2008:355). Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen tillämpas endast på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Nuvarande lydelse Föreslagen lydelse 1 a § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen. Regeringen, eller den myndighet som regeringen bestämmer, meddelar föreskrifter om undantag från första stycket. Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade invänder mot behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om undantag från första stycket. 2 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag. 4 § Arbetsförmedlingen får behandla personuppgifter inom den arbetsmarknadspolitiska verksamheten bara om det behövs för Arbetsförmedlingen får behandla personuppgifter inom den arbetsmarknadspolitiska verksamheten bara om det är nödvändigt för 1. handläggning av ärenden, 2. publicering av platsinformation, information om kompletterande aktörer och ansökningar om anställning, 3. planering, metodutveckling, tillsyn, uppföljning, resultatredovisning och utvärdering av verksamheten, 4. framställning av avidentifierad statistik, och 5. samarbete på det arbetsmarknadspolitiska området inom Europeiska unionen och Europeiska ekonomiska samarbetsområdet samt enligt överenskommelsen den 6 mars 1982 om en gemensam nordisk arbetsmarknad Lydelse enligt bet. 2016/17:AU15 Föreslagen lydelse 5 § Arbetsförmedlingen får behandla personuppgifter för tillhandahållande av information som behövs inom 1. Försäkringskassans, Centrala studiestödsnämndens eller arbetslöshetskassornas verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd, 2. Skatteverkets verksamhet som underlag för beslut om och kontroll av skatt, 3. Inspektionen för arbetslöshetsförsäkringens verksamhet som avser tillsyn och uppföljning samt utfärdande av intyg enligt 48 § lagen (1997:238) om arbetslöshetsförsäkring, 4. Kronofogdemyndighetens verksamhet som underlag för bedömning enligt 4 kap. utsökningsbalken av i vilken utsträckning en gäldenär har utmätningsbar egendom, 5. socialnämndernas verksamhet som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. socialtjänstlagen (2001:453), 6. Migrationsverkets verksamhet som underlag för beslut om bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl., samt 7. kompletterande aktörers verksamhet enligt uppdrag från Arbetsförmedlingen. Arbetsförmedlingen får även behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204). Arbetsförmedlingen får även behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till någon annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. Nuvarande lydelse Föreslagen lydelse 5 a § Personuppgifter som behandlas för de ändamål som anges i 4 och 5 §§ får även behandlas för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in. 8 § Arbetsförmedlingen får behandla känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Arbetsförmedlingen får behandla sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Myndigheten får behandla personuppgifter som rör uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. 9 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får behandlas i en databas endast om de har lämnats i ett ärende. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende. Känsliga personuppgifter får behandlas i en databas endast om de har lämnats i ett ärende. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende. Personuppgifter om sociala förhållanden och omdömen, slutsatser eller andra värderande upplysningar om en enskild får behandlas i en databas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detsamma gäller sådana personuppgifter som avses i 21 § personuppgiftslagen. Personuppgifter om sociala förhållanden och omdömen, slutsatser eller andra värderande upplysningar om en enskild får behandlas i en databas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detsamma gäller sådana personuppgifter som rör uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. 14 § Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) samt sådana ömtåliga personuppgifter som avses i 9 § andra stycket eller 10 § får inte användas som sökbegrepp. Känsliga personuppgifter och sådana ömtåliga personuppgifter som avses i 9 § andra stycket eller 10 § får inte användas som sökbegrepp. Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga användas som sökbegrepp för planering av insatser och förmedling av arbete. Kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program eller insats samt kod för sökandekategori eller anvisningsgrund får även användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas. 16 § Uppgifter om arbetssökande i en arbetsmarknadspolitisk databas skall gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten. Uppgifter om arbetssökande i en arbetsmarknadspolitisk databas ska gallras tre år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Arbetsförmedlingen. Uppgifter som har avskiljts för statistikändamål skall gallras tio år efter avskiljandet. Uppgifter som har avskilts för statistikändamål ska gallras tio år efter avskiljandet. Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från dessa gallringstider när det gäller bevarande av material för forskningens behov. Sådant material skall lämnas över till en arkivmyndighet. Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från dessa gallringstider när det gäller bevarande av material för vetenskapliga eller historiska forskningsändamål. Sådant material ska lämnas över till en arkivmyndighet. 18 § En myndighets beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. Bestämmelser om överklagande finns i 8 kap. lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen Härigenom föreskrivs i fråga om lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen dels att 1, 2, 4, 5, 8-10 och 13-16 §§ ska ha följande lydelse, dels att rubriken närmast före 2 § ska lyda "Förhållandet till annan författning", och att rubriken närmast före 14 § ska lyda "Tillgång till personuppgifter", dels att det ska införas en ny paragraf, 5 a §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Denna lag tillämpas vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för arbetslöshetsförsäkringen som gäller tillsyn, uppföljning, registrering av uppgifter om arbetslöshetskassor, utfärdande av intyg, framtagande av statistik samt rapportering av vissa uppgifter till Arbetsförmedlingen. Lagen gäller endast för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen. Lagen tillämpas endast på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade invänder mot behandlingen. 2 § Bestämmelserna i personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom verksamhet vid Inspektionen för arbetslöshetsförsäkringen, i den utsträckning som denna lag eller föreskrifter som har meddelats med stöd av denna lag inte innehåller föreskrifter som avviker från personuppgiftslagens motsvarande bestämmelser. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter inom verksamhet vid Inspektionen för arbetslöshetsförsäkringen, om inget annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag. Lydelse enligt bet. 2016/17:AU15 Föreslagen lydelse 4 § Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter, om det behövs Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter, om det är nödvändigt 1. för tillsyn över arbetslöshetskassorna och uppföljning av arbetslöshetsförsäkringen enligt 89 § första stycket lagen (1997:239) om arbetslöshetskassor, 2. för tillsyn över handläggning av och rutiner för handläggning av sådana ärenden hos Arbetsförmedlingen som har samband med arbetslöshetsförsäkringen eller som rör återkallande av anvisningar till arbetsmarknadspolitiska program, 3. för tillsyn över handläggning av och rutiner för handläggning av sådana ärenden hos Arbetsförmedlingen och Försäkringskassan som rör åtgärder inom aktivitetsstöd, utvecklingsersättning och etableringsersättning eller för uppföljning av sådana åtgärder, 4. för registrering av uppgifter enligt lagen om arbetslöshetskassor, eller 5. som underlag och för kontroll vid utfärdande av intyg enligt 48 § lagen (1997:238) om arbetslöshetsförsäkring. Personuppgifter som behandlas enligt första stycket får också behandlas, om det behövs för statistiska och vetenskapliga ändamål. Nuvarande lydelse Föreslagen lydelse 5 § Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter för att tillhandahålla information som behövs inom Arbetsförmedlingens verksamhet som underlag i uppföljnings-, analys- och utvärderingsarbete. Inspektionen för arbetslöshetsförsäkringen får vidare behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204). Inspektionen för arbetslöshetsförsäkringen får vidare behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till någon annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. 5 a § Personuppgifter som behandlas för de ändamål som anges i 4 och 5 §§ får även behandlas för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in. 8 § Inspektionen för arbetslöshetsförsäkringen får behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och sådana personuppgifter som avses i 21 § samma lag, om uppgifterna har lämnats i ett ärende eller annars är nödvändiga för handläggningen av ett ärende. Inspektionen för arbetslöshetsförsäkringen får behandla sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) endast om uppgifterna har lämnats i ett ärende eller annars är nödvändiga för handläggningen av ett ärende. Myndigheten får behandla personuppgifter som rör uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. 9 § I statistik- och tillsynsdatabasen får inga andra känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) behandlas än sådana som avslöjar etniskt ursprung eller rör hälsa. I statistik- och tillsynsdatabasen får inga andra känsliga personuppgifter behandlas än sådana som avslöjar etniskt ursprung eller rör hälsa. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa, personuppgifter om sociala förhållanden samt omdömen, slutsatser eller andra värderande upplysningar om en enskild, får behandlas i statistik- och tillsynsdatabasen endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. 10 § Sådana personuppgifter som avses i 21 § personuppgiftslagen (1998:204) samt uppgifter om att den enskilde har vårdats med stöd av socialtjänstlagen (2001:453) eller varit föremål för åtgärd enligt utlänningslagen (2005:716) får inte behandlas i statistik- och tillsynsdatabasen. Sådana personuppgifter som rör uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte behandlas i statistik- och tillsynsdatabasen. Detsamma gäller uppgifter om att den enskilde har vårdats med stöd av socialtjänstlagen (2001:453) eller varit föremål för åtgärd enligt utlänningslagen (2005:716). 13 § Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) samt sådana personuppgifter som avses i 9 § andra stycket och 10 § denna lag får inte användas som sökbegrepp. Känsliga personuppgifter och sådana personuppgifter som avses i 9 § andra stycket och 10 § denna lag får inte användas som sökbegrepp. Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program eller insats samt kod för sökandekategori eller anvisningsgrund användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik. Regeringen får meddela föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas. 14 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag. Tillgång till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Lydelse enligt bet. 2016/17:AU15 Föreslagen lydelse 15 § Personuppgifter som behandlas för ändamål som anges i 4 § första stycket 1, 2, 3 och 5 ska gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten. Om personuppgifter enligt första stycket behövs för statistiska eller vetenskapliga ändamål skall de gallras tio år efter det att uppgifterna avskildes för dessa ändamål. Om personuppgifter enligt första stycket är nödvändiga för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679 ska de gallras tio år efter det att uppgifterna avskildes för dessa ändamål. Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från föreskrifterna i första och andra styckena, om detta behövs för forskningens behov. Material med personuppgifter, som omfattas av en sådan föreskrift, skall lämnas över till en arkivmyndighet. Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från föreskrifterna i första och andra styckena, om detta är nödvändigt för historiska eller vetenskapliga forskningsändamål. Material med personuppgifter, som omfattas av en sådan föreskrift, ska lämnas över till en arkivmyndighet. Nuvarande lydelse Föreslagen lydelse 16 § Beslut av Inspektionen för arbetslöshetsförsäkringen om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas. Bestämmelser om överklagande finns i 8 kap. lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning. Prövningstillstånd krävs vid överklagande till kammarrätten. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering Härigenom föreskrivs i fråga om lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering dels att 1-3, 5-9, och 13-15 §§ ska ha följande lydelse, dels att rubriken närmast före 3 § ska lyda "Förhållandet till annan författning" och att rubriken närmast före 15 § ska lyda "Överklagande", dels att det ska införas en ny paragraf, 6 a §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet hos Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Lagen gäller inte behandling av personuppgifter vid tilldelning av forskningsbidrag. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen tillämpas endast på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. 2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen. Första stycket gäller dock inte när personuppgifterna samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen. För återkallelse av ett lämnat samtycke tillämpas 12 § personuppgiftslagen (1998:204). Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade invänder mot behandlingen. Första stycket gäller dock inte när personuppgifterna samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen. 3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till denna lag. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter inom Institutet för arbetsmarknads- och utbildningspolitisk verksamhet, om inget annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag. 5 § Personuppgifter får endast behandlas om det behövs för att fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Personuppgifter får endast behandlas om det är nödvändigt för att fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. 6 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204). Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. 6 a § Personuppgifter som behandlas för de ändamål som anges i 5 och 6 §§ får även behandlas för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in. 7 § Andra känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) än sådana som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa får inte behandlas för de ändamål som anges i 5 §. Inga andra särskilda kategorier av personuppgifter som anges i artikel 9.1 Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) än sådana som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning får behandlas för de ändamål som anges i 5 §. Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen eller sådana uppgifter som avses i 21 § samma lag måste etikprövas. Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter måste etikprövas. 8 § Om det behövs för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning. Om det är nödvändigt för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning. 9 § Om det behövs för de ändamål som anges i 5 §, får det hos institutet även finnas samlingar av personuppgifter som behandlas automatiserat som inte är sådana personuppgifter som avses i 8 §, om uppgifterna är nödvändiga för en viss avgränsad studie, uppföljning eller utvärdering. Om det är nödvändigt för de ändamål som anges i 5 §, får det hos institutet även finnas samlingar av personuppgifter som behandlas automatiserat som inte är sådana personuppgifter som avses i 8 §, om uppgifterna är nödvändiga för en viss avgränsad studie, uppföljning eller utvärdering. 13 § Bestämmelserna i 26 § personuppgiftslagen (1998:204) om information efter ansökan gäller inte i fråga om personuppgifter som inte direkt kan hänföras till en person. Rätten till information enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 gäller inte i fråga om personuppgifter som inte direkt kan hänföras till en person. 14 § Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. 15 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller för behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till denna lag. Bestämmelser om överklagande finns i 8 kap. lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning. Denna lag träder i kraft den 25 maj 2018. Förteckning över remissinstanserna Remissyttranden över promemorian har avgetts av följande instanser: Arbetsdomstolen, Arbetsförmedlingen, Arbetsgivarverket, Arbetslöshetskassornas Samorganisation, Arbetsmiljöverket, Centrala etikprövningsnämnden, Centrala studiestödsnämnden, Datainspektionen, Diskrimineringsombudsmannen, Försäkringskassan, Förvaltningsrätten i Stockholm, Inspektionen för arbetslöshetsförsäkringen, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Kammarrätten i Göteborg, Kronofogden, Medlingsinstitutet, Migrationsverket, Nämnden för styrelserepresentationsfrågor, Skatteverket, Socialstyrelsen, Statistiska centralbyrån, Rådet för Europeiska socialfonden i Sverige, Svenska ILO-kommittén, Svenskt Näringsliv, Tillväxtverket, Transportstyrelsen, Juridiska institutionen vid Umeå universitet, Juridiska institutionen vid Uppsala universitet, Unionens arbetslöshetskassa, Ledarnas arbetslöshetskassa, Kommunals a-kassa, Arbetslöshetskassan Vision och dataskydd.net. Följande instanser har inbjudits att yttra sig men avstått: Landsorganisationen i Sverige, Riksrevisionen, Sveriges Akademikers Centralorganisation, Sveriges Kommuner och Landsting, Statens nämnd för arbetstagares uppfinningar och Tjänstemännens Centralorganisation. Lagrådsremissens lagförslag Regeringen har följande förslag till lagtext. Förslag till lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador Härigenom föreskrivs följande. Lagens tillämpningsområde 1 § Denna lag tillämpas vid behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador. Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Förhållandet till annan reglering 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. 3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar 4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 5 § Arbetsmiljöverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt denna lag. Ändamål med behandlingen 6 § Arbetsmiljöverket får behandla personuppgifter i informationssystemet om arbetsskador om det är nödvändigt för att ge underlag för arbetet med att förebygga arbetsskador. En sådan behandling får innefatta 1. registrering av arbetsskador och bearbetning av sådana uppgifter, 2. tillsynsverksamhet, 3. skadeutredningar, 4. forskning och undervisning, 5. framställning av statistik, och 6. planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. 7 § Personuppgifter som behandlas för de ändamål som anges i 6 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. 8 § Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in. Behandling av känsliga personuppgifter 9 § Personuppgifter om hälsa får behandlas om det är nödvändigt för de ändamål som anges i 6-8 §§. Andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får inte behandlas i Arbetsmiljöverkets informationssystem om arbetsskador. Tillgång till personuppgifter 10 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten Härigenom föreskrivs i fråga om lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten dels att 1 a, 15 och 18 §§ ska upphöra att gälla, dels att rubrikerna närmast före 15 och 18 §§ ska utgå, dels att 1, 2, 4, 5, 8, 9, 14 och 16 §§ och rubriken närmast före 2 § ska ha följande lydelse, dels att det ska införas två nya paragrafer, 2 a och 5 a §§, och närmast före 1 § och 2 a § nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse Lagens tillämpningsområde 1 § Denna lag tillämpas vid behandling av personuppgifter i Arbetsförmedlingens arbetsmarknadspolitiska verksamhet. Lagen ska inte tillämpas i den del av den arbetsmarknadspolitiska verksamheten som även utgör hälso- och sjukvårdsverksamhet enligt hälso- och sjukvårdslagen (2017:30). I den delen av verksamheten tillämpas i stället patientdatalagen (2008:355). Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Förhållandet till personuppgiftslagen Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Förhållandet till annan reglering 2 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar 2 a § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om undantag från första stycket. 4 § Arbetsförmedlingen får behandla personuppgifter inom den arbetsmarknadspolitiska verksamheten bara om det behövs för Arbetsförmedlingen får behandla personuppgifter inom den arbetsmarknadspolitiska verksamheten bara om det är nödvändigt för 1. handläggning av ärenden, 2. publicering av platsinformation, information om kompletterande aktörer och ansökningar om anställning, 3. planering, metodutveckling, tillsyn, uppföljning, resultatredovisning och utvärdering av verksamheten, 4. framställning av avidentifierad statistik, och 5. samarbete på det arbetsmarknadspolitiska området inom Europeiska unionen och Europeiska ekonomiska samarbetsområdet samt enligt överenskommelsen den 6 mars 1982 om en gemensam nordisk arbetsmarknad. 5 § Arbetsförmedlingen får behandla personuppgifter för tillhandahållande av information som behövs inom 1. Försäkringskassans, Centrala studiestödsnämndens eller arbetslöshetskassornas verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd, 2. Skatteverkets verksamhet som underlag för beslut om och kontroll av skatt, 3. Inspektionen för arbetslöshetsförsäkringens verksamhet som avser tillsyn och uppföljning samt utfärdande av intyg enligt 48 § lagen (1997:238) om arbetslöshetsförsäkring, 4. Kronofogdemyndighetens verksamhet som underlag för bedömning enligt 4 kap. utsökningsbalken av i vilken utsträckning en gäldenär har utmätningsbar egendom, 5. socialnämndernas verksamhet som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. socialtjänstlagen (2001:453), 6. Migrationsverkets verksamhet som underlag för beslut om bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl., samt 7. kompletterande aktörers verksamhet enligt uppdrag från Arbetsförmedlingen. Arbetsförmedlingen får även behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204). Arbetsförmedlingen får även behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till någon annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. 5 a § Personuppgifter som behandlas enligt 4 § får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in. 8 § Arbetsförmedlingen får behandla känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Arbetsförmedlingen får utanför en databas behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. 9 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får behandlas i en databas endast om de har lämnats i ett ärende. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende. Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas i en databas endast om de har lämnats i ett ärende. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende. Personuppgifter om sociala förhållanden och omdömen, slutsatser eller andra värderande upplysningar om en enskild får behandlas i en databas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detsamma gäller sådana personuppgifter som avses i 21 § personuppgiftslagen. Personuppgifter om sociala förhållanden och omdömen, slutsatser eller andra värderande upplysningar om en enskild får behandlas i en databas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detsamma gäller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. 14 § Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) samt sådana ömtåliga personuppgifter som avses i 9 § andra stycket eller 10 § får inte användas som sökbegrepp. Det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter och sådana personuppgifter som avses i 9 § andra stycket eller 10 §. Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga användas som sökbegrepp för planering av insatser och förmedling av arbete. Kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program eller insats samt kod för sökandekategori eller anvisningsgrund får även användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas. 16 § Uppgifter om arbetssökande i en arbetsmarknadspolitisk databas skall gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten. Uppgifter om arbetssökande i en arbetsmarknadspolitisk databas ska gallras senast tre år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Arbetsförmedlingen. Uppgifter som har avskiljts för statistikändamål skall gallras tio år efter avskiljandet. Uppgifter som har avskilts för statistikändamål ska gallras tio år efter avskiljandet. Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från dessa gallringstider när det gäller bevarande av material för forskningens behov. Sådant material skall lämnas över till en arkivmyndighet. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från dessa gallringstider när det gäller bevarande av material för vetenskapliga eller historiska forskningsändamål. Sådant material ska lämnas över till en arkivmyndighet. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen Härigenom föreskrivs i fråga om lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen dels att 16 § ska upphöra att gälla, dels att rubriken närmast före 16 § ska utgå, dels att 1, 2, 4, 5, 8-10 och 13-15 §§ och rubrikerna närmast före 2 och 14 §§ ska ha följande lydelse, dels att det ska införas två nya paragrafer, 2 a och 5 a §§, och närmast före 2 a § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Denna lag tillämpas vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för arbetslöshetsförsäkringen som gäller tillsyn, uppföljning, registrering av uppgifter om arbetslöshetskassor, utfärdande av intyg, framtagande av statistik samt rapportering av vissa uppgifter till Arbetsförmedlingen. Lagen gäller endast för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen. Förhållandet till personuppgiftslagen Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Förhållandet till annan reglering 2 § Bestämmelserna i personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom verksamhet vid Inspektionen för arbetslöshetsförsäkringen, i den utsträckning som denna lag eller föreskrifter som har meddelats med stöd av denna lag inte innehåller föreskrifter som avviker från personuppgiftslagens motsvarande bestämmelser. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar 2 a § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 4 § Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter, om det behövs Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter, om det är nödvändigt 1. för tillsyn över arbetslöshetskassorna och uppföljning av arbetslöshetsförsäkringen enligt 89 § första stycket lagen (1997:239) om arbetslöshetskassor, 2. för tillsyn över handläggning av och rutiner för handläggning av sådana ärenden hos Arbetsförmedlingen som har samband med arbetslöshetsförsäkringen eller som rör återkallande av anvisningar till arbetsmarknadspolitiska program, 3. för tillsyn över handläggning av och rutiner för handläggning av sådana ärenden hos Arbetsförmedlingen och Försäkringskassan som rör åtgärder inom aktivitetsstöd, utvecklingsersättning och etableringsersättning eller för uppföljning av sådana åtgärder, 4. för registrering av uppgifter enligt lagen om arbetslöshetskassor, eller 5. som underlag och för kontroll vid utfärdande av intyg enligt 48 § lagen (1997:238) om arbetslöshetsförsäkring. Personuppgifter som behandlas enligt första stycket får också behandlas, om det behövs för statistiska och vetenskapliga ändamål. 5 § Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter för att tillhandahålla information som behövs inom Arbetsförmedlingens verksamhet som underlag i uppföljnings-, analys- och utvärderingsarbete. Inspektionen för arbetslöshetsförsäkringen får vidare behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204). Inspektionen för arbetslöshetsförsäkringen får vidare behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till någon annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. 5 a § Personuppgifter som behandlas enligt 4 § får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in. 8 § Inspektionen för arbetslöshetsförsäkringen får behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och sådana personuppgifter som avses i 21 § samma lag, om uppgifterna har lämnats i ett ärende eller annars är nödvändiga för handläggningen av ett ärende. Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. 9 § I statistik- och tillsynsdatabasen får inga andra känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) behandlas än sådana som avslöjar etniskt ursprung eller rör hälsa. I statistik- och tillsynsdatabasen får inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) behandlas än sådana som avslöjar etniskt ursprung eller rör hälsa. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa, personuppgifter om sociala förhållanden samt omdömen, slutsatser eller andra värderande upplysningar om en enskild, får behandlas i statistik- och tillsynsdatabasen endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. 10 § Sådana personuppgifter som avses i 21 § personuppgiftslagen (1998:204) samt uppgifter om att den enskilde har vårdats med stöd av socialtjänstlagen (2001:453) eller varit föremål för åtgärd enligt utlänningslagen (2005:716) får inte behandlas i statistik- och tillsynsdatabasen. Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte behandlas i statistik- och tillsynsdatabasen. Detsamma gäller uppgifter om att den enskilde har vårdats med stöd av socialtjänstlagen (2001:453) eller varit föremål för en åtgärd enligt utlänningslagen (2005:716). 13 § Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) samt sådana personuppgifter som avses i 9 § andra stycket och 10 § denna lag får inte användas som sökbegrepp. Det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter och sådana personuppgifter som avses i 9 § andra stycket eller 10 §. Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program eller insats samt kod för sökandekategori eller anvisningsgrund användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik. Regeringen får meddela föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas. Rättelse och skadestånd Tillgång till personuppgifter 14 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag. Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. 15 § Personuppgifter som behandlas för ändamål som anges i 4 § första stycket 1, 2, 3 och 5 ska gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten. Om personuppgifter enligt första stycket behövs för statistiska eller vetenskapliga ändamål ska de gallras tio år efter det att uppgifterna avskildes för dessa ändamål. Personuppgifter som behandlas för ändamål som anges i 4 § första stycket 1, 2, 3 och 5 ska gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Inspektionen för arbetslöshetsförsäkringen. Om personuppgifter enligt första stycket är nödvändiga för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska de gallras tio år efter det att uppgifterna avskildes för dessa ändamål. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från föreskrifterna i första och andra styckena, om detta behövs för forskningens behov. Material med personuppgifter som omfattas av en sådan föreskrift ska lämnas över till en arkivmyndighet. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från föreskrifterna i första och andra styckena, om detta är nödvändigt för vetenskapliga eller historiska forskningsändamål. Material med personuppgifter som omfattas av en sådan föreskrift ska lämnas över till en arkivmyndighet. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering Härigenom föreskrivs i fråga om lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering dels att 13 och 15 §§ ska upphöra att gälla, dels att rubrikerna närmast före 13 och 15 §§ ska utgå, dels att 1-3, 5-9 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse, dels att det ska införas två nya paragrafer, 3 a och 6 a §§, och närmast före 2 och 3 a §§ nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet hos Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Lagen gäller inte behandling av personuppgifter vid tilldelning av forskningsbidrag. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Förhållandet till annan reglering 2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen. Första stycket gäller dock inte när personuppgifterna samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen. För återkallelse av ett lämnat samtycke tillämpas 12 § personuppgiftslagen (1998:204). Förhållandet till personuppgiftslagen Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar 3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till denna lag. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Första stycket gäller dock inte när personuppgifterna samlas in direkt från den enskilde. Samtycke när uppgifter har samlats in direkt från den enskilde 3 a § Om personuppgifterna har samlats in direkt från den enskilde, får uppgifterna behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen. Den registrerade har rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. 5 § Personuppgifter får endast behandlas om det behövs för att fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Personuppgifter får endast behandlas om det är nödvändigt för att fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. 6 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204). Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. 6 a § Personuppgifter som behandlas enligt 5 § får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in. 7 § Andra känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) än sådana som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa får inte behandlas för de ändamål som anges i 5 §. Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning får behandlas för de ändamål som anges i 5 §. Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen eller sådana uppgifter som avses i 21 § samma lag måste etikprövas. Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas. 8 § Om det behövs för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning. Om det är nödvändigt för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning. 9 § Om det behövs för de ändamål som anges i 5 §, får det hos institutet även finnas samlingar av personuppgifter som behandlas automatiserat som inte är sådana personuppgifter som avses i 8 §, om uppgifterna är nödvändiga för en viss avgränsad studie, uppföljning eller utvärdering. Om det är nödvändigt för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat och som inte är sådana personuppgifter som avses i 8 §, om uppgifterna är nödvändiga för en viss avgränsad studie, uppföljning eller utvärdering. 14 § Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter ska gallras så snart uppgifterna inte längre är nödvändiga för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Denna lag träder i kraft den 25 maj 2018. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2018-01-26 Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka Anpassningar av registerförfattningar på arbetsmarknads-området till EU:s dataskyddsförordning Enligt en lagrådsremiss den 11 januari 2018 har regeringen (Arbetsmarknadsdepartementet) beslutat inhämta Lagrådets yttrande över förslag till 1. lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador, 2. lag om ändring i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, 3. lag om ändring i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen, 4. lag om ändring i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildnings- politisk utvärdering. Förslagen har inför Lagrådet föredragits av departementssekreteraren Per Larsson. Lagrådet lämnar förslagen utan erinran. Arbetsmarknadsdepartementet Utdrag ur protokoll vid regeringssammanträde den 1 mars 2018 Närvarande: statsminister Löfven, ordförande, och statsråden Wallström, Y Johansson, M Johansson, Baylan, Bucht, Hultqvist, Andersson, Damberg, Shekarabi, Linde, Skog, Ekström, Fritzon Föredragande: statsrådet Ylva Johansson Regeringen beslutar proposition Anpassningar av registerförfattningar på arbetsmarknadsområdet till EU:s dataskyddsförordning