Regeringen föreslår en ny lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. Förslaget ska göra det möjligt för myndigheten att behandla personuppgifter för att genomföra sitt kärnuppdrag.
Lagen ska komplettera den allmänna dataskyddsförordningen (GDPR) och gälla vid myndighetens behandling av personuppgifter som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. Lagen ska dock endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Primära och sekundära ändamål
Myndigheten ska få behandla personuppgifter om det är nödvändigt för undersökningar om vårdens och omsorgens funktionssätt eller effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg. Vidare ska myndigheten få behandla personuppgifter om det är nödvändigt för utvärderingar av information om vård och omsorg som lämnas till enskilda, eller utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Därutöver ska myndigheten även få använda personuppgifter för att framställa statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser.
Personuppgifter som behandlas för dessa primära ändamål ska även få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen bedömer att det inte bör införas en bestämmelse som ger uttryck för den så kallade finalitetsprincipen i lagen (med finalitetsprincipen avses GDPR:s grundprincip om ändamålsbegränsning, se artikel 5.1 b GDPR). Regeringen anser att finalitetsprincipen gör det möjligt att behandla personuppgifter för andra ändamål än de specificerade ändamål som myndigheten fastställer vid insamlingstillfället.
Behandlingar styrs av projekt
Behandling av personuppgifter för primära ändamål ska ske inom ramen för ett projekt, utom när behandling av personuppgifter utförs för omvärldsbevakning eller planering av verksamheten. Med projekt ska avses en planerad arbetsinsats som genomförs inom bestämda ramar.
Innan personuppgifter får behandlas inom ramen för ett projekt ska myndigheten fastställa syftet med projektet, vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser, som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden, som ska analyseras i projektet och när projektet senast ska vara avslutat. Det syfte som har fastställts ska inte få ändras. Information om vad som har fastställts ska hållas tillgänglig på myndighetens webbplats.
Personuppgifter som har samlats in inom ramen för ett projekt ska inte få behandlas i ett annat projekt. Personuppgifter ska dock få behandlas i ett annat projekt än det de samlats in för om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.
Registrerades rättigheter
Registrerads rätt att göra invändningar enligt artikel 21.1 GDPR ska inte gälla vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar ska dock gälla när personuppgifterna samlas in direkt från den registrerade.
Om personuppgifter samlas in direkt från den registrerade, ska de endast få behandlas om den registrerade har lämnat sitt ”uttryckliga medgivande” till behandlingen (ett uttryckligt medgivande enligt lagen likställs inte med ett uttryckligt samtycke enligt artikel 9.2 a GDPR, ett medvetet val från lagstiftarens sida). Om ett medgivande återkallas, ska de personuppgifter som omfattas av det återkallade medgivandet raderas, dock med undantag.
Skyddsåtgärder
För att skydda registrerade föreslås sökbegränsningar för känsliga personuppgifter, dock inte för uppgifter om lagöverträdelser. Vidare ska personuppgifter skyddas av åtgärder för pseudonymisering vilket bland annat innebär att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Även tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid myndigheten. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Särskilda bestämmelser om lämpliga tekniska eller organisatoriska säkerhetsåtgärder har inte införts i lagen. I skälen lyfter regeringen dock att den personuppgiftsansvarige (myndigheten, se nedan) ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med artikel 24.1 GDPR om personuppgiftsansvarigs ansvar för lämpliga säkerhetsåtgärder och artikel 32.1 GDPR om lämpliga säkerhetsåtgärder.
Regeringen bedömer att det inte bör införas en bestämmelse om gallring eller längsta tid för behandling av personuppgifter i lagen.
Personuppgiftsansvar
Myndigheten för vård- och omsorgsanalys ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.
Lagen föreslås träda i kraft den 1 januari 2025.