Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Statliga universitet eller högskolor som omfattas av
högskole-lagen (1992:1434) och andra statliga myndigheter som har i uppdrag att bedriva forskning får utföra behandling av personuppgifter för de ändamål som anges i 5 §.
Lagen gäller bara om behandlingen är helt eller delvis automati-serad eller om uppgifterna ingår eller är avsedda att ingå i en struk-turerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Om personuppgifter samlas in direkt från den enskilde får person-uppgifterna behandlas endast om han eller hon har fått den informa-tion som anges i 17 § och lämnat sitt uttryckliga samtycke till be-handlingen. För återkallelse av ett lämnat samtycke tillämpas 12 § personuppgiftslagen (1998:204).
Definitioner
2 § I denna lag avses med
forskningsdatabas: en databas (uppgiftssamling) med uppgifter
som samlas in från enskilda individer eller från myndighetsregister och som är en nationell infrastruktur för att tillhandahålla uppgifter till flera olika framtida forskningsprojekt.
forskning: detsamma som enligt lag (2003:460) om etikprövning
av forskning som avser människor.
Förhållandet till personuppgiftslagen
3 § Personuppgiftslagen (1998:204) gäller vid behandling av
person-uppgifter, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.
Författningsförslag SOU 2014:45
Personuppgiftsansvar
4 § De statliga myndigheter som utför behandlingen av
person-uppgifter är personuppgiftsansvariga.
Ändamål
5 § Personuppgifter i en forskningsdatabas får behandlas för
ända-målen att
1. skapa underlag för olika forskningsprojekt och
2. lämna ut uppgifter till forskningsprojekt, under förutsättning att såväl forskningen som behandlingen av uppgifterna i projektet har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.
6 § Personuppgifter som behandlas för de ändamål som anges i 5 §
får också lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.
Personuppgifter som har registrerats enligt denna lag får alltid lämnas ut till den registrerade själv, dock inte i fråga om personupp-gifter som inte direkt kan hänföras till en person.
7 § Personuppgifter som behandlas för de ändamål som anges i 5 §
får, utöver vad som följer av 6§, lämnas ut om det finns en skyldig-het enligt lag att göra det. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Behandlingen av personuppgifter i forskningsdatabasen
8 § Uppgifter som hämtats från andra myndighetsregister för de
ändamål som anges i 5 § får behandlas under förutsättning att upp-gifterna inte direkt kan hänföras till en person, om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att behandling av identifierbara uppgifter får ske.
SOU 2014:45 Författningsförslag
Kodnyckelförfarande
9 § Om de personuppgifter som lämnas ut från
forskningsdata-basen inte direkt kan hänföras till en enskild ska den personupp-giftsansvarige i samband med utlämnandet förse uppgifterna med en beteckning som hos myndigheten kan kopplas till personnummer eller motsvarande identitetsbeteckning. En förteckning över beteck-ning och personnummer (kodnyckel) ska bevaras hos den person-uppgiftsansvarige i tjugo år från utlämnandet av de uppgifter som kodnyckeln avser. Tiden för bevarandet av kodnyckeln kan därefter förlängas av den myndighet som bevarar den eller på ansökan av den forskningshuvudman som använder uppgifter som kodnyckeln är kopplad till.
Om en uppgift rättats, blockerats eller utplånats i forsknings-databasen ska den personuppgiftsansvariga myndigheten vidta de åtgärder som behövs för att uppgifterna ska kunna ändras hos den som uppgifterna lämnats ut till.
Den som har fått personuppgifter enligt första stycket behöver inte lämna information till den registrerade om att uppgifter behand-las, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registre-rade rätta, blockera eller utplåna uppgifter.
Innehåll
10 § En forskningsdatabas får innehålla endast de uppgifter som
behövs för de ändamål för vilka personuppgifter får behandlas en-ligt 5 §.
Sökbegrepp
11 § Som sökbegrepp i en forskningsdatabas får användas
upp-gifter som enligt 10 § får ingå i en forskningsdatabas.
Utlämnande genom direktåtkomst
12 § Utlämnande genom direktåtkomst till personuppgifter i
Författningsförslag SOU 2014:45
Förbud mot bakvägsidentifiering
13 § Personuppgifter som inte direkt kan hänföras till en person
och som behandlas med stöd av denna lag får inte behandlas i syfte att röja en persons identitet.
Intern elektronisk åtkomst
14 § Den personuppgiftsansvarige ska begränsa sina anställdas och
uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om databasen.
Gallring
15 § Personuppgifter som inte längre behövs för de ändamål som
avses i 5 § ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Information
16 § Bestämmelserna i 26 § personuppgiftslagen (1998:204) om
in-formation efter ansökan gäller inte i fråga om personuppgifter som inte direkt kan hänföras till en person.
17 § Innan en person lämnar sitt samtycke enligt 1 § tredje stycket
ska han eller hon ha informerats om
1. att det är frivilligt att lämna uppgifter,
2. för vilka ändamål behandling kan ske enligt 5, 6 och 7 §§ och vilka uppgifter som får registreras enligt 10 §,
3. de sekretess- och säkerhetsbestämmelser som gäller för data-basen,
4. vem som är personuppgiftsansvarig,
5. hur länge uppgifterna kan komma att sparas, 6. rätten till rättelse av uppgifterna,
SOU 2014:45 Författningsförslag
7. rätten till information enligt 26 § personuppgiftslagen (1998:204),
8. rätten till skadestånd, och 9. rätten att få uppgifter utplånade.
Rättelse och skadestånd
18 § Bestämmelserna om rättelse och skadestånd i 28 och 48 §§
personuppgiftslagen (1998:204) tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag.
Ansvar
19 § Den som bryter mot 13 § ska dömas för olovlig identifiering till
böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken eller personuppgiftslagen. I ringa fall döms inte till ansvar.
Ytterligare föreskrifter
20 § Regeringen meddelar ytterligare föreskrifter om
1. vilka statliga myndigheter som får föra forskningsdatabaser enligt denna lag och vilka forskningsdatabaser enligt lagen som får föras,
2. begränsning av de i 5 § angivna ändamålen,
3. begränsningar av de uppgifter som en forskningsdatabas enligt 10 § får innehålla,
4. begränsningar av behandling av uppgifter i en forskningsdatabas, 5. begränsningar vid behandling genom utlämnande av uppgifter från en forskningsdatabas
6. uppgiftsskyldighet och
7. begränsningar i rätten till intern elektronisk åtkomst.
Författningsförslag SOU 2014:45