Tandvårdens stöd till våldsutsatta patienter

Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.

Sammantaget kan IMY inte tillstyrka förslagen på förevarande underlag eftersom det saknas en gedigen integritetsanalys. I det fortsatta beredningsarbetet behöver det göras ytterligare överväganden och då kan med fördel IMY:s Vägledning för integritetsanalys i lagstiftningsarbetet (1) användas. Vägledningen innehåller en metod för att analysera om ett förslag är förenligt med framför allt bestämmelserna i dataskyddsförordningen.

IMY lämnar följande synpunkter.

Inledningsvis konstaterar IMY att utredningen har gett en tydlig beskrivning av området som avses regleras och vad som ska uppnås med förslagen.

När det gäller behandling av personuppgifter om enskilda som blivit utsatta för våld eller utpekade gärningspersoner (2) måste dock bestämmelserna i dataskyddsförordningen följas. För varje författningsförslag måste en bedömning göras av om det finns en rättslig grund för personuppgiftsbehandlingen enligt artikel 6 i dataskyddsförordningen. Det innefattar när det gäller artikel 6.1 c eller e – det vill säga de rättsliga grunder som är aktuella vid personuppgiftsbehandling hos myndigheter eller inom vården – en nödvändighets- och proportionalitetsbedömning, se vidare kraven i artikel 6.3. Den nationella regleringen behöver härvid uppfylla dataskyddsförordningens krav på proportionalitet samt tydlighet, precision och förutsägbarhet för de registrerade.(3)

Vid behandling av särskilda kategorier av personuppgifter (så kallade känsliga personuppgifter), exempelvis om hälsa, är sådan behandling förbjuden enligt artikel 9.1 i dataskyddsförordningen och får bara behandlas om det finns ett tillämpligt undantag från förbudet i artikel 9.2. Eftersom förslaget innebär att personuppgifter om enskildas hälsa kommer att behandlas kan det ske bara om ett av undantagen föreligger.

I betänkandet anförs att behandlingen av patientens personuppgifter får anses bygga på patientens samtycke. IMY vill framhålla att även om en enskild person samtycker till vård eller väljer att ansöka om en förmån eller annat stöd är det inte samma sak som ett samtycke enligt dataskyddsförordningen. Samtycke är varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. (4) Det är dessutom så att myndigheter och vårdgivare har begränsade möjligheter att använda samtycke (artikel 6.1 a i dataskyddsförordningen) som rättslig grund eftersom obalansen i maktförhållandet mellan myndigheter eller vårdgivare och den enskilda personen medför att det krav på frivillighet som gäller för samtycke oftast inte är uppfyllt (5). I förevarande fall synes det dessutom kunna bli aktuellt med behandling av personuppgifter om utpekade gärningspersoner och inte enbart patienters personuppgifter.

Det är positivt att utredningen har identifierat att personuppgiftsbehandling ska omfatta endast de personuppgifter som behövs för behandlingen och förhandsbedömningen.Det är i linje med den grundläggande principen om uppgiftsminimering, som innebär att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.(6) Denna bestämmelse ska följas för alla slag av personuppgifter, även vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser.

När det gäller personuppgifter som rör lagöverträdelser har IMY i ett rättsligt ställningstagande redogjort för myndighetens uppfattning om innebörden av begreppet ”personuppgifter som rör lagöverträdelser som innefattar brott” i artikel 10 i dataskyddsförordningen.(7) Ställningstagandet innehåller också en redogörelse för de rättsliga förutsättningar som är förknippade med i vilka situationer det kan vara tillåtet att behandla personuppgifter som rör lagöverträdelser.

Fotnoter

(1) Vägledning för integritetsanaly i lagstiftningsarbetet (pdf, 532 kB) 
(2) Betänkandet s. 221 om att sakomständigheterna ofta kommer vara tillräckliga för att sluta sig till vem som är utpekad gärningsperson.
(3) Skäl 41 till dataskyddsförordningen.
(4) Artikel 4.11 i dataskyddsförordningen.
(5) Jfr skäl 43 i dataskyddsförordningen.
(6) Artikel 5.1 c i dataskyddsförordningen.
(7) IMYRS 2021-1 Lagöverträdelser (pdf, 895 kB) 

Detta yttrande har beslutats av den tillförordnade enhetschefen Linn Sandmark efter föredragning av avdelningsdirektören Suzanne Isberg.

Linn Sandmark, 2023-06-14 (Det här är en elektronisk signatur)