Prop. 2017/18:105
92
Bemyndigande
I 20 § PUL bemyndigas regeringen eller den myndighet som regeringen bestämmer att föreskriva ytterligare undantag om det behövs med hänsyn till ett viktigt allmänt intresse. Bemyndigandet har utnyttjats för att i förordning föreskriva att vissa myndigheter och privata organ får behandla känsliga personuppgifter. Det kommer även i fortsättningen att finnas ett behov av att i förordning kunna tillåta behandling av känsliga personuppgifter med hänsyn till viktiga allmänna intressen för vissa tydligt avgränsade ändamål eller för vissa särskilda verksamheter, utöver de generella bestämmelser som föreslås här. På grund av att dataskydds-förordningen inte innehåller någon motsvarighet till den så kallade miss-bruksregeln i 5 a § PUL, kommer sannolikt behovet av ytterligare bestämmelser om behandling av känsliga personuppgifter att öka.
Dataskyddslagen bör därför innehålla ett bemyndigande för regeringen att meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse. Eftersom regeringen hittills inte har sett anledning att utnyttja möjligheten i 20 § PUL att bemyndiga Datainspektionen att meddela föreskrifter och något behov av sådan vidaredelegation inte har fram-kommit, föreslås ingen sådan möjlighet.
När nya bestämmelser övervägs med stöd av bemyndigandet måste givetvis en noggrann bedömning göras av om lagform ändå krävs enligt 2 kap. 6 och 20 §§ RF. Det måste också säkerställas att dataskydds-förordningens krav i övrigt är uppfyllda, framför allt när det gäller lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
10.5 Hälso- och sjukvård och social omsorg
Regeringens förslag: Under förutsättning att kravet på tystnadsplikt enligt EU:s dataskyddsförordning är uppfyllt får känsliga person-uppgifter behandlas, om behandlingen är nödvändig för förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbets-tagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård eller behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Socialstyrelsen och Diskrimi-neringsombudsmannen anser att det är av stor vikt att förutsättningarna för att behandla känsliga personuppgifter är reglerade på ett tydligt sätt.
Hälso- och sjukvårdens ansvarsnämnd anser att det är angeläget att det finns ett tydligt stöd för att behandla personuppgifter inom tillsyn över hälso- och sjukvård. Vidare anser ansvarsnämnden att det är angeläget att användandet av begreppet arbetstagare inte innebär någon förändring av möjligheten att behandla uppgifter om hälsotillstånd avseende yrkes-utövare i reglerade yrken som inte är anställda. Myndigheten för vård- och omsorgsanalys anser att det bör förtydligas att begreppet förvaltning
93 Prop. 2017/18:105 av hälso- och sjukvårdstjänster ska tolkas vitt och bl.a. inbegripa
behand-ling som utförs av centrala nationella hälso- och sjukvårdsmyndigheter samt vid tillsyn över hälso- och sjukvård och social omsorg. Myndig-heten för vård- och omsorgsanalys anser vidare att begreppet hör samman med medicinska diagnoser bör tydliggöras. Datainspektionen anser att det skyndsamt bör utredas huruvida den behandling av person-uppgifter som sker i dag inom hälso- och sjukvård och social omsorg är förenlig med artikel 9.2 h och 9.3 i dataskyddsförordningen, eller om det behöver införas en lagstadgad tystnadsplikt för de personuppgiftsbiträden som i dag inte omfattas av en sådan. Pensionsmyndigheten anser inte att det är självklart att förordningen ska tolkas så att det finns ett behov av att i dataskyddslagen eller i annan nationell lagstiftning ta in bestäm-melser om undantag från förbudet att behandla känsliga personuppgifter.
Dataskydd.net avstyrker förslaget och anser att artikel 9.2 inte kan kring-gås annat än genom lagstiftning som ger behandlingen en rättslig grund, vilket i så fall sker i annan lagstiftning än i dataskyddslagen.
Skälen för regeringens förslag: I dataskyddsförordningen regleras behandling av känsliga personuppgifter på bl.a. hälso- och sjukvårds-området i artikel 9.2 h. Bestämmelsen motsvarar artikel 8.3 i dataskydds-direktivet, som har genomförts i 18 § PUL. Den bestämmelsen anses täcka nästan all behandling av personuppgifter som förekommer inom hälso- och sjukvårdsområdet. Bland annat omfattas internationellt folk-hälsoarbete, kvalitetshöjande behandling av personuppgifter och debi-tering av avgifter. Behandling av personuppgifter inom hälso- och sjuk-vården regleras även i t.ex. patientdatalagen (2008:355). Patientdatalagen är dock inte tillämplig hos tillsynsmyndigheterna på hälso- och sjuk-vårdsområdet.
I dataskyddsförordningen har ytterligare några verksamhetstyper lagts till den uppräkning av verksamheter som anges i direktivets motsvarande artikel, nämligen yrkesmedicin, bedömningen av en arbetstagares arbets-kapacitet och social omsorg. Sannolikt omfattar tillägget avseende arbetskapacitet behandling av uppgifter relaterade till sjukskrivning och rehabilitering på arbetet och begreppet social omsorg snarast uppgifter som utförs inom socialtjänsten. Det är dock i avsaknad av praxis svårt att närmare avgränsa innebörden av begreppen.
Vissa andra justeringar, jämfört med direktivets artikeltext, har också gjorts. Bland annat har begreppet administration av hälso- och sjukvård ersatts med förvaltning av hälso- och sjukvårdstjänster och deras system.
Av skäl 53 framgår att avsikten är att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt och bl.a. inbegripa behandling som utförs av centrala nationella hälsovårdsmyndigheter samt vid tillsyn över hälso- och sjukvård och social omsorg. Detta innebär för svenskt vidkommande att bestämmelsen även omfattar den verksamhet som bedrivs av bl.a.
Socialstyrelsen, Inspektionen för vård och omsorg, Folkhälsomyndig-heten och MyndigFolkhälsomyndig-heten för vård- och omsorgsanalys.
För att artikel 9.2 h ska vara tillämplig ställs tre krav som alla måste vara uppfyllda. För det första ska behandlingen vara nödvändig av skäl som hör samman med någon av de angivna verksamheterna, t.ex. medi-cinska diagnoser eller förvaltning av hälso- och sjukvårdstjänster. De uppräknade verksamhetsområdena torde täcka allt det som omfattas av
Prop. 2017/18:105
94
den befintliga regleringen i 18 § PUL samt social omsorg, liksom tillsyn på hälso- och sjukvårdsområdet och över social omsorg.
För det andra ska den aktuella verksamheten utföras på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet. Denna förutsättning är enligt regeringens bedömning uppfylld så snart verksamheten bedrivs i enlighet med verksamhetslagstiftningen på de aktuella områdena, t.ex. hälso- och sjukvårdslagen, socialtjänstlagen och andra relevanta författningar. Det är i dessa författningar som den personuppgiftsansvarige finner den rättsliga grunden för att överhuvudtaget få behandla personuppgifter utan den registrerades samtycke.
För att känsliga personuppgifter ska få behandlas i dessa verksamheter krävs dessutom, för det tredje, att förutsättningarna i artikel 9.3 är uppfyllda. Där anges att personuppgifter bara får behandlas av eller under ansvar av en yrkesutövare, eller av en annan person, som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ. Sådan tystnadsplikt gäller inom den svenska offentliga sektorn enligt offentlig-hets- och sekretesslagen. För de privata utförarna finns bestämmelser om tystnadsplikt i bl.a. patientsäkerhetslagen (2010:659) och socialtjänst-lagen. Datainspektionen anser att det behöver utredas om det därutöver bör införas en lagstadgad tystnadsplikt för hälso- och sjukvårdens personuppgiftsbiträden. Denna fråga bör övervägas i samband med anpassningen till dataskyddsförordningen av den sektorslagstiftning som finns på hälso- och sjukvårdsområdet och behandlas därför inte i detta lagstiftningsärende.
Regeringen delar i och för sig bl.a. Pensionsmyndighetens uppfattning om att det inte behövs någon ytterligare reglering på nationell nivå för att nödvändig behandling av känsliga personuppgifter ska vara tillåten med stöd av artikel 9.2 h. Det är dock, som bl.a. Socialstyrelsen betonar, av stor vikt för verksamheten inom de områden som omfattas av bestäm-melsen att förutsättningarna för att behandla känsliga personuppgifter framgår tydligt, även för de aktörer som inte omfattas av sektorsspecifika författningar om behandling av känsliga personuppgifter. Det bör därför, i enlighet med utredningens förslag, uttryckligen anges i dataskyddslagen att känsliga personuppgifter får behandlas om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medi-cinska diagnoser, tillhandahållande av hälso- och sjukvård eller behand-ling, social omsorg samt förvaltning av hälso- och sjukvårdstjänster, social omsorg och deras system. Bestämmelsen bör även erinra om att sådan behandling får ske endast under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt.
Innebörden av de begrepp som används i bestämmelsen bör tolkas och tillämpas på samma sätt som artikel 9.2 h i dataskyddsförordningen. Som nämns ovan framgår det av skäl 53 till dataskyddsförordningen att avsikten är att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt och inbegripa bl.a. tillsyn över hälso- och sjukvård. Tolk-ningen av begreppet arbetstagares arbetskapacitet, som Hälso- och sjuk-vårdens ansvarsnämnd tar upp, påverkar således inte möjligheten till
95 Prop. 2017/18:105 behandling av känsliga personuppgifter inom tillsyn över hälso- och
sjukvård.