• No results found

Integritetsskyddet vid forskning: - En analys av det rättsliga stödet för att lämna ut och behandla känsliga personuppgifter vid registerforskning

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Integritetsskyddet vid forskning: - En analys av det rättsliga stödet för att lämna ut och behandla känsliga personuppgifter vid registerforskning"

Copied!
70
0
0

Loading.... (view fulltext now)

Download now ( 70 Page )

Full text

(1)

Juridiska institutionen Vårterminen 2012

Examensarbete i offentlig rätt 30 högskolepoäng

Integritetsskyddet vid forskning

- En analys av det rättsliga stödet för att lämna ut och behandla känsliga personuppgifter vid

registerforskning Författare: Sofia Donner

Handledare: Docent Lotta Lerwall

(2)

2

(3)

3

Innehållsförteckning

DEL 1: Introduktion till ämnet ... 5

1 Inledning ... 6

1.1 Bakgrund och problemformulering ... 6

1.2 Syfte och avgränsning ... 8

1.3 Metod och material ... 9

1.4 Disposition ... 10

DEL 2: Skyddet för den personliga integriteten ... 12

2 Integritetsskyddet i regeringsformen ... 13

2.1 Allmänt on integritetsskyddet i regeringsformen ... 13

2.2 Kontrollgruppindividerna och integritetsskyddet i regeringsformen ... 14

2.2.1 Betydande intrång i den personliga integriteten… ... 14

2.2.2 … som sker utan samtycke… ... 16

2.2.3 … och innebär övervakning eller kartläggning… ... 16

2.2.4 … av den enskildes personliga förhållanden ... 17

2.2.5 Sammanfattning ... 18

2.3 Kravet på lagstöd vid en inskränkning av den personliga integriteten ... 18

3 Rätten till respekt för enskildas privatliv enligt europakonventionen ... 21

3.1 Allmänt om europakonventionens tillämplighet ... 21

3.2 Kontrollgruppindividerna och skyddet för enskildas privatliv enligt europakonventionen ... 22

3.2.1 Utlämnande av personuppgifter och behandling av uppgifter om hälsa ... 22

3.2.2 Uppgifter i register ... 24

3.2.3 Medlemsstaternas skyldighet att vidta positiva åtgärder ... 25

3.2.4 Sammanfattning ... 26

3.3 Inskränkningar i rätten till respekt för enskildas privatliv ... 26

3.3.1 Bakgrund till rättighetsinskränkningar ... 26

3.3.2 En inskränkning genom lag… ... 27

3.3.3 … för att tillgodose ett allmänt eller enskilt intresse… ... 29

3.3.4 … som är nödvändig i ett demokratiskt samhälle ... 29

3.4 Sammanfattning ... 30

DEL 3: Det rättsliga stödet för en inskränkning i integritetsskyddet ... 32

4 Sekretess inom hälso- och sjukvård och utlämnande av uppgifter till Läkemedelsverket ... 33

4.1 Allmänt om sekretess och sekretessbrytande bestämmelser ... 33

4.2 Läkemedelsförordningens och hälsodataregisterlagens sekretessbrytande effekt? . 34

4.2.1 Innebörden av 9 § läkemedelslagen enligt direktivet och förarbetena ... 35

4.2.2 Omfattar uppgiftsskyldigheten det som anges i läkemedelslagen eller ändamålen i läkemedelslagen? ... 36

4.3 Utlämnande av uppgifter inom hälso- och sjukvården till forskning ... 38

(4)

4

4.4 Regeringen meddelar undantag från sekretess ... 38

4.5 Sammanfattning ... 40

DEL 4: Skyddet för behandling av känsliga personuppgifter ... 42

5 Skyddet för personlig integritet vid behandling av känsliga personuppgifter ... 43

5.1 Bakgrund – om personuppgiftslagens tillämpningsområde ... 43

5.2 Grundläggande principer för personuppgiftshantering ... 45

5.2.1 Finalitetsprincipens krav på ändamålsenlig användning ... 45

5.2.2 Behandling enligt lag ... 45

6 Undantag från förbudet att behandla känsliga personuppgifter ... 47

6.1 Allmänt om läkemedelsförordningen ... 47

6.2 Läkemedelsverkets bemyndigande att vetenskapligt utvärdera uppgifter om biverkningar ... 47

6.2.1 Allmänt om bemyndigandet i läkemedelsförordningen ... 47

6.2.2 Läkemedelsverkets rätt att hantera uppgifter om kontrollgruppindivider enligt läkemedelslagen? ... 48

6.2.3 Läkemedelsverkets rätt att hantera uppgifter om kontrollgruppindivider enligt läkemedelsförordningen? ... 49

6.3 Behandling av känsliga personuppgifter inom hälso- och sjukvård ... 55

6.4. Behandling av känsliga personuppgifter för forskningsändamål ... 58

6.5 Sammanfattning ... 61

DEL 5: Avslutande avsnitt... 62

7 Reflektioner ... 63

Källförteckning ... 65

(5)

5

DEL 1: Introduktion till ämnet

Läkemedelsverkets hantering av känsliga personuppgifter i

forskningssammanhang: offentlighet,

sekretess och skyddet för personlig

integritet

(6)

6

1 Inledning

1.1 Bakgrund och problemformulering

Under år 2009 och 2010 spred sig den nya influensan och ungefär 60 % av befolkningen vaccinerade sig mot denna med vaccinet Pandemrix.

1

Vissa av dem som vaccinerade sig insjuknade i narkolepsi.

2

I samarbete med vissa landsting och sjukvårdsregioner samt Karolinska Institutet genomförde Läkemedelsverket en registerstudie med vaccinerade och ovaccinerade individer för att klargöra ett eventuellt samband mellan vaccinationen och insjuknandet i narkolepsi.

3

Studien utfördes som ett myndighetsuppdrag, en biverkningsutredning, och var inte föremål för granskning av etikprövningsnämnd.

4

Samarbetet mellan Läkemedelsverket och Karolinska Institutet har utmynnat i ytterligare en utökad registeruppföljning, där 3-4 miljoner vaccinerade individer kommer att jämföras med 2-3 miljoner ovaccinerade individer. Registerstudien har fått godkännande av etikprövningsnämnd.

5

Läkemedelsverket är en statlig myndighet som bland annat har till uppgift att svara för kontroll och tillsyn av läkemedel och för forskning på läkemedelsområdet.

6

Verket ansvarar för säkerhetsövervakning av godkända läkemedel och ska för detta syfte samla in, registrera, lagra och vetenskapligt utvärdera uppgifter om biverkningar av godkända läkemedel.

7

För att kunna fullfölja dessa skyldigheter behöver Läkemedelsverket hantera personuppgifter om enskilda individer, med information om bland annat deras hälsa och de biverkningar de upplevt.

Personuppgiftslagens bestämmelser reglerar under vilka omständigheter och vilka uppgifter om enskilda som får behandlas och på vilket sätt denna behandling får ske.

1 [www] Läkemedelsverket: ”Ansökan om etikprövning”, s 4.

2 [www] Läkemedelsverket: “A registry based comparative cohort study in four Swedish counties of the risk for narcolepsy after vaccination with Pandemrix - A first and preliminary report, by the Medical Products Agency”, s 1.

3 [www] Läkemedelsverket: ”Svensk registerstudie av narkolepsifall stärker misstänkt samband med Pandemrix hos barn och ungdomar”.

4 [www] Läkemedelsverket: ”Ansökan om etikprövning”, s 4-5.

5 [www] Läkemedelsverket: ”Ytterligare registerstudier av Pandemrix planeras under våren 2012” och [www] Läkemedelsverket: ”Ansökan om etikprövning”.

6 Se, 1 § och 2 § p 9 förordning (2007:1205) med instruktion för Läkemedelsverket.

7 Se, 9 § läkemedelslagen (1992:859).

(7)

7

Lagen har till syfte att skydda enskilda individer mot att deras personliga integritet

8

kränks.

9

Den forskning om biverkningar som sker hos Läkemedelsverket innebär att uppgifter om enskilda individers hälsa behandlas. Huvudprincipen i personuppgifts- lagen när det kommer till behandling av känsliga personuppgifter, som exempelvis uppgifter om hälsa, är att hantering av dessa uppgifter är förbjuden.

10

Lagen är dock subsidiär till andra författningar som reglerar personuppgiftshantering.

11

Läkemedels- förordningen är en sådan avvikande författning.

Läkemedelsverket får enligt läkemedelsförordningen behandla känsliga personuppgifter som rör hälsa och som är nödvändiga för att fullgöra de skyldigheter som föreskrivs i läkemedelslagen eller i läkemedelsförordningen. Läkemedelsverket får med andra ord göra avsteg från 13 § personuppgiftslagen och hantera känsliga personuppgifter om det behövs för att fullgöra skyldigheter enligt läkemedelslagen, som exempelvis för att vetenskapligt utvärdera uppgifter om biverkningar.

12

Det ovan angivna ger upphov till vissa frågor. Till vilken omfattning är det tillåtet för Läkemedelsverket att hantera personuppgifter om enskilda individer utan samtycke?

13

Är det över huvud taget tillåtet att hantera uppgifter om individer som ingår i en kontrollgrupp, härefter kallade för kontrollgruppindivider? Innebär Läkemedelsverkets rätt att vetenskapligt utvärdera uppgifter om biverkningar att det är tillåtet för verket att hantera personuppgifter om individer som ingår i en kontrollgrupp, det vill säga som inte har upplevt biverkningar, för att kunna fullgöra denna skyldighet? Finns det bestämmelser som stadgar hur avsteg från skyddet för den personliga integriteten får göras och som kan hindra en behandling av kontrollgruppindividernas personuppgifter?

Kan hälso- och sjukvårdsmyndigheter lämna ut sekretessreglerade uppgifter om kontrollgruppindivider till forskning om läkemedelsbiverkningar och är ett sådant

8 I detta arbete kommer personlig integritet att användas synonymt med rätten till respekt för enskildas privatliv och integritetsskyddet.

9 Se, 1 § personuppgiftslagen (1998:204).

10 Se

,

13 § personuppgiftslagen.

11 Se, 2 § personuppgiftslagen.

12 Se, 4 kap 4 § läkemedelsförordningen (2006:272) och 9 § läkemedelslagen.

13 Varken i ansökan om etikprövning eller på Läkemedelsverkets hemsida står att samtycke har inhämtats, vilket tyder på att samtycke inte har inhämtats. Det rör sig för övrigt om ett väldigt stort antal personer, varför det rent praktiskt skulle vara nästintill omöjligt att begära ett uttryckligt samtycke för behandlingen av personuppgifterna från samtliga deltagare, vilket talar ytterligare emot att samtycke har inhämtats.

(8)

8

utlämnande godtagbart med beaktande av det integritetsskydd och den sekretess som råder på området?

Tanken med detta examensarbete är att klargöra rättsläget vad gäller skyddet för den personliga integriteten vid registerforskning av känsliga personuppgifter, genom att Läkemedelsverket bemyndigande att hantera uppgifter om kontrollgruppindivider analyseras. Analysen kommer att göras med bakgrund i det integritetsskydd som regeringsformen och europakonventionen uppställer.

14

Legalitetsprincipen, som kommer till uttryck i såväl regeringsformen som i europakonventionen, ställer vissa krav på hur inskränkningar i vissa rättigheter får göras.

15

Det finns således en möjlighet att det sker en otillåten behandling av känsliga personuppgifter när Läkemedelsverket genomför forskning om läkemedelsbiverkningar med hjälp av kontrollgruppindivider.

1.2 Syfte och avgränsning

Det övergripande syftet med detta examensarbete är dels att utreda vilka rättsliga möjligheter som föreligger för hälso- och sjukvårdsmyndigheter att lämna ut personuppgifter om kontrollgruppindivider till Läkemedelsverket för forskning om läkemedelsbiverkningar och dels om Läkemedelsverket får behandla dessa uppgifter för att bedriva forskning om läkemedelsbiverkningar.

För att uppnå syftet kommer först frågan om en hantering av kontrollgruppindividernas personuppgifter kan anses vara en rättighetskränkning enligt regeringsformen och europakonventionen att behandlas. Därefter kommer bestämmelser i läkemedels- förordningen, läkemedelslagen, offentlighets- och sekretesslagen

16

samt hälsodata- registerlagen

17

att analyseras för att få en uppfattning om i vilken omfattning dessa lagar tillåter en utlämning av kontrollgruppindividernas personuppgifter till Läkemedels- verket. Analysen görs med bakgrund i det integritetsskydd och det krav på rättsligt stöd

14 Se, 2 kap 6 § 2 st regeringsformen (1974:152) och artikel 8 i Europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna, härefter

europakonventionen.

15 Se nedan avsnitt 2.2 och 3.2 för ytterligare information om legalitetsprincipen.

16 Offentlighets- och sekretesslag (2009:400).

17 Lag (1998:543) om hälsodataregister.

(9)

9

som uppställs i regeringsformen och europakonventionen. Därefter behandlas frågan om Läkemedelsverket får behandla personuppgifter om kontrollgruppindivider för att bedriva forskning om läkemedelsbiverkningar.

Examensarbetet kommer inte att fokusera på avvägningen mellan intresset för ett fullgott skydd för den personliga integriteten och tillgången till forskningsuppgifter, vilket för övrigt är väl belyst av Rynning.

18

Arbetet kommer heller inte, utöver europakonventionen, att beakta Sveriges internationella åtaganden för skydd av den personliga integriteten.

19

Den praxis som vuxit fram med stöd av den Europeiska unionens rättighetsstadga

20

kommer heller inte att behandlas i detta arbete.

21

Avsikten med arbetet är inte att kritisera Läkemedelsverkets ageranden, utan att använda den reglering som finns för verket och som tillåter forskning med känsliga personuppgifter för att kunna problematisera om och i vilken omfattning avsteg från skyddet för den personliga integriteten får göras i samband med forskning. Det är i slutändan bestämmelserna om utlämnande och personuppgiftsbehandling som analyseras, inte Läkemedelsverkets ageranden.

1.3 Metod och material

Syftet med detta examensarbete är att analysera gällande rätt och därmed används den traditionella rättsdogmatiska metoden vid upprättandet av examensarbetet. Beslut från Justitieombudsmannen och information och beslut från Datainspektionen inkluderas till den traditionella rättsdogmatiska metoden, utöver de klassiska källorna lagtext, praxis,

18 Rynning, 2003, s 114 och Rynning, 2005.

19Se, t.ex. artikel 17 i Förenta nationernas konvention av den 16 december 1966 om de medborgerliga och politiska rättigheterna, Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter samt Europeiska unionens stadga om de grundläggande rättigheterna, EUT C 83, 30.3.2010, s 389.

20 Europeiska unionens stadga om de grundläggande rättigheterna.

21 För den intresserade kan nämnas att Europeiska unionens domstol har i de förenade målen C-92/09 och C-93/09 ogiltigförklarat en rättsakt i den mån som uppgifter om enskilda individer ska anses behöva utlämnas. Detta skedde med stöd av rättighetsstadgan som uppställer ett skydd för de enskildas personuppgifter i artikel 8.

(10)

10

förarbeten och doktrin.

22

Beslut från Justitieombudsmannen har använts för att få klarhet i vad som ska anses vara ett godtagbart utlämnande av personuppgifter för forskning enligt offentlighets- och sekretesslagen. Beslut och information från Datainspektionen har använts för att förstå vilket tillämpningsområde vissa bestämmelser i personuppgiftslagen har. Dokument från Läkemedelsverkets hemsida har inhämtats och använts vid upprättandet av detta examensarbete för att få bakgrund i den behandlingen av kontrollgruppindividernas personuppgifter som skett.

Det bör nämnas att det saknas prejudikat från svenska domstolar när det kommer till omfattningen av skyddet för personlig integritet ställt mot ett motstående intresse, förmodligen på grund av att integritetsskyddet i regeringsformen är så nytt.

23

Bristen på praxis gör att förarbeten och andra bestämmelser ägnas mer uppmärksamhet. Det bör också nämnas att i brist på förarbeten, när det kommer till förordningar, kommer författningstexten att jämföras med tidigare lydelser och de direktiv förordningen bygger på för att få en klarhet i vad som ska anses omfattas av ordalydelsen i en viss bestämmelse.

1.4 Disposition

Efter den inledande delen behandlas i del två, som består av avsnitt 2 och 3, regerings- formens och europakonventionens skydd för den personliga integriteten och krav på rättsligt stöd vid rättighetsintrång. Denna genomgång görs för att det senare i arbetet ska vara möjligt att besvara frågan om och i vilken omfattning ett utlämnande av kontroll- gruppindividernas personuppgifter till Läkemedelsverket och den behandling av person- uppgifter som sker hos Läkemedelsverket kan innebära ett intrång i integritetsskyddet och vilket stöd i lag ett sådant intrång i sådana fall kräver.

Del 3, som består av avsnitt 4, har till avsikt att belysa på vilket sätt hälso- och sjukvårdsmyndigheter kan lämna ut uppgifter till Läkemedelsverket för forskning.

22 Ett sådant inkluderande får stöd i doktrin. Se Lavin, 1989, s 199. För en avvikande åsikt se bland annat Peczenik, 1986, s 29 f och s 109 ff till vilken Lavin hänvisar till i sin artikel.

23 Se, lag (2010:1408) om ändring i regeringsformen som anger att integritetsskyddsbestämmelsen i 2 kap 6 § 2 st regeringsformen träder i kraft 1 januari 2011.

(11)

11

Avsnittet behandlar dels vissa bestämmelser i läkemedelsförordningen och hälsodata- registerlagen för att utreda om det, med bakgrund av integritetsskyddet, kan anses att hälso- och sjukvården ska lämna ut uppgifter om kontrollgruppindivider till Läkemedelsverket. Även offentlighets- och sekretesslagens bestämmelser som reglerar hur ett utlämnande till forskning får ske från hälso- och sjukvården behandlas.

Del 4, bestående av avsnitt 5 och 6, behandlar hur Läkemedelsverket får hantera

kontrollgruppindividernas uppgifter för att genomföra forskning om läkemedels-

biverkningar. I avsnitt 5 behandlas personuppgiftslagens bestämmelser. Avsnitt 6

behandlar det rättsliga stödet för Läkemedelsverket att behandla uppgifter om kontroll-

gruppindividernas hälsa. I del 5, under avsnitt 7, sammanställs de reflektioner som

examensarbetet gett upphov till.

(12)

12

DEL 2: Skyddet för den personliga integriteten

Integritetsskyddet och kravet på rättsligt stöd enligt regeringsformen och

europakonventionen.

(13)

13

2 Integritetsskyddet i regeringsformen

2.1 Allmänt on integritetsskyddet i regeringsformen

Grundläggande bestämmelser till skydd för den personliga integriteten finns i regerings- formen, där det bland annat fastslås att den offentliga makten ska utövas med respekt för den enskildes frihet och att det allmänna ska värna den enskildes privat- och familjeliv.

24

Stadgandet i regeringsformen är enligt propositionen en målsättning och är inte bindande för det allmänna och ger inget skydd åt enskilda.

25

Utöver detta anges det i regeringsformen att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

26

Bestämmelsen har, enligt propositionen, till syfte att stärka respekten för individens rätt att själva förfoga över och ta ställning till det allmännas tillgång till personlig information. Tanken är att lagstiftaren tydligt ska redovisa för de avvägningar som gjorts vid proportionalitetsbedömningen, som i sin tur får till följd att integritets- intrånget blir belyst på ett omfattande sätt.

27

För att återkoppla till syftet med examens- arbetet behöver följande frågor besvaras. Innebär ett utlämnande av kontrollgrupp- individernas uppgifter till Läkemedelsverket en integritetskränkning enligt regerings- formen? Kan en behandling av kontrollgruppindividernas personuppgifter hos Läkemedelsverket medföra att kontrollgruppindividernas personliga integritet kränks?

För att besvara dessa frågor behöver det utredas vilket tillämpningsområde begreppen betydande intrång, personlig integritet, utan samtycke, övervakning och kartläggning och enskildas personliga förhållanden har.

24 Se, 1 kap 2 § 1 och 4 st regeringsformen.

25 Prop. 1975/76:209 s 128.

26 Se, 2 kap 6 § 2 st regeringsformen.

27 Prop. 2009/10:80 s 176-177.

(14)

14

2.2 Kontrollgruppindividerna och integritetsskyddet i regeringsformen

2.2.1 Betydande intrång i den personliga integriteten…

Det första som behöver klargöras är om en hantering av känsliga personuppgifter kan innebära ett betydande intrång i den personliga integriteten. Uppgifter om kontrollgruppindividernas hälsa har lämnats ut till och behandlats hos Läkemedels- verket för att verket ska kunna genomföra forskning om läkemedelsbiverkningar.

Det som, enligt propositionen, avses med betydande intrång i den personliga integriteten är vissa kvalificerade intrång. Vid bedömningen av hur ingripande intrånget i den personliga integriteten är i samband med exempelvis utlämnande av uppgifter om enskildas personliga förhållanden måste stor vikt läggas på uppgifternas karaktär. Ju känsligare uppgifter, desto mer ingripande är hanteringen av dessa. Detta får till följd att även hantering av ett fåtal uppgifter kan innebära ett betydande intrång i den personliga integriteten.

28

Regeringen anger vidare att vid bedömningen av vilka åtgärder som avses utgöra ett betydande intrång ska åtgärdens omfattning och arten av intrånget beaktas.

Regeringen anger vidare att åtgärdens ändamål och andra omständigheter kan ha betydelse vid bedömningen, men att bestämmelsen enbart ska omfatta sådana intrång som på grund av åtgärdens intensitet eller omfattning eller med hänsyn till uppgifternas integritetskänsliga natur innebär ett betydande ingrepp i den enskildes privata sfär.

29

Enligt Bull och Sterzel innebär rekvisitet betydande intrång att en viss tröskel behöver passeras för att grundlagsskydd ska uppnås. Vid denna bedömning ska åtgärdens omfattning och arten av intrånget tas med i bedömningen. Syftet är enligt författarna att avgränsa bestämmelsens tillämpningsområde till att omfatta sådana intrång som till, exempelvis, uppgifternas integritetskänsliga natur innebär ett betydande ingrepp i den enskildes privata sfär.

30

Är ett utlämnande av och en behandling av hälsorelaterade uppgifter särskilt integritetskänslig? Omfattas uppgifterna av den enskildes privata sfär? Att uppgifter om

28 Prop. 2009/10:80 s 183.

29 Prop. 2009/10:80 s 250.

30 Bull och Sterzel, 2010, s 78.

(15)

15

kontrollgruppindividernas hälsa behandlas skulle kunna tala mot att det är fråga om ett betydande intrång, eftersom det avser vanliga uppgifter om enskilda individers hälsa och dessa behandlas i hälso- och sjukvården. Mot detta kan argumenteras att uppgifter om hälsa skyddas av sekretess,

31

varför det kan antas att lagstiftaren har ansett att dessa uppgifter är sådana som faller inom den enskildes privata sfär och som är särskilt integritetskänsliga. Det är dessutom så att enbart de som behöver använda uppgifterna inom hälso- och sjukvården ska få tillgång till dem.

32

Att uppgifterna omfattas av sekretess och att så få utomstående som möjligt ska ha tillgång till dessa talar för att det är fråga om ett betydande intrång när uppgifter om enskilda individers hälsa lämnas ut till och behandlas hos Läkemedelsverket. Det som talar mot att intrånget är betydande är att det i propositionen har angetts att vissa kvalificerade intrång medför att rekvisitet betydande blir tillämpligt.

33

I doktrin har det angetts att en viss tröskel ska uppnås för att grundlagsskyddet ska träda i kraft.

34

Frågan är då om intrånget är kvalificerat, eller om denna tröskel har uppnåtts. Dessa frågor kan i dagsläget inte besvaras utan vägledning från praxis.

Enligt propositionen till regeringsformen förstås med personlig integritet att den enskilde bör vara tillförsäkrad ett skydd mot intrång i den personliga sfären. Skyddet för den personliga integriteten ska bedömas utifrån den enskildes intresse av att skydda information om sina personliga förhållanden.

35

Kan de uppgifter som lämnas ut till och hanteras av Läkemedelsverket omfattas av begreppet personlig integritet? Enligt personuppgiftslagen är det förbjudet att behandla uppgifter om hälsa och lagen har till syfte att skydda enskilda individer mot att deras personliga integritet kränks.

36

Om lagen har till syfte att skydda enskilda individer mot att deras personliga integritet kränks och det i lagen anges att det är förbjudet att hantera uppgifter om hälsa, talar detta för att ett utlämnande till och en behandling hos Läkemedelsverket omfattas av begreppet personlig integritet. Det är vidare så, som nämnts i stycket ovan, att uppgifter om hälsa är skyddade enligt offentlighets- och sekretesslagen, vilket talar för att uppgifter om

31 Se, 25 kap 1 § offentlighets- och sekretesslagen.

32 Se, 2 § patientdatalagen (2008:355).

33 Prop. 2009/10:80 s 183.

34 Bull och Sterzel, 2010, s 78.

35 Prop. 2009/10:80 s 175.

36 Se, 1 och 13 §§ personuppgiftslagen.

(16)

16

hälsa avser uppgifter om den privata sfären som allmänheten och enskilda oftast inte ska ha tillgång till.

2.2.2 … som sker utan samtycke…

Det andra som behöver utredas är om ett utlämnande till och en hantering hos Läkemedelsverket av kontrollgruppindividernas personuppgifter anses vara företaget utan samtycke. I propositionen till förändringarna i regeringsformen diskuteras begreppet utan samtycke och det framhävs att det allmänna i dagsläget har tämligen stora befogenheter att behandla personuppgifter utan samtycke, med stöd av särskilda registerförfattningar. Åtgärder som sker mot den enskilde och som företas utan ett uttryckligt samtycke framstår, enligt regeringen, som särskilt känsliga från integritetsskyddssynpunkt, eftersom den enskilde saknar möjlighet att själv tillvarata sina integritetsintressen. Bestämmelsen i regeringsformen bör därmed ta sikte på sådana åtgärder som den enskilde inte själv kan få kännedom om eller kan påverka genom ett krav på frivilligt samtycke.

37

Enligt Bull och Sterzel ska begreppet utan samtycke fånga in informationsinsamling om enskilda som sker utan deras vetskap, eftersom sådana situationer är särskilt känsliga för den personliga integriteten.

38

Propositionen till regeringsformen och Bull och Sterzel har tolkat att ett intrång sker utan samtycke om den enskilde är ovetande till behandlingen som sker. Om den enskildes vetskap är det centrala talar detta för att Läkemedelsverkets hantering av personuppgifterna har företagits utan kontrollgruppindividernas samtycke, eftersom, som nämndes under introduktionsavsnittet, det finns litet som tyder på att kontrollgruppindividerna hade vetskap att de ingick och kommer att ingå i studierna.

2.2.3 … och innebär övervakning eller kartläggning…

Det tredje som behöver analyseras är om ett utlämnande till Läkemedelsverket och verkets hantering av personuppgifterna kan innebära övervakning eller kartläggning. I detta fall har kontrollgruppindividernas hälsa kartlagts för att kunna jämföras med de

37 Prop. 2009/10:80 s 178-179.

38 Bull och Sterzel, 2010, s 77.

(17)

17

individer som har rapporterat in biverkningar och det är fråga om personuppgifts- behandling inom hälso- och sjukvården.

De åtgärder som omfattas av begreppen övervakning eller kartläggning är, enligt propositionen, de åtgärder som får en effekt av kartläggning eller övervakning, även om syftet med åtgärden är något annat. Enligt regeringen omfattas de uppgiftssamlingar som det allmänna förfogar över, exempelvis den personuppgiftsbehandling som sker inom hälso- och sjukvården, av begreppet kartläggning.

39

Eftersom personuppgiftsbehandling inom hälso- och sjukvården anses innebära kartläggning talar detta för att den personuppgiftsbehandling som sker hos Läkemedels- verket om kontrollgruppindividernas hälsa omfattas av begreppet kartläggning, eftersom det är hälso- och sjukvården som lämnar ut uppgifter från deras register till verket och det är en behandling av hälso- och sjukvårdsuppgifter om enskilda. Det är tvivelaktigt om ett utlämnande av dessa uppgifter till Läkemedelsverket kan innebära övervakning eller kartläggning, eftersom ett utlämnande av uppgifter från en myndighet till en annan svårligen kan anses ha en effekt av övervakning eller kartläggning, trots att utlämnandet kan leda till att den mottagande myndigheten kartlägger enskilda.

2.2.4 … av den enskildes personliga förhållanden

Det som vidare behöver undersökas är om kartläggningen avser uppgifter om den enskildas personliga förhållanden. Det som avses med den enskildas personliga förhållanden är, enligt propositionen, exempelvis namn, andra personliga identifika- tionsuppgifter eller uppgifter som rör den enskildes hälsa. Enligt propositionen får vägledning hämtas från vad som enligt normalt språkbruk kan läggas i uttryckets betydelse.

40

Bull och Sterzel har angett att uttrycket enskildas personliga förhållanden omfattar sådana uppgifter som kan anses vara av privat natur och har samma betydelse som i 2 kapitlet tryckfrihetsförordningen

41

.

42

39 Prop. 2009/10:80 s 180-181.

40 Prop. 2009/10:80 s 177 med hänvisning till prop. 1975/76:160 s 109 och prop. 1979/80:2 s 84.

41 Tryckfrihetsförordning (1949:105).

42 Bull och Sterzel, 2010, s 78.

(18)

18

Läkemedelsverket hanterar uppgifter om enskilda individers hälsa och uppgifter om hälsa omfattas av begreppet enskildas personliga förhållanden, vilket talar för att Läkemedelsverkets hantering av kontrollgruppindividernas hälsouppgifter omfattas av begreppet enskildas personliga förhållanden. Det är oklart om det kan vara fråga om en kartläggning av den enskildas personliga förhållanden att lämna ut personuppgifter till Läkemedelsverket, eftersom det är tvivelaktigt om ett utlämnande kan innebära kartläggning. Men som ovan anförts ska med enskildas personliga förhållanden förstås hälsa och i detta fall är det är uppgifter om hälsa som lämnas ut.

2.2.5 Sammanfattning

I detta avsnitt har skyddet för den personliga integriteten enligt regeringsformen diskuterats i anslutning till hälso- och sjukvårdens utlämnande av personuppgifter till Läkemedelsverket och verkets hantering av dessa. Det finns vissa frågetecken som inte kan besvaras utan uttalanden från praxis, exempelvis vad som avses utgöra ett betydande intrång i den personliga integriteten och om ett utlämnande av uppgifter kan innebära kartläggning. Det är inte säkert att ett utlämnande av uppgifter från hälso- och sjukvården omfattas av grundlagsskyddet, eftersom det är svårt att argumentera för att ett utlämnande av personuppgifter från en myndighet till en annan får en effekt av kartläggning. Den sammanlagda bedömningen blir trots det anförda att den uppgiftshanteringen som sker hos Läkemedelsverket med avseende på kontrollgrupp- individernas hälsa omfattas av grundlagsskyddet för den personliga integriteten. Om uppgiftshanteringen hos verket omfattas av integritetsskyddet i regeringsformen uppstår frågan om det finns en lagreglerad avvikelse från detta skydd.

2.3 Kravet på lagstöd vid en inskränkning av den personliga integriteten

Enligt legalitetsprincipen utövas den offentliga makten under lagarna.

43

Enligt denna princip ska en myndighet ha författningsstöd för allt den gör. Ibland räcker det med att

43 Se, 1 kap 1 § 3 st regeringsformen.

(19)

19

stödet finns i en förordning, eller i en lägre föreskrift, medan det i andra fall krävs ett uttryckligt lagstöd för myndighetens ageranden.

44

Integritetsskyddet i regeringsformen kan enbart inskränkas genom lag

45

och får enbart begränsas för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle och får inte gå utöver det som är nödvändigt med hänsyn till det ändamål begränsningen har.

46

Av övergångbestämmelserna till ändringarna i regeringsformen framgår att fram till och med den 31 december 2015 behåller äldre föreskrifter, som innebär betydande intrång i den personliga integriteten, sin giltighet utan hinder av integritetsskyddet i regeringsformen. Sådana föreskrifter får fram till den 31 december 2015 ändras även om ändringen innebär att intrånget består.

47

Det sagda medför för detta examensarbete att för det fall det finns ett bemyndigande i för Läkemedelsverket att hantera uppgifter om kontrollgruppindivider för att bedriva forskning om läkemedelsbiverkningar så utgör integritetsskyddet i regeringsformen inget hinder för bemyndigandet. Då krävs det enbart enligt legalitetsprincipen att det finns stöd i lag eller i en förordning som regeringen har utfärdat efter bemyndigande av riksdagen, eller i en författning som en myndighet har utfärdat med bemyndigande av regeringen med riksdagens medgivande för att det rättsliga stödet ska vara godtagbart.

48

Om det däremot inte finns ett bemyndigande för Läkemedelsverket att hantera uppgifter om kontrollgruppindivider så skyddas dessa av integritetsskyddet i regeringsformen.

Enligt regeringsformen får rättigheter enligt 2 kapitlet enbart begränsas genom stöd i lag, vilket innebär att det är riksdagen som ska besluta om en rättighetsinskränkning.

49

För en illustration om legalitetsprincipens olika nivåer se bild 1 på nästa sida.

50

44 Bohlin och Warnling-Nerep, 2004, s. 14-15.

45 Se, 2 kap 20 § 2 p regeringsformen och 8 kap 1 § 1 st regeringsformen.

46 Se, 2 kap 21 § regeringsformen.

47 Se, 2 p under övergångsbestämmelserna till lagen (2010:1408) om ändring i regeringsformen.

48 Se, 8 kap 2 och 3 §§ regeringsformen.

49 Se, 2 kap 20 § 2 p regeringsformen och 8 kap 1 § 1 st regeringsformen.

50 Fritt återgett efter en beskrivning av Sterzel, 2012, s. 82-83.

(20)

20

NIVÅ 1:

1. Riksdagen beslutar i lag

NIVÅ 2:

1. Riksdagen bemyndigar

2. Regeringen meddelar förordning, eller

1. Riksdagen medger 2. Regeringen bemyndigar 3. Myndighetsföreskrift

NIVÅ 3 och NIVÅ 4:

1. Inget specificerat krav på lagstöd

Bild 1: Legalitetsprincipens fyra nivåer

(21)

21

3 Rätten till respekt för enskildas privatliv enligt europakonventionen

3.1 Allmänt om europakonventionens tillämplighet

I regeringsformen anges att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden enligt europakonventionen.

51

Konventionen ger enskilda rätt till respekt för deras privatliv och gäller som lag i Sverige.

52

Enligt Åhman är konventionen att betraktas som en rättskälla att ta hänsyn till vid tillämpning av inhemsk rätt.

53

Artikel 8 europakonventionen har följande lydelse.

”1. Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.”

I propositionen till europakonventionens inkorporering i svensk lag fastställdes att i det fall olika lagar skyddar fri- och rättigheter ska den lag som ger ett mer långtgående skydd tillämpas i det aktuella fallet. Konflikter mellan 2 kapitlet regeringsformen och europakonventionen bedömdes inte kunna uppstå.

54

De bestämmelser som skyddar den personliga integriteten i regeringsformen har dock tillkommit efter att europakonven- tionen trädde i kraft i Sverige och det är således tänkbart att vissa konflikter kan ha uppstått. Om inte annat är det möjligt att europakonventionen ger ett mer långtgående skydd för den personliga integriteten än regeringsformen, eftersom det i regerings- formen har satts upp ett flertal rekvisit som måste vara uppfyllda för att integritets- skyddet ska bli tillämpligt. Liknande rekvisit finns inte uppsatta i europakonventionen.

51 Se, 2 kap 19 § regeringsformen.

52 Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.

53 Åhman, 2010, s 13.

54 Prop. 1993/94:117 s 37.

(22)

22

Om europakonventionen ger ett mer långtgående skydd ska den tillämpas framför regeringsformen.

55

Artikel 8 punkt 1 i europakonventionen ger enskilda individer rätt till respekt för deras privatliv, familjeliv och korrespondens, medan punkt 2 diskuterar på vilket sätt avsteg från denna rättighet får företas. I kommande avsnitt kommer två frågor att behandlas.

Den första frågan är om europakonventionen kan skydda kontrollgruppindividernas rätt till respekt för deras privatliv. Den andra frågan är vilka krav konventionen ställer på den rättsliga reglering som inskränker rätten till respekt för enskildas privatliv.

3.2 Kontrollgruppindividerna och skyddet för enskildas privatliv enligt europakonventionen

3.2.1 Utlämnande av personuppgifter och behandling av uppgifter om hälsa

Europakonventionen stadgar att var och en har rätt till skydd för sitt privatliv. Kan ett utlämnande av hälsorelaterade uppgifter från hälso- och sjukvården till Läkemedels- verket, samt den hantering av känsliga personuppgifter som sker hos Läkemedelsverket, skyddas av konventionen?

I ett avgörande från Europadomstolen

56

, M.S. v. Sweden, hade ett sjukhus lämnat ut känslig medicinsk information till Försäkringskassan, bland annat, om en abort som en person hade genomgått, för att materialet skulle beaktas vid en prövning av personens ansökan om arbetsskadeersättning. Europadomstolen anförde att när personen ansökte om arbetsskadeersättning hade denne inte frångått sin rätt till respekt för privatlivet.

Domstolen menade att personen inte i samband med sin ansökan hade gett upp sin rätt att behandlas i enlighet med de krav som artikel 8 i europakonventionen uppställer. De journaler som skickades till Försäkringskassan innehöll mycket personliga och känsliga uppgifter. Även om journalerna fortfarande var hemliga, på grund av reglerna om överföring av sekretess, hade de lämnats över till en annan offentlig myndighet, till en

55 Prop. 1993/94:117 s 37.

56 Den europeiska domstolen för de mänskliga rättigheterna, härefter Europadomstolen, prövar enligt artikel 19 i europakonventionen staternas skyldigheter att leva upp till sina åtaganden.

(23)

23

bredare krets av tjänstemän, och insamlingen hos sjukhuset och utlämnandet till Försäkringskassan hade olika ändamål. Utlämnandet av dessa uppgifter stred därmed med sökandes rätt till respekt för dennes privatliv.

57

Det sagda innebär med andra ord att ett utlämnande av uppgifter kan innebära ett intrång i rätten till respekt för enskildas privatliv, enligt Europadomstolen. Domstolen har även tagit upp ändamålet med uppgiftsbehandlingen i sin bedömning, när domstolen har angett att insamlingen av uppgifterna hos sjukhuset och utlämnandet av uppgifterna till Försäkringskassan hade olika ändamål.

Domstolen har även angett att det är problematiskt ur integritetssynpunkt att ett flertal tjänstemän tar del av integritetskänsliga uppgifter, trots att uppgifterna är sekretess- skyddade hos den mottagande myndigheten genom bestämmelser om överföring av sekretess. Uttalandet är relevant för detta examensarbete, eftersom hälso- och sjukvården lämnar ut information om kontrollgruppindividerna till Läkemedelsverket.

Enligt domstolens resonemang kan ett utlämnande innebära intrång i rätten till respekt för enskildas privatliv, även om bestämmelserna om överföring av sekretess skyddar uppgifterna hos den mottagande myndigheten.

Europadomstolen har även fastställt att en korrekt hantering av information om personuppgifter, inte minst medicinska uppgifter, är av grundläggande betydelse för enskildas åtnjutande av rätten till respekt för privatlivet. Domstolen menar att det är en viktig princip i alla stater som har ratificerat konventionen att data som berör hälsa behandlas konfidentiellt. Enligt domstolen är det av yttersta vikt att data av detta slag behandlas varsamt, dels för att respektera känslan av privatlivet hos en patient, men även för att allmänheten ska ha tillit till hälso- och sjukvården. Domstolen hänvisar även till vissa bestämmelser i konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter, vilka till viss del motsvaras av personuppgiftslagens bestämmelser.

58

Det sagda innebär att den behandling som sker hos Läkemedelsverket om kontrollgruppindividernas hälsa omfattas av skyddet för enskildas privatliv enligt

57 Case of M.S. v. Sweden, Judgment of 27 August 1997, para. 31-35.

58 Case of Z. v. Finland, Judgment of 25 February 1997, para. 95, case of I. v. Finland, Judgment of 17 July 2008, para. 38 och Affaire C.C. c. Espagne, Arrêt 6 octobre 2009, para. 31.

(24)

24

europakonventionen, eftersom det är uppgifter om hälsa som behandlas hos Läkemedelsverket.

För att återkoppla till syftet blir det relevant att diskutera domstolens uttalanden om utlämnande i samband med avsnitt 4 när läkemedelsförordningen och offentlighets- och sekretesslagens regler behandlas. Uttalandet om ändamålen med behandlingen och att en korrekt hantering av medicinska personuppgifter är av yttersta vikt kommer att tas upp i avsnitt 6 när Läkemedelsverkets rätt att behandla känsliga personuppgifter behandlas.

3.2.2 Uppgifter i register

Den hantering av kontrollgruppindividernas personuppgifter som sker hos Läkemedels- verket sker genom en registerbehandling. Kan en registrering i en databas eller ett register medföra ett intrång i rätten till respekt för enskildas privatliv enligt konven- tionen? Finns det krav på samtycke vid registrering i databaser enligt Europadomstolen?

I ett avgörande från Europadomstolen hade en person vägrats viss anställning efter att säkerhetspolisen lämnat ut vissa uppgifter om denne vid en personalkontroll, utan att personen hade fått tillgång till uppgifterna eller möjlighet att bemöta uppgifterna.

Europadomstolen konstaterade att lagring i och utlämnande av information från en säkerhetsdatabas, utan möjlighet för den lagrade att bemöta informationen, utgjorde ett intrång i rätten till respekt för enskildas privatliv enligt artikel 8 i europakonventionen.

59

I ett annat avgörande från Europadomstolen hade en polismyndighet registrerat en person som prostituerad i en databas, eftersom personen hade dokumentation på sig som antydde att denne ville gå på promenader med män. Personen argumenterade emot registreringen, men blev trots detta registrerad som prostituerad. Europadomstolen uttalade att en registrering i polisens dataregister, på vaga grunder och mot den registrerades yttryckliga försäkran om att registreringen var felaktig, konstituerar en kränkning av den enskildas rätt till respekt för privatlivet.

60

59 Case of Leander v. Sweden, Judgment of 26 March 1987, para. 48.

60 Case of Khelili v. Switzerland, Judgment of 18 October 2011.

(25)

25

Ovan behandlade fall skyddar enskilda mot registrering i databaser, men kan även användas vid bedömningen av om en registrering sker mot enskilda individers samtycke. I det första fallet hade en registrering skett utan att personen över huvud taget var medveten om registreringen, vilket ansågs vara en kränkning av rätten till respekt för enskildas privatliv. I det andra fallet skedde en registrering mot personens uttryckliga vilja. Därmed kan en registrering mot någons vilja som mot någons vetskap innebära intrång i rätten till respekt för enskildas privatliv. Det sagda tyder på att den registrering av kontrollgruppindividernas personuppgifter som sker hos Läkemedels- verket skulle kunna innebära intrång i den personliga integriteten.

3.2.3 Medlemsstaternas skyldighet att vidta positiva åtgärder

Skyddet enligt artikel 8 i europakonventionen innebär inte enbart ett skydd mot intrång i rätten till respekt för enskildas privatliv, utan även en positiv förpliktelse för medlems- staterna att handla på ett sätt som garanterar att rättigheterna i artikeln inte kränks.

Europadomstolen har angett att artikel 8 medför en skyldighet för medlemsstaterna att vidta positiva åtgärder för att skydda enskildas privata sfär.

61

Domstolen har angett att staten har en positiv skyldighet att säkerställa att enskildas rätt till respekt för privatliv åtföljs, med bland annat stöd av ett system för regler om dataskydd och person- uppgiftshantering.

62

Att domstolen har tagit upp ändamålen med personuppgifts- behandlingen i ett annat avgörande,

63

ter sig naturligt med detta i åtanke.

Medlemsstaternas positiva skyldighet ger ett visst skydd för kontrollgruppindividerna, eftersom det enligt Europadomstolens avgöranden är ett krav att personuppgifter behandlas på ett korrekt sätt. För att återkoppla till syftet blir detta uttalande intressant när frågan om Läkemedelsverket rätt att behandla känsliga personuppgifter behandlas i avsnitt 6.

61 Case of Airey v. Ireland, Judgment of 9 October 1979, para. 17.

62 Case of I. v. Finland, Judgment of 17 July 2008, para. 36-49.

63 Se ovan under avsnitt 3.2.1.

(26)

26 3.2.4 Sammanfattning

Om det kan konstateras att det har skett en inskränkning av rätten till respekt för enskildas privatliv uppstår frågan om det finns en godtagbar avvikelse från denna rättighet. Det som talar för att det är fråga om en inskränkning av enskildas rätt till respekt för deras privatliv är följande. Enligt Europadomstolen medför ett utlämnande av sekretessreglerade uppgifter, trots reglerna om överföring av sekretess, att enskildas rätt till respekt för deras privatliv har kränkts. En registrering i en databas, utan möjlighet för enskilda att bemöta uppgifterna eller mot den registrerades uttryckliga vilja medför också intrång i rätten till respekt för privatlivet. Uppgifter om kontroll- gruppindividerna har lämnats ut från hälso- och sjukvården till Läkemedelsverket och verkat har behandlat uppgifterna i ett register utan samtycke. För att denna inskränkning ska vara godtagbar ställer europakonventionen upp vissa krav.

3.3 Inskränkningar i rätten till respekt för enskildas privatliv

3.3.1 Bakgrund till rättighetsinskränkningar

I artikel 8 i europakonventionen anges att rätten till respekt för enskildas privatliv enbart får inskränkas 1. genom lag 2. om det i ett demokratiskt samhälle är nödvändigt med hänsyn till 3. vissa allmänna eller enskilda intressen. Domstolen prövar först om det finns lagligt stöd för ingreppet, därefter om syftet med ingreppet är legitimt och slutligen om ingreppet är nödvändigt i förhållande till syftet.

Tanken är att staten ska avhålla sig från ingrepp i den skyddade rättigheten och att inskränkningar i denna rättighet ska stå i proportion med inskränkningarnas syfte. Varje konventionsstat har rätt att själva bedöma vad som är rimligt, de har en så kallad margin of appreciation,

64

men Europadomstolen övervakar staterna enligt artikel 19 i europa- konventionen. I det följande kommer praxis från Europadomstolen att behandlas, för att klargöra vad som avses med begreppen genom lag, allmänna eller enskilda intressen och nödvändig.

64 Danelius, 2007, s 302 och 305.

(27)

27 3.3.2 En inskränkning genom lag…

Om en rättighet enligt artikel 8 europakonventionen har inskränkts uppstår först frågan om det finns en laglig grund för inskränkningen. För att vara en godtagbar inskränkning i rättigheterna som föreskrivs i första stycket i artikel 8 krävs det att inskränkningen sker genom lag. Detta stadgande ger uttryck för legalitetsprincipen, som innebär – förutom att föreskriften har laglig grund – att kvalitén i utformningen är god.

Europadomstolen har angett att det är domstolens uppgift att fastslå ifall lagen, med rimlig tydlighet, klargör myndigheternas befogenheter inom ett visst område.

65

Domstolen har angett att när det gäller allvarliga ingrepp i privatliv och korrespondens krävs det ett särskilt tydligt lagstöd för att dessa ingrepp ska vara godtagbara. Den lag som reglerar ingreppen ska vara klar och detaljerad. Domstolen har angett bland annat att begreppet genom lag kräver dels att åtgärden bör ha grund i nationell rätt, vara av god kvalitet, vara tillgänglig för den berörda parten, vara förutsebar för alla och vara förenlig med rättsstatsprincipen.

66

Enligt Europadomstolen är det en grundläggande princip att uppgifter om enskilda individers hälsa behandlas konfidentiellt och korrekt.

67

Skulle denna princip kunna tolkas så att en behandling av dessa uppgifter innebär ett allvarligt ingrepp i rätten till respekt för enskildas privatliv? Om så är fallet skulle det medföra att den lag som reglerar utlämnandet av uppgifter till och behandlingen av kontrollgruppindividernas personuppgifter hos Läkemedelsverket behöver klargöra myndigheternas befogenheter, ha laglig grund, vara av god kvalitet och dessutom vara förutsebar för alla.

De krav som legalitetsprincipen enligt europakonventionen uppställer medför, enligt Ehrenkrona, att enskilda måste få en uppfattning om under vilka omständigheter och vilka kategorier av personer som riskerar att övervakas av staten. Därutöver finns det enligt Ehrenkrona krav på att det i lagen ska anges vilka försiktighetsåtgärder som

65 Case of Malone v. the United Kingdom, Judgment of 2 August 1984, para. 66 och 79.

66 Case of Kruslin v. France, Judgment of 24 April 1990, para. 27, 35 och 36, Huvig v. France, Judgment of 24 April 1990, para. 26, 34 och 35.

67 Case of I. v. Finland, Judgment of 17 July 2008, para. 38.

(28)

28

vidtas när informationen delas med andra myndigheter. Brister det i något av dessa hänseenden är det fråga om konventionsbrott.

68

Som ovan anförts har domstolen i rättsfallet M.S. v. Sweden uttalat att ett utlämnande av medicinskt integritetskänsliga uppgifter till en annan myndighet innebär intrång i rätten till respekt för enskildas privatliv enligt artikel 8 europakonventionen. Frågan i fallet blev då om det fanns stöd i lag för en sådan inskränkning. Domstolen angav att en skyldighet att lämna ut information följer av offentlighets- och sekretesslagens 10 kapitel 28 §,

69

där det stadgas att utlämnande får ske om uppgiftsskyldighet följer av lag eller förordning. I arbetsskadeförsäkringslagen finns en sådan uppgiftsskyldighet. Där anges att

”Myndighet, arbetsgivare och uppdragsgivare är skyldiga att på begäran lämna domstol, Försäkringskassan eller Pensionsmyndigheten uppgift om namngiven person rörande förhållande som är av betydelse för tillämpningen av denna lag”.70

Domstolen konstaterade vidare att den information som i fallet lämnades till Försäkringskassan omfattades av sekretess, enligt reglerna om överföring av sekretess.

Därmed ansåg domstolen att intrånget i rättigheten hade laglig grund och var fullt förutsebart för enskilda.

71

I fallet var det rättsliga stödet för inskränkningen tydligt. Offentlighets- och sekretesslagen föreskriver att sekretess inte gäller om uppgiftsskyldighet följer av lag.

Denna uppgiftsskyldighet framgår av lagen om arbetsskadeförsäkring. Fallet kan jämföras med den reglering som stadgar att hälso- och sjukvården ska lämna ut personuppgifter till Läkemedelsverket för att vetenskapligt utvärdera uppgifter om biverkningar. Är det rättsliga stödet för uppgiftsskyldigheten lika tydligt och förutsebart för enskilda? Denna diskussion kommer att föras under avsnitt 4 där reglerna för utlämnande analyseras.

68 Ehrenkrona, 2007, s 38-49.

69 Dåvarande sekretesslagens (1980:100) 14 kap 1 §.

70 Se, 8 kap 7 § lag (1976:380) om arbetsskadeförsäkring.

71 Case of M.S. v. Sweden, Judgement of 27 August 1997, para. 17-20 och 36-37.

(29)

29

3.3.3 … för att tillgodose ett allmänt eller enskilt intresse…

Förutom att en inskränkning förutsätter stöd i lag kräver artikel 8 även att inskränkningen tjänar ett legitimt syfte. Exempel på relevanta syften för detta arbete är att säkerställa den allmänna säkerheten eller skydda hälsa. Den princip som kommer till uttryck här benämns proportionalitetsprincipen och innebär att intresset av integritetsintrånget ska vara godtagbart för ett visst syfte eller ändamål.

72

Utlämnande av kontrollgruppindividernas personuppgifter och den behandling av dessa som sker hos Läkemedelsverket sker främst för att skydda allmänhetens hälsa.

Uppräkningen av de legitima ändamålen i andra stycket i artikel 8 europakonventionen är omfattande och de olika ändamålen är allmänt formulerade. Enligt Danelius är det i de flesta fallen möjligt att hänföra ett ingrepp till någon av dessa kategorier.

73

Det är således fullt tänkbart att Europadomstolen skulle anse att intresset för allmänhetens hälsa är ett legitimt syfte att inskränka enskildas rätt till respekt för deras privatliv.

För att kunna genomföra en proportionalitetsbedömning har domstolen uttalat att staten till detta syfte har en stor bedömningsmarginal, margin of appreciation, men att det måste finnas effektiva garantier mot missbruk.

74

Enligt Ehrenkrona är bedömnings- marginalen snävare vid åtgärder som innebär intrång i den personliga integriteten än beträffande äganderättsintrång eller intrång i yttrandefriheten.

75

Detta skulle medföra att Sverige inte har en stor bedömningsmarginal när det kommer till att tillåta intrång i den personliga integriteten.

3.3.4 … som är nödvändig i ett demokratiskt samhälle

Om en inskränkning av en rättighet föreligger och den har lagstöd och ett legitimt syfte uppstår frågan om inskränkningen är nödvändig i ett demokratiskt samhälle. Det sista ledet i bedömningen avser således bedömningen om ingreppet i rättigheten anses vara proportionellt i förhållande till syftet

76

72 Danelius, 2007, s 305.

73 Danelius, 2007, s 305.

74 Case of Leander v. Sweden, Judgment of 26 March 1987, para. 59-67.

75 Ehrenkrona, 2007, s 38-49.

76 Danelius, 1993, s 192.

(30)

30

I M.S. v. Sweden har Europadomstolen behandlat denna fråga. Frågan var om ett utlämnande av uppgifter av privat natur var nödvändigt i ett demokratiskt samhälle.

Domstolen ställde upp tre frågor i anslutning till detta. Den första frågan var om intrånget var relevant. Domstolen konstaterade att Försäkringskassan, utan tillgång till information från en oberoende källa, svårligen hade kunnat bedöma om de ansökningar som medborgare lämnade in var välgrundade. Den information som sjukhuset lämnade till Försäkringskassan var, även i detta fall med informationen om aborten, relevant för bedömningen om enskildas rätt till arbetsskadeersättning. Den andra och tredje frågan var om intrånget var tillräckligt och stod i rimlig proportion med det ändamål som eftersträvades. Domstolen angav att det var ett krav enligt lag att lämna ut denna information till Försäkringskassan vid begäran och informationen som lämnades till Försäkringskassan förblev dessutom sekretessreglerad, enligt reglerna om överföring av sekretess. Därmed ansåg domstolen att det fanns relevanta och tillräckliga skäl att lämna ut journalerna till Försäkringskassan och att intrånget stod i rimlig proportion med det ändamål som eftersträvades och ansågs därmed vara nödvändigt i demokratiskt samhälle.

77

När det kommer till de frågor som ska behandlas i detta arbete är det inte möjligt att framföra hur Europadomstolen skulle resonera kring nödvändighets- bedömning utan att först ha behandlat den reglering som ligger till grund för utlämnande och personuppgiftsbehandling.

3.4 Sammanfattning

Uppgifter om enskilda individers hälsa omfattas av begreppet privatliv och ett utlämnande av hälsorelaterade uppgifter innebär en inskränkning i enskildas rätt till respekt för deras privatliv. Legalitetsprincipen, som den kommer till uttryck till i europakonventionen, ställer ett flertal krav på de inskränkningar som sker i rätten till respekt för enskildas privatliv. Inskränkningen måste med rimlig tydlighet klargöra myndigheternas befogenheter, var tydlig och förutsebar, ske för ett godtagbart syfte och vara nödvändigt i ett demokratiskt samhälle. Därutöver har stater som har ratificerat konventionen en skyldighet att vidta positiva åtgärder för att säkerställa att individernas

77 Case of M.S. v. Sweden, Judgment of 27 August 1997, para. 42-44.

(31)

31

rätt till respekt för deras privatliv åtföljs, med stöd av ett system för säkerhets- övervakning och databehandling.

Den sammanlagda bedömningen blir att ett utlämnande av uppgifter från hälso- och

sjukvården till Läkemedelsverket och en behandling av uppgifterna hos verket

inskränker kontrollgruppindividernas rätt till respekt för deras privatliv enligt

europakonventionen. Frågan som då uppkommer är om de rekvisit som

Europadomstolen i sin praxis har uppställt för att en inskränkning i rättigheten ska anses

vara godtagbar är uppfyllda. För att kunna besvara detta måste regleringen först

behandlas.

(32)

32

DEL 3: Det rättsliga stödet för en inskränkning i

integritetsskyddet

Utlämnande av personuppgifter från

hälso- och sjukvården till Läkemedels-

verket med bakgrund i det skydd som

regeringsformen och europakonven-

tionen uppställer.

(33)

33

4 Sekretess inom hälso- och sjukvård och utlämnande av uppgifter till Läkemedelsverket

4.1 Allmänt om sekretess och sekretessbrytande bestämmelser

Syftet med detta examensarbete är delvis att undersöka i vilken mån hälso- och sjukvården kan lämna ut uppgifter om kontrollgruppindivider till Läkemedelsverket och om detta utlämnande är godtagbart med beaktande av det integritetsskydd som regleras i europakonventionen

78

. I kommande avsnitt kommer möjligheterna för hälso- och sjuk- vården att lämna ut information till forskning om läkemedelsbiverkningar att behandlas.

Enligt offentlighets- och sekretesslagen gäller sekretess inom hälso- och sjukvården för uppgifter om enskildas hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men.

79

Det är således fråga om ett omvänt skaderekvisit, vilket innebär att det råder en presumtion för sekretess.

80

Utgångspunkten är att de uppgifter som hälso- och sjukvården har tillgång till är skyddade av sekretess till förmån för enskilda, trots huvudprincipen om offentlighet.

81

Det finns vissa sekretessbrytande bestämmelser i offentlighets- och sekretesslagen.

Sekretessen kan brytas genom offentlighets- och sekretesslagen eller genom en hänvisning i lagen till en lag eller förordning.

82

Om uppgiftsskyldighet följer av lag eller förordning hindrar sekretess inte att en uppgift lämnas till en annan myndighet.

83

Det finns vissa stadganden i läkemedelsförordningen och hälsodataregisterlagen som reglerar uppgiftsskyldighet och som därmed ska utredas för att få klarhet i vad som får lämnas ut till Läkemedelsverket. I kommande avsnitt ägnas uppmärksamhet åt dessa författningar, samt åt offentlighets- och sekretesslagen.

78 Eftersom det är tvivelaktigt om ett utlämnande av uppgifter kan anses innebära kartläggning kommer integritetsskyddet enligt regeringsformen inte att behandlas i detta avsnitt.

79 Se, 25 kap 1 § offentlighets- och sekretesslagen.

80 Lenberg m fl, 2010, s 19-20, med hänvisning till prop. 1979/80:2 del A s 82.

81 Se, 2 kap 2,3,6,7 och 12 §§ tryckfrihetsförordningen.

82 Se, 8 kap 1 § och 10 kap 28 § offentlighets- och sekretesslagen.

83 Se, 10 kap 28 § offentlighets- och sekretesslagen. I 8 kap 1 och 2 §§ offentlighets- och sekretesslagen anges att sekretess gäller mellan olika myndigheter.

(34)

34

4.2 Läkemedelsförordningens och hälsodataregisterlagens sekretessbrytande effekt?

Enligt läkemedelsförordningen får Läkemedelsverket föra hälsodataregister, enligt hälsodataregisterlagen.

84

I hälsodataregisterlagen anges att den som bedriver verksamhet inom hälso- och sjukvård ska lämna uppgifter till ett hälsodataregister för framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård samt för forskning och epidemiologiska undersökningar.

85

Lagen reglerar inte frågan om uppgifter får lämnas ut med hänsyn till rådande sekretess, utan tar enbart sikte på i vilken form och med stöd av vilken teknik åtkomst till uppgifter i hälsodataregister får ges. Ett utlämnande måste således alltid föregås av en sekretess- prövning.

86

Av lagen framgår att bestämmelser om begränsningar i rätten att lämna ut uppgifter finns i offentlighets- och sekretesslagen.

87

I propositionen till lagen anges att den närmare utformningen av uppgiftsskyldigheten ska tas in i respektive registerförordning,

88

vilket för detta examensarbete innebär att den närmare utformningen ska framgå av läkemedelsförordningen. Av läkemedels- förordningen framgår att hälsodataregister får föras för att

”tillgodose behovet av uppgifter för de ändamål som anges i 9 § läkemedelslagen (1992:859) samt för framställning av statistik och för forskning”.89

Ändamålen som anges i 9 § läkemedelslagen är att samla in, lagra, registrera och vetenskapligt utvärdera uppgifter om biverkningar. Det framgår inte av lagtexten vilka uppgifter eller vilka kategorier av människor som omfattas av uppgiftsskyldigheten. För att kunna besvara frågan om det finns en laglig inskränkning av kontrollgrupp- individernas integritetsskydd behöver det undersökas vilka uppgifter som får lämnas ut till Läkemedelsverket för att verket enligt läkemedelslagen vetenskapligt ska kunna utvärdera uppgifter om biverkningar.

84 Se, 4 kap 5 § läkemedelsförordning.

85 Se, 6 § som hänvisar till 3 § hälsodataregisterlagen.

86 Prop. 1997/98:108 s 93 som diskuterar tillämpningen av 9 § i hälsodataregisterlagen.

87 Se, 10 § hälsodataregisterlagen.

88 Prop. 1997/98:108 s 55.

89 Se, 4 kap 5 § läkemedelsförordningen.

References

Download now ( PDF - 70 Page - 571.89 KB )

Outline

Läkemedelsförordningens och hälsodataregisterlagens sekretessbrytande effekt? . 34 Regeringen meddelar undantag från sekretess Läkemedelsverkets rätt att hantera uppgifter om kontrollgruppindivider enligt Behandling av känsliga personuppgifter inom hälso- och sjukvård Behandling av känsliga personuppgifter för forskningsändamål Avslutande avsnitt

Related documents

Promemoria Ett ändrat förfarande för att anmäla områden som omfattas av begränsningen av rätten till dagersättning vid eget boende

2 (4) 19 Göteborgs kommun 20 Helsingborgs kommun 21 Huddinge kommun 22 Hultsfreds kommun 23 Hylte kommun 24 Högsby kommun 25 Justitieombudsmannen 26

Borlänge kommuns y ttrande gällande promemoriaEtt ändrat förfarande för att anmäla områden somomfattas av begränsingen av rätten till dagersätt-ning vid eget boe nde

Graden av arbetslöshet och av sysselsättning, andelen mottagare av försörj- ningsstöd, skolresultaten, utbildningsnivån och valdeltagandet är förhållanden som sammantaget

115 76 Stockholm • Besöksadress: Tegeluddsvägen 1 • Telefon: 08-561 680 00 • Fax: 08-561 680 01 • forvaltningsrattenistockholm@dom.se • www.forvaltningsrat- tenistockholm.domstol.se

Detta yttrande har beslutats av chefsrådmannen Karin Dahlin efter föredragning av förvaltningsrättsfiskalen Amanda Hägglund.

Behandling av känsliga uppgifter i testverksamhet

Detta beslut har fattats av enhetschefen Charlotte Waller Dahlberg efter föredragning av juristen Elena Mazzotti Pallard. Charlotte Waller Dahlberg, 2020-04-17 (Det här är

Remissyttrande för Promemorian Behandling av känsliga personuppgifter i testverksamhet

115 76 Stockholm • Besöksadress: Tegeluddsvägen 1 • Telefon: 08-561 680 00 • Fax: 08-561 680 01 • forvaltningsrattenistockholm@dom.se •

Behandling av känsliga personuppgifter i testverksamhet

Den föreslagna ändringen har bakgrund i att behandlingen av biometriska data i testverksamhet kommer att behövas för att Sverige ska kunna förbereda sig för användandet av

Promemorian Behandling av känsliga personuppgifter i testverksamhet YTTRANDE

Förslaget i promemorian medför att känsliga personuppgifter får behandlas för testverksamhet inte bara av Polismyndigheten utan också av Migrationsverket och utlandsmyndigheterna

Franzén, fru Lenngren, C. G. B. Peschek och Horatius

Den erotiska epikureismen framträder rätt obeslöjad hos Peschek, är mera dold hos Franzén och saknas helt hos fru Lenngren — som väl verkligen framlämnade