DOM Meddelad i Stockholm

Transkript

1 Avdelning 32 DOM Meddelad i Stockholm Mål nr KLAGANDE E-Hälsomyndigheten Ombud: Advokaterna Fredrik Lundblom och Nicklas Thorgerzon Advokatfirman Vinge KB Box Stockholm MOTPART Datainspektionen Box Stockholm ÖVERKLAGAT BESLUT Datainspektionens beslut , se bilaga 1 SAKEN Tillämpning av personuppgiftslagen FÖRVALTNINGSRÄTTENS AVGÖRANDE Förvaltningsrätten avslår överklagandet. Dok.Id Postadress Besöksadress Telefon Telefax Expeditionstid Tegeluddsvägen måndag fredag Stockholm E-post: forvaltningsrattenistockholm@dom.se 08:00 16:30

2 2 BAKGRUND E-hälsomyndigheten har enligt sin instruktion i uppdrag att tillhandahålla en elektronisk tjänst för personliga hälsokonton Hälsa för mig. I 3 första stycket förordningen (2013:1031) med instruktion för E- hälsomyndigheten anges att myndigheten ska tillhandahålla en elektronisk tjänst som ger enskilda personer möjlighet att i ett personligt hälsokonto kostnadsfritt lagra uppgifter om sin hälsa. Handlingar i ett personligt hälsokonto får endast förvaras hos myndigheten i form av teknisk lagring för enskilds räkning. I andra stycket anges att myndigheten ska ge tredje part möjlighet att ansluta tillämpningar och tjänster till den elektroniska tjänsten. Anslutning av tillämpningar och tjänster till en enskilds personliga hälsokonto får enbart göras med den enskildes uttryckliga samtycke. Datainspektionen, som är tillsynsmyndighet enligt personuppgiftslagen (1998:204), PUL, har genomfört tillsyn avseende tjänsten Hälsa för mig i syfte att kontrollera de grundläggande rättsliga förutsättningarna för E- hälsomyndighetens behandling av personuppgifter i tjänsten. Vid tidpunkten för inspektionens tillsyn var tjänsten inte satt i drift. Datainspektionen beslutade den 21 april 2017 att: 1. Förelägga E-hälsomyndigheten att analysera sitt personuppgiftsansvar och innan personuppgifter behandlas i tjänsten Hälsa för mig, se till att nödvändiga åtgärder vidtagits för att E-hälsomyndigheten ska kunna ta ansvar för den behandling av personuppgifter som kommer att ske i tjänsten. E-hälsomyndigheten måste också se till att informationen till de registrerade gällande personuppgiftsansvaret är korrekt.

3 3 2. Förelägga E-hälsomyndigheten att, innan personuppgifter behandlas i tjänsten Hälsa för mig, se till att det finns rättsligt stöd för behandlingen och, om det är fråga om känsliga personuppgifter, att det finns ett giltigt undantag från förbudet mot att behandla känsliga personuppgifter. Vid bedömningen ska beaktas kravet på samtycke, dvs. att samtycke ska vara en frivillig, särskild och otvetydig viljeyttring som den registrerade personligen ger efter att ha fått information om den behandling som samtycket omfattar. 3. Förelägga E-hälsomyndigheten att se till att personuppgifterna på den enskildes konto inte röjs i strid med sekretessen. Förelägga E-hälsomyndigheten att inte ge tillgång till personuppgifterna i Hälsa för mig till andra än den enskilde kontohavaren och de applikationsleverantörer som tillhandahåller applikationer i syfte att visa eller tillföra uppgifter till den enskildes konto. Förelägga E-hälsomyndigheten att se till att inte andra uppgifter behandlas av applikationsleverantörerna än de som den enskilde kontoinnehavaren anvisat och att personuppgifterna inte behandlas för annat syfte än att visa eller tillföra uppgifter till den enskildes konto. 4. Förelägga E-hälsomyndigheten att enbart behandla personuppgifter i en prenumerationstjänst om behandlingen som sker är laglig och korrekt och inte i strid med bestämmelserna om sekretess till skydd för den enskilde. E-hälsomyndigheten måste också se till att det finns rättsligt stöd för behandlingen och om det är frågan om känsliga personuppgifter att det finns ett giltigt undantag från förbudet mot att behandla känsliga personuppgifter.

4 4 Skälen för beslutet framgår av bilaga 1. YRKANDEN M.M. E-hälsomyndigheten yrkar i första hand att förvaltningsrätten ska upphäva Datainspektionens beslut. I andra hand yrkas att förvaltningsrätten ska upphäva beslutet och återförvisa målet till Datainspektionen. E-hälsomyndigheten anför i huvudsak följande. Datainspektionen har i flera avseenden feltolkat hur tjänsten Hälsa för mig kommer att fungera och de analyser som har genomförts. Tjänsten kommer inte innebära en oöverblickbar spridning av känsliga personuppgifter, utan tjänsten har utformats i enlighet med grundprinciperna för eget utrymme på så sätt att alla aktiviteter i kontot förutsätter en aktiv handling av den enskilde användaren. Det är enbart den enskilde användaren som kommer att ha full kontroll över och kan välja vilken information som samlas på kontot. Det är enbart den enskilde användaren som kommer att ha full kontroll över och kan välja om och i så fall hur respektive i vilken omfattning som information på kontot ska delas med andra. Den enskilde användaren kommer kunna överblicka vilken information som lagrats på kontot och med vem informationen har delats och användaren kan när som helst välja att radera sin information på kontot eller avbryta delningen med andra. Föreläggande 1 Föreläggandet är inte tillräckligt preciserat, eftersom det inte innehåller någon vägledning avseende vad som ska iakttas för att föreläggandet ska kunna efterkommas (jfr Kammarrätten i Göteborgs dom den 25 oktober 2011 i mål nr ). Föreläggandet ska därför undanröjas.

5 5 För det fall förvaltningsrätten anser att föreläggandet är tillräckligt preciserat, kan E-hälsomyndighetens personuppgiftsansvar inte anses omfatta användarens behandling av personuppgifter i kontot, utan endast den behandling av personuppgifter som krävs för att administrera kontot och för övergripande frågor om organisatoriska och tekniska säkerhetsåtgärder. Personuppgiftsansvaret har analyserats och de åtgärder som krävs för ett sådant begränsat personuppgiftsansvar har vidtagits. De registrerade användarna kommer att få korrekt information gällande personuppgiftsansvaret. Även vid ett mer omfattande personuppgiftsansvar som omfattar användarens behandling av personuppgifter i kontot, har personuppgiftsansvaret analyserats och övriga åtgärder vidtagits som krävs för att uppfylla personuppgiftsansvaret. Föreläggandet ska därför upphävas. Det finns inte några särskilda lagregler om personuppgiftsbehandling i egna utrymmen. Enligt E-delegationen är den myndighet, som tillhandahåller ett eget utrymme åt en enskild, personuppgiftsansvarig för den drifts- och säkerhetsrelaterade information som avser den enskildes eget utrymme och i övrigt för att de personuppgifter som behandlas i utrymmet är omgärdade av adekvata säkerhetsåtgärder 1. Utredningen om Rätt information i vård och omsorg kom fram till slutsatsen att om individen fritt kan fatta beslut och avgöra grundläggande frågor om vilken information som ska lagras på kontot, hur de ska användas, om de ska raderas osv., bör hanteringen av personuppgifter anses utgöra ett led i en verksamhet av rent privat natur och därmed falla utanför PUL:s tillämpningsområde 2. Vidare har Förvaltningsrätten i Uppsala i ett mål prövat lagligheten av en funktion som utformats som ett eget utrymme på ett sätt som liknar utformningen av Hälsa för mig (se förvaltningsrättens dom den 1 Se E-delegationens Juridiska vägledning för verksamhetsutveckling inom e-förvaltningen, version Se Rätt information på rätt plats i rätt tid, SOU 2014:23 s. 897 ff.

6 6 16 september 2015 i mål nr ). I målet prövade förvaltningsrätten indirekt vilket personuppgiftsansvar landstinget hade över funktionen patientens noteringar. Förvaltningsrätten ansåg att det mesta talade för att patientkommentarerna inte var att anse som allmänna handlingar enligt 2 kap. 10 tryckfrihetsförordningen, TF. I och med att kommentarerna fritt kunde ändras och raderas av patienten var det patienten som bestämde ändamålen med och behandlingen av personuppgifterna och landstinget ansågs inte vara personuppgiftsansvarig. Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig. I Hälsa för mig är det enbart användaren själv som väljer vilka uppgifter som ska lagras på kontot, hur dessa ska användas, om de ska delas med andra, ändras eller raderas. Eftersom användaren bestämmer ändamålen med och medlen för den personuppgiftsbehandling som sker på kontot, är det användaren som är personuppgiftsansvarig för denna behandling. Detta innebär i sin tur att behandlingen faller utanför PUL:s tillämpningsområde. E-hälsomyndigheten ansvarar för och har sett till att kontot är omgärdat av lämpliga säkerhetsåtgärder, vilket innebär att enskildas integritetsskydd säkerställs. E-hälsomyndigheten har analyserat sitt personuppgiftsansvar utifrån gällande dataskyddsbestämmelser baserat på de faktiska omständigheterna som gäller för eget utrymme. Omfattande åtgärder har vidtagits för att säkerställa en lämplig säkerhetsnivå för tjänsten Hälsa för mig, bl.a. genom en konsekvens- och riskanalys, implementering av intrångsdetekteringssystem, penetrationstester och implementering av rutiner för behörighetshantering och loggning. Även ett mer långtgående personuppgiftsansvar som omfattar användarens behandling av personuppgifter i kontot, har analyserats och nödvändiga åtgärder vidtagits för att uppfylla kraven. Eftersom tjänsten Hälsa för mig

7 7 utgör ett eget utrymme, kan E-hälsomyndigheten inte vidta några andra åtgärder med uppgifterna på kontot än att tekniskt bearbeta och lagra dem för användarens räkning. Myndigheten har inte tillgång till och kan inte kontrollera vilken information som användaren väljer att hämta in, spara, radera eller lämna ut från sitt konto. Detta innebär att personuppgiftsansvaret måste begränsas till det som myndigheten kan råda över. Informationen till användare, avtal med applikationsleverantörer samt tekniska funktioner i tjänsten kommer att utformas för att säkerställa att de grundläggande kraven enligt 9 PUL uppfylls. Information, avtal och tekniska funktioner i tjänsten kommer att utformas för att uppfylla kraven på rättsligt stöd i 10 PUL och undantaget från förbudet att behandla känsliga personuppgifter i 13 PUL. Det är vårdgivaren som är personuppgiftsansvarig för den behandling av personuppgifter som sker när personuppgifter överförs till användarens konto (jfr 2 kap. 6 patientdatalagen [2008:355]). De tekniska funktionerna i prenumerationstjänsten kommer att utformas så att användarens insamling av uppgifter inte är i strid med PUL. Vad gäller personuppgiftsansvaret i förhållande till applikationsleverantörer, kan E-hälsomyndighetens ansvar endast sträcka sig till det som myndigheten kan råda över. Detta innebär att se till att en överföring av uppgifter mellan ett konto och en applikation som tillhandahålls av en applikationsleverantör sker på ett säkert sätt enligt 31 PUL (se HFD 2012 ref. 21) och att utforma tekniska funktioner och avtal med applikationsleverantörer så att överföringen av uppgifter mellan ett konto och en applikation inte är i strid med PUL. Sådana åtgärder har vidtagits. E- hälsomyndigheten kräver att applikationsleverantörer ska uppfylla vissa tekniska krav, att samtycken ska inhämtas från användare osv. Endast sådana applikationer vars syften är förenliga med ändamålen för Hälsa för

8 8 mig får anslutas till tjänsten. När personuppgifter har lämnats ut till en applikationsleverantör, kan E-hälsomyndigheten inte råda över den fortsatta behandlingen av personuppgifter i applikationen utan personuppgiftsansvaret för E-hälsomyndigheten upphör. Föreläggande 2 Föreläggandet är inte tillräckligt preciserat, eftersom det inte innehåller någon vägledning avseende vad som ska iakttas för att föreläggandet ska kunna efterkommas. Föreläggandet ska därför undanröjas. För det fall förvaltningsrätten bedömer att föreläggandet är tillräckligt preciserat, kan i likhet med vad som anförts ovan, E-hälsomyndighetens personuppgiftsansvar inte anses omfatta användarens behandling av personuppgifter i kontot, utan endast den behandling av personuppgifter som krävs för att administrera kontot och för övergripande frågor om organisatoriska och tekniska säkerhetsåtgärder. Rättsligt stöd finns för sådan behandling av personuppgifter i tjänsten. Om personuppgiftsansvaret omfattar även användarens behandling av personuppgifter i kontot, finns det rättsligt stöd även för en sådan behandling av personuppgifter. Giltigt undantag finns från förbudet mot att behandla känsliga personuppgifter avseende användaren och de åtgärder som E-hälsomyndigheten kan råda över för att se till att behandling av känsliga personuppgifter om någon annan än användaren inte sker i tjänsten har vidtagits. Föreläggandet ska därför upphävas. Det rättsliga stödet för behandling av känsliga personuppgifter om användaren utgörs av uttryckligt samtycke från användaren. Samtycke inhämtas vid registrering och öppnande av kontot. För att samtycket ska vara tillräckligt specificerat, har funktioner utformats för att användaren alltid har kontroll över och själv kan välja vilka uppgifter som ska samlas in,

9 9 sparas och delas med andra. Hälsa för mig har utformats genom ett tvåstegs-samtycke, där användaren vid registrering av kontot får information och kan samtycka till den personuppgiftsbehandling som är möjlig i tjänsten. Därefter får användaren vid insamling, delning, eller anslutning av applikationer möjlighet att, efter det att ytterligare information lämnats, ge ett andra samtycke för den specifika behandlingen. Samtycket från användaren är därför särskilt och informerat. Det är helt frivilligt att öppna ett konto och helt frivilligt för användaren att samla in information, dela sin information med andra eller ansluta en applikation till kontot. Användaren kan välja att enbart använda kontot som en lagringsplats för sin information. Samtycket kan närsomhelst tas tillbaka, insamling, delning eller anslutning av applikationer kan avbrytas och information kan raderas. All behandling av känsliga personuppgifter om användaren sker på initiativ av användaren och genom en otvetydig, informerad och frivillig viljeyttring från användaren. Eftersom det är användaren själv som bestämmer vilken information som ska lagras på kontot, kan uppgifter som avser någon annan än användaren komma att lagras på kontot, t.ex. uppgifter om namn på läkare, tränare, anhöriga. E-hälsomyndigheten kommer inte ha någon praktisk möjlighet att inhämta samtycke från tredje parter, eftersom myndigheten inte har någon insyn i eller kännedom om vilka personuppgifter som användaren väljer att spara på kontot. Viss behandling av personuppgifter som rör tredje parter är nödvändig för att myndigheten ska kunna uppfylla sitt verksamhetsansvar och sådan behandling kan anses ha laglig grund i PUL enligt 10 första stycket b och d PUL. Sådan behandling skulle även kunna vara tillåten med stöd av en intresseavvägning enligt samma lagrum punkten f. För att skydda tredje parters integritet uppställs i avtal med applikationsleverantörer förbud mot att samla in, sammanställa eller på

10 10 annat sätt behandla personuppgifter om sådan tredje person som användaren lagrar på kontot för annat syfte än att just visa uppgifterna i applikationen för användaren. Om E-hälsomyndigheten skulle anses ha personuppgiftsansvar för sådan behandling, kommer de åtgärder vidtas som myndigheten kan råda över för att se till att sådan behandling inte sker i tjänsten Hälsa för mig. I avtal för prenumerationstjänsten och för applikationsleverantörer kommer det att ställas upp villkor om att känsliga personuppgifter om andra än användaren inte får tillföras kontot och användaren kommer inte heller få lov att lagra känsliga personuppgifter om andra på sitt konto. Föreläggande 3 Inga personuppgifter i tjänsten Hälsa för mig kommer att röjas i strid med 40 kap. 5 offentlighets- och sekretesslagen (2009:400), OSL, eller i strid med 9 PUL. Föreläggandet ska därför undanröjas. Hälsa för mig är utformad på så sätt att användaren kommer kunna välja att ge en annan användare åtkomst till delar av eller hela informationen på användarens konto. Användaren bestämmer själv vilka rättigheter en sådan person ska ha till informationen på kontot. Det kommer inte finnas en funktion som innebär att användaren kan dela ut ett s.k. fullt ägarskap vad avser den delade informationen på kontot. Det är alltså användaren som kontrollerar delningsfunktionen, inte E-hälsomyndigheten. För att kunna dela informationen på kontot behöver användaren gå igenom flera steg. Tydlig information om hur delningsfunktionen fungerar kommer att ges. Vad gäller anslutning av applikationer kommer endast sådana applikationer som gått igenom en godkännandeprocess att vara tillgängliga i tjänsten. För att godkännas måste applikationsleverantören uppfylla generella, tekniska och säkerhetsmässiga krav. Det ska t.ex. vara fråga om

11 11 en hälso- och livsstilsapplikation. Det kommer att finnas begränsningar i frågan om vilken information en applikation kan få tillgång till i förhållande till sitt syfte. Även för att kunna ansluta en applikation till kontot behöver användaren gå igenom flera steg. På samma sätt som anförts ovan beträffande föreläggandena 1 och 2, kan E- hälsomyndighetens personuppgiftsansvar inte anses omfatta användarens behandling av personuppgifter i kontot. För det fall myndighetens personuppgiftsansvar skulle anses omfatta även användarens behandling av personuppgifter, är samtliga krav enligt 9 PUL uppfyllda. Det finns därför inte grund för att förelägga E-hälsomyndigheten på det sätt som Datainspektionen gjort och föreläggandet ska undanröjas i aktuell del. Användaren har ett verkligt fritt val att använda såväl tjänsten Hälsa för mig, som funktionen för delning eller anslutning av applikationer. Det finns inget som hindrar användaren från att fritt kunna välja och ge sitt samtycke till att dela information på kontot med andra användare genom delningsfunktionen eller genom applikationer. Som anförts ovan är det bara användaren som kan bestämma över vilken information som ska förvaras på kontot och hur denna information sedan ska användas. Att myndigheten ska ge tredje parter möjlighet att ansluta tillämpningar och tjänster till Hälsa för mig framgår uttryckligen av instruktionen. Om delningsfunktionen inte skulle vara tillåten och applikationer endast skulle få läsa och tillföra information till kontot enligt föreläggandet, kan de syften som tjänsten ska uppnå inte genomföras. Det skulle t.ex. innebära att användaren inte skulle kunna be en anhörig om hjälp med olika hälso- och sjukvårdsfrågor genom delning av kontot, att användaren inte skulle få möjlighet att använda och ansluta tjänster som kan t.ex. analysera och ge råd om läkemedelsanvändning, som kan förklara labbsvar och som kan tillhandahålla kost- och träningsrådgivning. Det måste därför anses vara ett berättigat ändamål för E-hälsomyndigheten att erbjuda användaren

12 12 möjligheten att dela sina uppgifter på kontot med andra och att erbjuda användaren att ansluta applikationer som kan hämta och använda uppgifter från användarens konto. Delningsfunktionen och anslutning av applikationer i tjänsten kan inte anses vara oförenliga ändamål för personliga hälsokonton enligt 9 första stycket d PUL. Det är den enskilde användaren som kan välja att ingå avtal med och tillgängliggöra uppgifter för applikationsleverantörerna, inte E- hälsomyndigheten. Det måste vara möjligt för applikationsleverantören att kunna ansluta en interaktiv applikation för vilken en avgift kan tas ut av användaren. Detta innebär ett värde för applikationsleverantören, vilket utgör en förutsättning för att E-hälsomyndigheten i sin tur ska kunna ta ut en avgift för anslutningen av applikationsleverantören. Detta kan inte anses vara i strid med instruktionen. Tjänsten Hälsa för mig kommer inte utgöra ett sådant myndighetsregister som omfattas av 2 kap. 6 regeringsformen, RF, och som kräver särskild lagreglering. Såvitt gäller föreläggandet om sekretess har Datainspektionen inte haft grund för föreläggandet, eftersom en laglighetsprövning enligt PUL inte innefattar en prövning av om en behandling kan komma att strida mot OSL (jfr HFD 2016 ref. 40). Den omständigheten att en planerad behandling kan komma att strida mot annan lagstiftning, innebär inte att behandlingen kommer i konflikt med kravet på laglighet i PUL. Föreläggandet är inte heller tillräckligt preciserat, eftersom det inte innehåller någon vägledning avseende vad E-hälsomyndigheten har att iaktta för att efterkomma föreläggandet och ska även på denna grund upphävas. För det fall förvaltningsrätten anser att Datainspektionen har haft rätt att förelägga E-hälsomyndigheten avseende sekretess samt att föreläggandet är tillräckligt preciserat, har det inte funnits skäl att förelägga E- hälsomyndigheten på det sätt som gjorts, eftersom E-hälsomyndigheten i

13 13 tjänsten inte kan komma att behandla eller röja några uppgifter i strid med 40 kap. 5 OSL på sätt som Datainspektionen gör gällande. Handlingarna på användarens konto är inte allmänna handlingar enligt 2 kap. 10 TF. Handlingarna förvaras endast som ett led i teknisk bearbetning eller lagring för enskildas räkning. E-hälsomyndigheten kommer inte ha insyn i eller tillgång till den information som kommer att finnas på användarens konto. Myndigheten kommer inte heller på något sätt använda informationen som lagras på kontot för några egna ändamål. Nödvändiga åtgärder har vidtagits för att se till att personuppgifter på den enskilda användarens konto inte röjs i strid med 40 kap. 5 OSL. Bestämmelsen utgör i praktiken en tystnadspliktsbestämmelse som träffar E-hälsomyndighetens personal. Driften av tjänsten kommer att hanteras av anlitad underleverantör. För att hindra att uppgifter röjs av personal hos underleverantören har E-hälsomyndigheten avtalat med underleverantören om att sekretess- och tystnadsplikt ska gälla. Endast ett fåtal personer kommer att ha sådan hög teknisk behörighet att de ens har möjlighet att göra information i en användares konto läsbar eller på annat sätt uppfattbar. Som framhållits ovan är det användaren, inte E-hälsomyndigheten, som kan välja att ge andra användare och/eller applikationsleverantörer tillgång till uppgifterna och informationen på kontot. E-hälsomyndigheten kommer inte ge andra användare och/eller applikationsleverantörer direktåtkomst och därmed tillgång till personuppgifter för vilka det råder sekretess. E- hälsomyndigheten vare sig kan eller får disponera över uppgifterna utan ska endast lagra dem för den enskildes räkning. Möjligheten för en användare att ge en annan användare åtkomst till kontot är inte i strid med 40 kap. 5 OSL. E-hälsomyndigheten kommer inte heller att för tjänsten ingå några avtal med andra aktörer för att få tillgång till uppgifter för vilka det råder absolut sekretess. Det är endast användaren som kommer att ingå sådana avtal med andra aktörer, dvs. applikationsleverantörerna. Alla aktiviteter på

14 14 ett enskilt konto, inklusive delningsfunktionen och anslutning av applikationer, kommer att ske endast på användarens initiativ. Föreläggande 4 E-hälsomyndigheten kommer genom prenumerationstjänsterna vare sig att behandla eller röja några uppgifter i strid med OSL och aktuella registerförfattningar eller i strid med 9 första stycket a PUL på sätt som Datainspektionen påstår. Det finns rättsligt stöd för behandlingen av personuppgifter i tjänsten och i fråga om känsliga personuppgifter finns det ett giltigt undantag från förbudet mot att behandla sådana känsliga personuppgifter. Föreläggandet ska därför undanröjas. På samma sätt som anförts ovan kan E-hälsomyndighetens personuppgiftsansvar inte anses omfatta användarens behandling av personuppgifter på kontot, vilket inkluderar insamling av personuppgifter via prenumerationstjänsterna. E-hälsomyndigheten behandlar därför inte några personuppgifter i strid med 9 första stycket a PUL och behöver inte heller se till att det finns rättsligt stöd och giltigt undantag mot förbudet att behandla känsliga personuppgifter. För det fall förvaltningsrätten anser att E-hälsomyndighetens personuppgiftsansvar omfattar även användarens behandling av personuppgifter på kontot, uppfylls kraven i 9 första stycket a PUL och det finns rättsligt stöd och giltigt undantag mot förbudet att behandla känsliga personuppgifter. Det är användaren som ensam bestämmer över om och hur insamling av personuppgifter ska ske och som är personuppgiftsansvarig för sådan behandling. Om E-hälsomyndigheten anses vara personuppgiftsansvarig för användarens insamling av uppgifter, är prenumerationstjänsterna lagliga och

15 15 inte i strid med PUL. Prenumerationstjänsterna är en funktion för att tjänsten ska fungera i enlighet med E-hälsomyndighetens uppdrag. Insamling av personuppgifter genom prenumerationstjänsten är ett berättigat ändamål enligt 9 första stycket c PUL. Det är valfritt för användaren att samla in information till kontot genom prenumerationstjänsterna. Tjänsterna kommer att utformas genom ett s.k. tvåstegssamtycke, där användaren vid registrering av konto initialt får information och kan samtycka till den insamling av personuppgifter som är möjlig i Hälsa för mig. Därefter får användaren vid anslutning av prenumerationstjänsterna möjlighet att, efter att ytterligare information lämnats, ge ett andra samtycke till den specifika insamlingen av information som sker genom den aktuella prenumerationstjänsten. Samtycket från användaren uppfyller kravet på att vara särskilt och informerat. Det finns rättsligt stöd för insamling av personuppgifter om andra än användaren genom prenumerationstjänsterna och E-hälsomyndigheten har vidtagit de åtgärder som myndigheten kan råda över för att se till att behandling av känsliga personuppgifter om någon annan än användaren inte samlas in genom prenumerationstjänsten. Såvitt gäller OSL och registerförfattningar har Datainspektionen inte haft rätt att förelägga E-hälsomyndigheten avseende 9 första stycket a PUL i fråga om sekretess och andra registerförfattningar, eftersom en laglighetsprövning enligt nämnda bestämmelse inte innefattar en prövning av om en behandling kan komma att strida mot OSL eller några registerförfattningar. Föreläggandet är inte heller tillräckligt preciserat utan mycket allmänt hållet. Det innehåller ingen vägledning avseende vad E-hälsomyndigheten har att iaktta för att efterkomma föreläggandet. Föreläggandet ska redan på denna grund undanröjas.

16 16 I vart fall har det inte funnits giltiga skäl att meddela föreläggandet, med hänsyn till att den behandling som kommer att ske på kontot kommer att vara laglig och korrekt samt att E-hälsomyndigheten i tjänsten inte kan komma att behandla uppgifter i strid med OSL eller de av Datainspektionen hänvisade registerförfattningarna. Det är endast användaren som kan komma att prenumerera på och överföra information om sig själv från t.ex. vården till sitt konto, såsom journalhandlingar och provsvar. Endast användaren kan på eget initiativ ansluta en prenumerationstjänst till sitt konto. Om en användare väljer att ansluta prenumerationstjänsten, som innebär att användaren prenumererar på information om sig själv från vårdgivare till sitt konto, lämnas vårduppgifterna ut från vårdgivare till användaren. Det lämnas inga uppgifter till E-hälsomyndigheten utan uppgifterna förs direkt, via en tjänst för utlämnande, in på den aktuella användarens konto i Hälsa för mig. Det är vårdgivaren som beslutar i fråga om ett utlämnande i det enskilda fallet och som ansvarar för sekretessprövningen. E-hälsomyndigheten har inte ansvar för någon sekretessprövning vid begäran om utlämnande av uppgifter från en vårdgivare. Prenumerationstjänsten handlar om att den enskilde användaren utnyttjar sin rätt att begära utlämnande av uppgifter om sig själv till sig själv. Såsom prenumerationstjänsten är utformad kommer en användare som begär ett utlämnande av uppgifter till sig själv att begära endast just sådana uppgifter, inte uppgifter om andra personer. Vårdgivaren har då ingen rätt att lämna ut uppgifter om andra än användaren som det råder sekretess för. Vad gäller direktåtkomst hos E-hälsomyndigheten har myndigheten att följa vad som är reglerat gällande läkemedelsförteckningen och receptregistret. Användaren kan genom prenumerationstjänsterna begära utlämnande av sådana uppgifter om användaren själv som regleras i de aktuella

17 17 registerförfattningarna men har inte direkt åtkomst till de aktuella registren. Uppgifterna i registren lämnas ut från E-hälsomyndigheten och överförs för lagring i användarens konto i Hälsa för mig. När uppgifter begärs utlämnade från E-hälsomyndigheten, är det myndigheten som ansvarar för utlämnandet och att uppgifterna inte lämnas ut i strid mot någon sekretessbestämmelse. Datainspektionen anser att överklagandet ska avslås och anför i huvudsak följande. Att personuppgiftsansvaret uppfattas korrekt av en verksamhetsutövare är avgörande för att skyddet för den enskildes integritet ska fungera. Ett utrymmes karaktär som eget påverkar inte personuppgiftsansvaret, utan personuppgiftsansvaret måste analyseras utifrån gällande dataskyddsbestämmelser. Behandlingen av hälsouppgifter i tjänsten Hälsa för mig kan inte likställas med att enskilda sparar hälsouppgifter på egen dator eller på papper i hemmet. När en myndighet tillhandahåller en tjänst som kan komma att innehålla i princip hela befolkningens hälsouppgifter, blir det en stor mängd uppgifter som har en helt annan potential både för den enskilde och för andra som vill få nytta av uppgiftssamlingen. Det är fråga om känsliga personuppgifter som har ett högt skyddsvärde och det medför risker för den personliga integriteten. E-hälsomyndigheten har möjlighet att kontrollera vilken information som lagras på användarens konto. Det är E-hälsomyndigheten som tillhandahåller plattformen via ett personuppgiftsbiträde, som ingår avtal med användarna av tjänsten, som avtalar med applikationsleverantörerna om möjligheten att erbjuda applikationer och att få tillgång till uppgifter i tjänsten. Det är E-hälsomyndigheten som bekostar tjänsten och får betalning från applikationsleverantörerna. Det är E-hälsomyndigheten som

18 18 tillhandahåller de tekniska förutsättningarna för att få tillgång till uppgifterna som finns på hälsokontona. Det är enbart E-hälsomyndigheten och myndighetens biträde som behandlar uppgiftssamlingen som helhet. Detta innebär att det är E-hälsomyndigheten som bestämmer ändamål och medel för Hälsa för mig och som därför har personuppgiftsansvar för de behandlingar som utförs i tjänsten. E-hälsomyndigheten har i uppdrag i sin instruktion att inrätta tjänsten och behöver behandla uppgifterna för att kunna uppfylla sitt uppdrag, vilket innebär att det finns ett berättigat ändamål. E-hälsomyndighetens personuppgiftsansvar begränsas inte av att den enskilde användaren har ett så stort inflytande över personuppgiftsbehandlingen. En jämförelse kan göras med bankkunders möjligheter att hantera sin ekonomi via internetbanker, vilket inte förändrar bankernas ansvar. E-hälsomyndigheten har inte angett någon begränsning av vilka som kan dela konton och inte heller utförs det någon kontroll av att det föreligger ett giltigt samtycke. De risker som delningsförfarandet kan innebära har inte analyserats och åtgärder för att motverka dem har inte vidtagits. Det är E- hälsomyndigheten som tillgängliggör hälsouppgifterna genom delningsförfarandet, som ansvarar för att uppgifterna inte behandlas i strid med dataskyddsreglerna. E-hälsomyndighetens personuppgiftsansvar omfattar såväl om tredje part får del av personuppgifterna via ett delningsförfarande eller via applikationer. E-hälsomyndigheten ansvarar för att se till att behandlingen är laglig i båda fallen. Det är inte förenligt med myndighetens uppdrag att tekniskt lagra hälsouppgifter för den enskildes räkning och samtidigt tillgängliggöra uppgifterna för tredje man i syften som inte är för den enskildes räkning.

19 19 Tjänsten Hälsa för mig kan komma att innebära en oöverblickbar spridning av stora mängder känsliga personuppgifter och behandlingen kan vara livslång. Det är E-hälsomyndigheten som tillgängliggör uppgifter inte bara till kontohavaren utan även till dem som användaren väljer att dela kontot med och till applikationsleverantörer. Den enskilde användaren kan inte ha full kontroll över hur hälsouppgifter sprids från tjänsten. Föreläggandena är inte för allmänt hållna. Eftersom tjänsten inte var satt i drift när tillsynen ägde rum, omfattade tillsynen de grundläggande rättsliga förutsättningarna för tjänsten. Föreläggandena i beslutet hör ihop med varandra och rör de grundläggande rättsliga förutsättningarna avseende vad E-hälsomyndigheten har att förhålla sig till för att behandlingen av personuppgifter i tjänsten ska vara laglig. Det är en konkret anvisning att E-hälsomyndigheten ska analysera sitt personuppgiftsansvar. Innebörden av att myndigheten ska se till att ge korrekt information till de registrerade gällande personuppgiftsansvaret är också konkret. Att myndigheten ska vidta nödvändiga åtgärder så att den kan ta ansvar för den behandling av personuppgifter som kommer att ske i tjänsten, handlar om hur tjänsten ska utformas tekniskt och organisatoriskt, hur avtal skrivs och hur information ges. Föreläggandet är också en form av portal till de övriga föreläggandena som mer konkret anger vad personuppgiftsansvaret innebär och de begränsningar E-hälsomyndigheten har att förhålla sig till. Dataskyddsreglerna ger inte stöd för att den personuppgiftsansvarige skulle ha ett begränsat ansvar för den behandling av personuppgifter som sker i egna utrymmen. Undantag från gällande dataskyddsregler måste ske via rättslig reglering och rymmas inom vad som är tillåtet utifrån EU:s regler. Den omständigheten att det inte finns särskilda lagregler för

20 20 personuppgiftsbehandling i egna utrymmen innebär att dataskyddsreglerna ska tillämpas på vanligt sätt. E-hälsomyndigheten pekar ut användaren som personuppgiftsansvarig för behandlingen av uppgifter på kontot, men samma uppgifter som användaren behandlar på kontot behandlas även av E-hälsomyndigheten. Det finns inget stöd för att myndighetens personuppgiftsansvar skulle kunna begränsas till att avse endast säkerhetsåtgärder. Högsta förvaltningsdomstolen har i avgörandet HFD 2012 ref. 21 slagit fast att personuppgiftsansvaret kan sträcka sig längre än till den egna behandlingen om myndigheten bestämt ändamål och medel för den initiala personuppgiftsbehandlingen. Personuppgiftsansvaret kan vara olika i olika situationer och bero på de faktiska omständigheterna. Personuppgiftsansvaret kan vara både gemensamt och delat. Varje aktör som behandlar personuppgifter måste ha ett stöd för den behandling som utförs, såvida den som behandlar uppgifterna inte är en fysisk person och behandlingen omfattas av privatundantaget. Undantaget i 2 kap. 10 TF påverkar inte bedömningen av personuppgiftsansvaret, utan bedömningen ska ske utifrån faktiska omständigheter. E-hälsomyndigheten har inte angett vad ansvaret begränsat till det som myndigheten kan råda över innebär och inte heller med vilket rättsligt stöd denna begränsning av ansvaret görs. Det finns inget rättsligt stöd för en sådan begränsning. Det är inte korrekt att det som E-hälsomyndigheten råder över är den tekniska funktionen. Myndigheten måste komma överens med vårdgivarna om hur prenumerationstjänsten ska utformas såväl tekniskt som organisatoriskt för att det ska bli en enhetlig och användbar funktion. E- hälsomyndigheten har en central roll i utformningen. E-hälsomyndigheten har inte heller ett begränsat ansvar för applikationsleverantörernas tillgång till och behandling av personuppgifter i tjänsten. E-hälsomyndigheten

21 21 godkänner applikationsleverantörer, tecknar avtal med dem, debiterar dem, tillgängliggör uppgifterna för dem och avgör vilka uppgifter de ska få möjlighet att ta del av. Därtill är det bara E-hälsomyndigheten som behandlar den totala mängden uppgifter i tjänsten. Att även applikationsleverantörerna har ett personuppgiftsansvar för den behandling de utför, fråntar inte E-hälsomyndigheten ett eget ansvar. Beträffande frivilligheten för användaren att använda Hälsa för mig, prenumerationstjänster, delningsförfarandet och applikationerna, gör E- hälsomyndigheten en mycket schablonartad analys. Om användaren uppmanas av en vårdgivare att skaffa ett hälsokonto för att vårdgivaren kan dra nytta av det genom en förenklad kommunikation eller genom den kunna delge andra uppgifter, kan frivilligheten ifrågasättas. Om användaren pressas av en anhörig som är kontrollerande att dela sitt konto med den anhörige eller om en arbetsgivare vill få kontot tilldelat sig, kan frivilligheten ifrågasättas. Om användaren uppmanas av vården att använda en applikation, där applikationsleverantören ställer upp som motkrav att få använda information från användarens konto för egen del, kan frivilligheten ifrågasättas. E-hälsomyndigheten har inte analyserat tillräckligt djupt om det föreligger frivillighet i alla situationer. E-hälsomyndighetens behandling av personuppgifter gällande andra än användaren är inte nödvändig för att uppfylla en rättslig skyldighet. Att behandla vårdpersonalens uppgifter skulle kunna ses som en uppgift av allmänt intresse när syftet är att tillgängliggöra dem för den enskilde. Det är dock inte visat att det utifrån ett allmänt intresse kan vara berättigat att behandla uppgifter om anhöriga och deras hälsa. E-hälsomyndigheten har inte gjort en analys avseende intresseavvägningen och en intresseavvägning

22 22 kommer inte vara möjlig att åberopa från och med att EU:s dataskyddsförordning 3 träder i kraft den 25 maj All behandling av personuppgifter kräver ett rättsligt stöd. Även om E- hälsomyndigheten har uppställt ett förbud för applikationsleverantörerna att vidarebehandla uppgifter gällande andra utanför kontot, måste applikationsleverantörerna ha ett rättsligt stöd för den behandling de utför i tjänsten för de registrerade. E-hälsomyndigheten uppfyller sitt personuppgiftsansvar på ett bra sätt genom att ställa upp som villkor att känsliga uppgifter om andra än användaren inte får tillföras kontot. Det visar också att myndigheten har rådighet över den behandling som sker i tjänsten. Som personuppgiftsansvarig ansvarar E-hälsomyndigheten för att de grundläggande kraven i 9 PUL gällande behandling av personuppgifter uppfylls, oavsett om det rättsliga stödet för att behandla uppgifterna är samtycke eller någon annan grund i 10 PUL. Vad som utgör ett berättigat ändamål för en myndighet att samla in personuppgifter överensstämmer med det myndigheten har i uppdrag att utföra. Tillgängliggörande av personuppgifter till andra aktörer än användaren är inte en teknisk lagring för den enskildes räkning. Av instruktionen går det inte att utläsa att det i uppdraget ingår att behandla den enskildes hälsouppgifter för att tillgodose någon annans syfte än den enskilda användaren. Att inte lämna ut uppgifter till annan överensstämmer också med den sekretess som föreligger enligt 40 kap. 5 OSL. Det är bara uppgifter som användaren uttryckligen angett ska tillgängliggöras för andra som E-hälsomyndigheten får röja. Det ska då vara fråga om ett direkt uppdrag och inte enbart ett samtycke. Konstruktionen med applikationer bygger på att informationen i tjänsten kan användas som ersättning till applikationsleverantörerna, vilket innebär att 3 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.

23 23 hälsouppgifterna är en del i E-hälsomyndighetens överenskommelse med applikationsleverantörerna. Det är inte förenligt med E-hälsomyndighetens instruktion att ge applikationsleverantörerna tillgång till uppgifterna för deras räkning. Det är inte heller förenligt med instruktionen att tjänsten ska vara en plattform för innovation och en distributionskanal för hälsouppgifter. Datainspektionens stöd för att meddela förelägganden finns i 45 PUL. Kravet på laglig behandling åsyftar vad som är lagligt enligt dataskyddsregleringen. För att en behandling ska vara laglig måste det vara fråga om en tillåten personuppgiftsbehandling. Den behandling av personuppgifter som sker om uppgifter röjs i strid med integritetsskyddande sekretessreglering saknar lagligt stöd. Uppgifterna får inte behandlas på ett oskäligt sätt. Sekretess till skydd för den enskildes personliga förhållanden verkar integritetshöjande. Om sekretess eller tystnadsplikt råder är det av betydelse för bedömningen om intrånget i den personliga integriteten är oskäligt eller inte. Att tystnadsplikten har en sådan betydelse framgår bl.a. av 18 PUL och artikel 9.3 i dataskyddskyddsförordningen. När tystnadsplikten utgör en del av integritetsskyddet omfattas det av inspektionens tillsynsansvar oavsett om regleringen återfinns i en annan lagstiftning. Datainspektionen har alltså haft fog för att meddela föreläggande 3 avseende OSL och föreläggandet är tillräckligt preciserat. En myndighet som lagrar uppgifter för annans räkning enligt 2 kap. 10 TF får enbart röja dessa uppgifter för tredje part om det är på uppdrag av den vars uppgifter lagras. Om E-hälsomyndigheten tillgängliggör uppgifter för applikationsleverantörerna efter att samtycke erhållits från användaren, sker inte ett sådant röjande på uppdrag av användaren. Samtycke är en accept och kan inte likställas med att ge ett uppdrag.

24 24 Applikationsleverantörernas intresse av tjänsten bygger på att det är en större samling av hälsouppgifter. Det är enbart E-hälsomyndigheten som behandlar tjänsten i dess helhet och myndigheten kan inte med stöd av samtycke från de enskilda användarna lägga ansvaret för spridningen av dessa känsliga personuppgifter på användaren. Ett sådant förfarande är inte förenligt med att enbart tekniskt lagra uppgifter för den enskildes räkning. Den aktiva roll som E-hälsomyndigheten intar, utan att anse sig som ansvarig, är motsägelsefull och oförenlig med gällande rätt. Det är E- hälsomyndigheten som i egenskap av personuppgiftsansvarig ansvarar för att den behandling som sker är korrekt och laglig och att det finns berättigade ändamål som är särskilda och uttryckligt angivna och att behandlingen inte omfattar mer uppgifter än nödvändigt. Datainspektionen delar bedömningen att användaren som regel har rätt till åtkomst till uppgifter i patientjournalen, receptregistret och läkemedelsförteckningen. Det har dock inte utretts om uppgifterna kan överföras till tjänsten såsom E-hälsomyndigheten avsett att utforma den. E- hälsomyndigheten avser att ge betydligt fler än den enskilde patienten del av uppgifterna i tjänsten. Vid bedömningen av om uppgifterna kan lämnas ut till tjänsten måste beaktas hela vidden av tjänsten och utifrån det, om ett utlämnande via prenumerationstjänsten är förenligt med gällande registerförfattningar och sekretessbestämmelser till skydd för den enskilde. E-hälsomyndigheten har uppgett att prenumerationstjänsten bygger på ett avtal mellan myndigheten och Inera. Inera anges i sin tur ha avtal med de vårdgivare som väljer att tillhandahålla prenumerationstjänsten. Det är dock E-hälsomyndigheten som är personuppgiftsansvarig för all behandling av personuppgifter i tjänsten. Om tjänsten realiseras som E-hälsomyndigheten planerat, kommer myndigheten behandla uppgifter dels för den enskildes lagring, dels för att tillgängliggöra dem även för andra. Det är korrekt att vårdgivaren ansvarar för vårdgivarens sekretess, men även E-

25 25 hälsomyndigheten har ett ansvar för att de uppgifter som behandlas i tjänsten har erhållits på ett lagligt och korrekt sätt. Om personuppgifter erhålls via en tjänst som inrättats mellan myndigheter utan att myndigheterna ser till att behandlingen är laglig, är det inte en skälig behandling. Tjänsten som helhet måste beaktas. Uppgifterna kommer att vidarebehandlas av andra och denna behandling kan komma att ske utan att användaren själv tagit del av uppgifterna. SKÄLEN FÖR AVGÖRANDET Datainspektionen är tillsynsmyndighet enligt PUL och har enligt 45 samma lag rätt att utfärda förelägganden, om inspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Frågan i målet är om Datainspektionen haft rätt att besluta om föreläggandena 1 4 som beskrivs ovan gentemot E-hälsomyndigheten. Personuppgiftsansvaret för Hälsa för mig Den första frågan som förvaltningsrätten har att ta ställning till är om E- hälsomyndigheten är personuppgiftsansvarig för behandlingen av personuppgifter som sker i tjänsten Hälsa för mig. Personuppgiftsansvarig är enligt 3 PUL den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Det är de faktiska omständigheterna i det enskilda fallet som är avgörande, dvs. vem eller vilka som har bestämt över behandlingen. Avgörande för denna bedömning är bl. a. varför behandlingen utförs och vem som är initiativtagare till behandlingen. Att bestämma över medlen för behandlingen avser främst att bestämma över de tekniska och organisatoriska medlen för behandlingen, dvs. "hur" behandlingen ska gå

26 26 till, t.ex. vilka personuppgifter som ska behandlas, vilka tredje män som ska få tillgång till de behandlade personuppgifterna och när uppgiften ska raderas. Högsta förvaltningsdomstolen har till exempel funnit att Försäkringskassan har ett personuppgiftsansvar vid tillhandahållandet av elektroniska självbetjäningstjänster i form av bl.a. anmälan av tillfällig föräldrapenning, eftersom Försäkringskassan har bestämt ändamålen med och medlen för behandlingen av dem samt utför behandling av uppgifterna (se HFD 2012 ref. 21). E-hälsomyndigheten menar numera att tjänsten Hälsa för mig bygger på principerna för eget utrymme och att personuppgiftsansvaret är begränsat till det som myndigheten kan råda över. Myndigheten har vare sig tillgång till eller kan kontrollera vilken information som användaren väljer att hämta in, spara, radera eller lämna ut. Därför är personuppgiftsansvaret begränsat till den behandling av personuppgifter som krävs för att administrera kontot och för övergripande frågor om organisatoriska och tekniska säkerhetsåtgärder. Den enskilde användaren av tjänsten bestämmer ändamålet med och medlen för behandlingen av personuppgifter i kontot och därför är han eller hon personuppgiftsansvarig för behandlingen. Datainspektionen menar att E-hälsomyndighetens personuppgiftsansvar täcker all behandling av personuppgifter i tjänsten, alltså även prenumerationstjänsten och behandling som utförs av applikationsleverantörer, samt delade personuppgifter genom den s.k. delningsfunktionen. Myndighetens ansvar begränsas inte av att den enskilde användaren har ett stort inflytande över personuppgiftsbehandlingen, eller av att tredje parter, t.ex. applikationsleverantörer, har ett personuppgiftsansvar för den behandling de utför. Förvaltningsrätten noterar att begreppet eget utrymme är en modell som används när myndigheter tillhandahåller automatiserad service i

27 27 elektroniska tjänster för enskilda användare. Begreppet är inte definierat i lag och det finns inga särskilda lagregler om personuppgiftsbehandling i egna utrymmen. I E-delegationens vägledning definieras eget utrymme som ett skyddat förvar som tillhandahålls elektroniskt endast som led i teknisk bearbetning eller teknisk lagring för annans räkning (E-delegationens vägledning, s. 9). esam 4 har också skrivit en vägledning (Eget utrymme hos myndighet En vägledning), enligt vilken ett eget utrymme ska utformas så att endast användaren förfogar över handlingar i utrymmet och så att dessa handlingar inte blir att anse som allmänna enligt TF, eller inkomna enligt förvaltningslagen (1986:22), (esams vägledning, s. 10). Det handlar många gånger om servicetjänster, där användare kan utforma, skriva under och ge in handlingar elektroniskt. Under serviceskedet anses handlingar inte inkomna till myndigheten, utan det är först när användaren väljer att skicka in handlingen till anvisat mottagningsställe som handlingen anses inkommen till myndigheten (enligt E-delegationens vägledning, s. 11). Det kan också handla om hjälp från myndigheten eller att presentera information från myndigheten i Mina sidor. Normalt får ingen annan än användaren av utrymmet bereda sig tillgång till det användaren har i utrymmet eller annars förfoga över dennes information (esams vägledning, s. 13). Det kan också handla om att ta emot och förvara handlingar från myndigheter genom en e-brevlåda eller ett personligt hälsokonto (esams vägledning, s. 5). Den ursprungliga och sannolikt vanligaste användningen av eget utrymme är ett led i digitaliseringen om den enskilde har ett ärende hos en myndighet har myndigheten skapat ett eget utrymme för att underlätta och effektivisera ärendehandläggningen, exempelvis genom att utforma, skriva under och ge in handlingar elektroniskt till just den myndigheten. När det gäller Hälsa för mig är det inte fråga om något sådant eget utrymme, 4 esamverkansprogrammet (esam) är en frivillig fortsättning efter E-delegationen.

28 28 utan snarare det personliga hälsokontot som nämns i esams vägledning. Här är E-hälsomyndigheten inte mottagare, utan har i uppdrag att tillhandahålla tjänsten till enskilda användare, samt göra det möjligt för användaren att själv tillföra uppgifter till kontot och genom applikationer som ansluts till kontot respektive via prenumerationstjänster som överför uppgifter från vårdgivare. Det är myndigheten som utformar tjänsten i syfte att fullfölja sitt uppdrag och som tillhandahåller plattformen via ett personuppgiftsbiträde. Det är myndigheten som ingår avtal med de enskilda användarna av tjänsten, som avtalar med applikationsleverantörerna om möjligheten att få erbjuda applikationer och få tillgång till uppgifterna i tjänsten. Det är myndigheten som bekostar tjänsten och som får betalning av applikationsleverantörerna och det är myndigheten som tillhandahåller de tekniska förutsättningarna för att möjliggöra prenumerationstjänster. Eftersom det är E-hälsomyndigheten som bestämmer den yttre ramen för behandlingen av personuppgifter i tjänsten, är det myndigheten som bestämmer ändamålen med och medlen för tjänsten. I enlighet med 3 PUL är det enligt förvaltningsrättens mening E-hälsomyndigheten som är personuppgiftsansvarig för de behandlingar av personuppgifter som sker i tjänsten. Även om de enskilda användarna av tjänsten hämtar uppgifter och kan dela uppgifter är det enbart E-hälsomyndigheten och dess personuppgiftsbiträden som behandlar uppgiftssamlingen som helhet. Att de registrerade användarna har en stor påverkan på tjänsten, och att uppgifterna hämtas från andra personuppgiftsansvariga, betyder inte enligt förvaltningsrätten att E-hälsomyndighetens personuppgiftsansvar minskas eller begränsas. Att den registrerade har samtyckt till behandlingen innebär inte heller att den personuppgiftsansvariges ansvar upphör.