Förslag till lag om behandling av personuppgifter

vård- och omsorgsanalys

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i verksam-het vid Myndigverksam-heten för vård- och omsorgsanalys som avser upp-följning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och med-borgarperspektiv.

Lagen gäller endast om behandlingen är helt eller delvis automati-serad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sök-ning eller sammanställsök-ning enligt särskilda kriterier.

Bestämmelserna i 3 och 9–11 §§ gäller även vid behandling av uppgifter om avlidna personer.

Förhållandet till annan reglering

2 § Denna lag innehåller bestämmelser som kompletterar Europa-parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds-förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Vid forskning gäller lagen (2003:460) om etikprövning av forsk-ning som avser människor.

Ändamålsbestämning

3 § Myndighetschefen ska för varje projekt besluta om särskilda ändamål för behandlingen av personuppgifter och vilka kategorier av personuppgifter som får behandlas om vilka kategorier av personer.

Utan ett sådant beslut får personuppgifter inte behandlas.

För att personuppgifter som har samlats in för ett beslutat ända-mål i ett projekt ska få behandlas för ett annat ändaända-mål, krävs att myndighetschefen beslutar om det.

Känsliga personuppgifter

4 § Sådana särskilda kategorier av personuppgifter som avses i arti-kel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas i ett projekt bara

1. med de registrerades uttryckliga samtycken, med stöd av arti-kel 9.2 a i samma förordning, eller

2. såvitt avser uppgifter om hälsa eller personuppgifter som av-slöjar etniskt ursprung, om projektet har prövats och godkänts en-ligt 8 §, med stöd av artikel 9.2 g, h eller j i samma förordning.

Trots första stycket behöver projekt som innefattar behandling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ur-sprung om färre än 100 personer inte prövas och godkännas enligt 8 §.

Uppgifter om lagöverträdelser

5 § Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihets-berövanden (uppgifter om lagöverträdelser) får behandlas i ett pro-jekt bara

1. med de registrerades samtycken, eller

2. om projektet har prövats och godkänts enligt 8 §.

Trots första stycket behöver projekt som innefattar behandling av uppgifter om lagöverträdelser om färre än 100 personer inte prövas och godkännas enligt 8 §.

Övriga personuppgifter i godkända projekt

6 § När sådana personuppgifter som avses i 4 och 5 §§, efter pröv-ning och godkännande enligt 8 § får behandlas i ett projekt, får också andra personuppgifter behandlas utan de registrerades samtycken i projektet.

Prövning av projekt som inte innefattar känsliga personuppgifter eller uppgifter om lagöverträdelser

7 § Om myndigheten bedömer att ett projekt, som endast inne-fattar behandling av andra personuppgifter än sådana som avses i 4 och 5 §§, inte kan genomföras på grund av 2 kap. 6 § andra stycket regeringsformen, får personuppgifterna behandlas om projektet har prövats och godkänts enligt 8 §.

Prövningen av etiska frågor

ALTERNATIV A ALTERNATIV B

8 § organ för prövning av etiska frågor som har företrädare för såväl det allmänna som forsk-ningen och som är en statlig myn-dighet eller är knutet till en annan statlig myndighet än Myndig-heten för vård- och omsorgs-analys.

Ett projekt får godkännas bara om behandlingen av personupp-gifter i projektet är nödvändig och om samhällsintresset av pro-jektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behand-lingen kan innebära. Ett godkän-nande får förenas med villkor.

Regeringen meddelar före-skrifter om organ som avses i första stycket.

Skyddsåtgärder

9 § De personuppgifter som behandlas i ett projekt ska pseudo-nymiseras.

Myndighetschefen får för ett särskilt fall besluta om undantag från första stycket, i den utsträckning ändamålet med behandlingen inte kan uppnås med pseudonymiserade personuppgifter.

Myndighetschefen ska besluta om riktlinjer och villkor för när och hur pseudonymiserade personuppgifter får göras identifierbara och förbud mot att i andra fall sammanföra sådana personuppgifter med personuppgifter som är direkt hänförliga till individer.

10 § Behörighet för åtkomst till personuppgifter ska begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna full-göra sina arbetsuppgifter.

Myndighetschefen ska bestämma villkoren för tilldelning av be-hörighet för åtkomst till personuppgifter. Åtkomsten till person-uppgifter ska registreras och det ska finnas en funktion vid myn-digheten som regelbundet kontrollerar registreringarna i syfte att upptäcka och åtgärda obehörig åtkomst.

Gallring

11 § Personuppgifter som behandlats i ett projekt ska gallras senast sex månader efter att projektet är slutfört, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat före-skrifter eller i ett enskilt fall beslutat om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Denna lag träder i kraft den 1 juli 2019.

1.2 Förslag till lag om ändring i lagen (2003:460)