Rekommendation om skyddet för uppgifter

En annan rekommendation som kan nämnas i sammanhanget är Europarådets rekommendation från 1981 om skydd för uppgifter i automatiserade medicinska databanker, Recommendation No. R(81)

1 on regulations for automated medical data banks. Rekommenda-

tionen är tillämplig på databanker som innehåller medicinska upp- gifter som ska användas för medicinsk behandling, hälsovård eller medicinsk forskning (artikel 1).

Rekommendationen föreskriver att allmänheten ska informeras om inrättandet av och innehållet i en databank (artikel 2). Varje registrerad ska också som utgångspunkt ha rätt att få information om databankens innehåll beträffande honom eller henne (artikel 6). Som huvudregel får endast medicinsk personal ta del av innehållet i banken, och då endast sådana uppgifter som han eller hon behöver i tjänsten. Den registrerade kan dock lämna samtycke till att annan får del av materialet beträffande honom eller henne. Det är tillåtet att koppla samman information om en viss individ från olika databanker, under förutsättning att det sker för ändamål som hänger samman med medicinsk behandling, hälsovård eller medicinsk forskning (artikel 5).

3.5

EU-stadgan

Den Europeiska unionens stadga om de grundläggande rättigheterna (förkortad EU-stadgan) skyddar bl.a. individers rätt till personlig integritet. I samband med att Lissabonfördraget antogs den 1 december 2009 fick EU-stadgan direkt effekt. Detta följer av arti-

kel 6.1 i fördraget om Europeiska unionen (EU-fördraget). Därmed blev stadgan rättsligt bindande för EU:s medlemsstater.

Stadgan uttrycker att var och en har rätt till fysisk och mental integritet. Inom medicin och biologi ska i synnerhet den berörda personens fria och informerade samtycke respekteras, på de villkor som föreskrivs i lag (artikel 3). Var och en har rätt till respekt för sitt privat- och familjeliv (artikel 7).

EU-stadgan föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne (artikel 8.1). Dessa upp- gifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lag- enlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem (artikel 7 och 8).

4

Dataskyddsförordningen

4.1

Inledning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning). I fortsättningen används förkortningen data- skyddsförordningen. Dataskyddsförordningen syftar till att skydda fysiska personerna grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Ett övergripande syfte med dataskyddsförordningen är att ytterligare harmonisera och effektivi- sera skyddet för personuppgifter för att förbättra den inre markna- dens funktion och öka enskildas kontroll över sina personuppgifter.

Dataskyddsförordningen började tillämpas i medlemsstaterna den 25 maj 2018 och ersatte då den allmänna regleringen om behand- ling av personuppgifter inom EU som fanns i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, förkortat dataskydds- direktivet.

Ett direktiv är bindande för medlemsstaterna i fråga om resultatet men medlemsstaterna har frihet att själva bestämma på vilket sätt det ska införlivas i den nationella lagstiftningen. En EU-förordning är däremot bindande och direkt tillämplig i alla medlemsländer från och med det datum då den träder i kraft (artikel 288 i EU-fördraget).

I svensk rätt hade dataskyddsdirektivet implementerats genom personuppgiftslagen (1998:204). Dataskyddsförordningen är i egen- skap av en EU-förordningen direkt tillämplig i medlemsstaterna. Därför behövde medlemsstaterna inte vidta några särskilda författ- ningsåtgärder för att förordningen skulle börja gälla. En annan sak

är att dataskyddsförordningen möjliggör – och i vissa fall förutsätter – att medlemsstaterna inför kompletterande nationella bestämmel- ser. I Sverige har generella kompletterande bestämmelser samlats i dataskyddslagen, som trädde i kraft den 25 maj 2018 samtidigt som dataskyddsförordningen började tillämpas.

Dataskyddsförordningen baseras till stor del på dataskyddsdirek- tivets struktur och innehåll men det har tillkommit några nyheter, som en utökad informationsskyldighet till registrerade, administrativa sanktionsavgifter och inrättandet av den Europeiska dataskyddsstyrel- sen. I det följande görs en genomgång av dataskyddsförordningens principer och krav med särskilt fokus på sådana bestämmelser som kan ha relevans för behandling av personuppgifter inom vård och omsorg.

4.2

Dataskyddsförordningens syfte

Dataskyddsförordningen syftar till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samtidigt syftar förordningen till att få till stånd ett fritt flöde av personuppgifter inom EU som inte begränsas av dataskyddsskäl (jfr artikel 1 punkt 2 och 3).

I skälen till dataskyddsförordningen anges att behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet. Rättigheten måste förstås utifrån sin kontext i samhället och vägas mot andra grundläggande rättigheter utifrån en proportionalitetsbedömning (skäl 4).

Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar när det gäller skyddet av personuppgifter. Omfatt- ningen av insamling och delning av personuppgifter har ökat avse- värt. Tekniken gör det möjligt för både privata företag och offentliga myndigheter att använda personuppgifter i sin verksamhet i en helt ny omfattning. Samtidigt gör allt fler fysiska personer sina person- liga uppgifter allmänt tillgängliga världen över. Tekniken har om- vandlat både ekonomin och det sociala livet och bör ytterligare underlätta för det fria flödet av personuppgifter inom unionen samt överföringar utanför unionen. På samma gång behöver man säker- ställa en hög skyddsnivå för personuppgifter (skäl 6).

4.3

Dataskyddsförordningens tillämpningsområde

Dataskyddsförordningen ska tillämpas på all helt eller delvis auto- matiserad (automatisk) behandling av personuppgifter. Detta gäller oavsett om personuppgifterna finns i ett register eller inte. Data- skyddsförordningen ska dessutom tillämpas på manuell (icke-auto- matisk) behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Detta innebär t.ex. att dataskydds- förordningen gäller behandling av personuppgifter i löpande text i en dator eller bilder på individer i skannade dokument. Dataskydds- förordningen har alltså ett brett tillämpningsområde.

Vissa behandlingar av personuppgifter är uttryckligen undan- tagna från tillämpningsområdet. Dataskyddsförordningen ska inte tillämpas på behandlingar som utförs av en fysisk person och som är av rent privat natur. Detsamma gäller behandlingar som sker inom verksamhet som inte omfattas av EU-rätten (t.ex. försvar och natio- nell säkerhet), behandling som sker inom EU:s gemensamma ut- rikes- och säkerhetspolitik och behandling som sker inom brotts- bekämpande verksamhet. (artikel 2.2).

Dataskyddsförordningen är tillämplig på verksamhet som bedrivs av personuppgiftsansvariga som är etablerade i EU/EES, oavsett om själva behandlingen utförs i EU eller inte (artikel 3.1).

Dataskyddsförordningen är även tillämplig på behandlingar som utförs av personuppgiftsansvariga som inte är etablerade i EU/EES. Då krävs det att behandlingen avser registrerade som befinner sig i unionen. Dessutom ska behandlingen av personuppgifterna ha an- knytning till

• utbjudande av varor eller tjänster till sådana registrerade i unionen (led a), eller

• övervakning av de registrerades beteende så länge beteendet sker inom EU (led b) (artikel 3.2).