Prop. 2015/16:143
64
kommer också personuppgifter som rör farmaceuter som ansvarar för ansökan samt dem som är behöriga att förordna läkemedel. Regeringen anser därför att det av utredningen föreslagna begreppet enskilde ska bytas ut mot den registrerade. Detta språkbruk överensstämmer också med PUL.
Utredningen har även föreslagit att behandling av personuppgifter som inte är tillåten enligt den föreslagna lagen ändå ska få utföras, om den enskilde har lämnat ett uttryckligt samtycke till behandlingen. Behovet av en sådan bestämmelse har ifrågasatts av Förvaltningsrätten i Uppsala.
Förvaltningsrätten har svårt att se vilka uppgifter det skulle vara frågan om eftersom regleringen bygger på att alla uppgifter som behövs för licenshanteringen ska få behandlas utan samtycke. Regeringen in-stämmer i denna bedömning och föreslår därför ingen bestämmelse om behandling av personuppgifter med den enskildes samtycke.
7.5 Personuppgiftsansvar
Regeringens förslag: Läkemedelsverket ska vara personuppgifts-ansvarigt för myndighetens personuppgiftsbehandling i ärenden om ansökan om licens. E-hälsomyndigheten ska vara personuppgifts-ansvarig för myndighetens personuppgiftsbehandling i ärenden om ansökan om licens.
Utredningens förslag: Överensstämmer delvis med regeringens för-slag. I betänkandet föreslås även att det ska regleras att tillståndshavaren för ett öppenvårdsapotek respektive vårdgivaren ska vara personupp-giftsansvarig för den behandling av personuppgifter som sker genom direktåtkomst.
Remissinstanserna: Datainspektionen anser att det är olämpligt att lagstifta om en konstruktion där E-hälsomyndigheten tilldelas rollen som personuppgiftsansvarig. Datainspektionen är positiv till förslaget att reglera personuppgiftsansvaret för tillståndshavare för öppenvårdsapotek och för vårdgivare. Enligt myndigheten bör det införas en hänvisning i lagen med innebörd att den reglerar dessa aktörers personuppgiftsansvar vid direktåtkomst till uppgifter hos E-hälsomyndigheten.
Skälen för regeringens förslag
Läkemedelsverkets och E-hälsomyndighetens personuppgiftsansvar I betänkandet föreslås att E-hälsomyndigheten och Läkemedelsverket ska ha personuppgiftsansvaret för respektive myndighets behandling av personuppgifter i samband med ärenden om ansökan om licens. Den enda remisinstans som yttrat sig över denna del av utredningens förslag är Datainspektionen. Myndigheten har anfört att E-hälsomyndighetens primära ändamål för behandling av personuppgifter avser förmedling, bevarande, sammanföring och utlämning av personuppgifter och att dessa ändamål är att betrakta som tekniska stödfunktioner för att de övriga aktörerna ska kunna uppfylla sina respektive ändamål för sin
65 Prop. 2015/16:143 behandling av personuppgifter. Enligt Datainspektionen är den
behand-ling som E-hälsomyndigheten ska utföra typiskt sett en sådan funktion som utförs av ett personuppgiftsbiträde. Enligt Datainspektionens upp-fattning saknar E-hälsomyndigheten egna självständiga ändamål för personuppgiftsbehandlingen. Enligt myndigheten finns de faktiska ända-målen i stället hos de övriga aktörerna som har i uppdrag att hantera ansökningar om licensläkemedel.
Datainspektionen synes i sitt remissvar ha utgått från innebörden av begreppen personuppgiftsbiträde och personuppgiftsansvarig som dessa är definierade enligt PUL. I detta fall föreslår regeringen dock att en särskild registerlag införs. Personuppgiftslagen föreslås vara subsidiär till nu föreslagen lag. Vid tillskapandet av en särskild registerlag har lag-stiftaren möjlighet att förlägga personuppgiftsansvaret på en eller flera aktörer. Vid bedömningen av var personuppgiftansvar ska placeras bör det beaktas att den omständigheten att en ändamålsbestämmelse införs, såsom i detta fall föreslås i avsnitt 7.6, innebär att det får anses osäkert om en viss myndighet har ett sådant inflytande över ändamålen med behandlingen att den faller in under definitionen av personuppgifts-ansvarig. I sådana fall bör det således i den aktuella registerförfattningen tydligt anges vem som ska vara personuppgiftsansvarig för de behand-lingar av personuppgifter som förekommer i de i lagen reglerade verk-samheterna (jfr prop. 2006/07:46, s. 52). Utgångspunkten vid reglering av detta ansvar bör vara att den aktör som har den bästa möjligheten till kontroll över behandlingen av personuppgifter också ska vara person-uppgiftsansvarig. Vilken aktör som i slutändan kommer att lägga de aktuella personuppgifterna till grund för ett myndighetsbeslut är således av underordnad betydelse.
När det gäller frågan om huruvida E-hälsomyndigheten har ett eget självständigt ändamål med behandlingen av personuppgifter anser rege-ringen att myndighetens särskilda karaktär av infrastrukturmyndighet måste beaktas. Av 6 § lagen (1996:1156) om receptregister framgår att personuppgifter får behandlas hos myndigheten för ett flertal olika ända-mål. Ett av dessa ändamål är ekonomisk uppföljning och framställning av statistik hos E-hälsomyndigheten. I fråga om övriga ändamål som anges i paragrafen är den slutliga användaren av de uppgifterna som E-hälso-myndigheten får behandla en annan aktör än E-hälso-myndigheten själv. Bland dessa aktörer finns samtliga landsting och flera statliga myndigheter.
Denna ordning är en följd av att E-hälsomyndigheten (tidigare Apotekens Service AB) inrättades för att den it-infrastruktur som är nödvändig för drift av apotek skulle förläggas hos en neutral aktör i samband med omregleringen av apoteksmarknaden (prop. 2008/09:145, s. 293 f.).
Myndigheten fungerar således som en nödvändig länk mellan öppen-vårdsapoteken och de aktörer som är i behov av uppgifter som hänför sig till den verksamhet som öppenvårdsapoteken bedriver. Av 5 § lagen om receptregister framgår att E-hälsomyndigheten är personuppgiftsansvarig för receptregistret. Detsamma gäller enligt 1 § lagen (2005:258) om läkemedelsförteckning som reglerar myndighetens behandling av person-uppgifter som vårdpersonal behöver för ett antal i lagen specificerade ändamål.
Enligt Datainspektionens ovan redovisade synsätt skulle de ändamål för vilka E-hälsomyndigheten får behandla personuppgifter enligt såväl
Prop. 2015/16:143
66
lagen om receptregister som den nu föreslagna nya lagen, inte vara själv-ständiga ändamål. Regeringen delar dock inte detta synsätt. Skälet till att E-hälsomyndigheten måste få behandla personuppgifter för olika ända-mål som anges i dessa lagar är behovet av att kunna erbjuda en kon-kurrensneutral samt ur integritetssynpunkt säker överföring av person-uppgifter mellan olika aktörer. Denna överföring är grundläggande för öppenvårdsapotekens funktion.
Frågan är då om det, trots den etablerade ordningen i fråga om E-hälso-myndighetens personuppgiftsansvar för uppgifter som ska användas av någon annan aktör, finns anledning att särskilt peka ut Läkemedelsverket som personuppgiftsansvarigt för all personuppgiftsbehandling som regleras genom den nu föreslagna lagen. Som anförts ovan bör utgångs-punkten vid placering av personuppgiftsansvaret vara att den aktör som har bäst förutsättningar att ta ansvaret också ska bära det. Såsom Datainspektionen har anfört bör det dock även beaktas att det måste stå klart för den enskilde vem denne ska vända sig till för att utöva sina rättigheter enligt lag.
I det system för ansökan om licens (se inledningen till avsnitt 7) som används sedan den 1 oktober 2015 inleds ett licensärende genom att den som är behörig att förordna läkemedel motiverar en viss patients behov av licensläkemedel. Om patienten och den som är behörig att förordna läkemedel enats om detta aviseras därefter ett visst apotek om att en motivering finns att hämta. I detta skede har Läkemedelsverket inte tillgång till motiveringen. Först när apoteket ansöker om licens samman-förs ansökan med motiveringen varpå uppgifterna i dessa översamman-förs till Läkemedelsverket. Uppgifterna kopieras vilket får till följd att samma personuppgifter förekommer i register både hos E-hälsomyndigheten och hos Läkemedelsverket. I de fall en ansökan inte görs kommer motiveringen inte att nå Läkemedelsverket. Motiveringar som inte leder till någon ansökan tas bort ur E-hälsomyndighetens system, dvs. KLAS, efter ett år. Det kan således konstateras att vissa av de personuppgifter som nu är aktuella i normalfallet enbart behandlas hos E-hälsomyndig-heten under en inte helt obetydlig tidsperiod. Någon direktkontakt mellan Läkemedelsverket och ansökande apotek förekommer över huvud taget inte i systemet. Det anförda talar enligt regeringens mening mot en ordning där Läkemedelsverket är personuppgiftsansvarigt för den person-uppgiftsbehandling som sker hos E-hälsomyndigheten. Frågan är då om den nu föreslagna lagen medför att det finns anledning att göra en annan bedömning.
I enlighet med hur flertalet registerförfattningar brukar utformas föreslår regeringen i detta fall att det införs ett antal skyldigheter för de myndigheter som behandlar personuppgifter i samband med hantering av licensärenden. Flera av dessa skyldigheter ska iakttas av den personupp-giftsansvarige. Som framgår i avsnitt 7.10 föreslås exempelvis att den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörig-het för åtkomst till behandlade uppgifter samt att den personuppgifts-ansvarige ska se till att åtkomst till personuppgifter dokumenteras. En ordning där Läkemedelsverket är ensamt personansvarigt skulle således medföra att Läkemedelsverket utrustades med möjligheter att reglera den verksamhet som sker på E-hälsomyndigheten. Regeringen bedömer att en sådan ordning är mindre lämplig. Det kan i stället antas att en ordning
67 Prop. 2015/16:143 där E-hälsomyndigheten själv ansvarar för behörighetstilldelning och
åtkomstkontroll är mer ändamålsenlig och resurseffektiv, inte minst mot bakgrund av att denna myndighet redan i dagsläget har motsvarande skyldigheter enligt lagen om receptregister.
Vidare föreslås i avsnitt 7.11 att E-hälsomyndigheten ska gallra upp-gifter senast 36 månader efter Läkemedelsverkets beslut. Ansvaret för att gallringen äger rum är E-hälsomyndighetens. Denna skyldighet innebär således att kontrollen över uppgifternas bevarande hos E-hälsomyndig-heten är placerad på just denna myndighet. Även denna omständighet talar enligt regeringens bedömning starkt för att E-hälsomyndigheten också ska vara personuppgiftsansvarig.
Därutöver föreslås i avsnitt 7.13 en skyldighet för den ansvarige att se till att den enskilde får information om personuppgifts-behandlingen. Som anförts i inledningen till avsnitt 7 skickas en motivering till Läkemedelsverket först i samband med att apoteken ansöker om licens. Även detta talar enligt regeringens bedömning för att E-hälsomyndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som sker hos myndigheten.
Sammanfattningsvis bedömer regeringen att en ordning där Läke-medelsverket är ansvarigt för den personuppgiftsbehandling som sker hos E-hälsomyndigheten är mindre lämplig. Den uppdelning av person-uppgiftsansvaret mellan Läkemedelsverket och E-hälsomyndigheten som utredningen föreslagit är mer ändamålsenlig och föreslås därför införas.
Personuppgiftsansvar för öppenvårdsapotek och vårdgivare
I betänkandet föreslås att det ska regleras i den föreslagna lagen att till-ståndshavaren för ett öppenvårdsapotek respektive vårdgivaren ska vara personuppgiftsansvarig för den behandling av personuppgifter som sker genom direktåtkomst. Skälet till detta är att det enligt utredningen bör finnas en tydlig reglering av personuppgiftsansvaret vid direktåtkomst.
Det är viktigt att det är tydligt vem som är personuppgiftsansvarig för personuppgiftsbehandlingen.
Regeringen instämmer i att det ska vara tydligt vem som är personupp-giftsansvarig vid den behandling av personuppgifter som sker vid direkt-åtkomst till uppgifter hos E-hälsomyndigheten. Till skillnad från situa-tionen i HFD 2012 ref. 21 (mål nr 4453-10), som utredningen hänvisar till, där personuppgiftsansvaret inte var reglerat utöver vad som följer av PUL, finns det dock i nu aktuellt fall reglering om personuppgiftsansvar både i apoteksdatalagen (2009:367) och patientdatalagen (2008:355).
Regeringens bedömer att den reglering som finns i dessa lagar är till-räcklig för att avgöra vem som ska anses vara personuppgiftsansvarig.
Apoteksdatalagen tillämpas enligt 1 § vid sådan personuppgiftsbehand-ling vid öppenvårdsapotekens detaljhandel med läkemedel m.m. som är helt eller delvis automatiserad, eller där uppgifterna ingår i eller är av-sedda att ingå i en strukturerad samling av personuppgifter, som är till-gängliga för sökning eller sammanställning enligt särskilda kriterier. I förarbetena anges att behandling av personuppgifter i samband med de interna och administrativa åtgärder som kan förekomma i verksamheten, dvs. sådant som inte rör handel med läkemedel m.m., faller utanför lagens tillämpningsområde (prop. 2008/09:145 s. 333). I 8 § 1 anges att
Prop. 2015/16:143
68
personuppgifter får behandlas om det är nödvändigt bl.a. för expediering av förordnade läkemedel samt för åtgärder i anslutning till expedie-ringen. Vad gäller begreppet ”åtgärder i anslutning till expedieringen”
har regeringen i förarbetena uttalat att detta inte bör tolkas alltför snävt.
Som exempel anges att hanteringen av licensläkemedel bör falla in under ändamålet (a. prop. s. 345 f.). I 7 § anges att tillståndshavaren är person-uppgiftsansvarig för den personuppgiftsbehandling som utförs på ett öppenvårdsapotek.
Enligt 3 § PUL omfattar begreppet behandling av personuppgifter alla åtgärder som vidtas beträffande personuppgifter. Så snart personupp-gifter på något sätt hanteras är det fråga om en behandling. När apoteks-personal genom direktåtkomst tar del av uppgifter som finns hos E-hälso-myndigheten sker således en personuppgiftsbehandling. Den personupp-giftsbehandling som sker vid direktåtkomst till uppgifter hos E-hälso-myndigheten i licensärenden omfattas enligt regeringens bedömning således redan av apoteksdatalagen. Att därutöver reglera personuppgifts-ansvaret i den nu föreslagna lagen är därför inte nödvändigt. En sådan reglering riskerar även att leda till otydligheter. Exempelvis innehåller både den föreslagna lagen och apoteksdatalagen bestämmelser om behörighetstilldelning och åtkomstkontroll som den personuppgifts-ansvarige måste iaktta. Dessa är inte identiskt överensstämmande och det kan i praktiken bli otydligt för tillståndshavaren för ett öppenvårdsapotek vilka bestämmelser som är tillämpliga då båda lagarna reglerar person-uppgiftsbehandling vid licensansökningar.
Samma överväganden måste göras vad gäller regleringen av person-uppgiftsansvaret vid den personuppgiftsbehandling som sker vid vård-givares direktåtkomst. I 1 kap. 1 § patientdatalagen anges att denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Av 2 kap. 4 § 2 följer att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Med administration avses såväl patientrelaterad ekonomiadministration som annan administration som behövs för eller föranleds av vård i enskilda fall (prop. 2007:08:126 s. 228). Enligt 2 kap.
6 § första stycket är en vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför.
Den som är behörig att förordna läkemedel ska enligt regeringens för-slag kunna ha direktåtkomst till uppgifter i licensärenden där han eller hon skrivit en motivering till varför en patient behöver ett licensläke-medel. Den personuppgiftsbehandling som sker vid sådan direktåtkomst måste anses falla under patientdatalagen. Det saknas därför anledning att i den nya lagen särskilt reglera personuppgiftsansvaret för den person-uppgiftsbehandling som sker vid direktåtkomst i licensärenden.
Vad gäller den personuppgiftsbehandling som sker vid verksamhet inom djurens hälso- och sjukvård finns ingen särskild reglering utöver PUL. Regeringen bedömer att frågan om personuppgiftsansvaret i den delen lämpligen även i fortsättningen får avgöras med stöd av bestämmelserna i PUL.
69 Prop. 2015/16:143