Regeringskansliets rättsdatabaser

1 § Denna lag tillämpas vid behandling av personuppgifter i verksamhet som gäller socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten (socialförsäkringens administration). Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Bestämmelserna i 7–15, 24, 25 och 28 §§ gäller i tillämpliga delar även uppgifter om avlidna personer. Lag (2009:1009). 2 § Sådan behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen. 3 § I fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen (2001:99) om den officiella statistiken och i författningar som ansluter till den lagen. 4 § Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamhet som avses i 1 § utgör socialförsäkringsdatabasen. Förhållandet till personuppgiftslagen 5 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom socialförsäkringens administration, om inte annat följer av denna lag eller föreskrifter som meddelas med stöd av denna lag eller av personuppgiftslagen. Personuppgiftsansvar 6 § En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Ändamål för behandling av personuppgifter 7 § Försäkringskassan och Pensionsmyndigheten får i sin verksamhet behandla personuppgifter om det är nödvändigt för att 1. återsöka vägledande avgöranden, 2. tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar som nämns i 1 § ska kunna bedömas eller fastställas, 3. informera om sådana förmåner och ersättningar som nämns i 1 §, 4. handlägga ärenden, 5. planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet, eller 6. framställa statistik avseende verksamhet enligt 4 och 5. Vid behandling för det ändamål som anges i första stycket 1 får inte uppgifter som direkt pekar ut den registrerade användas. Lag (2009:1009). 8 § Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas av Försäkringskassan och Pensionsmyndigheten för tillhandahållande av information som behövs 1. som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda i den verksamhet som bedrivs av Centrala studiestödsnämnden och arbetslöshetskassorna, 2. för samordning av tjänstepensioner i den verksamhet som bedrivs av Statens tjänstepensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner, 3. för handläggning av ärenden hos Statens tjänstepensionsverk där regler om statens tjänstegrupplivförsäkring ska tillämpas, 4. som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. socialtjänstlagen (2001:453) åt enskild i den verksamhet som bedrivs av socialnämnderna, eller 5. som underlag för beslut om och kontroll av vårdnadsbidrag enligt lagen (2008:307) om kommunalt vårdnadsbidrag. Försäkringskassan och Pensionsmyndigheten får även behandla personuppgifter som behandlas för ändamål som anges i 7 § för att tillhandahålla information utanför den egna myndigheten på grund av 1. sådan bestämmelse om skyldighet att lämna ut uppgifter till andra myndigheter som avses i 10 kap. 28 § första stycket offentlighets- och sekretesslagen (2009:400), 2. sådant medgivande att lämna ut uppgifter som följer av särskilda bestämmelser i lag eller förordning, 3. sådan skyldighet att lämna ut uppgifter som följer av unionsrätten, eller 4. åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller i avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater. Lag (2010:565). 9 § I fråga om behandling av personuppgifter för annat ändamål än vad som anges i 7 och 8 §§ gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204). Behandling av känsliga personuppgifter m.m. 10 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) (känsliga personuppgifter) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får vidare behandlas för något av de ändamål som anges i 7 § första stycket 1 eller 8 § om det är nödvändigt med hänsyn till ändamålet. För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet. Utöver vad som följer av första stycket första meningen och andra stycket får känsliga personuppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2-4. 11 § Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas för något av de ändamål som anges i 7 § första stycket 1 eller 8 § om det är nödvändigt med hänsyn till ändamålet. För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen behandlas som enligt 14 § får behandlas i socialförsäkringsdatabasen. Utöver vad som följer av första stycket första meningen och andra stycket får sådana uppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana uppgifter om lagöverträdelser än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2-4. 12 § I 14 § finns särskilda bestämmelser om behandling i socialförsäkringsdatabasen av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204). Behandling av personuppgifter i socialförsäkringsdatabasen 13 § I socialförsäkringsdatabasen får endast sådana personuppgifter behandlas som avser personer som omfattas eller har omfattats av verksamhet enligt de ändamål som anges i 7 § eller personer om vilka uppgifter på annat sätt behövs för handläggningen av ett ärende. 14 § För de ändamål som anges i 7-9 §§ får, med beaktande av de begränsningar som följer av 7 och 13 §§, i socialförsäkringsdatabasen behandlas identifierings- och adressuppgifter. Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får utöver vad som anges i 15 § behandlas i socialförsäkringsdatabasen bara om det särskilt anges i lag eller förordning. För sådan behandling gäller de begränsningar som följer av 10 och 11 §§. Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen. 15 § Uppgifter i en handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen även om de utgör känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204). Sådana uppgifter i en handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen, om uppgifterna är nödvändiga för ärendets handläggning. Tilldelning av behörighet 16 § Behörighet för åtkomst till socialförsäkringsdatabasen skall inom socialförsäkringens administration tilldelas genom en särskild handling i enlighet med vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer. Behörighet för åtkomst till socialförsäkringsdatabasen skall begränsas till vad som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter. Direktåtkomst 17 § Direktåtkomst till socialförsäkringsdatabasen är tillåten endast i den utsträckning som anges i lag eller förordning. 18 § Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för de ändamål som anges i 7 och 8 §§. Sådan direktåtkomst ska vara förbehållen de personkategorier som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna. Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om direktåtkomst som avses i första stycket. Lag (2009:1009). 19 § Statens tjänstepensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får ha direktåtkomst till socialförsäkringsdatabasen för samordning av tjänstepensioner med socialförsäkringsförmåner. Statens tjänstepensionsverk får ha direktåtkomst till socialförsäkringsdatabasen för handläggning av ärenden där regler om statens tjänstegrupplivförsäkring ska tillämpas. Bestämmelserna i 16 § och 18 § första stycket andra meningen gäller också för tjänstepensionsverket och det gemensamma organet. Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om vilka uppgifter direktåtkomst enligt första och andra styckena får omfatta. Lag (2010:565). 20 § Centrala studiestödsnämnden och arbetslöshetskassorna får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för ändamål som anges i 8 § första stycket 1. Regeringen meddelar föreskrifter om vilka uppgifter direktåtkomst enligt första stycket får omfatta. 20 a § En socialnämnd får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för ändamål som anges i 8 § första stycket 4. En socialnämnd får ha direktåtkomst först sedan Försäkringskassan eller Pensionsmyndigheten har försäkrat sig om att handläggare hos socialnämnden bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Regeringen meddelar ytterligare föreskrifter om vilka uppgifter direktåtkomst enligt första stycket får omfatta. Lag (2009:1009). 20 b § Den nämnd som handlägger ärenden om vårdnadsbidrag får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för ändamål som anges i 8 § första stycket 5. En sådan nämnd får ha direktåtkomst först sedan Försäkringskassan eller Pensionsmyndigheten har försäkrat sig om att handläggare hos nämnden bara kan ta del av uppgifter om personer som är aktuella i ärenden om vårdnadsbidrag hos nämnden. Regeringen meddelar ytterligare föreskrifter om vilka uppgifter direktåtkomst enligt första stycket får omfatta. Lag (2009:1009). Utlämnande på medium för automatiserad behandling 21 § Personuppgifter i socialförsäkringsdatabasen som får lämnas ut till den registrerade får lämnas ut till denne på medium för automatiserad behandling. Personuppgifter i socialförsäkringsdatabasen får i övrigt lämnas ut på medium för automatiserad behandling endast om det behövs för något av de ändamål som anges i 8 §. 22 § Personuppgifter i socialförsäkringsdatabasen får lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation om den registrerade uttryckligen samtyckt till utlämnandet. Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som får lämnas ut enligt första stycket. 23 § Personuppgifter som behövs för skadereglering får lämnas ut på medium för automatiserad behandling till organ som driver försäkringsrörelse om den registrerade uttryckligen samtyckt till utlämnandet. Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som får lämnas ut enligt första stycket. Sökbegrepp 24 § Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid sökning i socialförsäkringsdatabasen. Vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp. Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sökbegrepp som får användas. 25 § Utan hinder av de begränsningar för sökning som anges i 24 § får personuppgifter som rör hälsa användas som urvalskriterium vid sammanställningar om regeringen har meddelat föreskrifter om det. Överföring av personuppgifter till tredje land 26 § Överföring av personuppgifter till tredje land på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater får ske utan hinder av 33 § personuppgiftslagen (1998:204). Information 27 § Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i information enligt 26 § personuppgiftslagen (1998:204) om den registrerade tagit del av handlingens innehåll. Av informationen skall det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, skall dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig. Gallring 28 § Personuppgifter som behandlas automatiserat skall gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §. Regeringen eller den myndighet regeringen bestämmer får dock meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål. Avgifter 29 § Avgifter får tas ut för utlämnande av uppgifter och handlingar från socialförsäkringsdatabasen enligt de närmare föreskrifter som meddelas av regeringen eller den myndighet regeringen bestämmer. Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen. Rättelse och skadestånd 30 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag. Kontrollverksamhet 31 § Försäkringskassan och Pensionsmyndigheten ska genom särskilda åtgärder kontrollera efterlevnaden av denna lag enligt vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer. Lag (2009:1009). Tystnadsplikt 32 § Den som genom sin befattning med personuppgifter som inhämtats från socialförsäkringsdatabasen till det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter. Överklagande 33 § En myndighets beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. Övergångsbestämmelser 2003:763 1. Denna lag träder i kraft den 1 december 2003, då socialförsäkringsregisterlagen (1997:934) upphör att gälla. 2. Bestämmelserna i denna lag skall inte tillämpas före den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling av personuppgifter som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998. 3. Den nya lagens bestämmelse om skadestånd skall tillämpas endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter det att den nya lagen har trätt i kraft. I annat fall tillämpas de äldre bestämmelserna.