Undantag från förbudet mot behandling av känsliga personuppgifter personuppgifter

Det följer av 14 § PUL att det trots förbudet i 13 § PUL är tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§ PUL. Så kan till exempel ske om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offent-liggjort uppgifterna (15 § PUL). Att samtycket ska vara ”uttryckligt” innebär att det kommer till uttryck på något sätt som en utomstå-ende kan iaktta.110 En bestämmelse som kan ha betydelse i forsk-ningssammanhang är 18 § PUL som rör behandling av personupp-gifter för hälso- och sjukvårdsändamål. Denna verksamhet gränsar många gånger till forskningsverksamhet. 18 § PUL har följande lydelse.

18 §

Känsliga personuppgifter får behandlas för hälso- och sjukvårds-ändamål, om behandlingen är nödvändig för

a) förebyggande hälso- och sjukvård, b) medicinska diagnoser,

c) vård eller behandling, eller

d) administration av hälso- och sjukvård.

Den som är yrkesmässigt verksam inom hälso- och sjukvårdsom-rådet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är under-kastad en liknande tystnadsplikt och som har fått känsliga person-uppgifter från verksamhet inom hälso- och sjukvårdsområdet.

Känsliga personuppgifter får enligt första stycket behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för vissa i bestämmelsen uppräknade syften. Behandlingen av de känsliga per-sonuppgifterna ska vara nödvändig för något eller några av de upp-räknade syftena. Innebörden av nödvändighetskravet har redovisats ovan.

Uppräkningen av syften i första stycket täcker i praktiken nästan all behandling av personuppgifter som förekommer inom hälso- och sjukvården. Undantagets räckvidd preciseras inte närmare i förarbetena till lagen.111 Det har dock i senare lagstiftningsärenden ansetts rimligt att inte ge bestämmelsen en alltför snäv räckvidd och

110 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar (25 september 2013), kommentaren till 3 §.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

att även aktiviteter inom hälso- och sjukvård utanför det primära vårdområdet måste kunna inbegripas.112

För att möjliggöra behandlingen av personuppgifter i register med det övergripande syftet att förbättra kvaliteten på individnivå inom svensk hälso- och sjukvård finns i dag en särskild reglering av nationella och regionala kvalitetsregister inom hälso- och sjukvården i patientdatalagen (2008:355) (se avsnitt 5.3.6.3).

Det följer av andra stycket att den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt alltid får behandla sådana känsliga personuppgifter som omfattas av tystnads-plikten. Bestämmelsen ger således möjlighet för personer som har sådan sträng tystnadsplikt som normalt gäller inom hälso- och sjuk-vårdsverksamhet att behandla känsliga personuppgifter. Enligt andra stycket får vidare den som inte är yrkesmässigt verksam inom hälso- och sjukvårdsområdet men som ändå har fått känsliga personupp-gifter från verksamhet inom hälso- och sjukvårdsområdet alltid behandla dessa uppgifter om en liknande tystnadsplikt gäller för honom eller henne i fråga om uppgifterna. Bestämmelsen kan bli aktuell till exempel när känsliga personuppgifter från en myndighet inom hälso- och sjukvården lämnas till forskningsverksamhet.113

Det undantag från förbudet mot behandling av känsliga person-uppgifter som är av störst betydelse i registerforskningssamman-hang finns i 19 § PUL och rör forskning och statistik. Bestämmel-sen har följande lydelse.

19 §

Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhälls-intresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt andra stycket anses uppfyllda. Med forsk-ningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finan-sierar forskning.

112 Prop. 2005/06:70 s. 144.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

Personuppgifter får lämnas ut för att användas i sådana projekt som avses i andra stycket, om inte något annat följer av regler om sekretess och tystnadsplikt.

Av bestämmelsens första, andra och tredje stycke framgår när käns-liga personuppgifter får behandlas för forsknings- och statistik-ändamål utan uttryckligt samtycke. Av fjärde stycket framgår att personuppgifter får lämnas ut till vissa statistikprojekt.

Tidigare gällde samma regler för användande av känsliga person-uppgifter vid forskning som vid statistik. I samband med införan-det av lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) den 1 januari 2004 infördes en sär-skild reglering för forskning i bestämmelsens första stycke. Enligt bestämmelsen får känsliga personuppgifter behandlas för forsknings-ändamål endast om behandlingen godkänts enligt etikprövnings-lagen.

Enligt 6 § första stycket etikprövningslagen får forskning som innefattar behandling av känsliga personuppgifter eller personupp-gifter om lagöverträdelser med mera som avses i 21 § PUL genom-föras bara om behandlingen har godkänts vid en etikprövning enligt etikprövningslagen. Etikprövningslagen tillämpades ursprungligen bara om forskningspersonen inte hade lämnat sitt uttryckliga sam-tycke till behandlingen av personuppgifterna. Efter en lagändring som trädde i kraft den 1 juni 2008 tillämpas lagen emellertid numera även när det finns samtycke. Det framgår av bestämmelsens orda-lydelse att det är själva behandlingen av personuppgifter som ska godkännas. Det är således inte tillräckligt att forskningen i sig har godkänts vid etikprövningen.

Bestämmelserna i etikprövningslagen behandlas närmare i av-snitt 5.5.

I bestämmelsens andra stycke finns det en allmän avvägnings-norm som anger när känsliga personuppgifter får behandlas för statistikändamål. Enligt bestämmelsen krävs det för det första att behandlingen av känsliga personuppgifter är nödvändig på det sätt som sägs i 10 § PUL. Det krävs vidare att samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behand-lingen kan innebära.

För att göra en avvägning enligt normen måste det ske en hel-hetsbedömning av samtliga omständigheter.114 Vid bedömningen bör

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

man enligt förarbetena beakta bland annat statistikprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att hämta in samtycke, i vilken utsträckning den enskilde skulle kunna skadas om man be-gärde samtycke och om en kontakt med den enskilde skulle kunna snedvrida undersökningsresultatet. Vid intresseavvägningen bör också beaktas om de berörda fått information av något slag, till exempel via anslag eller annonser. Andra faktorer som bör vägas in är i vilken utsträckning den som begär det ska ha rätt att bli struken och hur pass svårt det är att på grund av de behandlade uppgifterna identifiera enskilda personer.

Det är i första hand den personuppgiftsansvarige som ska tilläm-pa avvägningsnormen på eget ansvar. Det har överlämnats åt rätts-tillämpningen att med användande av den allmänna normen och efter rådande värderingar i samhället avgöra vilka behandlingar som kan tillåtas. Det har i dessa bedömningar betonats att normen ger uttryck för en restriktiv tillämpning.115

Enligt tredje stycket ska förutsättningarna i andra stycket anses uppfyllda om behandlingen har godkänts av en forskningsetisk kom-mitté. Bestämmelsen gällde tidigare behandling för både forsknings-ändamål och för statistikforsknings-ändamål. När etikprövningslagen infördes ändrades bestämmelsen i 19 § PUL så att behandling av känsliga personuppgifter endast får behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen. I förarbetena till etikprovningslagen anfördes att reglerna i 19 § andra och tredje stycket PUL för statistikprojekt borde kvarstå oförändrade.116 Skälet till detta var att Riksförsäkringsverket, Folkhälsoinstitutet, Statens institutionsstyrelse och Socialstyrelsen tillsammans hade startat en forskningsetisk kommitté som har möjlighet att bedöma statistik-projekt. Någon sådan kommitté finns emellertid inte i dag och det saknas således möjlighet till etikgodkännande av statistikprojekt.

Enligt fjärde stycket får personuppgifter lämnas ut för att an-vändas för statistikändamål om inte något annat följer av regler om sekretess och tystnadsplikt. Bestämmelsen ska läsas mot bakgrund av 24 § första och andra styckena PUL.117 Där anges att om per-sonuppgifter samlats in från någon annan källa än den registrerade ska den personuppgiftsansvarige självmant lämna den registrerade

115 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 321.

116 Prop. 2002/03:50 s. 174.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

information om behandlingen av uppgifterna när de registreras. Så-dan information behöver dock inte lämnas om det finns bestäm-melser om registrerandet eller utlämnandet av personuppgifterna i lag eller annan författning. Bestämmelsen i 19 § fjärde stycket PUL är just en sådan bestämmelse om utlämnande av personuppgifter till statistikprojekt. Bestämmelsen medför att den som samlar in personuppgifter från något annat håll än den registrerade för att använda i ett statistikprojekt inte behöver följa bestämmelserna om information om behandlingen till den registrerade enligt 24 § PUL. Det bör betonas att bestämmelsen inte medför någon skyldighet att lämna ut personuppgifter. Den innebär endast att det är tillåtet enligt PUL för den som innehar uppgifterna att lämna ut dem.118 Om något annat följer av regler om sekretess och tystnadsplikt får uppgifterna dock inte lämnas ut.

5.3.4.10 Behandling av personuppgifter om lagöverträdelser m.m.

Behandling av personuppgifter som rör lagöverträdelser med mera finns i 21 § PUL. Bestämmelsen har följande lydelse.

21 §

Det är förbjudet för andra än myndigheter att behandla person-uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter som avses i första stycket får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet i första stycket.

Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.

Vid behandling av personuppgifter om lagöverträdelser med mera är det inte tillräckligt att kraven i 21 § PUL är uppfyllda. Även de grundläggande kraven på behandling av personuppgifter i 9 § PUL måste beaktas och behandlingen måste vara tillåten enligt 10 § PUL. Innefattar behandlingen sådana känsliga personuppgifter som avses i 13 § PUL måste även bestämmelserna i 13–20 §§ följas.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

Enligt huvudregeln i första stycket får endast myndigheter be-handla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Detta gäller även om den enskilde har lämnat sitt samtycke till annan behandling.

Bestämmelsen är för det första tillämplig vid personuppgifter om lagöverträdelser som innefattar brott, det vill säga i de fall ett straff är föreskrivet för överträdelsen.119 En uppgift om att någon har eller kan ha begått ett visst brott utgör en uppgift om en lagöverträdelse, även om det inte finns någon dom. Bestämmelsen är vidare tillämp-lig på uppgifter om domar i brottmål. Här avses bland annat uppgift om att någon är dömd för brott även om det inte framgår vilket, samt uppgift om att någon frikänts. Med straffprocessuella tvångsmedel avses till exempel häktning, beslag och kvarstad i brottmål. Att någon varit föremål för tvångsingripande enligt lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall och lagen (1991:1128) om psykiatrisk tvångsvård är exempel på uppgifter om administrativa frihetsberö-vanden.

I andra stycket finns ett undantag från huvudregeln att person-uppgifter om lagöverträdelser med mera endast får behandlas av myndigheter. Enligt bestämmelsen får enskilda behandla sådana uppgifter för forskningsändamål, under förutsättning att behand-lingen har godkänts enligt etikprövningslagen.

Regeringen eller den myndighet som regeringen bestämmer har i tredje stycket bemyndigats att meddela föreskrifter om undantag från förbudet i första stycket. I bestämmelsen avses generella undan-tag, inte undantag i enskilda fall. Regeringen har enligt 9 § PUF bemyndigat Datainspektionen att meddela sådana föreskrifter. Data-inspektionen har meddelat föreskrifter om undantag genom DIFS 1998:3, som ändrats genom DIFS 2010:1. Datainspektionen får också i enskilda fall besluta om undantag från förbudet.

Av fjärde stycket framgår att regeringen eller, om regeringen så bestämmer, tillsynsmyndigheten kan besluta om undantag från första stycket även i enskilda fall. Regeringen har enligt 9 § PUF bemyn-digat Datainspektionen att meddela sådana beslut.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45