Lag (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel
Utfärdad:
Ikraftträdandedatum:
Källa: Regeringskansliets rättsdatabaser m.fl.
SFS nr: 2016:526
Departement: Socialdepartementet
Ändring införd: t.o.m. SFS 2018:489
Länk: Länk till register
2016:526
Departement/myndighet:
Socialdepartementet
Utfärdad:
2016-05-26
Ändrad:
t.o.m. SFS
2018:489
Ändringsregister:
SFSR (Regeringskansliet)
Källa:
Fulltext (Regeringskansliet)
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter för de ändamål som avses i 8 eller 9 § hos Läkemedelsverket och E-hälsomyndigheten i ärenden angående ansökan om licens för läkemedel, om behandlingen av personuppgifterna är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.Definitioner
2 § Med licens avses i denna lag ett tillstånd enligt 4 kap. 10 § läkemedelslagen (2015:315) för öppenvårdsapotek att sälja läkemedel för att tillgodose behovet av läkemedel för en viss patient, ett visst djur eller djurslag eller en viss djurbesättning. Med öppenvårdsapotek avses i denna lag en inrättning för detaljhandel med läkemedel som bedrivs med tillstånd enligt 2 kap. 1 § lagen (2009:366) om handel med läkemedel.Lag (2018:489).
Förhållandet till annan reglering
3 § I denna lag har de uttryck som också förekommer i läkemedelslagen (2015:315) samma betydelse som i den lagen. Vad som i denna lag föreskrivs i fråga om läkemedel ska också gälla sådana varor och varugrupper för vilka det med stöd av 18 kap. 2 § läkemedelslagen har föreskrivits att läkemedelslagen helt eller delvis ska gälla.4 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Lag (2018:453).Krav på behandling
5 § Personuppgifter ska behandlas så att den registrerades personliga integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.Den registrerades inställning till personuppgiftsbehandlingen
6 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.Personuppgiftsansvar
7 § Läkemedelsverket är personuppgiftsansvarigt för myndighetens personuppgiftsbehandling i ärenden om ansökan om licens. E-hälsomyndigheten är personuppgiftsansvarig för myndighetens personuppgiftsbehandling i ärenden om ansökan om licens.Ändamål med personuppgiftsbehandlingen
8 § Personuppgifter får behandlas enligt denna lag om det är nödvändigt för att1. Läkemedelsverket ska kunna fatta beslut i ärenden om ansökan om licens och bevara uppgifter i sådana beslut,
2. Läkemedelsverket enligt 12 § ska kunna lämna ut uppgifter,
3. E-hälsomyndigheten ska kunna ta emot och bevara uppgifter i ärenden om ansökan om licens,
4. E-hälsomyndigheten ska kunna sammanföra handlingar i ärenden om ansökan om licens, och
5. E-hälsomyndigheten enligt 13-15 §§ ska kunna lämna ut uppgifter.9 § Personuppgifter som behandlas enligt 8 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Lag (2018:453).
Behandling av känsliga personuppgifter
9 a § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt. Lag (2018:453).Sökbegränsning
10 § Vid behandling av personuppgifter får förskrivningsorsak inte användas som sökbegrepp.Utlämnande på medium för automatiserad behandling
11 § Får en personuppgift lämnas ut, får det ske på medium för automatiserad behandling.Skyldighet att lämna ut uppgifter
12 § Läkemedelsverket ska till E-hälsomyndigheten lämna ut uppgifter i ärenden om ansökan om licens.13 § E-hälsomyndigheten ska till Läkemedelsverket lämna ut uppgifter i ärenden om ansökan om licens.14 § E-hälsomyndigheten ska lämna ut uppgifter i ärenden om ansökan om licens till expedierande personal på öppenvårdsapotek som i sin verksamhet har behov av sådana uppgifter.15 § E-hälsomyndigheten ska lämna ut uppgifter i ärenden om ansökan om licens till den som är behörig att förordna läkemedel och som i sin verksamhet har behov av sådana uppgifter.Direktåtkomst
16 § Expedierande personal på ett öppenvårdsapotek får, med den sökbegränsning som följer av 10 §, ha direktåtkomst till sådana personuppgifter i ärenden om ansökan om licens hos E-hälsomyndigheten som personalen i sin verksamhet har behov av. Den som är behörig att förordna läkemedel får, med den sökbegränsning som följer av 10 §, ha direktåtkomst till personuppgifter i sådana ärenden om ansökan om licens hos E-hälsomyndigheten som innehåller personuppgifter som han eller hon själv har lämnat till myndigheten. Patienten får ha direktåtkomst till personuppgifter om sig själv i ärenden om ansökan om licens hos E-hälsomyndigheten.Behörighetstilldelning17 § Den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för åtkomst till personuppgifter som helt eller delvis behandlas automatiskt. Behörigheten ska begränsas till vad som behövs för att den som arbetar på Läkemedelsverket eller E-hälsomyndigheten ska kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tilldelning av behörighet för åtkomst till personuppgifter som helt eller delvis behandlas automatiskt.
Åtkomstkontroll
18 § Den personuppgiftsansvarige ska se till att åtkomst till personuppgifter som helt eller delvis behandlas automatiskt dokumenteras så att åtkomsten kan kontrolleras i efterhand. Den personuppgiftsansvarige ska systematiskt och återkommande kontrollera om någon obehörigen kommer åt sådana uppgifter. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om dokumentation och kontroll.Gallring
19 § Personuppgifter som bevaras ska gallras hos Läkemedelsverket och E-hälsomyndigheten senast 36 månader efter Läkemedelsverkets beslut i ärendet. Personuppgifter som lämnats till E-hälsomyndigheten av någon som är behörig att förordna läkemedel ska, om uppgifterna inte sammanförts med en ansökan om licens, gallras hos E-hälsomyndigheten senast 12 månader efter det att uppgifterna har kommit in till myndigheten.20 § Har upphävts genom lag (2018:453).Information
21 § Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om1. den uppgiftsskyldighet som kan följa av lag eller förordning,
2. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,
3. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och
4. vad som gäller i fråga om sökbegränsningar.
Lag (2018:453).