Post 192 av 738 träffar
En ny dataskyddsreglering på socialförsäkringsområdet Prop. 2023/24:29
Ansvarig myndighet: Socialdepartementet
Dokument: Prop. 29
Regeringens proposition
2023/24:29
En ny dataskyddsreglering på socialförsäkringsområdet
Prop.
2023/24:29
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 19 oktober 2023
Tobias Billström
Acko Ankarberg Johansson
(Socialdepartementet)
Propositionens huvudsakliga innehåll
I propositionen lämnas förslag till en ny dataskyddsreglering för Försäkringskassan och Pensionsmyndigheten. Förslagen syftar till att skapa en teknikneutral lagstiftning som möjliggör en digitaliserad och effektiv verksamhet och som värnar den enskildes personliga integritet.
De ändamål för vilka Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter föreslås utvidgas på så sätt att myndigheterna får möjlighet att behandla personuppgifter om det är nödvändigt för att vidta kontrollåtgärder. Ändamålet för kontrollåtgärder är avsett att tillämpas när personuppgifter behandlas vid sidan av ärendehandläggningen i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.
De särskilda begränsningar som gäller för utlämnande av personuppgifter på medium för automatiserad behandling (annat elektroniskt utlämnande av personuppgifter än genom direktåtkomst) föreslås slopas. Försäkringskassan och Pensionsmyndigheten ska få lämna ut personuppgifter elektroniskt på andra sätt än genom direktåtkomst under förutsättning att utlämnande kan ske med stöd i de ändamål som anges i lagen och med beaktande av krav på säkerhet och sekretess.
Därutöver föreslås bl.a. att uttrycket socialförsäkringsdatabasen ska utmönstras och att sökbegränsningar ska utgå från syftet med sökningen i stället för från otillåtna sökbegrepp.
Lagändringarna föreslås träda i kraft den 15 februari 2024.
Innehållsförteckning
1 Förslag till riksdagsbeslut 4
2 Förslag till lag om ändring i socialförsäkringsbalken 5
3 Ärendet och dess beredning 9
4 Försäkringskassans och Pensionsmyndighetens verksamheter samt gällande rätt 10
4.1 Försäkringskassans verksamhet 10
4.2 Pensionsmyndighetens verksamhet 11
4.3 Gällande rätt 12
4.3.1 Europakonventionen 12
4.3.2 EU:s dataskyddsförordning 13
4.3.3 Regeringsformen 16
4.3.4 Dataskyddslagen 16
4.3.5 114 kap. socialförsäkringsbalken 16
4.3.6 Sekretess i Försäkringskassans och Pensionsmyndighetens verksamheter 17
5 Modernisering av dataskyddsregleringen på socialförsäkringsområdet 18
5.1 Behovet av en översyn 18
5.2 Nuvarande reglering ska upphävas och ersättas med en ny 21
6 Ett nytt kapitel i socialförsäkringsbalken om Försäkringskassans och Pensionsmyndighetens behandling av personuppgifter 21
6.1 Kapitlets tillämpningsområde 21
6.2 Uttrycket socialförsäkringens administration 22
6.3 Förhållandet till annan reglering 23
6.4 Uppgifter om avlidna personer 24
6.5 Begränsning av den registrerades rätt att göra invändningar 25
6.6 Socialförsäkringsdatabasen 27
6.7 Personuppgiftsansvar 28
6.8 Ändamål för behandling av personuppgifter 30
6.8.1 Primära ändamål och deras detaljeringsgrad 30
6.8.2 Kontrollåtgärder 35
6.8.3 Testverksamhet 45
6.8.4 Sekundära ändamål 46
6.8.5 Finalitetsprincipen 49
6.9 Känsliga personuppgifter 50
6.10 Uppgifter om lagöverträdelser 59
6.11 Reglering av adekvata och relevanta personuppgifter 62
6.12 Sökbegränsningar 64
6.13 Begränsning och uppföljning av tillgången till personuppgifter 70
6.14 Direktåtkomst 73
6.14.1 Direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten 73
6.14.2 Centrala studiestödsnämnden, arbetslöshetskassorna och socialnämnderna bör inte medges direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten 75
6.15 Gallring 79
6.16 Avgifter och tystnadsplikt 81
6.17 Annat elektroniskt utlämnande än direktåtkomst 82
6.18 Överföring till tredjeland 88
6.19 Information på begäran av den registrerade (registerutdrag) 89
6.20 Kontroll av att bestämmelserna följs 90
6.21 Förslag i hemställan som inte bör genomföras 91
7 Ikraftträdande- och övergångsbestämmelser 92
8 Konsekvenser 92
8.1 Ekonomiska konsekvenser 92
8.2 Konsekvenser för den personliga integriteten 93
8.3 Övriga konsekvenser 94
9 Författningskommentar 95
Bilaga 1 Sammanfattning av hemställan om ändringar i 114 kap. SFB och förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration 104
Bilaga 2 Hemställans lagförslag 107
Bilaga 3 Förteckning över remissinstanserna (hemställan) 125
Bilaga 4 Sammanfattning av utkast till lagrådsremiss En modern dataskyddsreglering på socialförsäkringsområdet 126
Bilaga 5 Lagförslag i utkastet till lagrådsremiss 127
Bilaga 6 Förteckning över remissinstanserna (utkastet till lagrådsremiss) 131
Bilaga 7 Lagrådsremissens lagförslag 132
Bilaga 8 Lagrådets yttrande 136
Utdrag ur protokoll vid regeringssammanträde den 19 oktober 2023 137
1
Förslag till riksdagsbeslut
Regeringens förslag:
Riksdagen antar regeringens förslag till lag om ändring i socialförsäkringsbalken.
2 Förslag till lag om ändring i socialförsäkringsbalken
Härigenom föreskrivs i fråga om socialförsäkringsbalken
dels att 114 kap. ska upphöra att gälla,
dels att det ska införas ett nytt kapitel, 114 kap., av följande lydelse.
114 kap. Behandling av personuppgifter
Innehåll
1 § I detta kapitel finns bestämmelser om
- tillämpningsområdet i 2 §,
- förhållandet till annan reglering i 3 och 4 §§,
- uppgifter om avlidna personer i 5 §,
- begränsning av rätten att göra invändningar i 6 §,
- personuppgiftsansvar i 7 §,
- ändamål för behandling av personuppgifter i 8-10 §§,
- känsliga personuppgifter i 11 och 12 §§,
- tillgång till personuppgifter i 13 §,
- direktåtkomst i 14 §,
- gallring i 15 §,
- avgifter i 16 §, och
- tystnadsplikt i 17 §.
Tillämpningsområdet
2 § Detta kapitel gäller vid behandling av personuppgifter i verksamhet som avser förmåner enligt denna balk samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten.
Kapitlet gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Förhållandet till annan reglering
3 § Detta kapitel innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt detta kapitel gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
4 § I fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen (2001:99) om den officiella statistiken och i föreskrifter som har meddelats i anslutning till den lagen.
Uppgifter om avlidna personer
5 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:
1. detta kapitel och föreskrifter som har meddelats i anslutning till kapitlet,
2. EU:s dataskyddsförordning, och
3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.
Begränsning av rätten att göra invändningar
6 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
Personuppgiftsansvar
7 § Försäkringskassan och Pensionsmyndigheten är personuppgiftsansvariga för behandling av personuppgifter i sina respektive verksamheter.
Ändamål för behandling av personuppgifter
8 § Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter om det är nödvändigt för att
1. tillgodose behovet av det underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar ska kunna bedömas eller fastställas,
2. informera om förmåner och ersättningar,
3. handlägga ärenden,
4. vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott,
5. planera sina respektive verksamheter,
6. inom sina respektive verksamheter genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn, eller
7. framställa statistik i fråga om verksamhet enligt 3-6.
9 § Personuppgifter som behandlas för ändamål som anges i 8 § får behandlas av Försäkringskassan och Pensionsmyndigheten även för att fullgöra uppgiftslämnande som
1. sker i överensstämmelse med lag eller förordning, eller
2. följer av unionsrätten, åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.
10 § Personuppgifter som behandlas enligt 8 eller 9 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Känsliga personuppgifter
11 § Sådana personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får också behandlas om det är nödvändigt för något av de ändamål som anges i 9 §.
Känsliga personuppgifter om hälsa får även behandlas om det är
1. nödvändigt för något av de ändamål som anges i 8 § 1 och 2,
2. nödvändigt för något av de ändamål som anges i 8 § 4-7 och uppgifterna behandlas eller har behandlats för något av de ändamål som anges i 8 § 1-3, eller
3. absolut nödvändigt för behandling med stöd av 10 § och uppgifterna behandlas eller har behandlats för något av de ändamål som anges i 8 §
1-3.
I andra fall får känsliga personuppgifter inte behandlas.
12 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För de ändamål som anges i 8 § får dock sökningar utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa, om uppgiften avser förmån eller ersättning eller om urvalet ska användas för att
1. vidta åtgärder i handläggningen,
2. planera, följa upp eller utvärdera handläggningen, eller
3. vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.
Tillgång till personuppgifter
13 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Direktåtkomst
14 § Direktåtkomst till personuppgifter i sådan verksamhet som avses i 2 § är tillåten endast i den utsträckning som anges i lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vem som får medges direktåtkomst och vilka uppgifter som då får omfattas av direktåtkomsten.
Gallring
15 § Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 8 §.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Avgifter
16 § Avgifter får tas ut för utlämnande av uppgifter och handlingar från sådan verksamhet som avses i 2 §.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om uttagandet av avgifter.
Rätten att ta ut avgifter enligt första och andra styckena får inte innebära någon inskränkning i rätten att ta del av och mot fastställd avgift få en kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Tystnadsplikt
17 § Den som, genom sin befattning med personuppgifter som har inhämtats från sådan verksamhet som avses i 2 § till det för kommunerna och regionerna gemensamma organet för administration av personalpensioner, får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter.
Denna lag träder i kraft den 15 februari 2024.
3 Ärendet och dess beredning
Försäkringskassan och Pensionsmyndigheten lämnade i december 2020 en hemställan till Socialdepartementet om ändringar i 114 kap. socialförsäkringsbalken, förkortad SFB, och förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration (S2020/09443). En sammanfattning av hemställan finns i bilaga 1. Hemställans lagförslag finns i bilaga 2. Hemställan har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Socialdepartementet (S2020/09443).
Vid remissbehandlingen av hemställan efterfrågade flera remissinstanser en oberoende belysning av frågorna med mer utförliga analyser av integritetsrisker och proportionalitet. Som ett led i den fortsatta beredningen av hemställan utarbetades ett utkast till lagrådsremiss. I utkastet behandlas hemställans olika förslag till ändringar utifrån kompletterande integritets- och proportionalitetsanalyser, och det lämnas ett samlat förslag till ett nytt 114 kap. SFB. En sammanfattning av utkastet till lagrådsremiss finns i bilaga 4. Lagförslaget i utkastet till lagrådsremiss finns i bilaga 5. Utkastet till lagrådsremiss har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 6. Remissvaren finns tillgängliga i Socialdepartementet (S2022/04816).
I propositionen behandlas hemställans förslag i fråga om 114 kap. SFB och förslagen i utkastet till lagrådsremiss.
Lagrådet
Regeringen beslutade den 21 september 2023 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8. Lagrådet lämnade förslaget utan erinran. I förhållande till lagrådsremissen har vissa språkliga och redaktionella ändringar gjorts.
4 Försäkringskassans och Pensionsmyndighetens verksamheter samt gällande rätt
4.1 Försäkringskassans verksamhet
Försäkringskassan administrerar en stor del av den svenska socialförsäkringen och hanterar därutöver ett antal andra bidrag och ersättningar. Verksamheten består huvudsakligen i att besluta och betala ut de olika förmåner och ersättningar som myndigheten ansvarar för. För att utföra sitt uppdrag behöver Försäkringskassan behandla ett stort antal personuppgifter och känsliga personuppgifter. Som stöd i sitt arbete har verksamheten tillgång till ett flertal olika it-stöd, bl.a. ärendehanteringssystemet ÄHS. Viss handläggning sker automatiserat i it-systemen. Den automatiserade handläggningen kompletteras med manuell handläggning då uppgifter i ärendet kräver särskilda åtgärder eller ställningstaganden. Informationsutbyte med andra myndigheter sker i allt större utsträckning elektroniskt. Även användningen av elektroniska läkarintyg ökar kontinuerligt. Elektroniska akter och dokument lagras i myndighetens digitala långtidsarkiv (DiLA).
För handläggning och administration av socialförsäkringsärenden behandlas uppgifter i it-systemet Generell personinformation (GEPI). Registret innehåller uppgifter om både personer som är folkbokförda i Sverige och utlandsbosatta personer som har eller har haft anknytning till svensk socialförsäkring. Uppgifterna kommer från såväl interna register som externa aviseringar från andra myndigheter.
En stor del av de digitala kontakterna med försäkrade sker genom webbtjänsten Mina sidor. Där kan de försäkrade efter inloggning bl.a. få tillgång till egna uppgifter och hantera ansökningar. De kan också välja att få post från Försäkringskassan digitalt på Mina sidor i stället för genom pappersutskick. Försäkringskassan är även ansluten till Mina meddelanden, den digitala infrastrukturen för förmedling av myndighetspost.
Försäkringskassan har ett informationsuppdrag som omfattar information om socialförsäkringen och de förmåner som myndigheten ansvarar för. Det kan handla om aktuella regeländringar, statistik, rapporter, forskning och nyheter. Mottagare av informationen kan vara såväl personer som har eller har haft ett ärende hos Försäkringskassan som personer som aldrig har haft kontakt med myndigheten. Information lämnas i såväl externa kanaler som myndighetens egna.
För att säkerställa att felaktiga utbetalningar inte görs och för att motverka bidragsbrott har Försäkringskassan under senare år arbetat med riskbaserade kontroller genom dataanalys. Sådana kontroller bygger på analys av förmånsrelaterad information och syftar till att identifiera ärenden där det finns risk för felaktiga utbetalningar. Riskbaserade kontroller används såväl i ordinarie handläggning som vid efterkontroller.
Intern försäkringskontroll genomförs inom alla förmåner för att upptäcka och motverka felaktiga utbetalningar, misstänkta interna överträdelser, systematiska avvikelser som kan leda till felaktiga utbetalningar samt avvikelser som gäller registrerade kontonummer.
Försäkringskassan deltar sedan 2009 i en myndighetsgemensam satsning mot den organiserade brottsligheten. Därutöver ingår Försäkringskassan i flera myndighetsnätverk som syftar till att minska felaktiga utbetalningar och motverka bidragsbrott.
Försäkringskassan har som statistikansvarig myndighet ansvar för att producera och publicera officiell och annan statistik inom områdena stöd till barnfamiljer och stöd vid sjukdom och handikapp. Därutöver ansvarar Försäkringskassan för en kvalificerad kunskapsuppbyggnad inom sitt verksamhetsområde. Det innebär att myndigheten följer och analyserar socialförsäkringssystemets utveckling och effekter för enskilda och samhället. Resultaten av analyserna förmedlas genom rapporter och på andra sätt till regeringen och allmänheten. Försäkringskassan ansvarar också för utbyte av kunskap med andra länder samt för att stödja regeringen i det internationella arbetet. Informationshanteringen sker bl.a. i it-systemet STORE som innefattar Försäkringskassans datalager samt beslutsstöds- och analysplattform. STORE används för att ta fram produktionsinformation, ledningsinformation, ärendestatistik, resultatmått, försäkringsstatistik, riktade kontroller, officiell statistik, utgiftsprognoser, ärendeprognoser och analysdata för forskare m.fl. STORE innehåller uppgifter som huvudsakligen kommer från handläggningen av socialförsäkringsärenden men där finns även uppgifter som hämtats in från andra, bl.a. Skatteverket och Statistiska centralbyrån.
4.2 Pensionsmyndighetens verksamhet
Pensionsmyndigheten har i uppdrag att administrera och betala ut pensioner och andra förmåner som administreras av myndigheten. I arbetet används ett flertal olika it-stöd. Viss handläggning sker automatiserat i it-systemen. Den automatiserade handläggningen kompletteras också med manuell handläggning i de fall då uppgifter i ärendet kräver särskilda åtgärder eller ställningstaganden. Informationsutbytet med andra myndigheter sker i ökande utsträckning elektroniskt. En stor del av Pensionsmyndighetens personuppgiftsbehandling sker med hjälp av it-system som finns hos Försäkringskassan.
Pensionsmyndigheten tillhandahåller e-tjänster på Mina sidor, där pensionärer och pensionssparare kan sköta sina kontakter med myndigheten digitalt. Det är möjligt att välja att få post från myndigheten digitalt i stället för genom pappersutskick. Myndigheten är också ansluten till tjänsten Mina meddelanden, den digitala infrastrukturen för förmedling av myndighetspost.
En av Pensionsmyndighetens uppgifter är att ge pensionssparare och pensionärer korrekt information om och en samlad bild av hela pensionen. Myndigheten samverkar med bolaget Min Pension AB i syfte att tillhandahålla enkel, detaljerad och samlad pensionsinformation till användarna. Pensionsmyndigheten ska också stärka pensionssparares och pensionärers ställning som konsumenter inom pensionsområdet genom att ge vägledning som är anpassad till individens behov och livssituation.
För att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott görs både manuella och maskinella kontroller i Pensionsmyndighetens förmånshandläggning. Myndigheten deltar också i externa myndighetsnätverk som syftar till att minska felaktiga utbetalningar och motverka bidragsbrott.
Pensionsmyndigheten har som statistikansvarig myndighet ansvar för att producera och publicera officiell och annan statistik inom området stöd vid ålderdom. Därutöver ansvarar Pensionsmyndigheten för att följa, analysera och förmedla ålderspensionssystemets utveckling och effekter för enskilda och samhälle. Resultaten av analyserna förmedlas genom rapporter och på andra sätt till regeringen och allmänheten. Pensionsmyndigheten ansvarar också för utbyte av kunskap med andra länder samt för att stödja regeringen i det internationella arbetet. Informationshanteringen sker i datalagret Pedal. Inom Pedal samlas uppgifter från förmånssystemen inom socialförsäkringen. Där samlas även information från andra myndigheter, t.ex. Skatteverket och Statistiska centralbyrån.
4.3 Gällande rätt
4.3.1 Europakonventionen
Enligt artikel 8 i den europiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, benämnd Europakonventionen, har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
När det gäller laglighetskriteriet krävs bl.a. att den nationella författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar, och de ska vara allmänt tillgängliga. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse som åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.
Europakonventionen gäller som lag i Sverige (lagen [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Av regeringsformen, förkortad RF, framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen (2 kap. 19 §).
4.3.2 EU:s dataskyddsförordning
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd EU:s dataskyddsförordning, är direkt tillämplig i alla medlemsstater. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter samtidigt som det fria flödet av personuppgifter inom unionen främjas.
Det materiella tillämpningsområdet för EU:s dataskyddsförordning omfattar sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Vissa undantag från tillämpningsområdet görs dock. Exempelvis ska behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten inte omfattas av förordningens bestämmelser (artikel 2.2 a). EU:s dataskyddsförordning gäller inte heller för bl.a. sådan personuppgiftsbehandling som omfattas av tillämpningsområdet för Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet) (artikel 2.2 d).
För att en behandling av personuppgifter ska vara tillåten, krävs att någon av de rättsliga grunder som anges i artikel 6 i EU:s dataskyddsförordning är tillämplig. Av särskilt intresse för myndigheters verksamhet är artikel 6.1 c som gäller när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och artikel 6.1 e som gäller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Av artikel 5 framgår ett antal grundläggande principer som gäller för all behandling av personuppgifter. Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Personuppgifterna ska vara korrekta - alla rimliga åtgärder ska vidtas för att felaktiga uppgifter rättas eller raderas - och dessutom adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandlingen ska ske på ett säkert sätt och inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter, kan dock personuppgifter lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Personuppgifter som samlats in för ett visst ändamål får som huvudregel inte behandlas för något annat ändamål som är oförenligt med det ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering (artiklarna 5.1 b och 6.4).
Artiklarna 5 och 6 är grundläggande och kumulativa. Det innebär att någon av de rättsliga grunderna i artikel 6 måste vara tillämplig, samtidigt som samtliga principer i artikel 5 ska följas.
EU:s dataskyddsförordning både förutsätter och medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. Detta gäller särskilt sådan behandling som sker inom den offentliga sektorn. Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Bestämmelserna får innehålla specifika krav för behandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling.
Av artikel 6.3 framgår att den rättsliga grunden, vid behandling enligt artikel 6.1 c och e, ska fastställas i unionsrätten eller i nationell rätt. Syftet med behandlingen ska i sin tur fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i EU:s dataskyddsförordning, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjuden. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Från huvudregeln att dessa särskilda kategorier av personuppgifter inte får behandlas finns flera undantag angivna (artikel 9.2). Sådan behandling är bl.a. tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder måste ske under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs (artikel 10).
EU:s dataskyddsförordning föreskriver ett antal rättigheter för den registrerade och motsvarande skyldigheter för den personuppgiftsansvarige. Den registrerade har t.ex. rätt att få omfattande information från den personuppgiftsansvarige (artiklarna 12-14). Den registrerade kan också begära registerutdrag med information om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få felaktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artiklarna 16-18). Rätten till radering gäller dock inte för behandling som sker med stöd av grunderna i artikel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning). Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning (artikel 21). En ytterligare rättighet för den registrerade är att slippa bli föremål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22).
Vissa av de rättigheter och skyldigheter som föreskrivs i förordningen får begränsas i nationell rätt. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23.1, t.ex. en medlemsstats viktiga mål av generellt allmänt intresse.
Den personuppgiftsansvarige ansvarar för att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken samt för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning (artiklarna 24, 25 och 32). Den personuppgiftsansvarige ska också föra ett register över alla behandlingar med uppgift om bl.a. ändamål och vilka kategorier av personuppgifter som behandlas (artikel 30) samt göra särskilda konsekvensbedömningar om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 35).
Om EU:s dataskyddsförordning föreskriver att förtydliganden eller begränsningar av dess bestämmelser kan göras i medlemsstaternas nationella rätt kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8). Regeringen har gjort bedömningen att detta innebär att förordningen ger medlemsstaterna möjlighet att i lagar på nationell nivå föreskriva vissa anpassade bestämmelser (propositionen Ny dataskyddslag [prop. 2017/18:105] s. 21-23). Principen om unionsrättens företräde innebär dock att bestämmelser i sådana författningar måste vara förenliga med EU:s dataskyddsförordning.
4.3.3 Regeringsformen
I regeringsformens målsättningsstadgande i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och värdighet. Vidare anges i dess fjärde stycke att det allmänna bl.a. ska värna den enskildes privatliv och familjeliv. Grundläggande bestämmelser till skydd för den personliga integriteten som gäller i förhållandet mellan enskilda och staten finns i 2 kap. RF. Av 2 kap. 6 § andra stycket RF följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.
4.3.4 Dataskyddslagen
Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, innehåller bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Inom ramen för det utrymme som EU:s dataskyddsförordning ger reglerar lagen bl.a. frågor om rättslig grund för behandling av personuppgifter, särskilda kategorier av personuppgifter (som i nationell lagstiftning benämns känsliga personuppgifter), tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är, på samma sätt som den tidigare personuppgiftslagen var, subsidiär i förhållande till annan lag eller förordning. Det gör det möjligt att ha bestämmelser som avviker från dataskyddslagen i sektorsspecifika registerförfattningar.
4.3.5 114 kap. socialförsäkringsbalken
Bestämmelserna i 114 kap. socialförsäkringsbalken, förkortad SFB, ska tillämpas vid behandling av personuppgifter i verksamhet som gäller förmåner enligt socialförsäkringsbalken samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten (2 §). Kapitlet gäller, i likhet med EU:s dataskyddsförordning, endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vissa av bestämmelserna gäller i tillämpliga delar även uppgifter om avlidna personer (2 § tredje stycket). Kapitlet kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till kapitlet (6 §).
Försäkringskassan och Pensionsmyndigheten är personuppgiftsansvariga för den behandling som respektive myndighet utför (6 a §). Personuppgifter får behandlas om det är nödvändigt för ett antal ändamål. Det handlar bl.a. om att tillgodose behovet av underlag för att bedöma eller fastställa rättigheter eller skyldigheter, handlägga ärenden, planera, följa upp och utvärdera verksamheten samt ta fram statistik. Personuppgifter får också lämnas ut för olika sekundära ändamål (8 och 9 §§). Finalitetsprincipen sätter den yttersta ramen för de tillåtna ändamålen (10 §). Känsliga personuppgifter och uppgifter om lagöverträdelser får i olika utsträckning behandlas för de olika ändamålen (11 och 12 §§).
Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt utgör socialförsäkringsdatabasen (5 §). Det finns bestämmelser om vilka uppgifter som får behandlas i socialförsäkringsdatabasen (14-16 §§). Behörighet för åtkomst till socialförsäkringsdatabasen ska begränsas till vad som behövs för att den enskilda tjänstemannen ska kunna fullgöra sina arbetsuppgifter (17 §). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i socialförsäkringsdatabasen (27 och 28 §§). Direktåtkomst till socialförsäkringsdatabasen är tillåten endast i den utsträckning som anges i lag eller förordning (18-22 §§), och personuppgifter får lämnas ut på medium för automatiserad behandling från socialförsäkringsdatabasen till andra än den registrerade endast om det behövs för något av de sekundära ändamålen (24-26 a §§).
Två rättigheter enligt EU:s dataskyddsförordning har inskränkts genom 114 kap. SFB. Sådan behandling av personuppgifter som är tillåten enligt kapitlet får utföras även om den registrerade motsätter sig behandlingen (3 §) och rätten till registerutdrag är begränsad på så sätt att personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende inledningsvis inte behöver ingå i utdraget om den registrerade tagit del av uppgifterna (30 §).
Kapitlet innehåller också bl.a. en gallringsbestämmelse (31 §) och en bestämmelse om att Försäkringskassan och Pensionsmyndigheten ska kontrollera efterlevnaden av kapitlet (34 §).
4.3.6 Sekretess i Försäkringskassans och Pensionsmyndighetens verksamheter
Sekretess gäller hos Försäkringskassan och Pensionsmyndigheten för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs, och uppgiften förekommer i ett ärende (28 kap. 1 § OSL). Begreppet personliga förhållanden omfattar uppgifter om allt från en persons adress och ekonomi till yttringarna av ett sjukdomstillstånd (prop. 1979/80:2 Del A s. 84). Även uppgifter om enskildas namn anses omfattas av begreppet (se RÅ 1994 not 516 och prop. 2003/04:93 s. 45). I fråga om t.ex. uppgifter om enskildas sjukskrivningsperioder bör det i regel kunna antas att ett utlämnande är förenat med en sådan risk för men att sekretess ska iakttas. Om den som begär att få del av uppgifterna inte vill uppge ändamålet med sin begäran eller uppträder anonymt, får redan detta anses visa att ett utlämnande är förenat med en sådan risk för men att sekretess ska iakttas. Även uppgifter om individers sjukskrivningsfrekvens bör vanligtvis omfattas av sekretess, i vart fall när den som begär uppgifterna är en arbetsgivare som överväger att anställa den som uppgifterna avser (prop. 1979/80:2 Del A s. 190).
Sekretess gäller också hos Försäkringskassan och Pensionsmyndigheten för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs (28 kap. 3 § OSL).
I 21 kap. OSL regleras ett generellt sekretesskydd som gäller personuppgifter hos alla myndigheter. För uppgifter som rör en enskilds hälsa eller sexualliv gäller sekretess om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs (21 kap. 1 § OSL). Bestämmelsen gäller inte om det finns en annan bestämmelse som ger starkare skydd för uppgifterna (7 kap. 3 § och 11 kap. 8 § OSL). Sekretess gäller också för personuppgifter som efter ett utlämnande kan antas komma att behandlas i strid med bl.a. EU:s dataskyddsförordning eller dataskyddslagen (21 kap. 7 § OSL).
5 Modernisering av dataskyddsregleringen på socialförsäkringsområdet
5.1 Behovet av en översyn
Regeringens bedömning: Dataskyddsregleringen på socialförsäkringsområdet bör ses över och moderniseras.
Hemställans bedömning överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den. Integritetsskyddsmyndigheten ser positivt på att en översyn görs för att förenkla och förtydliga regleringen och bidra till ökad transparens men anser att den här typen av genomgripande förslag på ändringar förtjänar en bred belysning genom att det tillsätts en särskild utredare som analyserar frågorna vidare. Förvaltningsrätten i Malmö ifrågasätter inte det identifierade behovet av en reformerad lagstiftning men anser att det hade varit bättre om ett förslag till förändrad lagstiftning på området hade tagits fram på ett mer sedvanligt sätt, dvs. genom tillsättande av en utredning som har dels uppställda direktiv att förhålla sig till, dels tillgång till bl.a. oberoende experter på området. Förvaltningsrätten anser också att övervägandena och lagförslagen i hemställan måste genomgå ytterligare granskning innan det är möjligt att i detalj kommentera dem. Statskontoret lämnar inga synpunkter i sak men anger att de tillstyrker hemställan i princip, liksom myndigheternas utgångspunkter för densamma. Myndigheternas förmåga att, enskilt och tillsammans med andra, identifiera och föreslå förändringar som kan bidra till en mer tidsenlig, effektiv och ändamålsenlig verksamhet bör enligt Statskontoret uppmuntras.
Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning
Modernisering behövs
De nu gällande bestämmelserna för Försäkringskassans och Pensionsmyndighetens behandling av personuppgifter infördes genom lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration (propositionen Behandling av personuppgifter inom socialförsäkringens administration [prop. 2002/03:135]). Dessa bestämmelser har sedermera införlivats i 114 kap. socialförsäkringsbalken, förkortad SFB (prop. 2008/09:200). I samband med ikraftträdandet av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) gjordes vissa justeringar av 114 kap. SFB för att anpassa de nationella bestämmelserna till den nya förordningen (propositionen Dataskydd inom Socialdepartementets verksamhetsområde - en anpassning till EU:s dataskyddsförordning [prop. 2017/18:171]).
Det har inte gjorts någon fullständig översyn av dataskyddsregleringen på socialförsäkringsområdet sedan 2003. Sedan dess har Riksförsäkringsverket och de allmänna försäkringskassorna 2005 bildat Försäkringskassan. År 2010 delades Försäkringskassan upp i två myndigheter, Försäkringskassan och Pensionsmyndigheten. Även hanteringen av personuppgifter har genomgått stora förändringar, från att ha skett decentraliserat hos de allmänna försäkringskassorna till att ske gemensamt och centraliserat. Förutsättningarna för myndigheternas digitalisering och personuppgiftsbehandling har förändrats betydligt de senaste åren, särskilt med hänsyn till den snabba tekniska utvecklingen. De nu gällande bestämmelserna utarbetades under en tid då handläggningen av enskilda ärenden till stora delar fortfarande skedde manuellt. I den mån handläggningen sköttes elektroniskt handlade det om inskannade handlingar. Inte heller hanterades uppgifter i samma omfattning i gemensamma it-system. Informationsutbytet mellan myndigheter har med tiden också utökats med anledning av arbetet med att motverka felaktiga utbetalningar och samverkan mot viss organiserad brottslighet. En förutsättning för att detta utbyte ska fungera effektivt är att det kan ske elektroniskt.
Försäkringskassan och Pensionsmyndigheten har i en gemensam hemställan lämnat förslag till ändringar i 114 kap. SFB som avser att modernisera regelverket. Myndigheterna har bl.a. redogjort för hur befintlig lagstiftning försvårar informationsutbyte med andra myndigheter och begränsar möjligheten att utveckla effektiva it-system och att motverka felaktiga utbetalningar. Förslagen till ändringar motiveras huvudsakligen av att myndigheternas uppdrag och de digitala förutsättningarna har förändrats över tid.
Det är av stor vikt att de möjligheter som digitaliseringen för med sig för samhället - för individer, näringsliv, civilsamhälle och offentlig förvaltning - både främjas och används. Digitaliseringen av den offentliga förvaltningen ska leda till en enklare vardag för medborgare, en öppnare förvaltning som stöder innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten. En enklare, öppnare och effektivare service ska kunna erbjudas till alla, oavsett om användaren befinner sig i Sverige eller i utlandet. Myndigheterna bör därför ges förutsättningar att utveckla e-tjänster och it-lösningar som ökar tillgängligheten och effektiviteten. Väl utvecklade system för informationshantering minskar också risken för felaktiga beslut. Samtidigt måste den enskildes berättigade krav på skydd för den personliga integriteten beaktas.
Det kan sammanfattningsvis konstateras att den nu gällande dataskyddsregleringen på socialförsäkringsområdet inte är anpassad till den mer avancerade och omfattande automatiserade behandling av personuppgifter som i dag förväntas av myndigheterna. Bestämmelserna i 114 kap. SFB bör därför ses över och moderniseras.
Bör det tillsättas en utredning?
Frågor om integritetsskydd är av komplex natur, och Integritetsskyddsmyndigheten anser i sitt remissvar över hemställan att den här typen av genomgripande förslag på ändringar förtjänar en bred belysning genom att det tillsätts en särskild utredare som analyserar frågorna. Även Förvaltningsrätten i Malmö påpekar att det hade varit bättre om ett förslag till förändrad lagstiftning tagits fram av en särskilt tillsatt utredning. Statskontoret framhåller å sin sida att myndigheternas förmåga att identifiera och föreslå förändringar som kan bidra till en mer tidsenlig, effektiv och ändamålsenlig verksamhet bör uppmuntras. Regeringen vill framhålla att Försäkringskassan och Pensionsmyndigheten gemensamt har tagit fram en hemställan och i det arbetet gjort avstämningar med andra berörda myndigheter och organ. Hemställan har sänts på remiss till 57 instanser. Bland remissinstanserna finns 18 myndigheter, inklusive Integritetsskyddsmyndigheten, Justitieombudsmannen och Justitiekanslern. Det finns även 30 kommuner bland remissinstanserna. Ingen remissinstans har invändningar mot att regelverket ses över och moderniseras. Ingen av remissinstanserna har heller avstyrkt förslaget om att revidera 114 kap. SFB.
Förvaltningsrätten i Malmö anser att övervägandena och lagförslagen i hemställan måste genomgå ytterligare granskning innan det är möjligt att i detalj kommentera dem. Sådan ytterligare granskning av förslagen i hemställan har gjorts inom ramen för framtagandet av utkastet till lagrådsremiss. Regeringen bedömer att de mer utförliga analyser av integritetsrisker och proportionalitet som gjorts i utkastet till lagrådsremiss är tillräckliga för de förslag som lämnas i propositionen. Sammantaget bedömer regeringen att det inte finns behov av att tillsätta en utredning.
5.2 Nuvarande reglering ska upphävas och ersättas med en ny
Regeringens förslag: Nuvarande 114 kap. socialförsäkringsbalken, som reglerar Försäkringskassans och Pensionsmyndighetens behandling av personuppgifter, ska upphävas och ersättas med ett nytt kapitel med samma nummer och namn.
Hemställans förslag överensstämmer delvis med regeringens förslag. I hemställan föreslås en omarbetning av nuvarande 114 kap. SFB, men i bilaga 4 till hemställan finns också ett förslag till ett nytt 114 kap. SFB.
Remissinstanserna lämnar inte några synpunkter på hemställans förslag.
Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Skälen för regeringens förslag: När en översyn av en lagstiftning får till följd att ett flertal paragrafer ändras och upphävs, kan detta leda till att lagstiftningen blir svåröverskådlig. Det är då fördelaktigt att upphäva den tidigare lagstiftningen och ersätta den med en ny. En sammanhållen lagstiftning gör regleringen mer pedagogisk och överblickbar. När 114 kap. SFB ses över bör därför kapitlet omarbetas i sin helhet, både när det gäller innehåll och struktur. Nuvarande 114 kap. SFB bör således upphävas och ersättas med ett nytt kapitel med samma nummer och namn.
6 Ett nytt kapitel i socialförsäkringsbalken om Försäkringskassans och Pensionsmyndighetens behandling av personuppgifter
6.1 Kapitlets tillämpningsområde
Regeringens förslag: Socialförsäkringsbalkens bestämmelser om personuppgiftsbehandling ska gälla vid behandling av personuppgifter i verksamhet som avser förmåner enligt socialförsäkringsbalken samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten. Kapitlet ska gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Hemställans förslag överensstämmer med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Skälen för regeringens förslag: Bestämmelserna i nuvarande 114 kap. socialförsäkringsbalken, förkortad SFB, ska tillämpas vid behandling av personuppgifter i verksamhet som gäller förmåner enligt socialförsäkringsbalken samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten (2 § första stycket). Kapitlet gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (2 § andra stycket). Det nya 114 kap. SFB bör ha samma tillämpningsområde som nuvarande kapitel. Det innebär att bl.a. administrativ verksamhet och officiell statistik enligt lagen (2001:99) om den officiella statistiken inte omfattas av tillämpningsområdet (prop. 2002/03:135 s. 44-46). Vad som avses med register framgår av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd EU:s dataskyddsförordning (artikel 4.6). Det bedöms inte nödvändigt att ange den definitionen i 114 kap. SFB.
Lagförslag
Förslaget innebär att en ny paragraf, 114 kap. 2 §, införs som delvis motsvarar nuvarande 114 kap. 2 § SFB.
6.2 Uttrycket socialförsäkringens administration
Regeringens bedömning: Uttrycket socialförsäkringens administration bör inte användas i det nya 114 kap. socialförsäkringsbalken.
Hemställans förslag överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning: I 2 kap. 2 § SFB anges att socialförsäkringen administreras av Försäkringskassan, Pensionsmyndigheten, Fondtorgsnämnden och Skatteverket. Uttrycket socialförsäkringens administration förekommer i flera bestämmelser i nuvarande 114 kap. SFB (6 a, 11, 12 och 17 §§), och i det kapitlet finns en särskild definition av uttrycket. Med socialförsäkringens administration avses i 114 kap. SFB administration hos Försäkringskassan och Pensionsmyndigheten (114 kap. 2 § första stycket andra meningen). Bestämmelserna i 114 kap. SFB omfattar därmed inte Skatteverkets registerverksamhet (prop. 2008/09:200 s. 583) och inte heller Fondtorgsnämndens verksamhet.
Det bedöms inte lämpligt att två närliggande uttryck endast delvis har samma innebörd i ett och samma regelverk. För att undvika otydligheter om vad som avses i de enskilda bestämmelserna i det nya 114 kap. SFB bör uttrycket socialförsäkringens administration inte längre användas i det kapitlet. I stället bör det i de enskilda bestämmelserna uttryckligen anges vilken verksamhet som avses.
6.3 Förhållandet till annan reglering
Regeringens förslag: Det ska upplysas om att bestämmelserna i 114 kap. socialförsäkringsbalken kompletterar EU:s dataskyddsförordning. Det ska också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av 114 kap. socialförsäkringsbalken eller föreskrifter som har meddelats i anslutning till kapitlet.
Det ska upplysas om att det i fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen om den officiella statistiken och i föreskrifter som ansluter till den lagen.
Hemställans bedömning överensstämmer i sak med regeringens förslag.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Förslaget i utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Skälen för regeringens förslag: I nuvarande 114 kap. 6 § SFB upplyses om att kapitlet innehåller bestämmelser som kompletterar EU:s dataskyddsförordning. I samma bestämmelse anges också att lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt 114 kap., om inte annat följer av kapitlet eller föreskrifter som har meddelats i anslutning till kapitlet. Motsvarande bestämmelse bör föras in i det nya 114 kap. SFB (jfr prop. 2017/18:171 s. 71-74).
I nuvarande 114 kap. 4 § SFB finns en upplysningsbestämmelse om att det i fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen om den officiella statistiken och i föreskrifter som ansluter till den lagen. I tidigare förarbeten har det uttalats att det kan hävdas att det definierade tillämpningsområdet för 114 kap. SFB omfattar sådan behandling av personuppgifter som utförs av Försäkringskassan och Pensionsmyndigheten i egenskap av statistikansvariga myndigheter (prop. 2002/03:135 s. 130). På samma sätt som gäller enligt nuvarande bestämmelser föreslås de primära ändamålen för behandling av personuppgifter också omfatta behandling av personuppgifter för statistikändamål (se avsnitt 6.8.1). Det är därför viktigt att det är tydligt att särskild reglering gäller för sådan behandling som omfattas av lagen om den officiella statistiken. Motsvarande upplysningsbestämmelse bör därför föras in i det nya 114 kap. SFB. Vid framställning av annan statistik än officiell statistik är både 114 kap. SFB och lagen om den officiella statistiken tillämpliga (1 § tredje stycket lagen om den officiella statistiken). Kraven på personuppgiftsbehandlingen bedöms vara lika omfattande i båda lagstiftningarna (jfr prop. 2002/03:135 s. 46).
Lagförslag
Förslaget innebär att två nya paragrafer införs, 114 kap. 3 och 4 §§. Bestämmelsen i den nya 3 § motsvarar nuvarande 114 kap. 6 § SFB, och bestämmelsen i den nya 4 § motsvarar i sak nuvarande 114 kap. 4 § SFB.
6.4 Uppgifter om avlidna personer
Regeringens förslag: Vid behandling av uppgifter om avlidna personer ska 114 kap. socialförsäkringsbalken och föreskrifter som har meddelats i anslutning till kapitlet, EU:s dataskyddsförordning, dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla i tillämpliga delar.
Hemställans förslag överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Förvaltningsrätten i Malmö anser att det måste tydliggöras vad som menas med att regleringen ska gälla i tillämpliga delar vid behandling av uppgifter om avlidna.
Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Skatteverket anser att det är mer ändamålsenligt att ange vilka bestämmelser som ska vara tillämpliga på uppgifter om avlidna personer.
Skälen för regeringens förslag: I nuvarande 114 kap. SFB finns det flera bestämmelser som i tillämpliga delar gäller för uppgifter om avlidna personer. Det huvudsakliga argumentet för att låta bestämmelser i 114 kap. SFB omfatta även uppgifter om avlidna personer är den stora mängden uppgifter om avlidna som behandlas inom de aktuella verksamheterna (prop. 2002/03:135 s. 45). EU:s dataskyddsförordning är inte tillämplig på uppgifter om avlidna personer (skäl 27) och medlemsstaterna får alltså själva bestämma vad som ska gälla för sådana uppgifter, t.ex. att behandlingen ska omfattas av samma krav som gäller för personuppgifter. För att få en enhetlig och heltäckande reglering bör även EU:s dataskyddsförordning samt dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen gälla för uppgifter om avlidna (jfr propositionen Stärkt integritet i Rättsmedicinalverkets verksamhet [prop. 2019/20:106] s. 32).
Regleringen bör endast gälla i tillämpliga delar för uppgifter om avlidna. Enligt regeringen behövs det inte något sådant förtydligande i lagtexten om vilka bestämmelser som ska vara tillämpliga på uppgifter om avlidna personer som Förvaltningsrätten i Malmö och Skatteverket föreslår. I huvudsak bör samma krav gälla för uppgifter om avlidna personer som för personuppgifter. Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt är dock inte tillämpliga på avlidna personer. Någon möjlighet för efterlevande eller andra att överta rättigheter som tillkom den avlidne när denne var i livet finns inte heller (prop. 2019/20:106 s. 32). Det innebär exempelvis att bestämmelser om rätten till information, rätten till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till avlidna. Däremot gäller bl.a. ändamålsbestämmelser, krav för behandling av känsliga personuppgifter och de principer som följer av artikel 5 i EU:s dataskyddsförordning. Till skillnad från tidigare ska begränsningar när det gäller direktåtkomst (föreslagna 114 kap. 14 § SFB) och krav på begränsad tillgång (föreslagna 114 kap. 13 § SFB) omfatta även uppgifter om avlidna. Den lagtekniska lösningen är i linje med den som finns i patientdatalagen (2008:355) och lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter där tillämpningsområdet utsträckts till att även omfatta personer som inte längre är i livet.
Lagförslag
Förslaget innebär att en ny paragraf, 114 kap. 5 §, införs som delvis motsvarar nuvarande 114 kap. 2 § tredje stycket SFB.
6.5 Begränsning av den registrerades rätt att göra invändningar
Regeringens förslag: Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar ska inte gälla vid sådan behandling av personuppgifter som är tillåten enligt 114 kap. socialförsäkringsbalken eller föreskrifter som har meddelats i anslutning till kapitlet.
Hemställans bedömning överensstämmer i sak med regeringens förslag.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten anser att det krävs en ny analys av om förutsättningarna för att begränsa rätten att göra invändningar enligt artikel 23 i EU:s dataskyddsförordning är uppfyllda. Enligt Sveriges advokatsamfund har det inte tillräckligt motiverats varför rätten för den registrerade att göra invändningar mot behandlingen inte ska gälla. Advokatsamfundet framhåller att det är viktigt för att bibehålla ett gott skydd för den registrerades fri- och rättigheter att få invändningen prövad av den personuppgiftsansvarige.
Skälen för regeringens förslag: Sådan behandling av personuppgifter som är tillåten enligt nuvarande 114 kap. SFB får utföras även om den registrerade motsätter sig behandlingen (3 §). Det är en begränsning av rätten att göra invändningar enligt EU:s dataskyddsförordning (artikel 21.1). Det har tidigare bedömts finnas skäl för att införa en sådan begränsning (prop. 2002/03:135 s. 45), och begränsningen har också bedömts ha stöd i EU:s dataskyddsförordning (prop. 2017/18:171 s. 188 och 189). Enligt Integritetsskyddsmyndigheten och Sveriges advokatsamfund bör det dock göras en ny analys av om det finns förutsättningar att begränsa rätten att göra invändningar.
En begränsning av rätten att göra invändningar förutsätter att de villkor som anges i artikel 23 i EU:s dataskyddsförordning är uppfyllda. Det innebär att begränsningen måste ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa olika uppräknade intressen, bl.a. viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen (däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet). Regeringen anser att bedrivande av verksamhet inom bl.a. socialförsäkring och pensioner, inklusive den administration dessa verksamheter kräver, är ett sådant allmänt intresse som avses i artikel 23.1 e i EU:s dataskyddsförordning (prop. 2017/18:171 s. 189). Det är nödvändigt att personuppgifter får behandlas när Försäkringskassan och Pensionsmyndigheten administrerar socialförsäkringen, vilket även omfattar uppgiften att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott. En möjlighet för den registrerade att invända mot den normala elektroniska hanteringen skulle påtagligt försvåra arbetet för myndigheterna. En delvis manuell hantering skulle minska effektiviteten, öka kostnaderna och riskera att påverka objektiviteten och likabehandlingen i handläggningen negativt.
Sådana specifika bestämmelser om bl.a. olika skyddsåtgärder för personuppgifterna som krävs enligt artikel 23.2 i EU:s dataskyddsförordning finns sedan tidigare i 114 kap. SFB. Även det nya 114 kap. SFB föreslås innehålla bestämmelser om ändamålen med behandlingen samt begränsningar av behandling av känsliga personuppgifter, sökbegränsningar, begränsning av tillgången till personuppgifter, begränsning av direktåtkomst och krav på gallring. Ett undantag från rätten att invända mot behandling av personuppgifter i verksamhet som omfattas av tillämpningsområdet för 114 kap. SFB får därmed anses ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa det viktiga målet av generellt allmänt intresse att Försäkringskassan och Pensionsmyndigheten kan utföra sina uppgifter. Sammantaget bedömer regeringen att det finns skäl att behålla begränsningen av den registrerades rätt att invända mot sådan behandling av personuppgifter som sker med stöd av 114 kap. SFB.
I motsvarande lagstiftningar anges tydligt att det rör sig om just ett undantag i förhållande till vad som gäller enligt EU:s dataskyddsförordning (se bl.a. 18 b § utlänningsdatalagen [2016:27], 2 a § lagen [2002:546] om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och 4 § lagen [2019:663] om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap). Bestämmelsen i det nya 114 kap. bör enligt regeringen utformas på motsvarande sätt för att tydliggöra vilken rättighet den begränsar. Den ändrade utformningen är inte avsedd att innebära någon ändring i sak i förhållande till vad som gäller enligt nuvarande reglering.
Lagförslag
Förslaget innebär att en ny paragraf, 114 kap. 6 §, införs som i sak motsvarar nuvarande 114 kap. 3 § SFB.
6.6 Socialförsäkringsdatabasen
Regeringens bedömning: Uttrycket socialförsäkringsdatabasen bör inte användas i det nya 114 kap. socialförsäkringsbalken.
Hemställans förslag överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten anser att det av hemställan inte framgår på ett tydligt sätt vilka risker för den personliga integriteten det finns med att utmönstra uttrycket socialförsäkringsdatabasen.
Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning: Med socialförsäkringsdatabasen avses den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i sådan verksamhet som omfattas av tillämpningsområdet för 114 kap. (114 kap. 5 § SFB). Socialförsäkringsdatabasen är en juridisk konstruktion som utgör underlag för en gemensam reglering av sådana behandlingar som omfattas av uttrycket (prop. 2002/03:135 s. 47-51 och 130). Den gemensamma regleringen utgörs av särskilda skyddsåtgärder (114 kap. 14-28 §§ SFB).
Socialförsäkringsdatabasen omfattar större delen av den personuppgiftsbehandling som sker hos Försäkringskassan och Pensionsmyndigheten. Hos myndigheterna sker dock även annan behandling av personuppgifter, t.ex. behandling som utförs av en enskild tjänsteman eller en begränsad grupp av personer. Det kan bl.a. handla om dataanalyser som sker avgränsat från övrig verksamhet utan möjlighet till åtkomst för andra medarbetare. För sådan behandling gäller inte de särskilda skyddsåtgärderna trots att behandlingen kan omfatta stora mängder personuppgifter. I hemställan anförs att det saknas skäl att behålla uppdelningen mellan socialförsäkringsdatabasen och annan behandling.
Som utgångspunkt bör skyddet för fysiska personer vara teknikneutralt och inte beroende av den teknik som används hos myndigheten (skäl 15 i EU:s dataskyddsförordning). Uttrycket socialförsäkringsdatabasen bygger förvisso inte på tekniska avgränsningar eller utformningar i övrigt av uppgiftshanteringen (prop. 2002/03:135 s. 130). Likväl har uttrycket databas en stark teknisk anknytning och leder tanken till ett visst och i tekniskt avseende avgränsat informationssystem. Som framgår av hemställan består socialförsäkringsdatabasen av ett flertal olika uppgiftssamlingar och informationshanteringssystem hos myndigheterna.
EU:s dataskyddsförordning ställer inte några krav på särskilda skyddsåtgärder för behandling av personuppgifter som används gemensamt i en verksamhet. Kraven på säkerhet utgår i stället från behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter (artikel 32 i EU:s dataskyddsförordning). Vid behandling av känsliga personuppgifter gäller krav på skyddsåtgärder oavsett om myndigheter behandlar uppgifterna i gemensamma verksamhetssystem eller i ett begränsat utrymme (artikel 9.2 g i EU:s dataskyddsförordning). Risken för obehörig spridning av personuppgifterna är självfallet större i ett gemensamt it-system där personuppgifterna görs tillgängliga för en vidare krets än när uppgifterna finns i ett system med begränsad åtkomst. Det är dock inte bara tillgängligheten som avgör om behandlingen är integritetskänslig. Också mängden uppgifter och framför allt uppgifternas karaktär är viktiga faktorer vid bedömningen av om behandlingen är integritetskänslig. Den behandling av personuppgifter som omfattas av tillämpningsområdet för 114 kap. SFB avser ofta, oavsett om det sker i gemensamma it-system eller inte, uppgifter om hälsa och andra personliga förhållanden. Skyddsnivån för sådana uppgifter bör vara lika hög oavsett tillgänglighet.
Sammantaget finns det enligt regeringen inte längre några skäl att skilja på behandling av personuppgifter i socialförsäkringsdatabasen och annan behandling. Samma skyddsåtgärder bör i stället gälla för all behandling av personuppgifter som sker inom tillämpningsområdet för det nya 114 kap. SFB. För att uppnå detta bör uttrycket socialförsäkringsdatabasen utmönstras ur dataskyddsregleringen på socialförsäkringsområdet. Detta bör inte ge upphov till några sådana risker för den personliga integriteten som Integritetsskyddsmyndigheten efterfrågar en redogörelse för.
6.7 Personuppgiftsansvar
Regeringens förslag: Försäkringskassan och Pensionsmyndigheten ska vara personuppgiftsansvariga för behandling av personuppgifter i sina respektive verksamheter.
Hemställans förslag överensstämmer i sak med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Arbetsgivarverket framför att en ändrad utformning av personuppgiftsansvaret kan leda till fler fall av delat personuppgiftsansvar och att konsekvenserna av detta bör ses över.
Skälen för regeringens förslag: En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför (114 kap. 6 a § SFB). Utgångspunkten är därmed att den myndighet som har faktisk möjlighet att påverka om och hur en behandling ska företas också ska vara personuppgiftsansvarig för behandlingen (prop. 2002/03:135 s. 52). Detta överensstämmer med det som gäller enligt EU:s dataskyddsförordning (artikel 4.7).
Det är, som angetts i tidigare lagstiftningsärende, inte möjligt och ändamålsenligt att specificera alla nuvarande och eventuellt kommande behandlingar av personuppgifter inom Försäkringskassans och Pensionsmyndighetens kärnverksamheter (prop. 2002/03:135 s. 52).
Personuppgiftsansvaret knyts alltså i dag till den behandling av personuppgifter som myndigheten utför. Myndigheterna behandlar emellertid även personuppgifter i egenskap av personuppgiftsbiträde för varandras räkning. Den personuppgiftsansvarige är då ansvarig för den behandling som utförs av personuppgiftsbiträdet (artikel 4.7 och 4.8 i EU:s dataskyddsförordning). Eftersom 114 kap. SFB är tillämpligt på behandling som utförs av Försäkringskassan och Pensionsmyndigheten oavsett om de är personuppgiftsansvariga eller biträden, bör personuppgiftsansvaret inte knytas till den behandling som myndigheten utför utan till behandling i respektive myndighets verksamhet. Bestämmelsen om personuppgiftsansvar i 114 kap. bör därför formuleras så att det anges att myndigheterna är personuppgiftsansvariga för behandling av personuppgifter i sina respektive verksamheter (jfr 1 kap. 8 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 2 kap. 2 § vägtrafikdatalagen [2019:369]).
Arbetsgivarverket anser att en ändrad utformning av personuppgiftsansvaret kan leda till fler fall av delat personuppgiftsansvar. Regeringen anser att den personuppgiftsbehandling som Försäkringskassan och Pensionsmyndigheten utför i de allra flesta fall är väl avgränsad och går att härleda till en viss myndighet. När myndigheterna samarbetar med varandra eller andra kan det dock förekomma att flera myndigheter blir ansvariga för samma behandling, t.ex. om samarbetet innebär att de deltagande myndigheterna tillsammans bestämmer vilka uppgifter som ska samlas in, lagras eller tas bort. Att två eller flera kan vara gemensamt personuppgiftsansvariga följer av definitionen av personuppgiftsansvarig i artikel 4.7 i EU:s dataskyddsförordning. Regeringen har tidigare, i samband med att olika myndigheters samarbete setts över, konstaterat att det är i rättstillämpningen som frågan om personuppgiftsansvarets fördelning slutligt avgörs (prop. 2017/18:36 s. 19). Regeringen bedömer att den föreslagna utformningen av personuppgiftsansvaret väl speglar definitionen av personuppgiftsansvarig i EU:s dataskyddsförordning.
Ändringen påverkar inte skyddet för den personliga integriteten och någon ändring i sak är inte avsedd. I likhet med vad som gällt tidigare avses med verksamhet den verksamhet som ryms inom tillämpningsområdet för 114 kap. SFB.
Lagförslag
Förslaget innebär att en ny paragraf, 114 kap. 7 §, införs som i sak motsvarar nuvarande 114 kap. 6 a § SFB.
6.8 Ändamål för behandling av personuppgifter
6.8.1 Primära ändamål och deras detaljeringsgrad
Regeringens förslag: Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter om det är nödvändigt för att
* tillgodose behovet av det underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar ska kunna bedömas eller fastställas,
* informera om förmåner och ersättningar,
* handlägga ärenden,
* planera sina respektive verksamheter,
* inom sina respektive verksamheter genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn, eller
* framställa statistik i fråga om sådan verksamhet som avser att handlägga ärenden, planera sina respektive verksamheter eller inom sina respektive verksamheter genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn.
Hemställans förslag överensstämmer delvis med regeringens förslag. I hemställan lämnas två olika förslag. Det ena förslaget innebär att uppräkningen av primära ändamål i 114 kap. 7 § SFB ersätts av en bred ändamålsbestämmelse som avser all behandling inom tillämpningsområdet för kapitlet. Det andra förslaget innebär att nuvarande primära ändamål behålls och utökas. Enligt det andra förslaget ska även ändamålet att återsöka vägledande avgöranden tas bort samt vissa redaktionella ändringar göras.
Remissinstanserna: Flertalet remissinstanser tillstyrker de båda alternativa förslagen eller har inget att invända mot dem. Förvaltningsrätten i Malmö anser att det är olämpligt att i praktiken överlämna till de ansvariga myndigheterna att närmare bestämma det primära ändamålet. Integritetsskyddsmyndigheten pekar på behovet av en integritetsanalys och proportionalitetsbedömning.
Förslaget i utkastet till lagrådsremiss överensstämmer i huvudsak med regeringens förslag. I utkastet föreslås det även ett ändamål för att återsöka vägledande avgöranden.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Skatteverket och Riksarkivet avstyrker förslaget och förordar i stället en bred ändamålsbestämmelse. Även Försäkringskassan, Pensionsmyndigheten, Arbetsförmedlingen, Myndigheten för digital förvaltning, Centrala studiestödsnämnden, Ekonomistyrningsverket och Arbetsgivarverket förordar en bred ändamålsbestämmelse, och flera av dessa remissinstanser, bl.a. Försäkringskassan, hänvisar till den breda ändamålsbestämmelse som rekommenderas i e-samverkansprogrammet Esams promemoria En modern registerförfattning (ES2022/06).
Försäkringskassan framhåller att det under de år som förflutit sedan hemställan lämnades har blivit uppenbart att statsförvaltningen på kort tid behöver kunna anpassa sin verksamhet till genomgripande och snabba förändringar i omvärlden. Det är enligt Försäkringskassan därför viktigt med en bred ändamålsbestämmelse som kan ge flexibilitet i lagstiftningen för att myndigheten ska kunna fullgöra sina befintliga uppdrag, snabbt ta sig an tillkommande uppdrag och för att ändamålsbestämmelsen inte ska hindra eller inom en nära framtid riskera att hindra effektiva och digitala lösningar. Försäkringskassan anser också att det är angeläget att ändamålsbestämmelserna i olika registerförfattningar utformas på ett likartat sätt för att möjliggöra ett utbyte av uppgifter med andra myndigheter.
Även Pensionsmyndigheten hänvisar till den förändrade omvärlden och framhåller att det har blivit tydligt att myndigheter i dag behöver ha en större beredskap för att snabbt kunna hantera ändrade situationer och uppdrag samt med kort varsel kunna stödja andra myndigheter i deras arbete. Enligt Pensionsmyndigheten riskerar en reglering där primärändamålen anges uttömmande att begränsa myndigheternas möjlighet att tillräckligt snabbt kunna hantera oförutsedda situationer. Pensionsmyndigheten konstaterar dock att den lagtekniska utformningen med primära ändamål i punktform på ett tydligt sätt redogör för vilka ändamål personuppgifter får behandlas och att myndighetens nuvarande behov tillgodoses med ett tillkommande ändamål som avser att vidta kontrollåtgärder.
Skatteverket förordar en bred ändamålsbestämmelse som anger att en myndighet får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter enligt lag eller förordning. En sådan reglering är enligt Skatteverket mer logisk och tydliggör att det i huvudsak är myndighetens materiella reglering som sätter de yttersta ramarna för personuppgiftsbehandlingen. En bred ändamålsbestämmelse gör det enligt Skatteverket också tydligare att myndigheterna behöver fastställa de närmare ändamålen med behandlingen, medan den föreslagna ändamålsbestämmelsen riskerar att leda till att principen om ändamålsbegränsning enligt artikel 5.1 b i EU:s dataskyddsförordning inte får avsedd effekt. Skatteverket framhåller vidare särskilt att ändamålet att eftersöka vägledande avgöranden riskerar att skapa osäkerhet för andra myndigheter när motsvarande ändamål inte finns angivet i den dataskyddsreglering som de ska tillämpa.
Riksarkivet anser att förslaget försvårar en ändamålsenlig behandling av personuppgifter utan att bidra till skyddet av den personliga integriteten. De föreslagna ändamålen uppfyller enligt Riksarkivet sannolikt inte kraven på särskilda och uttryckligt angivna ändamål i artikel 5.1 b i EU:s dataskyddsförordning, vilket innebär att myndigheterna, trots reglerade ändamål, sannolikt kommer att behöva ange preciserade ändamål för sina olika behandlingar.
Skälen för regeringens förslag
Bestämmelsens nuvarande detaljeringsgrad bör behållas
I nuvarande 114 kap. 7 § SFB finns det en uppräkning av de primära ändamål för vilka Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter. I hemställan lämnas två alternativa förslag när det gäller utformningen av bestämmelsen. Det ena alternativet innebär att nuvarande uppräkning av ändamål ersätts av en bred ändamålsbestämmelse som omfattar all sådan behandling som följer av myndigheternas uppdrag att förvalta socialförsäkringen och andra förmåner och ersättningar som enligt lag eller förordning ska administreras av myndigheterna. En sådan ändamålsbestämmelse skulle enligt hemställan skapa flexibilitet och ge Försäkringskassan och Pensionsmyndigheten förutsättningar att hålla jämna steg med samhällsutvecklingen. Det andra alternativet innebär att nuvarande struktur med detaljerade ändamål behålls och att några nya ändamål läggs till i uppräkningen samt att ett ändamål tas bort.
Ett fastställt ändamål är enligt EU:s dataskyddsförordning en grundläggande förutsättning för att personuppgifter ska få samlas in och behandlas. Utifrån det fastställda ändamålet avgörs vilka personuppgifter som får behandlas (artikel 5.1 c) och den registrerade har rätt att få information om ändamålet (artiklarna 13-15). Även lämplig säkerhetsnivå bestäms utifrån bl.a. behandlingens ändamål (artikel 32). Ändamålet fastställs av den personuppgiftsansvarige, i EU-rätt eller i nationell rätt (artiklarna 4.7, 6.2 och 6.3). Lagstiftning som begränsar tillämpningsområdet för de rättigheter och skyldigheter som följer av EU:s dataskyddsförordning, däribland rätten att invända mot behandling, ska innehålla specifika ändamålsbestämmelser när så är relevant (artikel 23.2 a). Ändamål ska vara särskilda, uttryckligt angivna och berättigade (artikel 5.1 b i EU:s dataskyddsförordning).
Försäkringskassan, Pensionsmyndigheten, Skatteverket, Arbetsförmedlingen, Riksarkivet, Centrala studiestödsnämnden, Ekonomistyrningsverket, Myndigheten för digital förvaltning och Arbetsgivarverket förordar en bred ändamålsbestämmelse. Flera av myndigheterna hänvisar till e-samverkansprogrammet Esams promemoria En modern registerförfattning (ES2022/06), där det rekommenderas en ändamålsbestämmelse som anger att personuppgifter får behandlas om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter enligt lag eller förordning. Enligt regeringen ligger det i sakens natur att ändamål kan behöva ges en förhållandevis generell utformning när de regleras i en författning (propositionen Utbetalningsmyndigheten [prop. 2022/23:34] s. 125). Regeringen har dock hittills ansett att primära ändamål bör ge uttryck för myndighetens uppgifter (t.ex. prop. 2019/20:106 s. 39 och prop. 2022/23:34 s. 124-126).
Det framgår inte av Försäkringskassans och Pensionsmyndighetens remissvar att den föreslagna ändamålsbestämmelsen skulle hindra myndigheterna att utföra sina nuvarande uppdrag. Pensionsmyndigheten konstaterar uttryckligen att myndighetens nuvarande behov tillgodoses med ett tillkommande ändamål som avser att vidta kontrollåtgärder. Försäkringskassan och Pensionsmyndigheten anger i stället behovet av att kunna hantera oförutsedda situationer som skäl för en bred ändamålsbestämmelse. Även Myndigheten för digital förvaltning och Centrala studiestödsnämnden framhåller i sina remissvar behovet av en flexibilitet i regleringen. Förvaltningsrätten i Malmö anser däremot att det är olämpligt att i praktiken överlämna till de ansvariga myndigheterna att närmare bestämma det primära ändamålet. Regeringen konstaterar att Försäkringskassan och Pensionsmyndigheten, trots en förändrad omvärld och delvis nya förutsättningar för myndigheterna, har kunnat utföra sina uppdrag med stöd av befintlig registerlagstiftning.
Förutsättningarna för att införa en bred ändamålsbestämmelse kräver enligt regeringen en grundlig integritets- och proportionalitetsanalys. En sådan analys saknas i hemställan, vilket Integritetsskyddsmyndigheten också påpekar. Eftersom det inte lämnas något förslag till en bred ändamålsbestämmelse i utkastet till lagrådsremiss görs inte heller där någon analys av vad ett sådant förslag skulle innebära. Regeringen konstaterar att det därmed saknas beredningsunderlag för ett förslag om en sådan bred ändamålsbestämmelse som flera av remissinstanserna förespråkar.
Enligt Pensionsmyndigheten finns det risker med en reglering där primära ändamål anges uttömmande. Även Myndigheten för digital förvaltning har framfört att det bör övervägas om det är nödvändigt med en uttömmande ändamålsreglering för Försäkringskassan och Pensionsmyndigheten. Personuppgifter som behandlas för de i 114 kap. SFB angivna primära och sekundära ändamålen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (artikel 5.1 b i EU:s dataskyddsförordning). Uppräkningen av primära ändamål är således, till skillnad från vad Pensionsmyndigheten och Myndigheten för digital förvaltning uppger, inte uttömmande.
Försäkringskassan framför att det är angeläget att ändamålsbestämmelserna i olika registerförfattningar utformas på ett likartat sätt för att möjliggöra ett utbyte av uppgifter med andra myndigheter. Regeringen instämmer i att det är eftersträvansvärt att ändamålsregleringarna utformas på ett likartat sätt. När det gäller möjligheten för myndigheterna att utbyta uppgifter med andra myndigheter, möjliggörs detta genom den sekundära ändamålsbestämmelsen som föreslås i avsnitt 6.8.4.
Även med de förslag som lämnas i propositionen kan Försäkringskassan och Pensionsmyndigheten i vissa fall, vilket Skatteverket och Riksarkivet påpekar, behöva formulera mer preciserade ändamål för specifika behandlingar av personuppgifter för att uppfylla kravet på tydliga ändamål (jfr prop. 2019/20:106 s. 43 och prop. 2022/23:34 s. 124). Det bör således inte finnas någon risk att principen om ändamålsbegränsning enligt artikel 5.1 b i EU:s dataskyddsförordning, på det sätt Skatteverket anför, inte får avsedd effekt.
Sammantaget bedömer regeringen att det för närvarande inte finns förutsättningar att införa en bred ändamålsbestämmelse i socialförsäkringsbalken på det sätt som flera av remissinstanserna förespråkar. Regeringen avser att vid behov återkomma i frågan.
Flertalet av de nuvarande primära ändamålen bör behållas
Enligt nuvarande 114 kap. 7 § SFB får Försäkringskassan och Pensionsmyndigheten i sin verksamhet behandla personuppgifter om det är nödvändigt för att
* återsöka vägledande avgöranden,
* tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar som omfattas av kapitlets tillämpningsområde ska kunna bedömas eller fastställas,
* informera om sådana förmåner och ersättningar som omfattas av kapitlets tillämpningsområde,
* handlägga ärenden,
* planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet, eller
* framställa statistik i fråga om verksamhet som avser handläggning av ärenden och planering av verksamhet, resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet.
Vid behandling för återsökning av vägledande avgöranden får inte uppgifter som direkt pekar ut den registrerade användas.
I hemställan föreslås det att om nuvarande primära ändamål behålls, ska det primära ändamålet som avser att återsöka vägledande avgöranden tas bort på grund av bristande behov. Med återsökning av vägledande avgöranden avses exempelvis sökning i samlingar av domar och beslut som upprättats för ledning angående praxis (prop. 2002/03:135 s. 61). Remissinstanserna lämnar inga synpunkter på förslaget i hemställan att ta bort ändamålet. Skatteverket framhåller i remissvar på utkastet till lagrådsremiss att ändamålet att återsöka vägledande avgöranden riskerar att skapa osäkerhet för andra myndigheter när motsvarande ändamål inte finns angivet i den dataskyddsreglering som de ska tillämpa. I hemställan konstateras att Försäkringskassan och Pensionsmyndigheten kan behandla personuppgifter i vägledande avgöranden med stöd av andra primära ändamål t.ex. för att handlägga ärenden och för att genomföra resultatuppföljning och utvärdering av verksamheten. När myndigheterna hanterar rättspraxis i syfte att skapa ett generellt rättsligt stöd som ska leda till en enhetlig tillämpning, bedöms behandlingen enligt hemställan falla utanför tillämpningsområdet för 114 kap. SFB. Motsvarande hantering av rättspraxis sker, som Skatteverket framhåller, även på andra myndigheter. Regeringen anser mot denna bakgrund att det saknas anledning att ange återsökning av vägledande avgöranden som ett särskilt ändamål i 114 kap. SFB.
I hemställan föreslås det också vissa redaktionella ändringar i den nuvarande bestämmelsen. Enligt regeringen är ändamålen i huvudsak tillräckligt tydligt angivna med nuvarande formuleringar. Nuvarande punkt 5, som avser att planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet, bör dock delas upp i två punkter av språkliga skäl. Någon ändring i sak är inte avsedd. Skäl till andra ändringar av de primära ändamålen har inte framkommit. Tidigare bedömningar av behovet av ändamål vid behandling av personuppgifter i Försäkringskassans och Pensionsmyndighetens verksamheter får anses vara relevanta även fortsättningsvis (prop. 2002/03:135 s. 60-67).
Nuvarande primära ändamål bör alltså även fortsättningsvis anges som primära ändamål, med undantag för ändamålet att återsöka vägledande avgöranden som tas bort.
Lagförslag
Förslaget innebär att en ny paragraf, 114 kap. 8 §, införs som delvis motsvarar nuvarande 114 kap. 7 § SFB.
6.8.2 Kontrollåtgärder
Regeringens förslag: Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter om det är nödvändigt för att vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.
Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter om det är nödvändigt för att framställa statistik i fråga om sådan verksamhet som avser kontrollåtgärder.
Hemställans förslag överensstämmer i huvudsak med regeringens förslag. I hemställans förslag används uttrycket vidta kontroll- och analysåtgärder.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Förvaltningsrätten i Malmö har i och för sig inte något att invända mot förslaget, men anser att ytterligare överväganden bör göras. Integritetsskyddsmyndigheten efterfrågar en beskrivning av integritetsrisker och en proportionalitetsbedömning. Integritetsskyddsmyndigheten påpekar också att ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad för att intrånget ska kunna vara förutsebart.
Förslaget i utkastet till lagrådsremiss överensstämmer i huvudsak med regeringens förslag. I utkastets förslag används enbart uttrycket vidta kontrollåtgärder.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten anser att ändamålet bör preciseras och komma till uttryck i lagförslaget genom att det anges att personuppgifter får behandlas för att "vidta kontrollåtgärder som syftar till att förmåner och ersättningar beviljas och utbetalas i enlighet med tillämplig lagstiftning" för att på så sätt göra intrånget förutsebart. Även Sveriges advokatsamfund framhåller att ändamålet bör preciseras och ange för vilka syften kontroller får äga rum. Försäkringskassan och Ekonomistyrningsverket föreslår att uttrycket "vidta kontrollåtgärder" byts ut mot "förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott". Skatteverket föreslår att ändamålet formuleras på följande sätt: "Uppgifter får behandlas för att tillhandahålla information som behövs för att vidta kontrollåtgärder i syfte att förbygga, förhindra och upptäcka felaktiga uppgifter när förmåner och ersättningar beviljas och utbetalas i enlighet med tillämplig lagstiftning". Skatteverket föreslår också en kompletterande skyddsåtgärd i form av ett dokumentationskrav för de kontrollåtgärder som vidtas. Kammarrätten i Stockholm påpekar att ett primärt ändamål för att vidta kontrollåtgärder inte kan anses omfatta ett uppgiftsutlämnande inklusive förberedelser inför uppgiftsutlämnande till andra myndigheter.
Skälen för regeringens förslag
Ett uttryckligt stöd för att behandla personuppgifter vid kontrollåtgärder
I betänkandet Samlade åtgärder för korrekta utbetalningar från välfärdssystemen (SOU 2019:59) redovisas studier gjorda av Delegationen för korrekta utbetalningar från välfärdssystemen som visar att såväl omfattningen av felaktiga utbetalningar från välfärdssystemen som andelen misstänkta bidragsbrott är hög. Både Försäkringskassan och Pensionsmyndigheten har i uppdrag att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott (2 § 3 förordningen [2009:1174] med instruktion för Försäkringskassan respektive 2 § 6 förordningen [2009:1173] med instruktion för Pensionsmyndigheten). För att utföra dessa uppdrag behöver myndigheterna arbeta med flera olika åtgärder och rikta insatserna dit där de gör störst nytta. Det handlar om både förebyggande och upptäckande åtgärder i syfte att minska risken för felaktiga beslut och utbetalningar. I betänkandet Kvalificerad välfärdsbrottslighet - förebygga, förhindra, upptäcka och beivra (SOU 2017:37) konstaterar Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden att kontroll är det mest ändamålsenliga verktyget för att motverka avsiktliga felaktiga utbetalningar och att en väl avvägd och ändamålsenlig kontroll hos myndigheterna dessutom har en viktig brottsförebyggande funktion (s. 122).
Det pågår förberedelser för att bilda en ny myndighet, Utbetalningsmyndigheten (dir. 2022:8). Denna myndighet ska bl.a. förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen och ansvara för att genomföra utbetalningar av förmåner och stöd från de anslutna statliga välfärdssystemen. Som ett led i detta ska Utbetalningsmyndigheten administrera utbetalningar från Försäkringskassan och Pensionsmyndigheten. Utbetalningsmyndighetens verksamhet innebär inte att de beslutande myndigheternas kontrollarbete ska minska (prop. 2022/23:34 s. 48). Inrättandet av Utbetalningsmyndigheten minskar således inte Försäkringskassans och Pensionsmyndighetens behov av att utföra kontroller.
Den nuvarande dataskyddsregleringen för Försäkringskassan och Pensionsmyndigheten är till stor del ärendeorienterad, dvs. bestämmelserna utgår från att personuppgifter behandlas i ärenden som handläggs hos myndigheterna. Även bestämmelserna i den lagstiftning som reglerar rätten till socialförsäkringsförmåner har i huvudsak sin utgångspunkt i handläggning av ärenden. De kontroller som myndigheterna gör är i och med det ofta en integrerad del av ärendehandläggningen, oavsett om kontrollen sker i form av manuella rutiner eller inbyggda systemkontroller med ett utvecklat it-stöd. När myndigheterna inom ramen för sin handläggning av ärenden utför kontroller, kan personuppgifter behandlas med stöd av det ändamål som avser att handlägga ärenden. Detta gäller såväl under vanlig handläggning som vid handläggning av s.k. kontrollutredningsärenden.
Alla kontroller är dock inte en helt och hållet integrerad del i handläggningen av ett ärende. I hemställan föreslås därför att ett nytt ändamål, ett ändamål för kontrollåtgärder, ska införas. I hemställan beskriver myndigheterna att kontrollarbete behöver kunna vidtas även utanför ärendehandläggningen, bl.a. i form av dataanalyser och urval.
Vid urval tillämpas matematiska eller logiska villkor och samband som kan ringa in personer eller ärenden som är relevanta ur ett visst perspektiv. Med hjälp av avancerad analysprogramvara är det möjligt att söka efter korrelationer, mönster och samband i sådan information som finns lagrad om personer och deras ärenden, t.ex. uppgifter om ansökningar, beslut och utbetalningar och beteendemönster i nätverk av personer och företag. Det är också möjligt att använda mer hypotesdrivna modeller som utgår från mönster som bygger på erfarenhet. Genom att identifiera och värdera risker för felaktiga utbetalningar utifrån befintlig information, går det att styra kontroller till de ärenden där riskerna för fel och felaktiga utbetalningar är störst. Ju mer utvecklade och förfinade analyserna är, desto högre är sannolikheten att felaktigheter kan upptäckas. Genom användning av dataanalyser och urval kan man således utnyttja statistiska metoder för att bedöma olika sorters risker för felaktiga utbetalningar och rikta kontrollåtgärderna mot områden med störst risker.
När en modell för urval tas fram behöver olika datamängder analyseras och utvärderas och modellen behöver också utvecklas, underhållas och utvärderas. Sådana analyser av data kan i viss utsträckning ske med stöd av ändamålet att planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet. Genom att utvärdera och följa upp befintlig information från ärendehandläggningen är det möjligt att identifiera mönster och samband som kan användas som indikatorer och villkor vid urval. Det är dock inte tydligt i vilken omfattning detta ändamål, som främst avser att ge stöd för intern uppföljning och utvärdering av verksamhet och resultat, kan tillämpas i kontrollsammanhang. Ett uttalat kontrolländamål skulle möjliggöra ett mer omfattande analysarbete som bl.a. inkluderar uppgifter från andra myndigheter. Detta kan behövas för att Försäkringskassan och Pensionsmyndigheten fullt ut ska kunna fullgöra sina uppdrag att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott.
När urval görs, behandlas ofta personuppgifter i en större mängd ärenden för att identifiera de ärenden som ska ingå i urvalet. Ändamålet att handlägga ärenden är inte tillämpligt för all sådan behandling. Ett kontrolländamål skulle utgöra ett tydligare och mer heltäckande stöd när personuppgifter behandlas i syfte att identifiera felaktigheter vid sidan av, inför eller efter ordinarie handläggning.
Det finns behov att förtydliga att myndigheterna får behandla personuppgifter för kontrolländamål
Det finns också behov av förtydliganden inom flera områden där Försäkringskassan och Pensionsmyndigheten sedan tidigare behandlar personuppgifter för kontrolländamål. Till exempel ska Skatteverket, på begäran av Försäkringskassan, lämna sådana uppgifter om personliga assistenter och dem som bedriver yrkesmässig verksamhet med personlig assistans som behövs för Försäkringskassans kontroll av användningen av assistansersättning (110 kap. 34 a § SFB). Avsikten enligt förarbetena är att uppgiftslämnandet inte ska vara begränsat till ärenden hos Försäkringskassan eftersom en sådan begränsning kan omöjliggöra systematiska kontroller. Försäkringskassan kan behandla denna typ av uppgifter med stöd av det ändamål som avser att tillgodose behovet av det underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar enligt socialförsäkringsbalken ska kunna bedömas eller fastställas (prop. 2012/13:1 utg.omr. 9 avsnitt 7.16.3). Ett kontrolländamål skulle dock ge ett tydligare stöd för Försäkringskassan att både samla in och utföra de systematiska kontroller som uppgiftsskyldigheten är tänkt att möjliggöra. Motsvarande gäller för det statliga tandvårdsstödet. Detta stöd är uppbyggt utifrån föresatsen att kontrollinsatser bör kunna ske i form av systematisk bearbetning av elektroniska data, där uppgifter som lämnas i samband med behandling och som av någon anledning avviker från vad som kan anses normalt eller av andra skäl bör uppmärksammas, ska kontrolleras särskilt. Sådana kontroller bör kunna genomföras utifrån särskilda kontrollprogram, där utpekade åtgärder eller åtgärdsgrupper granskas särskilt under en viss kontrollperiod (prop. 2007/08:49 s. 98). Vidare kan vårdgivare som tidigare uppgett felaktiga uppgifter eller försökt få statlig ersättning på felaktiga grunder också i högre utsträckning bli föremål för riktade kontroller. I dag sker sådan behandling av personuppgifter huvudsakligen med stöd av ändamålet att handlägga ärenden. Också för dessa kontroller skulle ett uttryckligt kontrolländamål ge ett tydligare stöd för behandlingen av personuppgifter hos Försäkringskassan.
Utöver det informationsutbyte mellan myndigheter som sker inom ramen för vanlig handläggning av ärenden, förväntas myndigheterna ta emot och lämna information till andra myndigheter vid misstanke om felaktigheter. Som Kammarrätten i Stockholm påpekar kan ett primärt ändamål inte anses innefatta utlämnande av personuppgifter, inklusive förberedelser inför sådant utlämnande. Uppgiftslämnande sker med stöd av det sekundära ändamålet (avsnitt 6.8.4). När uppgifter tas emot och innan uppgifter lämnas, krävs dock viss utvärdering av uppgifterna innan myndigheten vidtar åtgärder. Det är inte alltid tydligt var gränsen går mellan åtgärder som har ett primärt respektive ett sekundärt ändamål. Ett uttryckligt kontrolländamål skulle därför ge ett tydligare och bättre stöd för en sådan behandling av personuppgifter som sker i anslutning till att uppgifter lämnas till och från myndigheterna med stöd av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen, lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet och andra skyldigheter att lämna uppgifter i syfte att förhindra felaktiga utbetalningar och motverka bidragsbrott. Även behandlingen av sådana uppgifter som behövs för lagföring av bidragsbrott behöver ett mer tydligt stöd i lag. Försäkringskassan och Pensionsmyndigheten är skyldiga att polisanmäla ett misstänkt bidragsbrott (6 § bidragsbrottslagen [2007:612]). Det är emellertid oklart i vilken utsträckning som myndigheterna får sammanställa och bevara de personuppgifter som de brottsförebyggande myndigheterna behöver med anledning av en polisanmälan (jfr prop. 2019/20:117 s. 59). Det är också oklart i vilken utsträckning myndigheterna kan bevara eventuell återkoppling eller domar med anledning av gjorda polisanmälningar. Även detta är skäl till att förtydliga Försäkringskassans och Pensionsmyndighetens möjligheter att behandla personuppgifter för kontrolländamål.
Det saknas behov av ett särskilt ändamål som avser analysåtgärder
I hemställan föreslås att Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter om det är nödvändigt för att vidta kontrollåtgärder och därmed sammanhängande analysåtgärder. Ett kontrolländamål bör omfatta den personuppgiftsbehandling som motiveras av både faktiska kontroller och de analyser som krävs för utvecklingen av nya och effektivare metoder för kontroll, t.ex. maskinella riskbaserade analyser och urval. Enligt regeringen saknas det därmed behov av att särskilt reglera ett stöd för behandlingen av personuppgifter vid sådana analysåtgärder.
Kraven i EU:s dataskyddsförordning för behandling av personuppgifter är uppfyllda
EU:s dataskyddsförordning kräver att det ska finnas en tillämplig rättslig grund enligt artikel 6.1 för att det över huvud taget ska vara tillåtet att behandla personuppgifter. Alla uppgifter som riksdagen eller regeringen har gett i uppdrag åt statliga myndigheter att utföra och sådan verksamhet som myndigheterna bedriver inom ramen för sin befogenhet utgör i normalfallet sådana uppgifter av allmänt intresse som avses i artikel 6.1 e i EU:s dataskyddsförordning (prop. 2017/18:105 s. 56 och 57). De uppgifter som Försäkringskassan och Pensionsmyndigheten utför till följd av uppdrag i myndigheternas instruktioner, regleringsbrev, specifika regeringsuppdrag, myndighetsförordningen och verksamhetsspecifika lagstiftningar, t.ex. socialförsäkringsbalken, är generellt uppgifter av allmänt intresse. Försäkringskassans och Pensionsmyndighetens arbete med att utföra kontroller som syftar till att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott är alltså uppgifter av allmänt intresse. Behandling kan även ske med anledning av en rättslig förpliktelse eller som led i myndighetsutövning (artikel 6.1 c och e).
Behandling av personuppgifter ska vara nödvändig i förhållande till den rättsliga grunden. Att behandlingen ska vara nödvändig innebär inte att det ska vara omöjligt att uppnå syftet med behandlingen utan att personuppgifter behandlas. Kravet på nödvändighet innebär dock att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (prop. 2017/18:232 s. 117). Vanligtvis anses det nödvändigt att behandla personuppgifter elektroniskt eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (prop. 2017/18:105 s. 46 och 47 och EU-domstolens dom i målet Huber mot Tyskland C-524/06, EU:C:2008:724). Enligt regeringen får det anses nödvändigt att Försäkringskassan och Pensionsmyndigheten behandlar personuppgifter för att utföra kontroller i syfte att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott.
De grunder för behandlingen som avses i artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket). Den rättsliga grunden för Försäkringskassans och Pensionsmyndighetens arbete med kontroller för att förhindra felaktiga utbetalningar och motverka bidragsbrott finns fastställd i de författningar som styr myndigheternas arbete (2 § 3 förordningen med instruktion för Försäkringskassan och 2 § 6 förordningen med instruktion för Pensionsmyndigheten).
När ändamål anges i en registerförfattning måste syftet framgå redan av den rättsliga grunden när den handlar om rättsliga förpliktelser eller vara nödvändigt för att myndigheten ska kunna utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.3 andra stycket). För att Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter för kontrolländamål, som är ett allmänt intresse, måste behandlingen alltså vara nödvändig för uppdraget att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott. Detta ska inte tolkas som att kontrollåtgärderna måste vara avgränsade så att de bara kan utföras på ett visst sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock - som all offentlig förvaltning - vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv (prop. 2017/18:105 s. 60). Försäkringskassans och Pensionsmyndighetens särskilda kontrolluppdrag förutsätter olika åtgärder, både av förebyggande och upptäckande karaktär. Trots riktade insatser, och ett aktivt utvecklingsarbete inom myndigheterna, kvarstår problem med att de resurser som fördelas från de offentliga välfärdssystemen riskerar att användas för andra ändamål än de är avsedda för. För att motverka detta är det angeläget att myndigheterna har möjlighet att vidareutveckla redan vidtagna åtgärder och sätta in nya insatser mot missbruk av offentliga medel och felaktiga utbetalningar. Ur ett samhällsekonomiskt perspektiv är det även av stor vikt att det finns ett träffsäkert och effektivt kontrollsystem som säkerställer korrekta utbetalningar och motverkar bidragsbrott och andra felaktigheter. Att Försäkringskassan och Pensionsmyndigheten behandlar personuppgifter för kontrolländamål får anses vara en ändamålsenlig, effektiv och proportionerlig åtgärd för att de ska kunna vidta åtgärder och kontroller för att säkerställa att förmåner och ersättningar betalas ut i enlighet med gällande rätt.
Slutligen ska den rättsliga grunden också uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Uppgifter av allmänt intresse som har fastställts i enlighet med svensk rätt uppfyller genomgående dessa krav (prop. 2017/18:105 s. 50).
Är en behandling av personuppgifter för kontrolländamål proportionerlig?
Som utvecklas i avsnitt 4.3.3 finns det i regeringsformen, förkortad RF, grundläggande bestämmelser till skydd för den personliga integriteten. Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket RF). Vad som utgör ett betydande intrång avgörs utifrån bl.a. uppgifternas karaktär och omfattning samt ändamålet med behandlingen (prop. 2009/10:80 s. 184). Vid bedömningen av om en åtgärd innebär kartläggning ska åtgärdens effekter snarare än det huvudsakliga syftet med åtgärden beaktas (s. 181).
Med ett särskilt kontrolländamål för behandling av personuppgifter inom ramen för 114 kap. SFB kan Försäkringskassan och Pensionsmyndigheten behandla stora mängder uppgifter som rör enskildas personliga förhållanden. Sådana uppgifter avser enskilda i livets alla faser och rör både privatliv och arbetsliv. Behandlingen berör både en stor del av Sveriges befolkning och människor i andra länder. En sådan behandling av personuppgifter hos myndigheterna får anses innebära en kartläggning av enskildas personliga förhållanden enligt regeringsformen. Med hänsyn till att det handlar om stora mängder uppgifter som kan vara av integritetskänslig karaktär och att ändamålet är kontroll får intrång av detta slag också anses som betydande i den mening som avses i regeringsformen. Behandlingen sker utan samtycke från den enskilde. Frågan är då om behandlingen, trots skyddet enligt regeringsformen, kan vara tillåten.
Skyddet för den personliga integriteten är inte absolut och kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En begränsning, som måste ske genom lag (2 kap. 20 § RF), får dock göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den (2 kap. 21 § RF). Vid en begränsning ska det därför, som Integritetsskyddsmyndigheten framhåller, göras en proportionalitetsbedömning där integritetsriskerna med personuppgiftsbehandlingen vägs mot intresset av att behandlingen kan utföras. En behandling är bara tillåten om fördelarna med den står i rimlig proportion till nackdelarna. I detta ingår att bedöma om behandlingen av personuppgifterna är nödvändig utifrån det avsedda ändamålet med behandlingen och om det finns alternativ som är mindre integritetskänsliga. Kravet på proportionalitet finns också i artikel 6.3 i EU:s dataskyddsförordning.
Behandling av stora mängder personuppgifter, bl.a. känsliga personuppgifter och uppgifter om enskildas ekonomiska förutsättningar och levnadsomständigheter, för ett nytt ändamål medför risker för den personliga integriteten. Kontroller kan vara integritetskänsliga i sig. Dataanalyser och urval möjliggör dessutom kartläggning av individer, vilket kan innebära väsentliga intrång i den personliga integriteten. De personuppgifter som behandlas hos Försäkringskassan och Pensionsmyndigheten kan tillsammans skapa en omfattande bild av den enskildes personliga och ekonomiska förhållanden. Det finns vidare risk för att myndigheterna genom en personuppgiftsincident förlorar kontrollen över uppgifterna. Om myndighetens personal eller användare av it-systemen tar del av mer information än vad de behöver för att kunna utföra sina arbetsuppgifter, ökar också risken för otillåten behandling, obehörigt röjande och andra former av missbruk. Försäkringskassan och Pensionsmyndigheten ska dock fatta materiellt korrekta beslut och se till att verksamheterna bedrivs effektivt och i enlighet med gällande rätt. Myndigheterna har dessutom fått i uppdrag att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott (2 § 3 förordningen med instruktion för Försäkringskassan respektive 2 § 6 förordningen med instruktion för Pensionsmyndigheten). Försäkringskassan och Pensionsmyndigheten har alltså särskilda uppdrag som i sig kräver kontrollåtgärder.
Det finns ett visst utrymme att behandla personuppgifter för kontroll om kontrollen ingår som ett moment i handläggningen av ett ärende eller för att tillgodose de behov av underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar ska kunna bedömas eller fastställas. I viss utsträckning bör det också vara möjligt att behandla personuppgifter för kontroll inom ändamålen för resultatuppföljning, utvärdering och tillsyn. Verksamhet enligt sådana ändamål bör dock vara mer inriktad mot granskning och uppföljning av myndigheternas hela verksamhet, och inte kontroll av enskilda ärenden. När uppgifter lämnas ut till andra myndigheter för kontrolländamål sker det vanligtvis med stöd av sekundära ändamål. Även finalitetsprincipen (artikel 5.1 b i EU:s dataskyddsförordning) torde kunna ge stöd för viss behandling av personuppgifter för kontroll. Dessa ändamål är dock inte utformade mot bakgrund av Försäkringskassans och Pensionsmyndighetens särskilda uppdrag att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott. Det är således oklart om nuvarande bestämmelser fullt ut täcker den behandling av personuppgifter som krävs för myndigheternas uppdrag. Ett särskilt kontrolländamål undanröjer dessa oklarheter och ger myndigheterna ett i lag uttryckligt stöd för att behandla personuppgifter på det sätt som krävs för att utföra uppdragen. En sådan regleringsmodell skulle också överensstämma med det som gäller för Skatteverket och Arbetsförmedlingen, vilka också har särskilda kontrolluppdrag (1 kap. 4 § 4 lagen [2001:181] om behandling av uppgifter inom Skatteverkets beskattningsverksamhet, 1 kap. 4 § 1 lagen [2001:182] om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och 4 § 4 lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, se även prop. 2000/01:33 s. 123, 124 och 140 och prop. 2019/20:117 s. 77 och 78).
Ett nytt ändamål som avser kontrollåtgärder bör även kunna bidra till utvecklingen av nya och effektivare metoder för kontroll av utbetalningar, t.ex. maskinella riskbaserade analyser och urval. Dataanalyser och urval har enligt flera rapporter visat en stor potential i arbetet med att identifiera felaktigheter (Riksrevisionens rapport Folkbokföringen - ett kvalitetsarbete i uppförsbacke [RiR 2017:23 s. 45], Inspektionen för socialförsäkringens rapport Profilering som urvalsmetod för riktade kontroller [ISF 2018:5 s. 119] och SOU 2020:35 s. 213 och bilaga 2). När ärenden som behöver kontrolleras identifieras utifrån olika indikatorer eller sökbegrepp, sker en sammanställning av ärenden som uppfyller vissa kriterier. En sådan sammanställning av information kan innebära en integritetskänslig kartläggning av individer. Det kan också komma att röra sig om s.k. profilering (artikel 4.4 i EU:s dataskyddsförordning). Det är viktigt att en sådan kartläggning hanteras med stor försiktighet. Det föreslås därför bestämmelser som begränsar en sådan behandling till skydd för den personliga integriteten. Till exempel ska tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (föreslagna 114 kap. 13 § SFB). Möjligheten att göra sammanställningar begränsas också av sökbegränsningar (föreslagna 114 kap. 12 § SFB) och av diskrimineringslagstiftningen. Gallringsbestämmelsen i 114 kap. SFB föreslås ange att personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de primära ändamålen (föreslagna 114 kap. 15 §). Sammanställningar som utgör en delprocess i framtagandet av ett urval ska därför gallras så snart de inte längre är nödvändiga för ändamålet.
Ett kontrolländamål bedöms inte självständigt bidra till ett ökat informationsflöde från Försäkringskassan och Pensionsmyndigheten. Kontrolländamålet är ett primärt ändamål, vilket innebär att personuppgifterna ska behandlas för myndigheternas interna behov. Eventuella utlämnanden av personuppgifter ska ske i överensstämmelse med lag och förordning (se avsnitt 6.8.4) oavsett för vilket ändamål som uppgifterna behandlas internt på myndigheterna.
Det är viktigt att komma till rätta med felaktiga utbetalningar och bidragsbrott inom socialförsäkringen. Felaktiga utbetalningar och missbruk av de offentliga medlen medför inte bara ekonomiska förluster för det allmänna utan riskerar också att skada legitimiteten i välfärdssystemet. Försäkringskassan och Pensionsmyndigheten, som förvaltar socialförsäkringen, måste därför kunna vidta åtgärder för att upptäcka, förhindra och motverka fusk och felaktigheter. Fördelarna med att kunna behandla personuppgifter för ett kontrolländamål får sammantaget anses överväga nackdelarna i form av inskränkningar i och risker för den personliga integriteten. Det dataskyddsrättsliga regelverket i sin helhet - EU:s dataskyddsförordning, dataskyddslagen och 114 kap. SFB samt tillhörande förordningar - i kombination med sekretesslagstiftningen och de begränsningar som följer av den förvaltningsrättsliga regleringen (bl.a. 110 kap. 14 och 31 §§ SFB) bedöms ge ett tillräckligt skydd för den personliga integriteten. Några ytterligare skyddsåtgärder, t.ex. i form av dokumentationskrav, som Skatteverket föreslår, bedöms därför inte nödvändiga. Försäkringskassan och Pensionsmyndigheten bör därmed få behandla personuppgifter om det är nödvändigt för att vidta kontrollåtgärder.
Ändamålet bör avse att vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott
När det är fråga om ett betydande integritetsintrång ställs höga krav på den rättsliga grundens precision för att göra intrånget förutsebart (prop. 2017/18:105 s. 51). Försäkringskassan och Pensionsmyndigheten har enligt sina respektive instruktioner i uppdrag att administrera socialförsäkringen och som ett led i detta säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott. Behovet av kontroller är nära knutet till arbetet med att förebygga, förhindra och upptäcka felaktiga utbetalningar. Regeringen anser i likhet med Försäkringskassan, Skatteverket och Ekonomistyrningsverket att det är lämpligt att detta uttrycks i ändamålsbestämmelsen med en formulering som motsvarar den som används i annan liknande lagstiftning (jfr 1 kap. 6 § 2 lagen [2023:457] om behandling av personuppgifter vid Utbetalningsmyndigheten och 1 kap. 4 a § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet). Eftersom arbetet med att säkerställa att felaktiga utbetalningar inte görs bör genomsyra all verksamhet inom myndigheterna, inte minst den handläggande och den uppföljande verksamheten, bör ändamålet preciseras på så sätt att det avser kontrollåtgärder som vidtas i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. En sådan precisering av ändamålet ligger också i linje med de synpunkter som Integritetsskyddsmyndigheten och Sveriges advokatsamfund framför.
I den föreslagna bestämmelsen ska med uttrycket kontrollåtgärder förstås åtgärder som innebär att övervaka, granska eller undersöka Försäkringskassans och Pensionsmyndighetens handläggning och utbetalningar av förmåner och ersättningar. Det följer av tillämpningsområdet för 114 kap. SFB att alla kontrollåtgärder måste avse sådana förmåner eller ersättningar som handläggs av Försäkringskassan eller Pensionsmyndigheten. Detta behöver således inte preciseras i ändamålsbestämmelsen.
Försäkringskassan och Pensionsmyndigheten bör således få behandla personuppgifter om det är nödvändigt för att vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.
Statistik
I hemställan föreslås att Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter för att framställa statistik i fråga om sådan verksamhet som avser kontrollåtgärder. Behandling för statistiska ändamål anses generellt inte vara oförenlig med det ursprungliga ändamålet (artikel 5.1 b i EU:s dataskyddsförordning). I 114 kap. SFB har det likväl bedömts motivera ett särskilt ändamål. Ändamålet avser dels verksamhetsstatistik, som bl.a. tar sikte på måluppfyllelse i fråga om ärendehantering, dels statistik som är hänförlig till myndigheternas uppdrag att analysera utvecklingen inom de olika förmånsslagen m.m. (prop. 2002/03:135 s. 66 och 67). Det är viktigt att myndigheterna kan följa upp den verksamhet som avses med det nya kontrolländamålet genom att ta fram statistik. Sådan uppföljning är nära knuten till den ursprungliga behandlingen och utgör också en förutsättning för att myndigheterna ska kunna utveckla sin verksamhet. Till skydd för behandlingen gäller de skyddsåtgärder som gäller för övrig behandling (jfr artikel 89.1 i EU:s dataskyddsförordning). Sammantaget bedöms den nytta för verksamheten som behandlingen medför överväga eventuella risker för den personliga integriteten (2 kap. 6, 20 och 21 §§ RF). Statistikändamålet bör därför omfatta även sådan verksamhet som avser kontrollåtgärder.
Lagförslag
Förslaget förs in som en punkt 4 i den nya 114 kap. 8 § SFB. Förslaget innebär också att det görs en hänvisning till nämnda punkt i 114 kap. 8 § 7 SFB.
6.8.3 Testverksamhet
Regeringens bedömning: Testverksamhet har ett sådant samband med Försäkringskassans och Pensionsmyndighetens verksamheter i övrigt att det inte behövs någon särskild ändamålsbestämmelse för sådan verksamhet.
Hemställans förslag överensstämmer inte med regeringens bedömning. I hemställan föreslås ett nytt ändamål som avser att vidta utvecklingsåtgärder.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Förvaltningsrätten i Malmö har i och för sig inte något att invända mot förslaget men anser att ytterligare överväganden bör göras. Integritetsskyddsmyndigheten efterfrågar en beskrivning av integritetsrisker och en proportionalitetsbedömning.
Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning: Myndigheter ska bedriva en effektiv verksamhet och fortlöpande utveckla den. Försäkringskassan och Pensionsmyndigheten bedriver verksamhets- och it-utveckling både på eget initiativ och med anledning av olika uppdrag. Myndigheterna behöver t.ex. ha adekvata system för ärendehantering, digitala lösningar för informationsutbyte och effektiva analysverktyg. Arbetet med it-utveckling kan handla både om att säkerställa och förbättra befintliga lösningar och om att ta fram nya lösningar och ny funktionalitet. Förvaltning, utveckling och underhåll av myndigheternas it-system förutsätter ofta testning. För att det ska bli tydligt att personuppgifter kan behandlas för bl.a. testning inom tillämpningsområdet för 114 kap. SFB, framförs i hemställan att det finns behov av ett primärt ändamål som avser utvecklingsåtgärder.
Testning kan ofta göras med hjälp av avidentifierade uppgifter som saknar koppling till individer. Sådana uppgifter är inte personuppgifter och omfattas därmed inte av dataskyddslagstiftningens krav. I vissa fall kan dock tester med personuppgifter vara en förutsättning för att personuppgifter ska behandlas på ett korrekt sätt i den faktiska verksamheten. Att behandlingen blir korrekt vid handläggningen av ett enskilt ärende kan i sin tur vara nödvändigt för att myndigheten ska kunna fatta ett korrekt beslut.
Myndigheterna har, i egenskap av personuppgiftsansvariga, ansvar för att vidta åtgärder för att säkerställa säkerheten i de tekniska systemen. Den personuppgiftsansvarige ska bl.a. genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning (artikel 24.1). Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige också vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken (artikel 32.1). En sådan åtgärd ska, när det är lämpligt, vara ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. Redan inom ramen för EU:s dataskyddsförordning ställs alltså krav på åtgärder som avser testverksamhet.
Behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndigheters förvaltning och funktion är rättsligt grundad i den mening som avses i artikel 6 i EU:s dataskyddsförordning (prop. 2017/18:105 s. 60 och 61). När en myndighet genom utförande av testverksamhet säkerställer att den har väl fungerande it-system för att i förlängningen kunna fullgöra de åligganden som vilar på myndigheten i dess verksamhet, rör det sig om sådana administrativa åtgärder som är nödvändiga för myndigheters förvaltning och funktion (prop. 2019/20:113 s. 19 och 20). Det krävs inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt men de måste vara nödvändiga för att myndigheten ska kunna utföra sina uppgifter. Dessa uppgifter måste i sin tur vara fastställda i enlighet med gällande rätt. För Försäkringskassans och Pensionsmyndighetens del framgår uppgifterna av bl.a. myndigheternas instruktioner, myndighetsförordningen och socialförsäkringsbalken.
I tidigare lagstiftningsarbete har det bedömts vara en slags huvudprincip att testverksamhet inte behöver regleras som ett särskilt ändamål, oavsett om registerförfattningen innehåller en uttömmande ändamålsreglering eller inte (prop. 2019/20:113 s. 20 och prop. 2015/16:65 s. 64). Någon särskild ändamålsbestämmelse som gäller testverksamhet bör mot denna bakgrund enligt regeringen inte införas i 114 kap. SFB.
Det bör framhållas att det inte är möjligt att fastslå att testverksamhet alltid är en tillåten åtgärd. Myndigheten behöver alltid göra en bedömning av om testningen behövs för att myndigheten ska kunna utföra verksamheten på det effektiva sätt som krävs enligt myndighetsförordningen. Ändamålet ska också vara tillräckligt preciserat, och testverksamheten måste utföras i enlighet med övriga bestämmelser om dataskydd, t.ex. bestämmelserna om sökbegränsningar (föreslagna 114 kap. 12 § SFB) och begränsningar i fråga om tillgång till personuppgifter (föreslagna 13 §).
6.8.4 Sekundära ändamål
Regeringens förslag: Personuppgifter som Försäkringskassan och Pensionsmyndigheten behandlar för primära ändamål ska få behandlas av myndigheterna även för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning eller följer av unionsrätten, åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.
Hemställans förslag överensstämmer delvis med regeringens förslag. I hemställan föreslås att uppgifter ska få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning eller följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten efterfrågar en beskrivning av integritetsrisker och en proportionalitetsbedömning.
Förslaget i utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Sveriges advokatsamfund förordar en uttömmande sekundär ändamålsbestämmelse för att öka förutsägbarheten.
Skälen för regeringens förslag: De sekundära ändamålen i nuvarande 114 kap. SFB anges i två paragrafer (8 och 9 §§), varav den ena avser utlämnanden till organ som har direktåtkomst till socialförsäkringsdatabasen och den andra avser utlämnanden till andra organ (prop. 2002/03:135 s. 68-72). I hemställan anförs att uppdelningen inte längre är relevant och det föreslås att de nuvarande sekundära ändamålsbestämmelserna i 114 kap. 8 § och 9 § 1 och 2 SFB ska ersättas av en ny bestämmelse med innebörden att personuppgifter som behandlas för primära ändamål också ska få behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
I avsnitt 6.14.2 bedöms att nuvarande bestämmelser om direktåtkomst för Centrala studiestödsnämnden, arbetslöshetskassorna och socialnämnderna ska utmönstras ur 114 kap. SFB. Direktåtkomst för Statens tjänstepensionsverk och det för kommunerna och regionerna gemensamma organet för administration av personalpensioner har redan tidigare utmönstrats (prop. 2017/18:168 s. 25-27). Detta innebär att det inte längre finns behov av ett sådant sekundärt ändamål som regleras i nuvarande 114 kap. 8 § SFB. De uppgifter som tidigare lämnats med direktåtkomst, lämnas numera ut elektroniskt (på medium för automatiserad behandling) med stöd av sekretessbrytande bestämmelser.
Övriga sekundära ändamål avser bl.a. uppgiftslämnande som följer av sekretessbrytande uppgiftsskyldigheter och andra reglerade medgivanden att lämna uppgifter (114 kap. 9 § 1 och 2 SFB), dvs. utlämnanden som sker i överensstämmelse med lag eller förordning.
Med uppgiftslämnande som sker i överensstämmelse med lag eller förordning avses att uppgiftslämnandet sker med stöd av bestämmelser som påbjuder eller tillåter utlämnande. Det kan röra sig om en sådan uttrycklig uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, men också att uppgiftslämnandet sker i syfte att fullgöra serviceskyldigheten enligt förvaltningslagen (2017:900) eller följer av skyldigheten enligt 6 kap. 5 § OSL för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (prop. 2014/15:148 s. 41 och 42).
Integritetsskyddsmyndigheten påtalar att det saknas en beskrivning av integritetsrisker och en proportionalitetsbedömning. Myndigheterna kan dock redan i dag lämna ut personuppgifter när uppgiftslämnandet sker på grund av skyldigheter respektive medgivanden att lämna uppgifter. Förslaget till ändring bör därmed inte medföra någon utvidgning av myndigheternas nuvarande möjligheter att lämna ut personuppgifter elektroniskt. Vid uppgiftslämnande är den viktigaste frågan ur ett integritetsperspektiv om uppgifterna över huvud taget ska lämnas ut. Den frågan aktualiseras redan när den bestämmelse som fastställer en skyldighet eller tillåter ett utlämnande införs. Det får förutsättas att det under lagstiftningsarbetet med en sådan bestämmelse görs en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet. Det finns i nuvarande 114 kap. SFB inte några bestämmelser som reglerar att uppgifter kan eller ska lämnas ut från Försäkringskassan eller Pensionsmyndigheten och några sådana bestämmelser föreslås inte heller införas i det nya 114 kap. SFB. En ytterligare proportionalitetsbedömning bedöms därmed inte behöva göras.
En sekundär ändamålsbestämmelse som förhåller sig till lag och förordning är också i linje med annan motsvarande lagstiftning (bl.a. 2 kap. 5 § patientdatalagen, 7 § domstolsdatalagen [2015:728], 1 kap. 5 § 3 lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 7 § lagen [2018:258] om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador och 4 § kriminalvårdsdatalagen [2018:1235]).
Utlämnanden av personuppgifter till andra myndigheter och enskilda kan vara nödvändiga för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 c och e i EU:s dataskyddsförordning). Kravet på att den rättsliga grunden ska vara fastställd är uppfyllt genom att ändamålsbestämmelsen förutsätter att utlämnandet har stöd i bestämmelser som anger att uppgifter får eller ska lämnas ut (artikel 6.3 första stycket). Syftet med behandlingen kan förutsättas framgå av bestämmelser om att uppgifter får eller ska lämnas ut, alternativt vara nödvändigt för utlämnandet (artikel 6.3 andra stycket). Den avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet som föregår en bestämmelse om uppgiftslämnande säkerställer att den rättsliga grunden uppfyller ett mål av allmänt intresse och är proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Förslaget till ändamålsbestämmelse är således förenligt med EU:s dataskyddsförordning. En bestämmelse som fastställer en skyldighet eller tillåter ett utlämnande av personuppgifter utgör i allmänhet en tydlig rättslig grund för behandling av personuppgifter. Eftersom en sådan bestämmelse också kan förutsättas ha föregåtts av en avvägning mellan behovs- och integritetsaspekter, bedöms en detaljerad ändamålsbestämmelse av det slag som Sveriges advokatsamfund förespråkar inte nödvändig för att säkerställa att den rättsliga grunden uppfyller kraven på förutsägbarhet och proportionalitet enligt EU:s dataskyddsförordning.
I det nya 114 kap. SFB bör de nuvarande sekundära ändamålen i 114 kap. 8 § och 9 § 1 och 2 SFB således ersättas med en bestämmelse som anger att personuppgifter som behandlas för primära ändamål också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Delar av den personuppgiftsbehandling som sker inom ramen för EU-samarbetet är reglerad i EU-förordningar som gäller som svensk lag. Det kan dock inte uteslutas att nödvändigt internationellt uppgiftslämnande inte kan ske i överensstämmelse med svensk lag eller förordning. I hemställan föreslås därför att en sekundär ändamålsbestämmelse bör tillåta att personuppgifter som behandlas för primära ändamål också får behandlas för att fullgöra uppgiftslämnande som följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation. Enligt regeringen är det dock tillräckligt om det, i enlighet med vad som gäller i dag, är möjligt att lämna uppgifter till följd av sådan skyldighet att lämna ut uppgifter som följer av unionsrätten, eller åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller i avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater (nuvarande 114 kap. 9 § 3 och 4 SFB).
Lagförslag
Förslaget innebär att en ny paragraf, 114 kap. 9 §, införs som i sak motsvarar nuvarande 114 kap. 9 § SFB.
6.8.5 Finalitetsprincipen
Regeringens förslag: Personuppgifter som behandlas för de primära eller sekundära ändamål som anges i 114 kap. socialförsäkringsbalken ska få behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Hemställans bedömning överensstämmer med regeringens förslag.
Remissinstanserna tillstyrker eller har inget att invända mot bedömningen.
Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Myndigheten för digital förvaltning anser att det som huvudregel bör hänvisas till finalitetsprincipen endast när principen inte ska gälla. Sveriges advokatsamfund anser att det tas alltför lättvindigt på finalitetsprincipen och risken för ändamålsglidning.
Skälen för regeringens förslag: Personuppgifter som behandlas för de primära eller sekundära ändamål som anges i 114 kap. SFB får enligt nuvarande reglering behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (114 kap. 10 § SFB). Bestämmelsen ger uttryck för den s.k. finalitetsprincipen och infördes ursprungligen i syfte att tydliggöra att de i övrigt angivna ändamålen inte är att ses som uttömmande (prop. 2002/03:135 s. 131 och 132). I samband med anpassningen till EU:s dataskyddsförordning bedömdes det av tydlighetsskäl finnas anledning att i 114 kap. SFB behålla en hänvisning till finalitetsprincipen (prop. 2017/18:171 s. 89 och 192). Motsvarande klargörande bestämmelser finns i många andra registerförfattningar, se t.ex. 2 kap. 2 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 1 kap. 8 § i lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. Regeringen anser, till skillnad från Myndigheten för digital förvaltning, att tidigare anförda tydlighetsskäl är fortsatt relevanta och att det även i det nya 114 kap. SFB bör införas en bestämmelse som klargör att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen.
Vid tillämpning av finalitetsprincipen ska kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna har samlats in, personuppgifternas art, eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen och förekomsten av lämpliga skyddsåtgärder beaktas (artikel 6.4 i EU:s dataskyddsförordning). Finalitetsprincipen kan alltså inte tillämpas utan avvägningar som i praktiken innebär att de nya ändamålen kommer att behöva ligga mycket nära de ursprungliga ändamålen eller kunna ses som en förlängning av de ursprungliga ändamålen. I fråga om behandling av känsliga personuppgifter med stöd av finalitetsprincipen föreslås ytterligare begränsningar i avsnitt 6.9. Vid eventuellt utlämnande av personuppgifter gäller dessutom bestämmelser om sekretess. Tillämpning av finalitetsprincipen bör således inte medföra sådana risker som Sveriges advokatsamfund befarar.
En bestämmelse som motsvarar nuvarande 114 kap. 10 § SFB bör därför föras in i det nya 114 kap. SFB.
Lagförslag
Förslaget innebär att en ny paragraf, 114 kap. 10 §, införs som motsvarar nuvarande 114 kap. 10 § SFB.
6.9 Känsliga personuppgifter
Regeringens förslag: Känsliga personuppgifter ska få behandlas om uppgifterna lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter ska även få behandlas om det är nödvändigt för att fullgöra uppgiftslämnande som
* sker i överensstämmelse med lag eller förordning, eller
* följer av unionsrätten, åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.
Känsliga personuppgifter om hälsa ska därutöver få behandlas om det är nödvändigt för att
* tillgodose behovet av det underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar ska kunna bedömas eller fastställas, eller
* informera om förmåner och ersättningar.
Under förutsättning att uppgifter behandlas eller har behandlats för att tillgodose behovet av underlag för att bedöma eller fastställa rättigheter eller skyldigheter, för att informera om förmåner och ersättningar eller för att handlägga ärenden ska Försäkringskassan och Pensionsmyndigheten därutöver få behandla känsliga personuppgifter om hälsa om det är nödvändigt för att
* vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott,
* planera sina respektive verksamheter,
* inom sina respektive verksamheter genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn, eller
* framställa statistik i fråga om sådan verksamhet som avser att handlägga ärenden, vidta kontrollåtgärder, planera sina respektive verksamheter, eller inom sina respektive verksamheter genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn.
Under förutsättning att uppgifterna behandlas eller har behandlats för att tillgodose behovet av underlag för att bedöma eller fastställa rättigheter eller skyldigheter, för att informera om förmåner och ersättningar eller för att handlägga ärenden och det är absolut nödvändigt, ska känsliga personuppgifter om hälsa få behandlas med stöd av finalitetsprincipen.
Regeringens bedömning: Det bör inte ställas krav på att känsliga personuppgifter behandlas i handlingar eller krav på uttrycklig reglering i lag eller förordning vid behandling av känsliga personuppgifter.
Hemställans förslag överensstämmer i huvudsak med regeringens förslag och bedömning. I hemställan föreslås dock inte att behandling med stöd av finalitetsprincipen ska vara absolut nödvändig.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten framhåller att det inom de aktuella verksamheterna behandlas en stor mängd känsliga personuppgifter och att det behöver göras en kartläggning av integritetsrisker och en proportionalitetsbedömning om skyddsåtgärder ska tas bort.
Förslaget och bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens förslag och bedömning.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och bedömningen eller har inget att invända mot dem. Skatteverket anser att den föreslagna bestämmelsen är svåröverskådlig och att en annan utformning bör övervägas. Integritetsskyddsmyndigheten förordar att det, i syfte att göra bestämmelsen tydligare både för den registrerade och den personuppgiftsansvarige, införs en hänvisning till artikel 9.2 g i EU:s dataskyddsförordning på samma sätt som skett i 3 kap. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Integritetsskyddsmyndigheten påpekar också att utrymmet för vidarebehandling av känsliga personuppgifter kommer att vara mycket begränsat och att detta tydligare bör framgå av författningskommentaren till bestämmelsen. Sveriges advokatsamfund anser att det tas alltför lättvindigt på finalitetsprincipen och risken för ändamålsglidning. I övrigt delar Sveriges advokatsamfund Integritetsskyddsmyndighetens tidigare synpunkt att det inom de aktuella verksamheterna behandlas en stor mängd känsliga personuppgifter och att det behöver göras en kartläggning av integritetsrisker och en proportionalitetsbedömning för det fall skyddsåtgärder ska tas bort.
Skälen för regeringens förslag och bedömning
Samtliga känsliga personuppgifter får behandlas för att handlägga ärenden
Samtliga känsliga personuppgifter får enligt nuvarande reglering behandlas både i och utanför socialförsäkringsdatabasen om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggningen av ett ärende (114 kap. 11 § första stycket och 16 § SFB). Eftersom det inte är möjligt att förutse vilka uppgifter som kan behöva behandlas inom ramen för ett ärende, bör samtliga känsliga personuppgifter även fortsättningsvis kunna behandlas för detta ändamål (jfr prop. 2002/03:135 s. 75 och 76). Sådan behandling har också ansetts vara förenlig med artikel 9.2 g i EU:s dataskyddsförordning (prop. 2017/18:171 s. 193).
I socialförsäkringsdatabasen får i dag känsliga personuppgifter behandlas om de finns i en handling som upprättats i ett ärende och är nödvändiga för ärendets handläggning eller i en handling som kommit in i ett ärende (114 kap. 16 § SFB). Vid handläggning av ärenden i sådana gemensamma it-system som ingår i socialförsäkringsdatabasen får känsliga personuppgifter alltså som huvudregel endast behandlas i handlingar. Eftersom känsliga personuppgifter i övrigt får behandlas med stöd av 114 kap. 11 § SFB, utgör denna inskränkning en begränsande skyddsåtgärd.
I dag sker ärendehandläggningen hos Försäkringskassan och Pensionsmyndigheten huvudsakligen i gemensamma it-system. Behandlingen sker fortfarande till stor del i inkomna respektive upprättade inskannade eller i övrigt färdiga elektroniska handlingar. Övergången till en alltmer datadriven förvaltning där underlag för ärendehantering i högre utsträckning hämtas från databaser eller andra digitala källor, i stället för genom blanketter som fylls i av enskilda, medför dock att handlingar som hanteras i förvaltningen i mindre utsträckning kommer att vara s.k. färdiga elektroniska handlingar (SOU 2018:25 s. 444). Den ökade automatiseringen inom den offentliga förvaltningen medför också att olika moment i handläggningen kan ske genom automatiserade förfaranden. En bestämmelse som förhindrar annan behandling än sådan som sker i handlingar, skulle kunna påverka den möjliga automatiseringsgraden. Regeringen har konstaterat att nödvändig behandling av känsliga personuppgifter, bl.a. i ärendehanteringssystem, bör vara tillåten vid handläggningen av ett ärende oavsett om uppgifterna förekommer i löpande text eller inte (prop. 2017/18:105 s. 88). Att knyta tillåten behandling av personuppgifter till handlingsbegreppet riskerar att negativt påverka myndigheternas förmåga att utveckla och bedriva en effektiv och ändamålsenlig verksamhet.
Andra myndigheter med en omfattande ärendehandläggning saknar motsvarande begränsning. Känsliga personuppgifter får normalt sett behandlas om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det (jfr 3 kap. 3 § 2 dataskyddslagen, 1 kap. 7 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 9 § lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och 6 § studiestödsdatalagen [2009:287]). Vissa registerförfattningar kräver att behandlingen ska vara absolut nödvändig för syftet (5 § kriminalvårdsdatalagen och 14 § utlänningsdatalagen).
Som Integritetsskyddsmyndigheten framhåller är det viktigt att analysera vilka integritetsrisker förslaget medför samt om behandlingen fortfarande är proportionerlig. Syftet med nuvarande begränsning är främst att begränsa åtkomsten till känsliga personuppgifter (prop. 2002/03:135 s. 83 och 84). Den huvudsakliga risken med att ta bort begränsningen bör därmed vara att åtkomsten till uppgifterna vidgas. I en digitaliserad verksamhet bör utgångspunkten vara att åtkomst till uppgifter begränsas genom behörighetsbegränsningar och inte genom att behandling av personuppgifter inte tillåts. I avsnitt 6.13 föreslås att tillgången till personuppgifter inom tillämpningsområdet för 114 kap. SFB ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (föreslagna 13 §). En handläggare måste alltid ha tillgång till sådana personuppgifter som är nödvändiga för handläggningen av ärendet, oavsett om de förekommer i en handling eller inte. Att känsliga personuppgifter får behandlas för handläggning på annat sätt än enbart i handlingar bör därmed inte medföra risk för att åtkomsten till känsliga personuppgifter vidgas. Regeringen bedömer, till skillnad från Sveriges advokatsamfund, att det saknas behov av ytterligare kartläggning av integritetsrisker och proportionalitetsbedömning.
För att behandlingen ska vara proportionerlig regleras i 114 kap. SFB ett flertal skyddsåtgärder som begränsar behandlingen. Förutom begränsningar i fråga om tillgång till personuppgifter (föreslagna 13 §) gäller sökbegränsningar (föreslagna 12 §), begränsningar av direktåtkomst (föreslagna 14 §) och krav på gallring (föreslagna 15 §). Därutöver finns bestämmelser om sekretess i offentlighets- och sekretesslagen. Mot bakgrund av det skydd dessa skyddsåtgärder ger och med beaktande av att kravet på behandling i handlingar inte längre kan anses ändamålsenligt, får det enligt regeringen anses proportionerligt att behandla känsliga personuppgifter för ändamålet att handlägga ärenden även utan särskilda begränsningar av hur uppgifterna får behandlas (jfr 2 kap. 6, 20 och 21 §§ RF).
Skyddsåtgärden att känsliga personuppgifter i socialförsäkringsdatabasen får behandlas endast om de finns i en handling som upprättats i ett ärende och är nödvändiga för ärendets handläggning eller i en handling som kommit in i ett ärende bör därför slopas.
Samtliga känsliga personuppgifter får behandlas för sekundära ändamål
Samtliga känsliga personuppgifter får enligt nuvarande reglering lämnas ut för de sekundära ändamålen (114 kap. 11 § första stycket SFB). Detta har bedömts vara förenligt med artikel 9.2 g i EU:s dataskyddsförordning (prop. 2017/18:171 s. 94-97). I avsnitt 6.8.4 föreslås att de nuvarande bestämmelserna om sekundära ändamål ska ersättas av en ny bestämmelse. Bestämmelsen kommer inte att medföra någon utvidgning av stödet för att behandla personuppgifter och de avvägningar som tidigare har gjorts är därför fortsatt relevanta (prop. 2002/03:135 s. 79). Känsliga personuppgifter bör därmed få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning eller följer av unionsrätten, åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.
Uppgifter om hälsa får med vissa begränsningar behandlas för övriga nuvarande ändamål
Känsliga personuppgifter om hälsa får enligt nuvarande 114 kap. 11 § SFB behandlas för att tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar ska kunna bedömas eller fastställas (7 § första stycket 2), för att informera om förmåner och ersättningar (7 § första stycket 3), för att planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet (7 § första stycket 5) samt för att framställa statistik i sådan verksamhet som avser att handlägga ärenden och planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet (7 § första stycket 6). För behandling enligt punkt 5 och 6 gäller dock att uppgifter behandlas eller har behandlats för punkt 2 eller 3 eller för att handlägga ärenden (7 § första stycket 4). Av samma skäl som tidigare anförts bör känsliga personuppgifter om hälsa även fortsättningsvis kunna behandlas för dessa ändamål och med samma begränsningar (prop. 2002/03:135 s. 74-80). Sådan behandling har också ansetts vara förenlig med artikel 9.2 g i EU:s dataskyddsförordning (prop. 2017/18:171 s. 193).
Behandling av uppgifter om hälsa för att vidta kontrollåtgärder
I avsnitt 6.8.2 föreslås ett nytt ändamål som avser kontrollåtgärder. Av hemställan framgår att Försäkringskassans och Pensionsmyndighetens kontrollverksamheter anknyter till den handläggande verksamheten och att det därför finns behov av att för ändamålet behandla sådana uppgifter som finns i ärenden, bl.a. känsliga personuppgifter om hälsa. Det kan röra sig om uppgifter om t.ex. ansökta eller beviljade förmåner, om nedsatt arbetsförmåga, om vårdmottagningar där den enskilde sökt vård, utförda behandlingsåtgärder när det handlar om tandvårdsersättning och ersättningsperioder. Behandling av känsliga personuppgifter om hälsa för att vidta kontrollåtgärder får anses utgöra en integritetsrisk för den enskilde (avsnitt 6.8.2).
Behandling av känsliga personuppgifter är tillåten enligt EU:s dataskyddsförordning om den är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Bedömningen i avsnitt 6.8.2 är att det är ett allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning att vidta kontrollåtgärder. Det kan inte heller råda något tvivel om att det är ett viktigt allmänt intresse att myndigheterna kan sköta sitt uppdrag på ett korrekt, rättssäkert och effektivt sätt (prop. 2017/18:105 s. 85). Kontrollåtgärderna syftar till att Försäkringskassan och Pensionsmyndigheten ska fatta materiellt korrekta beslut och att verksamheterna ska bedrivas effektivt och i enlighet med gällande rätt. Eftersom handläggningen av socialförsäkringsförmåner till stor del medför behandling av personuppgifter om hälsa, förutsätter en ändamålsenlig kontrollverksamhet att sådana uppgifter kan behandlas. Det får därför också anses utgöra ett viktigt allmänt intresse att vidta kontrollåtgärder. Av samma skäl måste också behandlingen anses stå i proportion till det eftersträvade syftet.
Kravet på skyddsåtgärder tillgodoses i 114 kap. SFB genom bestämmelser om sökbegränsning (föreslagna 114 kap. 12 § SFB), begränsningar i fråga om tillgång till personuppgifter (föreslagna 13 §) och krav på gallring (föreslagna 15 §). I offentlighets- och sekretesslagen finns bestämmelser om sekretess. I likhet med vad som sedan tidigare gäller för ändamålen att planera verksamhet, genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av verksamheten samt att framställa statistik bör dessutom som en ytterligare skyddsåtgärd endast sådana känsliga personuppgifter som behandlas eller har behandlats för att tillgodose behovet av underlag, för att informera om förmåner och ersättningar eller för att handlägga ärenden få behandlas för att vidta kontrollåtgärder. Känsliga personuppgifter får alltså inte hämtas in till myndigheterna i syfte att användas för att vidta kontrollåtgärder. Eftersom det bedöms att det saknas anledning att behandla andra uppgifter än sådana känsliga personuppgifter som ligger till grund för bedömningen i ärenden, bör det endast vara tillåtet att behandla känsliga personuppgifter om hälsa för att vidta kontrollåtgärder.
I avsnitt 6.8.2 bedöms behandling av personuppgifter för ändamålet att vidta kontrollåtgärder uppfylla de krav på proportionalitet som gäller för inskränkning av det grundlagsreglerade integritetsskyddet (2 kap. 6, 20 och 21 §§ RF). Behandling av uppgifter om hälsa är ofrånkomlig vid hantering av ärenden om förmåner som beviljas baserat på hälsotillstånd. De skäl som anges i avsnitt 6.8.2 är därför relevanta även i fråga om sådana uppgifter. Ovan angivna skyddsåtgärder säkerställer att integritetsintrånget inte blir större än nödvändigt.
Sammantaget bedömer regeringen att det är förenligt med både EU:s dataskyddsförordning och det grundlagsreglerade integritetsskyddet att tillåta behandling av känsliga personuppgifter om hälsa för ändamålet att vidta kontrollåtgärder.
Behandling av uppgifter om hälsa med stöd av finalitetsprincipen
I hemställan föreslås att känsliga personuppgifter om hälsa ska få behandlas med stöd av den s.k. finalitetsprincipen. Enligt nuvarande reglering får känsliga personuppgifter inte behandlas med stöd av finalitetsprincipen (114 kap. 10 och 11 §§ SFB). Finalitetsprincipen kan därför endast i mindre utsträckning tillämpas inom Försäkringskassans förmånsverksamhet eftersom uppgifter om ansökta, beviljade och avslagna förmåner och ersättningar ofta är en känslig personuppgift.
Att lagtexten ger uttryck för finalitetsprincipen är avsett att tydliggöra att personuppgifter får behandlas för olika tillkommande ändamål under förutsättning att de inte är oförenliga med de ändamål som uttryckligen anges i lagen (prop. 2002/03:135 s. 56). Eftersom en stor andel av de personuppgifter som behandlas är känsliga personuppgifter om hälsa och känsliga personuppgifter enligt nuvarande reglering i 114 kap. SFB inte får behandlas med stöd av finalitetsprincipen, får dock finalitetsprincipen inte någon större betydelse som en yttre ram för behandlingen av personuppgifter. För att myndigheterna ska kunna bedriva en effektiv verksamhet behöver de kunna behandla känsliga personuppgifter om hälsa för andra ändamål än för det som de samlats in för, både sådana ändamål som uttryckligen anges i ändamålsbestämmelserna i 114 kap. SFB och andra närliggande ändamål. Det finns därför anledning att i viss utsträckning tillåta behandling av känsliga personuppgifter om hälsa med stöd av finalitetsprincipen. Med hänsyn till den stora mängden känsliga personuppgifter som framför allt Försäkringskassan behandlar, bör det dock särskilt markeras att vidarebehandling av känsliga personuppgifter ska ske med försiktighet. I annan motsvarande reglering finns bestämmelser om att känsliga personuppgifter får vidarebehandlas endast om det är absolut nödvändigt för syftet med behandlingen (6 § tredje stycket studiestödsdatalagen). Krav på att behandling av personuppgifter ska vara absolut nödvändig finns sedan tidigare också i flera andra registerförfattningar som kompletterar EU:s dataskyddsförordning (t.ex. 14 § utlänningsdatalagen, 5 § kriminalvårdsdatalagen och 12 § kustbevakningsdatalagen [2019:429]). I dessa bestämmelser gäller kravet redan vid den ursprungliga behandlingen av känsliga personuppgifter. Formuleringen innebär inte att känsliga personuppgifter endast får behandlas i undantagsfall utan avser att markera att behandlingen ska ske med restriktivitet och att behovet av att behandla personuppgiften ska prövas noga i det enskilda ärendet (prop. 2015/16:65 s. 81 och prop. 2019/20:113 s. 28 och 29). Motsvarande krav på att behandlingen ska vara absolut nödvändig för syftet med behandlingen bör enligt regeringen användas även i fråga om Försäkringskassans och Pensionsmyndighetens behandling av känsliga personuppgifter om hälsa med stöd av finalitetsprincipen i 114 kap. SFB.
Sveriges advokatsamfund anser att det i utkastet till lagrådsremiss tas alltför lättvindigt på finalitetsprincipen och risken för ändamålsglidning. Som konstateras i avsnitt 6.8.5 kan finalitetsprincipen inte tillämpas utan avvägningar som i praktiken innebär att de nya ändamålen kommer att behöva ligga mycket nära de ursprungliga ändamålen eller kunna ses som en förlängning av de ursprungliga ändamålen. De avvägningar som gjorts i fråga om viktigt allmänt intresse och proportionalitet (artikel 9.2 g i EU:s dataskyddsförordning) vid behandling av uppgifter om hälsa för de uttryckligt angivna primära ändamålen är därför giltiga även för behandling med stöd av finalitetsprincipen (prop. 2017/18:171 s. 193 samt ovanstående bedömning av behandling av känsliga personuppgifter om hälsa för att vidta kontrollåtgärder). Som Integritetsskyddsmyndigheten påpekar kommer utrymmet för vidarebehandling av känsliga personuppgifter att vara begränsat.
Det finns skyddsåtgärder i 114 kap. SFB i form av bestämmelser om sökbegränsningar (föreslagna 12 §), begränsningar i fråga om tillgång till personuppgifter (föreslagna 13 §) och krav på gallring (föreslagna 15 §). Därutöver finns det sekretessbestämmelser. Eftersom vidarebehandling förutsätter att uppgifterna först har behandlats för ett annat ändamål, kommer det för behandling med stöd av finalitetsprincipen alltid krävas att uppgifterna först har behandlats för att tillgodose behovet av underlag, för att informera om förmåner och ersättningar eller för handläggning. Dessa skyddsåtgärder bedöms även vid vidarebehandling i enlighet med finalitetsprincipen uppfylla de krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som följer av EU:s dataskyddsförordning.
En möjlighet att behandla känsliga personuppgifter om hälsa med stöd av finalitetsprincipen ger utrymme för en viss utökad behandling. En sådan behandling bedöms kunna utgöra ett betydande intrång i den personliga integriteten, som innebär kartläggning av den enskildes personliga förhållanden. Integritetsintrånget får inte vara större än vad som är nödvändigt med hänsyn till ändamålet (jfr 2 kap. 6, 20 och 21 §§ RF). Finalitetsprincipen kan för närvarande endast i mindre utsträckning tillämpas inom Försäkringskassans förmånsverksamhet, eftersom uppgifter om ansökta, beviljade och avslagna förmåner och ersättningar ofta är känsliga personuppgifter om hälsa och känsliga personuppgifter inte får behandlas med stöd av finalitetsprincipen. Det är angeläget att myndigheterna kan behandla personuppgifter för ändamål som ligger i linje med myndigheternas uppdrag och som inte är oförenliga med det ändamål för vilket de samlades in. Det gäller även känsliga personuppgifter. Kravet på att behandlingen ska vara absolut nödvändig säkerställer tillsammans med övriga skyddsåtgärder att behandlingen är väl avvägd. Mot denna bakgrund får fördelarna med behandlingen anses överväga riskerna med en utökad behandling. Försäkringskassan och Pensionsmyndigheten bör enligt regeringen alltså få behandla känsliga personuppgifter om hälsa om det är absolut nödvändigt för ändamål som inte är oförenliga med det ändamål för vilket uppgifterna samlades in.
Det bör inte krävas särskild reglering i lag eller förordning för behandling av känsliga personuppgifter
För behandling av känsliga personuppgifter i socialförsäkringsdatabasen för andra ändamål än att handlägga ärenden krävs i dag uttrycklig reglering i lag eller förordning (114 kap. 15 § andra stycket SFB). Eftersom känsliga personuppgifter i övrigt får behandlas med stöd 114 kap. 11 § SFB utgör detta krav en skyddsåtgärd. I likhet med vad som gäller skyddsåtgärden att uppgifterna ska finnas i en handling, föreslås i hemställan att denna skyddsåtgärd helt tas bort. Som Integritetsskyddsmyndigheten framhåller, förutsätter en sådan åtgärd en analys av om behandlingen av personuppgifter är proportionerlig.
Myndigheternas behandling av känsliga personuppgifter omgärdas av ett flertal begränsningar. Utlämnande av personuppgifter ska ske i överensstämmelse med lag eller förordning eller följa av unionsrätten, åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater. För övriga ändamål, bortsett från ändamålet att handlägga ärenden, är det endast tillåtet att behandla känsliga personuppgifter om hälsa. Grundläggande krav på nödvändighet och uppgiftsminimering (artikel 5 i EU:s dataskyddsförordning) innebär att möjligheterna att behandla personuppgifter för att tillgodose behovet av underlag (föreslagna 114 kap. 8 § 1 SFB) och för att informera om förmåner och ersättningar (föreslagna 114 kap. 8 § 2 SFB) huvudsakligen är begränsade till behov som kan härledas ur den lagstiftning som avser socialförsäkringsförmåner. För behandling av känsliga personuppgifter för kontrollåtgärder, verksamhetsplanering, uppföljning, utvärdering och statistik (föreslagna 114 kap. 8 § 4-7 SFB) ska det endast vara tillåtet att behandla sådana uppgifter som redan behandlas eller har behandlats för att tillgodose behov av underlag, för att informera om förmåner och ersättningar eller för handläggning (föreslagna 114 kap. 8 § 1-3 SFB). Dessutom gäller förvaltningsrättsliga begränsningar i fråga om när uppgifter kan inhämtas om enskilda i ärenden (bl.a. 110 kap. 14 och 31 §§ SFB). Sammantaget ringar dessa begränsningar, även utan krav på särskilt stöd i lag eller förordning, in vilka uppgifter som är adekvata och relevanta för ändamålet (artikel 5.1 c i EU:s dataskyddsförordning). Ändamålen har i sin tur fastställts utifrån myndigheternas behov av att behandla personuppgifter för att kunna fullgöra sina uppdrag. Därtill gäller sökbegränsningar för sökningar som omfattar känsliga personuppgifter (föreslagna 114 kap. 12 § SFB), begränsningar i fråga om tillgång till personuppgifter (föreslagna 114 kap. 13 § SFB), begränsningar för direktåtkomst (föreslagna 114 kap. 14 § SFB) och krav på gallring (föreslagna 114 kap. 15 § SFB). Ytterligare begränsningar av möjligheterna att behandla känsliga personuppgifter bedöms inte nödvändiga. Regeringen anser, till skillnad från Sveriges advokatsamfund, att det saknas behov av ytterligare kartläggning av integritetsrisker och proportionalitetsbedömning.
Skyddsåtgärderna får sammantaget också anses uppfylla de krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs enligt EU:s dataskyddsförordning (artikel 9.2 g i EU:s dataskyddsförordning). Skyddsåtgärden i nuvarande 114 kap. 15 § andra stycket SFB kan därför utmönstras ur dataskyddsregleringen utan att det påverkar behandlingens proportionalitet.
Bestämmelsens utformning
Integritetsskyddsmyndigheten förordar att det, i syfte att göra bestämmelsen om känsliga personuppgifter tydligare både för den registrerade och den personuppgiftsansvarige, införs en hänvisning till artikel 9.2 g i EU:s dataskyddsförordning på samma sätt som görs i 3 kap. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Regeringen bedömer att en sådan hänvisning inte tillför något i fråga om tydlighet. Till skillnad från Skatteverket anser regeringen att bestämmelsen bör utformas i enlighet med förslaget i utkastet till lagrådsremiss.
Lagförslag
Förslaget innebär att en ny paragraf, 114 kap. 11 §, införs som delvis motsvarar nuvarande 114 kap. 11 § SFB.
6.10 Uppgifter om lagöverträdelser
Regeringens bedömning: Det bör inte införas någon särskild begränsning av behandling av uppgifter om lagöverträdelser i 114 kap. socialförsäkringsbalken.
Hemställans förslag överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser tillstyrker hemställans förslag eller har inget att invända mot det. Integritetsskyddsmyndigheten påtalar att det inte på ett tydligt sätt framgår vilka risker det finns med att upphäva bestämmelser om behandling av uppgifter om lagöverträdelser och efterfrågar en proportionalitetsbedömning. Förvaltningsrätten i Malmö noterar att regeringen nyligen har gjort en annan bedömning av om bestämmelserna som rör uppgifter om lagöverträdelser ska tas bort.
Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning
Myndigheterna behöver behandla uppgifter om lagöverträdelser i utökad omfattning
Försäkringskassan och Pensionsmyndigheten får med stöd av nuvarande reglering behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) i inkomna och upprättade handlingar i ärenden (114 kap. 12 §, 15 § andra stycket och 16 § SFB). Det innebär att myndigheterna vid behov kan begära in och ta emot uppgifter om lagöverträdelser i sin ärendehandläggning, t.ex. uppgifter om att någon är häktad eller intagen i kriminalvårdsanstalt (jfr bl.a. 106 kap. SFB). Myndigheterna kan inom ramen för ett ärende också upprätta polisanmälningar, både sådana anmälningar som ska göras enligt 6 § bidragsbrottslagen och för andra misstänkta brott. För behandling av personuppgifter om lagöverträdelser för övriga primära ändamål krävs särskilt stöd i lag eller förordning. Sådant stöd finns inte i dag.
I hemställan föreslås att de begränsningar som avser behandling av personuppgifter om lagöverträdelser ska upphävas. Som skäl för detta anges dels att EU:s dataskyddsförordning inte innehåller några begränsande regler för behandling av personuppgifter om lagöverträdelser för myndigheter, dels att Försäkringskassan och Pensionsmyndigheten över tid har fått ett utökat behov av att behandla uppgifter om lagöverträdelser som en följd av arbetet med att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott. Behandling av personuppgifter om lagöverträdelser bör, i enlighet med vad regeringen tidigare uttalat, emellertid inte tillåtas bara därför att EU:s dataskyddsförordning gör det möjligt (prop. 2017/18:171 s. 116). Förvaltningsrätten i Malmö hänvisar också till att regeringen tidigare har gjort en annan bedömning än den som görs i hemställan. Behandling av personuppgifter om lagöverträdelser bör enligt regeringen dock tillåtas i den mån det kan konstateras ett behov och det finns grund för att tillåta behandlingen.
Försäkringskassan och Pensionsmyndigheten får även fortsättningsvis anses ha behov av att behandla personuppgifter om lagöverträdelser om det är nödvändigt för att handlägga ärenden och för sekundära ändamål (prop. 2002/03:135 s. 81). Det kan därutöver konstateras att särskilda bestämmelser gäller enligt socialförsäkringsbalken för den som är häktad eller intagen i kriminalvårdsanstalt. Exempelvis lämnas inte sjukpenning för tid när den försäkrade är häktad eller intagen i kriminalvårdsanstalt (106 kap. 12 § 3 SFB). Kriminalvården ska enligt 1 § 2 förordningen (2018:1747) om viss underrättelseskyldighet för Kriminalvården lämna underrättelse till Försäkringskassan om bl.a. tidpunkt för frihetsberövande på grund av häktning eller hävande av häktningsbeslut och tidpunkt för intagning i eller avgång från kriminalvårdsanstalt eller tidpunkt då verkställighet av fängelsestraff på annat sätt påbörjades och beslutad tidpunkt för avgång från kriminalvårdsanstalt. Eftersom sådana underrättelser lämnas till Försäkringskassan oavsett om det finns ett pågående förmånsärende, behöver uppgifterna behandlas inte bara i ärendehandläggningen utan även för att tillgodose behovet av det underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar som omfattas av tillämpningsområdet för 114 kap. SFB ska kunna bedömas eller fastställas.
I avsnitt 6.8.2 föreslås att Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter för att vidta kontrollåtgärder. Ändamålet är avsett att tillämpas bl.a. när myndigheterna gör urval för att identifiera ärenden som behöver kontrolleras. Det kan i vissa fall vara relevant att behandla uppgifter om tidigare begångna bidragsbrott, dvs. uppgifter om lagöverträdelser, vid sådana urval. Vidare kan sådana uppgifter som utbyts vid samarbete enligt lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet vara uppgifter om lagöverträdelser. Det föreslagna kontrolländamålet avser att ge ett tydligare och bättre stöd för sådan behandling av personuppgifter som sker när uppgifter tas emot och innan uppgifter lämnas med stöd av den lagen.
Försäkringskassan och Pensionsmyndigheten är skyldiga att polisanmäla ett misstänkt bidragsbrott (6 § bidragsbrottslagen). Sammanställning och bevarande av personuppgifter som de brottsförebyggande myndigheterna behöver med anledning av en polisanmälan förutsätter behandling av uppgifter om lagöverträdelser. Även återkoppling med anledning av gjorda polisanmälningar och hantering av meddelade domar medför behandling av uppgifter om lagöverträdelser. För att följa upp, kvalitetssäkra och utvärdera gjorda polisanmälningar samt för att ta fram intern statistik behöver myndigheterna kunna behandla uppgifter om polisanmälningar och bidragsbrott.
Regeringen anser att Försäkringskassan och Pensionsmyndigheten således har behov av att behandla personuppgifter om lagöverträdelser för flertalet primära ändamål.
EU:s dataskyddsförordning hindrar inte behandling av uppgifter om lagöverträdelser
Enligt artikel 10 i EU:s dataskyddsförordning får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av en myndighet eller då sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet är direkt tillämplig och bör enligt regeringen i vart fall innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet (prop. 2017/18:171 s. 114). EU:s dataskyddsförordning innehåller alltså inga begränsande regler för behandling av personuppgifter om lagöverträdelser om den personuppgiftsansvarige är en myndighet. I linje med detta anges i 3 kap. 8 § första stycket dataskyddslagen att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter. Det krävs därmed inga särskilda ställningstaganden för myndigheters behandling av personuppgifter som avser lagöverträdelser utöver de ställningstaganden som allmänt ska göras i fråga om laglig grund.
Är en utökad behandling av uppgifter om lagöverträdelser proportionerlig?
Nu gällande begränsningar av behandling av personuppgifter om lagöverträdelser i 114 kap. SFB utgör en skyddsåtgärd. Som Integritetsskyddsmyndigheten påpekar, förutsätter en utökning av möjligheterna att behandla sådana uppgifter en beskrivning av risker och en bedömning av proportionalitet.
Eftersom en utökning av möjligheterna att behandla uppgifter om lagöverträdelser beror på ett ökat behov av sådan behandling leder den sannolikt också till en faktisk utökning av myndigheternas behandling av uppgifter om lagöverträdelser. En utökad behandling innebär en större risk för otillåten behandling, spridning av uppgifter och även integritetsintrång i form av kartläggning av enskildas personliga förhållanden. Försäkringskassans och Pensionsmyndighetens behandling av personuppgifter får dock endast ske för vissa angivna ändamål. Ändamålen har fastställts utifrån myndigheternas behov av att kunna fullgöra sina uppdrag och har i sig bedömts proportionerliga. Myndigheterna har som övergripande uppdrag att förvalta och administrera socialförsäkringen, och möjligheterna att behandla personuppgifter är därmed huvudsakligen begränsade till behov som kan härledas ur den lagstiftning som avser socialförsäkringsförmåner. Även uppdraget att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott är knutet till förmånslagstiftningen. Behandling av personuppgifter ska vara nödvändig, och uppgifterna ska vara adekvata och relevanta i förhållande till ändamålet (artikel 5 i EU:s dataskyddsförordning). Sammantaget innebär detta ett avgränsat utrymme för myndigheterna att behandla uppgifter om lagöverträdelser. Därtill gäller begränsningar i fråga om tillgång till personuppgifter (föreslagna 114 kap. 13 § SFB), begränsningar för direktåtkomst (föreslagna 114 kap. 14 § SFB) och krav på gallring (föreslagna 114 kap. 15 § SFB).
En utökad möjlighet att behandla uppgifter om lagöverträdelser för primära ändamål bedöms inte bidra till ett ökat informationsflöde från Försäkringskassan och Pensionsmyndigheten. Eventuella utlämnanden av personuppgifter ska alltid ske i överensstämmelse med lag och förordning (se avsnitt 6.8.4).
Det är angeläget att myndigheterna kan utföra sina uppdrag på ett effektivt sätt. Av de skäl som anges i avsnitt 6.8.2 är det också viktigt att komma till rätta med felaktiga utbetalningar och bidragsbrott inom socialförsäkringen. Försäkringskassans och Pensionsmyndighetens behov av att behandla uppgifter om lagöverträdelser är mer omfattande än tidigare, vilket beror på att myndigheterna har fått utökade uppdrag och skyldigheter. Behoven avser flertalet primära ändamål och det är därför inte ändamålsenligt att begränsa behandlingen till vissa angivna ändamål. Det bedöms vidare saknas behov av bestämmelser om att lagöverträdelser ska behandlas i handlingar (114 kap. 16 § SFB) respektive med stöd av uttrycklig reglering i lag eller förordning (114 kap. 12 och 15 §§ SFB). Det som anförs i avsnitt 6.9 i fråga om vad dessa skyddsåtgärder tillför när det gäller proportionalitet och ändamålsenlighet är relevant även i fråga om uppgifter om lagöverträdelser. Enligt regeringen bör det därmed inte införas någon särskild begränsning av behandling av uppgifter om lagöverträdelser i 114 kap. SFB.
De begränsningar som gäller generellt vid behandling av personuppgifter enligt 114 kap. SFB och EU:s dataskyddsförordning samt bestämmelser om sekretess enligt offentlighets- och sekretesslagen bedöms sammantaget säkerställa en proportionerlig behandling av uppgifter om lagöverträdelser. Nuvarande begränsningar av behandling av uppgifter om lagöverträdelser kan därmed utmönstras ur dataskyddsregleringen utan att det påverkar behandlingens proportionalitet.
6.11 Reglering av adekvata och relevanta personuppgifter
Regeringens bedömning: Det bör inte anges i 114 kap. socialförsäkringsbalken vilka personuppgifter som anses adekvata och relevanta att behandla för de ändamål som regleras i kapitlet.
Hemställans förslag överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning: I nuvarande 114 kap. 14-16 §§ SFB finns bestämmelser om behandling av vissa personuppgifter i socialförsäkringsdatabasen. Bestämmelserna i 15 § andra stycket och 16 § avser behandling av känsliga personuppgifter respektive uppgifter om lagöverträdelser och behandlas i avsnitt 6.9 och 6.10. I avsnitten görs bedömningen att kravet på att känsliga personuppgifter och uppgifter om lagöverträdelser ska behandlas i handlingar respektive kravet på särskilt stöd i lag eller förordning ska slopas.
I 114 kap. 14 § SFB anges att i socialförsäkringsdatabasen får endast sådana personuppgifter behandlas som avser personer som omfattas eller har omfattats av verksamhet enligt de ändamål som anges i 7 § (de primära ändamålen), eller personer om vilka uppgifter på annat sätt behövs för handläggningen av ett ärende. Bestämmelsen är avsedd att ge uttryck för det grundläggande kravet att de personuppgifter som behandlas ska vara adekvata och relevanta för ändamålet (principen om uppgiftsminimering enligt artikel 5.1 c i EU:s dataskyddsförordning) och utgöra en precisering av vad som gäller inom den aktuella verksamheten (prop. 2002/03:135 s. 82). Eftersom ändamålsbestämmelserna i 114 kap. SFB anger den yttersta ram inom vilken personuppgifter får behandlas och personuppgifter alltid måste behandlas för de primära ändamålen innan de kan behandlas för sekundära ändamål eller med stöd av finalitetsprincipen, tillför bestämmelsen emellertid ingen begränsning utöver vad som följer av 114 kap. SFB i övrigt och EU:s dataskyddsförordning. Motsvarande bestämmelser finns inte heller i senare års regleringar av myndigheters behandling av personuppgifter, se t.ex. lagen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador och lagen om Rättsmedicinalverkets behandling av personuppgifter. Bestämmelsen bör kunna utmönstras ur dataskyddsregleringen utan att det medför ett försvagat integritetsskydd eller påverkar behandlingens proportionalitet. Det skulle inte heller tillföra något utökat skydd om motsvarande bestämmelse infördes för all behandling av personuppgifter inom tillämpningsområdet för 114 kap. SFB.
I 114 kap. 15 § första stycket SFB anges att identifierings- och adressuppgifter får behandlas i socialförsäkringsdatabasen för de ändamål som anges i 7-10 §§, med beaktande av de begränsningar som följer av 7 och 14 §§. Även den här bestämmelsen saknar motsvarighet i andra registerförfattningar från senare år. Av EU:s dataskyddsförordning följer inga särskilda begränsningar att behandla adressuppgifter. EU:s dataskyddsförordning ställer inte heller krav på reglering av behandling av personnummer, men om medlemsstaterna bestämmer särskilda villkor för sådan behandling måste lämpliga skyddsåtgärder för de registrerades fri- och rättigheter enligt förordningen säkerställas (artikel 87). Enligt dataskyddslagen får personnummer och samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (3 kap. 10 §). Även här kan det konstateras att de angivna ändamålen utgör ramen för all behandling av personuppgifter inom tillämpningsområdet för 114 kap. SFB och att alla personuppgifter som behandlas måste vara adekvata och relevanta för ändamålet (artikel 5.1 c i EU:s dataskyddsförordning). Dataskyddslagen gäller inom tillämpningsområdet för 114 kap. SFB om inte annat anges i kapitlet (föreslagna 114 kap. 3 § andra stycket), vilket innebär att personnummer endast får behandlas om de krav som anges i dataskyddslagen är uppfyllda. En sådan bestämmelse som finns i 114 kap. 15 § första stycket SFB kan därmed utmönstras ur dataskyddsregleringen utan att integritetsskyddet och behandlingens proportionalitet påverkas.
6.12 Sökbegränsningar
Regeringens förslag: Sökningar ska inte få utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökningar ska dock få utföras för de primära ändamålen i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa, om uppgiften avser förmån eller ersättning eller om urvalet ska användas för att vidta åtgärder i handläggningen, planera, följa upp eller utvärdera handläggningen eller vidta kontrollåtgärder.
Hemställans förslag överensstämmer delvis med regeringens förslag. I hemställan föreslås undantaget som gäller uppgifter om förmån eller ersättning gälla oavsett ändamål. I hemställan föreslås även en upplysningsbestämmelse som ger regeringen eller den myndighet som regeringen bestämmer möjlighet att meddela undantag från bestämmelsen.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten efterfrågar en redogörelse för de integritetsrisker förslaget aktualiserar och framhåller behovet av en proportionalitetsbedömning. Kammarrätten i Stockholm anser, till skillnad från det som anförs i hemställan, att den föreslagna sökbegränsningen utgör en sådan begränsning som avses i 2 kap. 7 § tryckfrihetsförordningen.
Förslaget i utkastet till lagrådsremiss överensstämmer delvis med regeringens förslag. I utkastet föreslås i stället för vissa uttryckliga undantag en upplysningsbestämmelse som ger regeringen eller den myndighet som regeringen bestämmer möjlighet att meddela undantag från bestämmelsen.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Försäkringskassan framhåller att myndigheten även fortsättningsvis har ett behov av att kunna använda diagnos och funktionsnedsättning som urvalskriterium vid sökning i vissa sammanhang. Pensionsmyndigheten anser att undantagen från sökbegränsningarna bör utökas till att även omfatta uppgift om ställföreträdare för registervårdande åtgärder. Integritetsskyddsmyndigheten bedömer att det inte är förenligt med grundlagen att införa längre gående möjligheter att söka på känsliga personuppgifter genom förordning eller myndighetsföreskrifter än de som framgår av lagen. Sveriges advokatsamfund betonar att det krävs en integritetsanalys och en proportionalitetsbedömning med anledning av förslaget att sökningar alltid ska få utföras i syfte att få fram ett urval av personer grundat på sådana personuppgifter om hälsa som avser förmån eller ersättning. Sveriges advokatsamfund är också kritiskt till förslaget att ge regeringen möjlighet att delegera föreskriftsrätt till den myndighet som ska tillämpa reglerna. Kammarrätten i Stockholm föreslår av lagtekniska skäl att det andra och det tredje stycket i 12 § i lagförslaget byter plats och Polismyndigheten påpekar att begreppen "känsliga personuppgifter om hälsa" samt "personuppgifter om hälsa" blandas i 11 och 12 §§ i lagförslaget.
Skälen för regeringens förslag
En sökbegränsning som utgår från syftet
Möjligheterna att göra sökningar i socialförsäkringsdatabasen inskränks av flera olika sökbegränsningar. Känsliga personuppgifter eller uppgifter om lagöverträdelser får inte användas som sökbegrepp, och vid sökning som omfattar innehållet i fler än en handling som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp (114 kap. 27 § SFB). Begränsningarna gäller oavsett för vilket syfte som sökningen görs. I hemställan föreslås att de nuvarande sökbegränsningarna i 114 kap. SFB ska ändras på så sätt att sökförbudet ska utgå från syftet med sökningen i stället för från sökbegreppet. En sökbegränsning som utgår från syftet skulle, enligt hemställan, ge myndigheterna bättre förutsättningar att bedriva en ändamålsenlig verksamhet.
Försäkringskassan och Pensionsmyndigheten administrerar stora mängder individorienterade ärenden i sin handläggande verksamhet. Det för med sig behov av att kunna söka efter och sortera ärenden, baserat på bl.a. uppgifter om individer och de förmåner eller ersättningar ärendena gäller. Sådana uppgifter är, särskilt hos Försäkringskassan, ofta känsliga personuppgifter. Myndigheterna behöver också kunna utgå från uppgifter i ärenden för bl.a. prioritering, planering och uppföljning av vidtagna åtgärder. En ökad automatiseringsgrad inom handläggningen förutsätter att it-systemen kan läsa och strukturera informationen genom sökningar. Myndigheternas uppdrag att följa utvecklingen inom socialförsäkringen och ålderspensionssystemet samt utvärdera effekterna för individ och samhälle medför en omfattande behandling av personuppgifter och förutsätter att myndigheterna kan göra uppföljningar och analyser utifrån olika variabler, vilket i sin tur förutsätter användning av olika sökbegrepp. Det görs också omfattande uppföljningar och utvärderingar av verksamheten för interna behov, t.ex. kvalitetsuppföljningar. Även framställning av statistik kräver användning av olika sökbegrepp. I avsnitt 6.8.2 föreslås att myndigheterna ska få behandla personuppgifter för att vidta kontrollåtgärder. Användningen av modeller för urval bygger på analyser av i huvudsak förmånsrelaterade data där olika samband undersöks. Ett sådant analysarbete förutsätter sökningar. Även nyttjandet av modellerna kräver att olika s.k. indikatorer kan användas som sökbegrepp i syfte att identifiera de ärenden som behöver kontrolleras. I övrigt finns behov av att kunna göra sökningar i samband med bl.a. registervård och interna utredningar. Försäkringskassan och Pensionsmyndigheten har sammantaget ett omfattande behov av att kunna göra sökningar.
Det finns i EU:s dataskyddsförordning inget förbud mot att använda personuppgifter vid sökning, men vid behandling av känsliga personuppgifter krävs lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Regeringen har bedömt att en sökbegränsning är en sådan skyddsåtgärd som säkerställer den registrerades grundläggande rättigheter och intressen (prop. 2017/18:105 s. 90 och 91). En sökbegränsning utgör därför många gånger en förutsättning för att behandling av känsliga personuppgifter ska vara tillåten enligt EU:s dataskyddsförordning.
Vid utformningen av en sökbegränsning måste en avvägning göras mellan å ena sidan intresset av effektivitet i en myndighets verksamhet och å andra sidan risken för integritetsintrång. Regler om begränsning av tillåtna sökbegrepp bör därför ta sikte på sådana sökningar som typiskt sett medför särskilda integritetsrisker. I nyare lagstiftning har sökbegränsningar därför utformats på så sätt att de utgår från syftet med sökningen. Enligt dataskyddslagen och brottsdatalagen är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Motsvarande modell används i lagstiftning som tillkommit efter dataskyddslagen och brottsdatalagen (t.ex. 6 § kriminalvårdsdatalagen, 13 § kustbevakningsdatalagen, 17 kap. 7 § spellagen [2018:1138], 2 kap. 21 § vägtrafikdatalagen och 2 kap. 3 § och 3 kap. 4 § lagen [2020:421] om Rättsmedicinalverkets behandling av personuppgifter). Även i Försäkringskassans och Pensionsmyndighetens verksamheter bör det därför enligt regeringen, i stället för ett absolut sökförbud, införas ett förbud att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Den begränsning som avser möjligheten att söka i handlingar i socialförsäkringsdatabasen (nuvarande 114 kap. 27 § andra stycket SFB) bedöms kunna utmönstras ur dataskyddsregleringen. I avsnitt 6.9 och 6.10 görs bedömningen att bestämmelser om behandling av personuppgifter inte längre bör förhålla sig till inkomna och upprättade handlingar. Av motsvarande skäl bör inte heller bestämmelser om sökbegränsningar särskilt avse uppgifter i handlingar. Samma sökbegränsningar bör gälla oavsett hur de uppgifter som ingår i sökunderlaget behandlas och för vilket ändamål de behandlas. Det bör framhållas att en sökning bland personuppgifter i sig utgör en behandling som måste uppfylla gällande krav för behandling av personuppgifter.
Sökbegränsningen bör inte omfatta uppgifter om lagöverträdelser
Inte heller uppgifter om lagöverträdelser får enligt nuvarande reglering användas som sökbegrepp vid sökning i socialförsäkringsdatabasen (114 kap. 27 § första stycket SFB). Med uppgifter om lagöverträdelser avses uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (114 kap. 12 § SFB). I avsnitt 6.10 föreslås att nuvarande begränsningar av behandling av uppgifter om lagöverträdelser ska utmönstras ur dataskyddsregleringen. Av samma skäl som anges där bör inte heller sökbegränsningarna omfatta uppgifter om lagöverträdelser.
Undantag med hänsyn till verksamheternas behov
Som skyddsåtgärd måste en bestämmelse om sökbegränsningar utformas på ett sådant sätt att den enskildes personliga integritet beaktas. Syftet är dock inte att omöjliggöra sådana sökningar som behövs för att en myndighets verksamhet ska kunna fungera. Intresset av att skydda den enskilde måste därför vägas mot myndighetens intresse av att kunna utföra sitt uppdrag. Förbud att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter kan därför kompletteras med undantag som bedöms som berättigade utifrån den enskilda verksamhetens behov (jfr 6 § andra stycket kriminalvårdsdatalagen, 13 § andra stycket kustbevakningsdatalagen och 2 kap. 4 § respektive 3 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter).
Av hemställan framgår att det i Försäkringskassans och Pensionsmyndighetens verksamheter finns behov av att kunna utföra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om förmån eller ersättning. Det handlar t.ex. om behov av att ta fram uppgifter om personer som beviljats en sjukförsäkringsförmån under en viss period eller under vissa förutsättningar. Behovet finns inom stora delar av verksamheten - för planering, handläggning, kontroll, uppföljning, utvärdering och statistikframställning. Det är rimligt att myndigheterna för de primära ändamålen kan söka i och strukturera sin information utifrån de förmånsslag respektive ersättningar de administrerar. Eftersom den omständigheten att någon har ansökt om, beviljats eller fått avslag på en ansökan om vissa sjukförsäkringsförmåner kan avslöja något om personens tidigare, nuvarande eller framtida hälsotillstånd, kan sådana uppgifter, framför allt i Försäkringskassans verksamhet, utgöra känsliga personuppgifter om hälsa. För att en sökning på förmån eller ersättning ska vara tillåten, krävs därför att det görs ett undantag från huvudregeln att det inte är tillåtet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Undantaget bör utformas så att det är tillåtet att utföra sökningar i syfte att få fram ett urval av personer grundat på sådana känsliga personuppgifter om hälsa som avser förmån eller ersättning. Eftersom behovet av sådana sökningar finns i myndigheternas interna verksamheter, ska detta gälla under förutsättning att sökningen sker för något av de primära ändamålen.
Som Försäkringskassan framhåller har myndigheten i vissa fall också behov av att kunna använda mer specifika uppgifter om hälsa, t.ex. diagnoser eller funktionsnedsättningar, som urvalskriterium vid sammanställningar. I dag ger 6 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration stöd för detta. I hemställan föreslås att denna bestämmelse ska gälla oavsett förmån och därmed även för Pensionsmyndigheten. Remissinstanserna lämnar inga synpunkter på det förslaget.
För att det ska bli tydligt i vilken omfattning sökningar får utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter, anser regeringen i enlighet med Integritetsskyddsmyndigheten att sökbegränsningen i sin helhet bör framgå av lag. Det bedöms lämpligt att bestämmelsen, som föreslås i hemställan, ska gälla oavsett förmån.
För att det ska vara möjligt att automatisera vissa åtgärder i handläggningen, t.ex. vissa schabloniserade bedömningar och urval av försäkrade som är lämpliga för vissa rehabiliteringsinsatser, kan det vara nödvändigt att göra sökningar med bl.a. uppgift om diagnos eller funktionsnedsättning som urvalskriterium. När sökningarna görs som ett led i handläggningen utgör de en ofrånkomlig del av en digitaliserad verksamhet. Om vissa moment i handläggningen inte kan genomföras digitalt, kommer det att påverka automatiseringsgraden negativt. Det finns därför skäl att tillåta sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa under förutsättning att urvalet ska användas för att vidta åtgärder i handläggningen.
Det kan också finnas behov av att använda uppgifter om diagnos och funktionsnedsättning för urval vid ärendefördelning och övrig planering av handläggningen. Det bör exempelvis vara möjligt att tillvarata de produktivitets- och kvalitetsvinster som kan uppnås genom en ärendefördelning som baseras på medarbetarnas kompetens inom ett visst diagnosområde. Myndigheterna bör därför, i syfte att planera handläggningen, tillåtas utföra sökningar för att få fram ett urval av ärenden grundat på känsliga personuppgifter om hälsa. Även vid uppföljning och utvärdering av den handläggande verksamheten kan sammanställningar behöva göras baserat på uppgifter om bl.a. diagnos och funktionsnedsättning. Det kan t.ex. handla om att undersöka omfattningen eller hanteringen av ärenden som berör sjukskrivning för en viss diagnos eller funktionsnedsättning. Sådan uppföljning och utvärdering ligger i linje med myndigheternas uppdrag och får anses berättigad med hänsyn till verksamhetens behov.
Som konstateras i avsnitt 6.9 finns det för ändamålet att vidta kontrollåtgärder behov av att behandla känsliga personuppgifter om hälsa, bl.a. uppgifter om nedsatt arbetsförmåga, om vårdmottagningar där den enskilde sökt vård, utförda behandlingsåtgärder när det handlar om tandvårdsersättning och ersättningsperioder. Uppgifterna behöver i enlighet med vad som framgår av avsnitt 6.8.2 behandlas vid bl.a. dataanalyser och urval, vilket i sin tur förutsätter sökningar. Sådan behandling har i avsnitt 6.8.2 bedömts proportionerlig. Känsliga personuppgifter bör därför också få läggas till grund för urval som ska användas för att vidta kontrollåtgärder.
Det följer av 6 § förordningen om behandling av personuppgifter inom socialförsäkringens administration att det under vissa förutsättningar är tillåtet att ta fram ett urval av personer grundat på känsliga personuppgifter om hälsa när urvalet ska användas för att vidta åtgärder i handläggningen, planera, följa upp eller utvärdera handläggningen.
Sammantaget bedömer regeringen att Försäkringskassan och Pensionsmyndigheten bör få behandla personuppgifter som rör hälsa i syfte att få fram ett urval av personer om uppgiften avser förmån eller ersättning eller om urvalet ska användas för att vidta åtgärder i handläggningen, för att planera, följa upp eller utvärdera handläggningen eller för att vidta kontrollåtgärder. Sådana urval bör endast få göras i myndigheternas interna verksamhet, vilket följer av det nära sambandet med ändamålen i den föreslagna 8 §.
I och med att det införs ett undantag till huvudregeln om att sökningar inte får utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter, saknas det behov av en upplysningsbestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om undantag (jfr 114 kap. 28 § SFB). Därmed avgränsas också möjligheten att göra sökningar i strid med huvudregeln, vilket skapar tydligare ramar för proportionalitetsbedömningen av den personuppgiftsbehandling som möjliggörs med stöd av det nya 114 kap. SFB. Myndigheterna ges inte heller möjlighet att själva föreskriva om utvidgade sökmöjligheter på det sätt som Sveriges advokatsamfund är kritiskt mot.
Omformuleringen av den föreslagna bestämmelsen i förhållande till förslaget i utkastet till lagrådsremiss tillgodoser synpunkterna från Kammarrätten i Stockholm och Polismyndigheten. I och med att regleringen ändras till att fokusera på sökresultatet i stället för sökbegreppet, blir regleringen i 114 kap. 27 § tredje stycket SFB överflödig och bör därför inte få någon motsvarighet i nya 114 kap. SFB.
Förhållandet mellan sökbegränsningen och offentlighetsprincipen
Bestämmelser om sökbegränsningar påverkar i vilken utsträckning myndigheterna kan sammanställa s.k. potentiella handlingar vid begäran om att få ta del av allmän handling. Den föreslagna sökbegränsningen aktualiserar, i likhet med vad Kammarrätten i Stockholm anför, begränsningsregeln i 2 kap. 7 § tryckfrihetsförordningen. Begränsningsregeln ger uttryck för den s.k. likställighetsprincip som innebär att allmänheten ska ha tillgång till datalagrad information i samma utsträckning som den är tillgänglig för myndigheten (prop. 2001/02:70 s. 16 och 17). En sammanställning som innehåller personuppgifter bör alltså ses som en allmän handling endast om myndigheten, med beaktande av sökbegränsningen, får ta fram den för ett internt syfte i sin egen verksamhet.
En förändrad sökbegränsning bedöms inte påverka behandlingens proportionalitet
Integritetsskyddsmyndigheten efterfrågar en redogörelse för de integritetsrisker förslaget aktualiserar. Nu gällande sökbegränsning i 114 kap. SFB förhindrar all användning av känsliga personuppgifter som sökbegrepp och är därmed mer långtgående än en sökbegränsning som förhåller sig till syftet med sökningen. En omformulering av sökbegränsningen och tillägg av undantag kan därför förväntas leda till en något utökad behandling av känsliga personuppgifter. Sökbegränsningen kommer exempelvis inte att förhindra sökningar som görs för andra ändamål än att identifiera ett urval av individer, t.ex. i syfte att utöva tillsyn eller för att vidta registervårdsåtgärder (prop. 2017/18:105 s. 91). Pensionsmyndigheten kommer alltså, i enlighet med det behov myndigheten påtalar, att kunna söka på uppgift om ställföreträdare i syfte att utföra registervård även utan att ett särskilt undantag om detta införs i lagen. Det kommer också att vara tillåtet att göra sökningar som avser en enda person, eftersom sökresultatet då inte kommer att utvisa något urval av personer. De undantag som föreslås utökar också möjligheterna att söka på känsliga personuppgifter. De sökningar som möjliggörs medför dock inte de särskilda integritetsrisker som sökbegränsningen avser att förhindra. Avsikten med en sökbegränsning är primärt inte att generellt förbjuda behandling av känsliga personuppgifter utan att förhindra sammanställning av integritetskänsliga sökresultat.
För en proportionerlig behandling av känsliga personuppgifter krävs skyddsåtgärder (artikel 9.2 g i EU:s dataskyddsförordning). Sökbegränsningar utgör en skyddsåtgärd. En förändring av sökbegränsningen kan därför, som Integritetsskyddsmyndigheten påpekar, påverka det sammantagna skyddet för de personuppgifter som behandlas. Vid sådana sökningar som sökförbudet primärt är avsett att förhindra medför en bestämmelse som förbjuder sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter emellertid inte större möjligheter att använda känsliga personuppgifter som sökbegrepp än vad som är fallet vid ett absolut sökförbud (prop. 2017/18:105 s. 91). Även om en bestämmelse som utgår från syftet med den enskilda sökningen kan bli mindre förutsägbar för den enskilde än ett förbud att använda vissa sökbegrepp, tas samtidigt möjligheten för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om undantag bort (jfr nuvarande 114 kap. 28 § SFB). Regleringen i sin helhet kommer alltså att återfinnas i bestämmelsen vilket bör bli tydligare för den enskilde.
Bestämmelser som anger under vilka förutsättningar känsliga personuppgifter får behandlas gäller vid sökningar. Även övriga skyddsåtgärder gäller vid sökningar. Skyddet för de enskilda tillgodoses alltså också genom de generella begränsningar som gäller för all behandling av känsliga personuppgifter och andra personuppgifter. I avsnitt 6.6 görs bedömningen att skyddsåtgärder i 114 kap. SFB bör omfatta all behandling enligt kapitlet. Sökbegränsningarna bör i enlighet med denna bedömning omfatta alla sökningar inom tillämpningsområdet för 114 kap. SFB, vilket innebär att skyddsåtgärden får ett vidgat tillämpningsområde i förhållande till vad som gäller enligt nuvarande reglering. I fråga om uppgifter om lagöverträdelser bedöms sådan behandling vara proportionerlig utan särskilda begränsningar (avsnitt 6.10). Sammantaget bedöms den förändrade utformningen av sökbegränsningen inte påverka behandlingens proportionalitet. Regeringen bedömer, till skillnad från Sveriges advokatsamfund, att det saknas behov av ytterligare kartläggning av integritetsrisker och proportionalitetsbedömning.
Lagförslag
Förslaget innebär att en ny paragraf, 114 kap. 12 §, införs som delvis motsvarar nuvarande 114 kap. 27 och 28 §§ SFB. Paragrafen motsvarar också delvis nuvarande 6 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration.
6.13 Begränsning och uppföljning av tillgången till personuppgifter
Regeringens förslag: Tillgången till personuppgifter inom tillämpningsområdet för 114 kap. socialförsäkringsbalken ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Hemställans förslag överensstämmer i huvudsak med regeringens förslag. I hemställan föreslås att åtkomsten till personuppgifter ska kontrolleras på ett ändamålsenligt sätt.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten framhåller att det är viktigt att analysera behandlingens proportionalitet om flera skyddsåtgärder tas bort och att en sådan bedömning inte presenteras på ett tydligt sätt i hemställan.
Förslaget i utkastet till lagrådsremiss överensstämmer delvis med regeringens förslag. I utkastet föreslås inget krav på att åtkomsten till personuppgifter ska kontrolleras och följas upp.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten anser att det bör övervägas om det bör införas ett krav på att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Sveriges advokatsamfund anser att utkastet till lagrådsremiss i för liten utsträckning uppmärksammar frågor om behörighetsbegränsning, behörighetskontroll och loggning av de åtgärder som personalen hos myndigheterna vidtar med personuppgifterna.
Skälen för regeringens förslag
Begränsning av tillgången till personuppgifter
Personuppgiftsansvariga är enligt EU:s dataskyddsförordning skyldiga att vidta tekniska eller organisatoriska åtgärder för att säkerställa lämplig säkerhet för personuppgifterna, inbegripet bl.a. skydd mot obehörig eller otillåten behandling (artiklarna 5.1 f, 24, 25 och 32). Det följer således av EU:s dataskyddsförordning att personuppgiftsansvariga är skyldiga att på olika sätt begränsa tillgången till personuppgifter. Mer specifika krav på att vidta åtgärder kan fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning utan att den personuppgiftsansvariges egna ansvar för att vidta lämpliga åtgärder för den skull upphör (prop. 2017/18:171 s. 138). Enligt nuvarande reglering ska behörighet för åtkomst till socialförsäkringsdatabasen begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter (114 kap. 17 § andra stycket SFB). Motsvarande gäller vid direktåtkomst till personuppgifter hos Migrationsverket. Direktåtkomst till socialförsäkringsdatabasen ska vara förbehållen de personkategorier som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna (19 § andra meningen). Det finns också ett formkrav vid tilldelning av behörighet för åtkomst till socialförsäkringsdatabasen. Sådan behörighet ska tilldelas genom en särskild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer (17 § första stycket). I hemställan görs bedömningen att det bör vara tillräckligt att i fråga om behörighetstilldelning reglera krav på att tillgången till personuppgifter inom tillämpningsområdet för 114 kap. ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Vid tillkomsten av nuvarande bestämmelse i 114 kap. 17 § SFB bedömdes det finnas ett behov av att styra behörighetstilldelningen på ett sådant sätt att det otvetydigt kan konstateras dels vilken behörighet som tilldelats en person, dels att denne faktiskt tagit del av och förstått innebörden av beslutet om tilldelning av behörighet och de däri angivna ramarna för behörigheten (prop. 2002/03:135 s. 86). Sedan dess har digitaliseringen gett upphov till mer utvecklade behörighetssystem. Redan av kravet på att åtkomsten ska begränsas till vad den enskilda medarbetaren behöver för att fullgöra sina arbetsuppgifter följer indirekt att myndigheterna måste upprätta ett system för fördelning av behörigheter. Ett sådant system måste, för att det ska fylla sitt syfte, innehålla en funktionalitet som identifierar både vem som har en viss behörighet och vad behörigheten omfattar. Den personuppgiftsansvarige är också skyldig att se till att medarbetarna har kännedom om vad som gäller i fråga om behandling av personuppgifter (artiklarna 29 och 32.4 i EU:s dataskyddsförordning). Sammantaget innebär detta att det inte längre bedöms finnas behov av att reglera särskilda formkrav vid behörighetstilldelning i lag.
Tillgången till personuppgifter bör även fortsättningsvis grunda sig på vad som behövs för att den enskilda medarbetaren ska kunna fullgöra sina arbetsuppgifter. Det krävs således att myndigheterna aktivt tar ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och att nödvändig behörighet tilldelas utifrån det. Nuvarande bestämmelser om behörighetsbegränsning gäller endast socialförsäkringsdatabasen men bör, som konstateras i avsnitt 6.6, gälla för all behandling av personuppgifter som sker inom kapitlets tillämpningsområde. Tillgången till personuppgifter inom tillämpningsområdet för 114 kap. SFB bör därför begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Motsvarande bestämmelse finns i 2 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 7 § kriminalvårdsdatalagen. Kravet bör gälla även när personuppgifter inhämtas via eventuell direktåtkomst hos externa parter för behandling med stöd av ändamålen enligt 114 kap. SFB.
Som Integritetsskyddsmyndigheten framhåller kan en förändrad skyddsåtgärd påverka behandlingens proportionalitet. Den föreslagna omformuleringen av bestämmelsen bedöms dock inte minska bestämmelsens sammantagna skyddsvärde. Bestämmelsen bedöms få samma effekt och kommer dessutom att gälla inom ett vidgat tillämpningsområde. Den föreslagna ändringen bedöms därmed inte få en negativ påverkan på behandlingens proportionalitet. Regeringen bedömer därmed att frågan om behörighetsbegränsning som Sveriges advokatsamfund lyfter inte ytterligare behöver uppmärksammas.
Uppföljning av tillgången till personuppgifter
Enligt Integritetsskyddsmyndigheten bör det övervägas om det ska införas ett krav på att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Sveriges advokatsamfund anser att frågor om behörighetskontroll och loggning av de åtgärder som personalen vidtar med personuppgifterna bör uppmärksammas. I hemställan föreslås att det ska införas ett krav på att åtkomsten till personuppgifter ska kontrolleras på ett ändamålsenligt sätt. Remissinstanserna har inga synpunkter på det förslaget.
Den personuppgiftsansvarige ska enligt artikel 24 och 32 i EU:s dataskyddsförordning bl.a. säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Myndigheter ska dessutom enligt myndighetsförordningen löpande följa upp sina verksamheter i syfte att se till att de bedrivs effektivt och lagenligt. Det kan därför hävdas att en skyldighet att regelbundet kontrollera och följa upp åtkomsten av personuppgifter redan följer av befintlig reglering. Med hänsyn till den stora mängd personuppgifter som Försäkringskassan och Pensionsmyndigheten hanterar anser regeringen att det i enlighet med Integritetsskyddsmyndighetens förslag, ändå uttryckligen i lagen bör anges att åtkomsten till personuppgifter regelbundet ska kontrolleras och följas upp. Liknande regleringar finns i andra registerförfattningar, t.ex. 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten och 1 kap. 9 § andra stycket studiestödsdatalagen. Det bör vara upp till myndigheterna att närmare bestämma formerna för kontrollen och uppföljningen men den kan exempelvis ske genom uppföljning av loggar. Kontroll och uppföljning bör genomföras regelbundet, dvs. systematiskt och återkommande, och inte endast om myndigheterna av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit.
Lagförslag
Förslaget innebär att en ny paragraf, 114 kap. 13 §, införs som delvis motsvarar nuvarande 114 kap. 17 § andra stycket och 19 § andra meningen SFB.
6.14 Direktåtkomst
6.14.1 Direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten
Regeringens förslag: Direktåtkomst till personuppgifter i verksamhet inom tillämpningsområdet för 114 kap. socialförsäkringsbalken ska vara tillåten endast i den utsträckning som anges i lag eller förordning.
Det ska upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vem som får medges direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten och vilka uppgifter som då får omfattas av direktåtkomsten.
Hemställans förslag överensstämmer delvis med regeringens förslag. I hemställan föreslås det inte någon upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om direktåtkomst.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten efterfrågar en fullständig integritetsanalys som belyser de risker för den personliga integriteten som förslaget ger upphov till.
Förslaget i utkastet till lagrådsremiss överensstämmer i huvudsak med regeringens förslag. I utkastet till lagrådsremiss föreslås en upplysningsbestämmelse om att regeringen kan meddela föreskrifter om direktåtkomst till personuppgifter för en förvaltningsmyndighet.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Försäkringskassan och Pensionsmyndigheten framhåller behov av direktåtkomst till varandras personuppgifter och att de bör ges möjlighet att meddela föreskrifter om direktåtkomsten. I anslutning till detta framför båda myndigheterna att det finns behov av en sekretessbrytande bestämmelse. Försäkringskassan och Pensionsmyndigheten hänvisar till hemställan och vidhåller att förmyndare, förvaltare, god man och ombud för en registrerad bör ges samma direktåtkomst som den registrerade själv. Enligt Försäkringskassan är det därutöver angeläget att Försäkringskassans statistikverksamhet får ha direktåtkomst till personuppgifter i Försäkringskassans kärnverksamhet. Pensionsmyndigheten anser att det uttryckligen av lag bör framgå vilka som kan ges direktåtkomst.
Sveriges advokatsamfund anser att utlämnande av personuppgifter aldrig bör ske genom direktåtkomst. Myndigheten för digital förvaltning för fram att det inte bör regleras hur åtkomst till uppgifter ska ges.
Skälen för regeringens förslag: Direktåtkomst till socialförsäkringsdatabasen är i dag tillåten endast i den utsträckning som anges i lag eller förordning (114 kap. 18 § SFB). Direktåtkomst anses särskilt känslig ur integritetssynpunkt eftersom uppgifter som görs tillgängliga för direktåtkomst anses förvarade hos den mottagande myndigheten (2 kap. 6 § första stycket tryckfrihetsförordningen). Det finns också en risk för att den mottagande myndigheten tar del av överskottsinformation. Den utlämnande myndigheten saknar möjlighet att påverka hur den mottagande myndigheten använder direktåtkomsten. Genom krav på särskild reglering i lag eller förordning, begränsas Försäkringskassans och Pensionsmyndighetens möjligheter att lämna ut uppgifter med direktåtkomst.
Myndigheten för digital förvaltning för fram att det inte bör regleras hur åtkomst till uppgifter ska ges medan Sveriges advokatsamfund anser att utlämnande av personuppgifter aldrig bör ske genom direktåtkomst. Regeringen anser att direktåtkomst som huvudregel bör undvikas av integritetsskäl men att det inte kan uteslutas att viss direktåtkomst ändå kan vara motiverad. Motsvarande krav på särskild reglering i lag eller förordning som gäller enligt nuvarande reglering bör därför införas i det nya 114 kap. SFB. Bestämmelsen utgör en skyddsåtgärd och medför därmed inga sådana integritetsrisker som Integritetsskyddsmyndigheten efterfrågar en redogörelse för.
I avsnitt 6.6 föreslås att uttrycket socialförsäkringsdatabasen ska utmönstras ur dataskyddsregleringen. Kravet på särskild reglering i lag eller förordning bör därför i stället avse direktåtkomst till sådana personuppgifter hos Försäkringskassan och Pensionsmyndigheten som omfattas av tillämpningsområdet för 114 kap. SFB.
Försäkringskassan och Pensionsmyndigheten framhåller att det finns visst behov av direktåtkomst till personuppgifter hos myndigheterna. Regeringen kan med stöd av sin restkompetens meddela föreskrifter om vem som får medges direktåtkomst och vilka uppgifter som får omfattas av direktåtkomsten. Eventuellt behov av direktåtkomst samt därtill nödvändiga sekretessbrytande bestämmelser kan således tillgodoses genom bestämmelser i förordning. Direktåtkomst kan medges bl.a. fysiska personer i enlighet med de behov som Försäkringskassan och Pensionsmyndigheten pekar på.
Bestämmelsen i lag bör på vanligt sätt utformas så att den upplyser om hur normgivningsmakten enligt regeringsformen är fördelad på restkompetensens område (8 kap. 7 och 11 §§ RF). Eftersom direktåtkomst bör användas restriktivt är dock avsikten från regeringens sida att normgivningsmakt inte ska delegeras till en förvaltningsmyndighet när det gäller föreskrifter om direktåtkomst.
Lagförslag
Förslaget innebär att en ny paragraf, 114 kap. 14 §, införs som delvis motsvarar nuvarande 114 kap. 18 § SFB.
6.14.2 Centrala studiestödsnämnden, arbetslöshetskassorna och socialnämnderna bör inte medges direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten
Regeringens bedömning: Centrala studiestödsnämnden, arbetslöshetskassorna och socialnämnderna har inte något behov av direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten.
Hemställans förslag överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Inspektionen för arbetslöshetsförsäkringen (IAF) avstyrker förslaget att ta bort arbetslöshetskassornas möjlighet till direktåtkomst och framhåller att det inte går att utesluta att frågeställningar om vad som är direktåtkomst respektive utlämnande på elektroniskt medium aktualiseras på nytt i samband med framtida systemutvecklingar. Direktåtkomst kan enligt IAF vara en förutsättning för mer utvecklade kontroller och i vart fall bör möjligheten till direktåtkomst behållas tills det är klarlagt vilka behov en ny arbetslöshetsförsäkring för med sig. Sveriges Kommuner och Regioner (SKR) konstaterar att personuppgifter i och för sig lämnas till kommuner på medium för automatiserad behandling i dagsläget men att det, för att framtidssäkra informationsutbyten, behövs en teknikneutral lagstiftning som fokuserar på sekretess och dataskydd oavsett teknik. SKR är därför av åsikten att kombinationen av direktåtkomst och automatiserad behandling behövs och att ett borttagande av möjlighet till direktåtkomst blir hämmande för den digitala utvecklingen. Filipstads kommun, Luleå kommun och Vänersborgs kommun instämmer i de synpunkter som SKR lämnar. Även Arbetsförmedlingen ser behov av en teknikneutral lagstiftning och anser att en kombination av direktåtkomst och automatiserad behandling behövs till dess en samlad översyn och ändring görs av myndigheters registerförfattningar i denna del. Förvaltningsrätten i Malmö anser att det är tveksamt att låta bestämmelserna om direktåtkomst ändras med hänsyn främst till hur myndigheterna för närvarande valt att arbeta. Integritetsskyddsmyndigheten efterfrågar en fullständig integritetsanalys som belyser de risker för den personliga integriteten som förslaget ger upphov till.
Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen, bl.a. Sveriges Kommuner och Regioner (SKR) och Centrala studiestödsnämnden, eller har inget att invända mot den. Sveriges advokatsamfund instämmer i bedömningen och anser att det ger ett bättre skydd för de registrerades integritet. Inspektionen för arbetslöshetsförsäkringen (IAF) motsätter sig att arbetslöshetskassornas möjlighet till direktåtkomst tas bort och påpekar att de faktiska omständigheter som enligt gällande praxis skiljer en direktåtkomst från ett utlämnade på elektroniskt medium i en fråga-svar-tjänst är små. Arbetslöshetskassornas fortsatta direktåtkomst till uppgifter hos Försäkringskassan kan enligt IAF vara en förutsättning för den fortsatta utvecklingen av kontroller med syfte att stävja felaktiga utbetalningar och fusk inom arbetslöshetsförsäkringen. Enköpings kommun, Göteborgs stad, Vänersborgs kommun och Umeå kommun befarar att ett borttagande av möjligheten till direktåtkomst blir hämmande för den digitala utvecklingen.
Skälen för regeringens bedömning
Centrala studiestödsnämnden och arbetslöshetskassorna
Centrala studiestödsnämnden och arbetslöshetskassorna får enligt nuvarande reglering ha direktåtkomst till socialförsäkringsdatabasen för att få information som behövs som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda (114 kap. 8 § 1 och 21 § SFB). Möjligheten till direktåtkomst infördes den 1 juli 2002 i syfte att ge myndigheterna möjlighet att på ett enkelt och tidseffektivt sätt kontrollera utbetalningar av statliga medel. Dåvarande överföringar på medium för automatiserad behandling skedde genom s.k. batchkörningar som hade en tidsfördröjning på ett dygn. Det innebar att de uppgifter som inhämtades från en annan myndighet var minst en dag gamla när handläggaren fattade beslut med stöd av dem. För att utforma effektiva rutiner för kontroll av lämnade uppgifter i pågående ärenden krävdes ett informationsutbyte som inte hade den tidsfördröjning som överföringarna på medium för automatiserad behandling medförde. Det bedömdes därför nödvändigt med direktåtkomst (prop. 2000/01:129 s. 75-77).
Socialnämnderna
En socialnämnd får sedan den 1 januari 2009 ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för att få information som behövs som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. socialtjänstlagen (2001:453) åt enskild i den verksamhet som bedrivs av socialnämnderna (114 kap. 8 § 4 och 22 § SFB). Det elektroniska informationsutbytet mellan olika socialnämnder och Försäkringskassan hade hittills skett på medium för automatiserad behandling och fungerade på så sätt att den aktuella kommunen skickade en frågefil till Försäkringskassan. Försäkringskassan återsände därefter en svarsfil med de uppgifter som den aktuella kommunen hade efterfrågat. Fråge- och svarsfiler överfördes via internet, och Försäkringskassan gjorde svarsfilen tillgänglig för hämtning dagen efter det att förfrågan hade gjorts hos Försäkringskassan. Det elektroniska informationsutbytet ansågs fungera bra men bedömdes kunna fungera ännu bättre med direktåtkomst. Det konstaterades att det skulle bidra till en snabbare och mer effektiv handläggning samt till att handläggarna ständigt skulle ha tillgång till aktuella uppgifter. Ett genomförande av förslaget bedömdes också ge en besparing hos Försäkringskassan motsvarande ca fem årsarbetskrafter (prop. 2007/08:160 s. 153-156).
Direktåtkomst endast när det inte finns andra fullgoda alternativ
Det finns starka skäl att vara återhållsam med att tillåta myndigheter och andra utanför socialförsäkringens administration att ha direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten. Regeringen har i tidigare förarbeten ansett att man i första hand bör överväga andra alternativ än direktåtkomst om det är nödvändigt att lämna ut uppgifter. Bedömningen av om direktåtkomst ska medges eller inte ska utmynna i en avvägning mellan behovet av effektivitet i olika samhällsfunktioner och enskildas behov av starkt integritetsskydd. Om direktåtkomst medges är det väsentligt att den endast avser sådana uppgifter där det är av stor betydelse att utlämnandet sker genom direktåtkomst. Mottagarens legitima uppgiftsbehov i övrigt bör tillgodoses på annat sätt (prop. 2002/03:135 s. 92).
Av hemställan och remissvaren på denna framgår att Centrala studiestödsnämnden och arbetslöshetskassorna hämtar uppgifter från Försäkringskassan via webbtjänsten LEFI Online (LEFI står för leverans av förmånsinformation), ett förfarande som enligt Högsta förvaltningsdomstolen (HFD) inte är att betrakta som direktåtkomst. HFD har i ett avgörande (HFD 2015 ref. 61) bedömt att innebörden av begreppet direktåtkomst i socialförsäkringsbalken ska bestämmas med utgångspunkt i bestämmelserna i 2 kap. 6 § första stycket tryckfrihetsförordningen. Eftersom ett utlämnande genom LEFI Online förutsätter att Försäkringskassan reagerar på en begäran om att de efterfrågade uppgifterna ska lämnas ut, får Försäkringskassan anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut. Det kan därmed inte anses vara fråga om sådan teknisk tillgång till upptagningar som avses i 2 kap. 6 § första stycket tryckfrihetsförordningen. Detta innebär enligt HFD att förfarandet inte är att betrakta som direktåtkomst enligt socialförsäkringsbalken.
Centrala studiestödsnämnden tillstyrker och Sveriges a-kassor har inget att invända mot att bestämmelsen som ger Försäkringskassan rätt att ge Centrala studiestödsnämnden och arbetslöshetskassorna direktåtkomst upphävs. IAF avstyrker dock förslaget att ta bort arbetslöshetskassornas möjlighet till direktåtkomst och framhåller att det inte går att utesluta att frågeställningar om vad som är direktåtkomst respektive utlämnande på elektroniskt medium aktualiseras på nytt i samband med framtida systemutvecklingar. Därutöver anför IAF att direktåtkomst kan vara en förutsättning för mer utvecklade kontroller och att möjligheten till direktåtkomst i vart fall bör behållas tills det är klarlagt vilka behov en ny arbetslöshetsförsäkring för med sig.
Socialnämnderna tar del av uppgifter från Försäkringskassan och Pensionsmyndigheten på medium för automatiserad behandling genom den webbaserade tjänsten SSBTEK (sammansatt bastjänst för ekonomiskt bistånd). Tjänsten levererar direkt svar från ett stort antal myndigheter, däribland Försäkringskassan och Pensionsmyndigheten, och skapar förutsättningar för en snabb och effektiv handläggning för socialnämnderna. SKR tillstyrker bedömningen att socialnämnderna inte ska ha rätt till direktåtkomst. Haninge kommun, Uppsala kommun, Vallentuna kommun och Region Gotland ser inget behov av direktåtkomst så länge behovet av informationsinhämtning kan tillgodoses på medium för automatiserad behandling. Enköpings kommun, Filipstads kommun, Göteborgs stad, Luleå kommun, Umeå kommun, Vänersborgs kommun och Arbetsförmedlingen bedömer dock att det, för att framtidssäkra informationsutbyten, behövs en kombination av direktåtkomst och automatiserad behandling.
Nuvarande bestämmelser om direktåtkomst infördes för att skapa förutsättningar för ett ändamålsenligt informationsutbyte. Vid den tidpunkten tillgodosåg inte utlämnanden på medium för automatiserad behandling myndigheternas behov av effektiv informationsförsörjning. Sedan dess har dock it-utvecklingen gått framåt och det är nu möjligt att ta fram elektroniska lösningar som på annat sätt än genom direktåtkomst tillgodoser myndigheternas behov av att snabbt kunna ta del av aktuella uppgifter från andra myndigheter. Högsta förvaltningsdomstolen har också i HFD 2015 ref. 61 gjort en gränsdragning mellan vad som är direktåtkomst och utlämnande på medium för automatiserad behandling (annat elektroniskt utlämnande). Avgörandet rörde begreppet direktåtkomst enligt socialförsäkringsbalken, men Högsta förvaltningsdomstolen har senare gett det generell tillämplighet (HFD 2020 not 16). Behovet av direktåtkomst har därmed förändrats.
Den tekniska utformningen av myndigheters system för utlämnande av uppgifter kan i och för sig bli avgörande för om utlämnandet ska anses som direktåtkomst eller som annat elektroniskt utlämnande. Befintliga it-lösningar tillgodoser dock de behov som finns i dag och som bestämmelserna om direktåtkomst avsett att tillgodose, även utan att direktåtkomst tillämpas. Det saknas alltså behov av direktåtkomst. Även ett eventuellt utökat behov av uppgifter eller behov av uppgifter för att utföra mer utvecklade kontroller bör kunna tillgodoses genom motsvarande informationsöverföring. I övrigt rör det sig om ett hypotetiskt behov som, med hänsyn till den återhållsamhet som bör prägla åtkomsten till uppgifter hos Försäkringskassan och Pensionsmyndigheten, inte kan anses motivera en bestämmelse om direktåtkomst. Det IAF, SKR, Arbetsförmedlingen och flera kommuner anför om att ett borttagande av möjlighet till direktåtkomst riskerar att bli hämmande för den digitala utvecklingen visar inte på att det i nuläget finns ett behov av direktåtkomst. Enligt regeringen kan ett hypotetiskt behov vid en proportionalitetsbedömning inte anses väga över intresset av skydd för den personliga integriteten.
Förvaltningsrätten i Malmö för fram att det är tveksamt att låta bestämmelserna om direktåtkomst ändras med hänsyn främst till hur myndigheterna för närvarande valt att arbeta. Regeringen anser att arbetssättet kan ha betydelse eftersom direktåtkomst bör tillåtas endast när det inte finns andra fullgoda alternativ som kan lösa behovet av informationsförsörjning. Tidigare har exempelvis en bestämmelse som gav Statens tjänstepensionsverk (SPV) och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner (KPA) möjlighet till direktåtkomst till socialförsäkringsdatabasen upphävts på grund av att SPV:s och KPA:s behov av uppgifter kunde tillgodoses genom särskilda it-tjänster som innebar utlämnande på medium för automatiserad behandling (prop. 2017/18:168 s. 25-27, bet. 2017/18:SfU25, rskr. 2017/18:330).
Integritetsskyddsmyndigheten efterfrågar en fullständig integritetsanalys som belyser de risker för den personliga integriteten som förslaget ger upphov till. Utlämnande genom direktåtkomst medför generellt sett större integritetsrisker än annat utlämnande eftersom den utlämnande myndigheten vid direktåtkomst saknar kontroll över vilka uppgifter som lämnas ut vid varje enskilt utlämnande. Direktåtkomst kan också orsaka problem med överskottsinformation. Minskad direktåtkomst bör därmed minska riskerna för den personliga integriteten.
Sammanfattningsvis får det anses utrett att Centrala studiestödsnämndens, arbetslöshetskassornas och socialnämndernas behov av personuppgifter från Försäkringskassan och Pensionsmyndigheten tillgodoses genom annat elektroniskt utlämnande än direktåtkomst. Centrala studiestödsnämnden, arbetslöshetskassorna och socialnämnderna saknar därmed i nuläget behov av direktåtkomst till sådana uppgifter, och sådan möjlighet bör därför inte införas i det nya 114 kap. SFB. Regeringen anser att det finns starka skäl att vara återhållsam med att tillåta myndigheter och andra utanför socialförsäkringens administration att ha direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten. Om ett behov av direktåtkomst ändå skulle uppstå i framtiden kan regeringen med stöd av restkompetensen meddela föreskrifter om att direktåtkomst ska vara tillåten och vilka uppgifter som då får omfattas.
6.15 Gallring
Regeringens förslag: Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de primära ändamålen.
Det ska upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Hemställans förslag överensstämmer inte med regeringens förslag. I hemställan föreslås att personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för det ändamål de behandlas för.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Försäkringskassan och Pensionsmyndigheten vidhåller den inställning som framförs i hemställan och föreslår att samma gallringsregel ska gälla oavsett för vilket ändamål personuppgifterna behandlas. Riksarkivet avstyrker förslaget och anser, i likhet med Skatteverket och Kammarrätten i Stockholm att arkivrättsliga bestämmelser inte ska blandas samman med bestämmelser om dataskydd.
Skälen för regeringens förslag: De personuppgifter som Försäkringskassan och Pensionsmyndigheten behandlar ska enligt nuvarande reglering gallras när de inte längre är nödvändiga för de primära ändamålen, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (114 kap. 31 § SFB). Bestämmelsen har införts av integritetsskäl (prop. 2002/03:135 s. 122).
Enligt artikel 5.1e i EU:s dataskyddsförordning får inte personuppgifter förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får dock lagras under en längre period i den mån uppgifterna enbart behandlas för arkivändamål av allmänt intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Utgångspunkten i arkivlagen (1990:782) är att allmänna handlingar ska bevaras men under vissa förutsättningar får gallras. Gallring innebär att de gallrade uppgifterna förstörs och inte kan återställas. Vid gallring ska det alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov (10 § arkivlagen). Medan utgångspunkten i EU:s dataskyddsförordning är att personuppgifter inte ska lagras längre än det behövs för ändamålet, är utgångspunkten i det arkivrättsliga regelverket att uppgifter ska bevaras. I fråga om allmänna handlingar har handlingsoffentligheten företräde framför EU:s dataskyddsförordning (1 kap. 7 § dataskyddslagen). Arkivlagens regler gäller så länge som det inte har införts särskilda bestämmelser om gallring i annan lag eller förordning eller föreskrifter som beslutats av Riksarkivet (10 § andra stycket arkivlagen).
Sedan EU:s dataskyddsförordning trädde i kraft har det skett en viss renodling av begreppsanvändningen i flera registerförfattningar med syftet att särskilja de arkivrättsliga reglerna från reglerna om dataskydd. Begreppen bevarande och gallring används då i den betydelse som de har i arkivlagstiftningen medan begreppen längsta tid för behandling och upphörande av behandling används när bestämmelserna tar sikte på skyddet för den personliga integriteten och ändamålen med behandlingen. Även om arkivrättsliga regler och regler om skydd för personuppgifter som utgångspunkt bör skiljas åt (jfr t.ex. prop. 2017/18:232 s. 164 och prop. 2020/21:124 s. 76) måste det beaktas att bestämmelser om gallring och bestämmelser om längsta tid för behandling av personuppgifter inte fyller samma funktion och därmed inte är helt utbytbara. Om nuvarande gallringsbestämmelse ersätts av en bestämmelse om längsta tid för behandling av personuppgifter, i enlighet med den åtskillnad mellan arkivrättsliga bestämmelser och dataskyddsreglering som Riksarkivet, Skatteverket och Kammarrätten i Stockholm förespråkar, kan det få följder ur både integritets- och verksamhetsperspektiv. En sådan förändring förutsätter därför en konsekvensanalys. Det görs inte någon sådan analys i hemställan eller i utkastet till lagrådsremiss. Det saknas således beredningsunderlag för ett sådant förslag. Regeringen bedömer därför att det nuvarande kravet på gallring bör behållas. Regeringen avser att följa frågan och återkomma till den vid behov.
Försäkringskassan och Pensionsmyndigheten framhåller, i likhet med vad som föreslås i hemställan, att gallringsbestämmelsen bör gälla för samtliga personuppgifter som, oavsett ändamål, behandlas inom kapitlets tillämpningsområde. En sådan utvidgning av bestämmelsens tillämpningsområde förutsätter också en konsekvensanalys. I avsaknad av en sådan analys bör det i det nya 114 kap. SFB införas en bestämmelse som motsvarar nuvarande bestämmelse om gallring.
Lagförslag
Förslaget innebär att en ny paragraf, 114 kap. 15 §, införs som motsvarar nuvarande 114 kap. 31 § SFB.
6.16 Avgifter och tystnadsplikt
Regeringens förslag: Försäkringskassan och Pensionsmyndigheten ska få ta ut avgifter för utlämnande av uppgifter och handlingar från sådan verksamhet som omfattas av tillämpningsområdet för 114 kap. socialförsäkringsbalken. Det ska upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om uttagandet av avgifter. Det ska också upplysas om att rätten att ta ut avgifter inte får innebära någon inskränkning i rätten att ta del av och mot fastställd avgift få en kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Den som, genom sin befattning med personuppgifter som har inhämtats från sådan verksamhet som omfattas av tillämpningsområdet för 114 kap. socialförsäkringsbalken till det för kommunerna och regionerna gemensamma organet för administration av personalpensioner, får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden ska inte obehörigen få röja dessa uppgifter.
Hemställans förslag överensstämmer i huvudsak med regeringens förslag. I hemställan föreslås dock att tystnadsplikten ska avse uppgifter som inhämtats från Försäkringskassan och Pensionsmyndigheten. I fråga om avgifter föreslås att det ska upplysas om en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning. I hemställan föreslås också att bestämmelserna om avgifter och tystnadsplikt ska placeras i ett nytt 114 a kap.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Förslaget i utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Skälen för regeringens förslag: Avgifter får enligt nuvarande reglering tas ut för utlämnande av uppgifter och handlingar från socialförsäkringsdatabasen (114 kap. 32 § SFB). Avsikten är att möjligheten att ta ut avgift ska omfatta uppgifter och handlingar som hanteras elektroniskt inom socialförsäkringens administration (prop. 2002/03:135 s. 123). Socialförsäkringens administration avser Försäkringskassans och Pensionsmyndighetens administration inom tillämpningsområdet för 114 kap. SFB (114 kap. 2 § SFB). Det bör även i fortsättningen finnas en möjlighet att ta ut avgift för vissa utlämnanden av uppgifter och handlingar. I stället för att avse utlämnanden från socialförsäkringsdatabasen bör dock möjligheten att ta ut avgift avse uppgifter och handlingar som lämnas ut från sådan verksamhet som omfattas av tillämpningsområdet för 114 kap. SFB. Lagrådet har i tidigare lagstiftningsarbete föreslagit att det ska framgå av lagtexten att rätten att ta ut avgifter inte får innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen (prop. 2002/03:135 s. 123 och 124). Detta bör framgå även av det nya 114 kap. SFB. Det bör också upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om uttagandet av avgifter (prop. 2008/09:200 s. 378, 379 och 585).
Den registrerade själv har enligt EU:s dataskyddsförordning rätt att utan kostnad få tillgång till de personuppgifter som behandlas om honom eller henne (artikel 12.5 och 15). I avsnitt 6.3 föreslås att 114 kap. SFB ska innehålla en upplysning om att bestämmelserna i kapitlet kompletterar EU:s dataskyddsförordning. En särskild upplysning om artiklarna 12.5 och 15 bedöms därmed inte behövas i det nya 114 kap. SFB.
I 114 kap. finns också en bestämmelse om att den som, genom sin befattning med personuppgifter som inhämtats från socialförsäkringsdatabasen till det för kommunerna och regionerna gemensamma organet för administration av personalpensioner (KPA Pension AB), får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden inte obehörigen får röja dessa uppgifter (114 kap. 35 § SFB). En sådan tystnadsplikt bör finnas även fortsättningsvis. Uppgifterna bedöms inte kunna utnyttjas utan att röjas. Tystnadsplikten behöver därmed inte omfatta förbud mot utnyttjande. De uppgifter som avses i nuvarande bestämmelse behandlas inom socialförsäkringens administration (prop. 2002/03:135 s. 126 och 127) och tystnadsplikten bör därför avse uppgifter som inhämtats från sådan verksamhet som omfattas av tillämpningsområdet för 114 kap. SFB.
Bestämmelserna om tystnadsplikt och avgifter anknyter till personuppgifter som behandlas inom tillämpningsområdet för 114 kap. SFB. Det saknas därför skäl att placera bestämmelserna i ett nytt 114 a kap.
Lagförslag
Förslaget innebär att två nya paragrafer införs, 114 kap. 16 § om avgifter, som delvis motsvarar nuvarande 114 kap. 32 § SFB och 114 kap. 17 § om tystnadsplikt, som delvis motsvarar nuvarande 114 kap. 35 § SFB.
6.17 Annat elektroniskt utlämnande än direktåtkomst
Regeringens bedömning: Det bör inte införas några bestämmelser om begränsningar av annat elektroniskt utlämnande än direktåtkomst i 114 kap. socialförsäkringsbalken.
Hemställans förslag överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten efterfrågar en redogörelse för de integritetsrisker som förslaget aktualiserar och påpekar att det är viktigt att analysera om behandlingen av personuppgifter är fortsatt proportionerlig om skyddsåtgärder tas bort. Kammarrätten i Stockholm påpekar att det inte redovisas några skäl för att upphäva bestämmelsen om utlämnande av personuppgifter som behövs för att möjliggöra kontroll av användningen av assistansersättning. Arbetsförmedlingen och Centrala studiestödsnämnden påpekar att även registerförfattningarna inom deras verksamhetsområden bör ses över.
Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den. Sveriges advokatsamfund framhåller att informationsutbyte måste ske i enlighet med de krav som följer av EU:s dataskyddsförordning.
Skälen för regeringens bedömning
Finns det behov av en begränsning av annat elektroniskt utlämnande än direktåtkomst?
Försäkringskassan och Pensionsmyndigheten behöver ofta lämna ut personuppgifter till andra myndigheter och enskilda. Det kan handla om att uppgifter begärs ut, t.ex. med stöd av en sådan uppgiftsskyldighet som avses i 10 kap. 28 § OSL, med stöd av 6 kap. 4 eller 5 § OSL eller som en allmän handling enligt tryckfrihetsförordningen. Uppgifter kan också behöva lämnas ut som en åtgärd för att fullgöra serviceskyldigheten enligt förvaltningslagen (prop. 2014/15:148 s. 41). Därutöver kan myndigheterna ha anledning att på eget initiativ lämna ut personuppgifter, t.ex. vid kommunicering med en enskild, för att lämna en underrättelse (lagen om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen), för att göra en anmälan (t.ex. 6 § bidragsbrottslagen och 14 kap. 1 § socialtjänstlagen) eller för att fråga efter eller begära sådana uppgifter som behövs för tillämpningen av socialförsäkringsbalken (110 kap. 14 och 31 §§ SFB). För att myndigheterna ska kunna ställa en fråga eller begära uppgifter om en individ, krävs det ibland att uppgifter som identifierar individen lämnas ut.
I 114 kap. SFB finns det särskilda bestämmelser för utlämnande av personuppgifter på medium för automatiserad behandling. Med "utlämnande på medium för automatiserad behandling" avses ett elektroniskt utlämnande av personuppgifter som inte sker genom direktåtkomst. Det handlar t.ex. om utlämnande via e-post eller sms, på USB-minne, genom webbtjänster, fråga-svar-tjänster och filöverföring (prop. 2002/03:135 s. 97 och prop. 2009/10:85 s. 169). I nyare registerförfattningar används i stället begreppet "annat elektroniskt utlämnande än direktåtkomst" eller "elektroniskt utlämnande". Till andra än den registrerade själv får sådant utlämnande bara ske om det behövs för något av de sekundära ändamål som anges i 114 kap. 8 och 9 §§ (114 kap. 24 § SFB). De sekundära ändamålen omfattar bl.a. uppgiftslämnande som följer av lag eller förordning (114 kap. 9 § 1 eller 2 SFB).
I hemställan lyfts fram att hänvisningen till bestämmelserna om sekundära ändamål medför att det oftast krävs en i lag eller förordning reglerad uppgiftsskyldighet eller en bestämmelse om att uppgifter får lämnas ut för att Försäkringskassan och Pensionsmyndigheten ska få lämna ut uppgifter på medium för automatiserad behandling. Det innebär att myndigheterna inte utan författningsstöd kan efterfråga uppgifter om en individ i en fråga-svar-tjänst. I stället måste en handläggare skicka vanlig brevpost, ringa eller skicka faxmeddelanden för att kunna få tillgång till de uppgifter som behövs. Myndigheterna kan inte heller utan uttryckligt författningsstöd skicka e-post med uppgifter om enskilda, även om meddelandet skyddas av kryptering och andra säkerhetsåtgärder. Enligt hemställan medför bestämmelsens utformning också att personuppgifter endast kan lämnas ut på medium för automatiserad behandling för ett sekundärt ändamål och inte, som egentligen ofta är fallet, som ett led i handläggningen av ett ärende.
De nu aktuella bestämmelserna i socialförsäkringsbalken (114 kap. 24 §) påverkar inte Försäkringskassans och Pensionsmyndighetens möjligheter att faktiskt lämna ut uppgifter. Möjligheterna att lämna ut uppgifter styrs av myndigheternas uppdrag, förvaltnings- och sekretessrättsliga bestämmelser och reglerade uppgiftsskyldigheter. Bestämmelserna bör därmed inte påverka omfattningen av de uppgifter som lämnas. I stället är det formen för utlämnande som begränsas. Frågan är om det fortfarande finns skäl att behålla denna begränsning.
Skälet till att det i 114 kap. SFB finns begränsningar av elektroniskt utlämnande av personuppgifter är att det, som Integritetsskyddsmyndigheten påpekar, kan medföra risker för den personliga integriteten. Framför allt handlar riskerna om mottagarens möjligheter att elektroniskt bearbeta informationen (prop. 2002/03:135 s. 97-100). I hemställan lyfts det fram att risken för otillbörliga integritetsintrång tidigare har ansetts vara större när mottagaren får elektroniska uppgifter som är lätta att bearbeta än när utlämnandet sker på papper. Uppgifterna kan samköras med information som hämtas från andra källor, och mottagaren kan bygga upp en egen databas. Hantering av elektroniska uppgifter medför också ökad risk för spridning av uppgifterna. Även själva överföringen av personuppgifter kan medföra risker, t.ex. att uppgifterna inte når rätt mottagare. I syfte att begränsa sådana risker utgör i dag de angivna sekundära ändamålen i 114 kap. SFB ramen för utlämnanden på medium för automatiserad behandling. De sekundära ändamålen bygger på specifika ställningstaganden i lag eller förordning om att viss information ska eller får lämnas ut och det kan förutsättas att integritetsaspekten har beaktats vid dessa ställningstaganden.
Det finns dock mycket som talar för att begränsningen av annat elektroniskt utlämnande än direktåtkomst inte längre är ändamålsenlig för Försäkringskassan och Pensionsmyndigheten. Det kan normalt inte anses olämpligt att lämna personuppgifter elektroniskt till en annan myndighet (se t.ex. prop. 2017/18:269 s. 136). Försäkringskassan och Pensionsmyndigheten kan redan i dag lämna ut personuppgifter elektroniskt till den registrerade och när det finns en reglerad skyldighet eller möjlighet att lämna ut personuppgifter (nuvarande 114 kap. 9 och 24 §§ SFB). Ur effektivitetssynpunkt är det viktigt att en myndighet har möjlighet att utnyttja automatiserade förfaranden i sin verksamhet. När uppgifter lämnas på papper eller muntligen kommer en mottagande myndighet ofta att vidta åtgärder för att överföra uppgifterna till elektronisk form igen. Skillnaden mellan uppgifter på papper och elektroniska uppgifter ska därför inte överdrivas. Med modern teknik kan text på papper förhållandevis enkelt omvandlas till elektroniska uppgifter.
Ett utlämnande får, oavsett form, bara ske om det inte hindras av sekretess. De nu aktuella uppgifterna omfattas i första hand av bestämmelserna om sekretess i 28 kap. 1 § OSL. Därutöver gäller bl.a. 21 kap. 7 § OSL, som föreskriver att sekretess gäller för personuppgift om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med bl.a. EU:s dataskyddsförordning eller dataskyddslagen. När ett utlämnande sker med stöd av bestämmelser som uttryckligen påbjuder eller tillåter utlämnande, har det redan vid tillkomsten av en sådan bestämmelse gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av skydd för den personliga integriteten. Denna avvägning har lett fram till att uppgiften som huvudregel ska eller får lämnas ut. Ett utlämnande av personuppgifter sker alltså alltid, oavsett form för utlämnande, efter en avvägning mellan intresset av att uppgiften lämnas ut och skyddet för den personliga integriteten. Detta gäller oavsett om uppgifterna lämnas till en annan myndighet eller till en enskild.
Andra myndigheter än Försäkringskassan och Pensionsmyndigheten begränsas inte av motsvarande bestämmelser om annat elektroniskt utlämnande än direktåtkomst. Skatteverket och Kronofogdemyndigheten får t.ex. enligt lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet respektive lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet lämna ut personuppgifter på medium för automatiserad behandling till andra myndigheter utan särskilda begränsningar. För ett motsvarande utlämnande till enskilda krävs dock att det är särskilt föreskrivet. I andra regelverk finns bestämmelser om att personuppgifter får lämnas ut på medium för automatiserad behandling under förutsättning att det inte är olämpligt. Så är t.ex. fallet enligt domstolsdatalagen, lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, kustbevakningsdatalagen och lagen om Rättsmedicinalverkets behandling av personuppgifter. Det finns också regelverk som inte innehåller några begränsningar alls när det gäller utlämnande av personuppgifter på medium för automatiserad behandling, t.ex. lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, apoteksdatalagen (2009:367), utlänningsdatalagen, lagen (2018:1212) om nationell läkemedelslista och vägtrafikdatalagen. Det finns således flera andra regelverk som tillåter ett elektroniskt utlämnande av uppgifter som bör kunna likställas med de nu aktuella uppgifterna.
I patientdatalagen, som tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården, anges att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling. Bestämmelsen har införts av tydlighetsskäl, eftersom patientdatalagens reglering avviker från vad som tidigare gällt (prop. 2007/08:126 s. 77). Motsvarande behov av förtydligande bedöms inte behövas i 114 kap. SFB. En bestämmelse som innehåller en särskild lämplighetsprövning vid utlämnande av personuppgifter från Försäkringskassan och Pensionsmyndigheten bedöms inte som nödvändig. Försäkringskassan och Pensionsmyndigheten måste alltid göra en prövning av utlämnandet i förhållande till bestämmelser om sekretess, inklusive sekretess enligt 21 kap. 7 § OSL om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med bl.a. EU:s dataskyddsförordning och dataskyddslagen, och krav på säkerhet enligt EU:s dataskyddsförordning. Det finns heller ingen skyldighet för myndigheterna att lämna ut uppgifter elektroniskt om de skulle bedöma att det är olämpligt. Av samma skäl saknas anledning att göra skillnad på utlämnande av personuppgifter till myndigheter respektive enskilda. Försäkringskassan och Pensionsmyndigheten har behov av att lämna personuppgifter till många olika enskilda, t.ex. den registrerade själv, ombud, ställföreträdare, arbetsgivare, försäkringsbolag, Min Pension i Sverige AB och vid begäran om allmän handling. Oavsett mottagare får personuppgifter lämnas ut endast när det kan ske på ett säkert sätt och utan hinder av sekretess.
Pensionsmyndigheten och i synnerhet Försäkringskassan behandlar i stor utsträckning känsliga personuppgifter. För en proportionerlig behandling av dessa uppgifter krävs det skyddsåtgärder (artikel 9.2 g i EU:s dataskyddsförordning). Begränsningar av möjligheten att elektroniskt lämna ut personuppgifter utgör en skyddsåtgärd. Som Integritetsskyddsmyndigheten påpekar, påverkas det sammantagna skyddet för de personuppgifter som behandlas om en sådan begränsning tas bort. Eftersom alternativet till att lämna ut uppgifterna elektroniskt oftast inte är att inte lämna ut uppgifterna alls, utan att lämna dem manuellt, måste dock skyddsvärdet i att uppgifterna inte lämnas ut elektroniskt bedömas med beaktande av risken att begränsningen ger upphov till en manuell hantering som inte uppnår motsvarande skyddsnivå. När uppgifter måste registreras manuellt i mottagarens it-system ökar riskerna för överföringsfel, vilket i sig kan utgöra ett integritetsproblem. Även den omständigheten att ett manuellt förfarande i större utsträckning förutsätter att fysiska personer tar del av uppgifterna bör beaktas. Ett manuellt utlämnande är därför inte alltid, vare sig ur effektivitets- eller integritetshänseende, att eftersträva.
Sammantaget får fördelarna med att annat elektroniskt utlämnande av personuppgifter än direktåtkomst inte begränsas anses överväga riskerna. Som Sveriges advokatsamfund framhåller måste allt informationsutbyte ske i enlighet med de krav som följer av EU:s dataskyddsförordning. EU:s dataskyddsförordning som innehåller bl.a. krav på adekvata tekniska och organisatoriska åtgärder tillsammans med övriga begränsningar enligt 114 kap. SFB och föreliggande sekretesslagstiftning bör säkerställa en proportionerlig behandling av personuppgifter vid denna form av utlämnande. Bestämmelser om begränsningar av annat elektroniskt utlämnande än direktåtkomst bedöms inte heller nödvändiga för att upprätthålla en tillräcklig skyddsnivå för känsliga personuppgifter enligt EU:s dataskyddsförordnings krav eller för att säkerställa en proportionerlig behandling i enlighet med de krav som gäller enligt regeringsformen (2 kap. 6, 20 och 21 §§ RF). Den aktuella bestämmelsen om begränsning av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling bör därför utmönstras ur dataskyddsregleringen för Försäkringskassan och Pensionsmyndigheten. Att, som Arbetsförmedlingen och Centrala studiestödsnämnden efterfrågar, se över bestämmelser om utlämnande i andra registerförfattningar än 114 kap. socialförsäkringsbalken omfattas inte av detta lagstiftningsärende.
Uppgifter för sammanställning av pensionsinformation och skadereglering
I 114 kap. SFB finns särskilda bestämmelser om utlämnande på medium för automatiserad behandling av personuppgifter som behövs för sammanställning av gemensam pensionsinformation (114 kap. 25 § SFB) och skadereglering (114 kap. 26 § SFB). Bestämmelserna utgör sådana medgivanden att lämna ut uppgifter som avses i 114 kap. 9 § 2 SFB. Sådana medgivanden behövs bara när elektroniska utlämnanden av personuppgifter begränsas till vissa särskilt angivna situationer. Medgivandena har också kombinerats med ett krav på samtycke från den registrerade.
Bestämmelsen om utlämnande av uppgifter för sammanställning av gemensam pensionsinformation (25 §) avser att möjliggöra en webbaserad tjänst för pensionsinformation, minpension.se. Tjänsten ger den enskilde möjlighet att sammanställa en översikt av sin pensionssituation. När en kund registrerar sig på minpension.se tecknar denne ett användaravtal med Min Pension i Sverige AB och bekräftar behandlingen av personuppgifter. Av användaravtalet framgår att kunden ger Min Pension i Sverige AB i uppdrag att automatiserat inhämta information från de pensionsaktörer som är anslutna till tjänsten, däribland Pensionsmyndigheten, Försäkringskassan och försäkringsbolag. Behandlingen av personuppgifter sker på den enskildes initiativ och den rättsliga grunden för behandlingen av personuppgifter är alltså samtycke (artikel 6.1 a i EU:s dataskyddsförordning). Som framhålls i hemställan bör den enskilde inte, utöver att samtycka till behandlingen av personuppgifter i webbtjänsten, behöva samtycka till att uppgifterna lämnas ut elektroniskt.
Bestämmelsen om utlämnanden av uppgifter som behövs för skadereglering (26 §) avser sådana uppgifter som försäkringsgivare begär från myndigheterna i syfte att användas som underlag vid bedömning av rätt till försäkringsersättning. Sådana utlämnanden sker i den mån det handlar om samordning med försäkringsersättning med stöd av en sekretessbrytande bestämmelse (110 kap. 39 § 1 SFB) och annars med stöd av samtycke från den enskilde. Redan i dag kan personuppgifter lämnas ut elektroniskt utan samtycke med stöd av en sekretessbrytande uppgiftsskyldighet. Vanligast är dock att den försäkrade lämnar fullmakt till försäkringsgivaren att från myndigheterna hämta in de uppgifter som behövs för skaderegleringen. Liksom med sammanställning av gemensam pensionsinformation, bör den enskilde inte också uttryckligen behöva samtycka till ett elektroniskt utlämnande.
Regeringen anser därför att bestämmelserna i nuvarande 114 kap. 25 och 26 §§ SFB inte bör få någon motsvarighet i det nya 114 kap. SFB.
Uppgifter för kontroll av användningen av assistansersättning
I 114 kap. SFB finns en särskild bestämmelse om utlämnande av personuppgifter som behövs för kontroll av användningen av assistansersättning (114 kap. 26 a § SFB). Bestämmelsen utgör ett sådant medgivande att lämna ut uppgifter som avses i 114 kap. 9 § 2 SFB och ger stöd för att elektroniskt fråga Skatteverket om sådana uppgifter om personliga assistenter och dem som bedriver yrkesmässig verksamhet med personlig assistans som behövs för kontroll av användningen av assistansersättning (110 kap. 34 a § SFB).
Enligt Kammarrätten i Stockholm redovisas inte några skäl för att upphäva bestämmelsen om utlämnande av personuppgifter som behövs för att möjliggöra kontroll av användningen av assistansersättning. Till följd av förslaget att utmönstra begränsningar av annat elektroniskt utlämnande än direktåtkomst ur dataskyddsregleringen blir dock en sådan bestämmelse överflödig.
6.18 Överföring till tredjeland
Regeringens bedömning: Det bör inte finnas några bestämmelser om utlämnande av personuppgifter till tredjeland i 114 kap. socialförsäkringsbalken.
Hemställans förslag överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning: I nuvarande 114 kap. 29 § SFB anges att personuppgifter får föras över till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater. I hemställan föreslås att bestämmelsen ska utmönstras eftersom överföring av personuppgifter till tredjeland regleras av kapitel V i EU:s dataskyddsförordning, som är direkt tillämplig. Nationella bestämmelser är därmed överflödiga och riskerar att uppfattas som uttömmande.
Personuppgifter får överföras till tredjeland efter att lämpliga skyddsåtgärder vidtagits och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga (artikel 46). Sådana lämpliga skyddsåtgärder får, utan att det krävs särskilt tillstånd från en övervakningsmyndighet, ta formen av ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ (artikel 46.2 a). Skyddsåtgärder kan således regleras i avtal om social trygghet med tredjeland. Om skyddsåtgärder saknas, kan ändå vissa förhållanden grunda rätt till överföring till tredjeland i särskilda situationer (artikel 49). En överföring till ett tredjeland får bl.a. göras när den är nödvändig av viktiga skäl som rör allmänintresset (artikel 49.1 d). Allmänintresset ska vara erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av (artikel 49.4). Av skäl 112 till EU:s dataskyddsförordning framgår att internationella utbyten av uppgifter mellan socialförsäkringsmyndigheter är en uppgiftsöverföring som krävs och är nödvändig med hänsyn till viktiga allmänintressen.
Bestämmelsen i 114 kap. 29 § SFB avser att klargöra erkännandet av allmänintresset av att personuppgifter får föras över till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige har ingått med andra stater (prop. 2017/18:171 s. 197 och 198). Motsvarande bestämmelse finns inte i t.ex. lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet eller i studiestödsdatalagen. Bestämmelsen utgör inget självständigt stöd för överföring av uppgifter till tredjeland, och en personuppgiftsansvarig som vill föra över uppgifter till tredjeland måste alltid försäkra sig om att förutsättningarna för överföringen är uppfyllda. Eftersom bestämmelsen inte ger något självständigt stöd för behandling och dessutom kan vara missvisande, bör den inte införas i det nya 114 kap. SFB.
6.19 Information på begäran av den registrerade (registerutdrag)
Regeringens bedömning: Det bör inte införas några bestämmelser om begränsning av rätten till sådan information som avses i artikel 15 i EU:s dataskyddsförordning i 114 kap. socialförsäkringsbalken.
Hemställans förslag överensstämmer inte med regeringens bedömning. I hemställan föreslås att bestämmelsen om begränsningar av skyldigheten att lämna information ska ändras på så sätt att personuppgifter som den registrerade har tagit del av och som behandlas i löpande text i ärenden behöver tas med i sådan information endast om den registrerade begär det. Enligt förslaget ska det av informationen dock framgå i vilka ärenden det behandlas personuppgifter i löpande text.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Privatliv och Dataskydd Sverige anför att begränsningen inte är förenlig med artikel 23 i EU:s dataskyddsförordning.
Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning: Den registrerade har enligt artikel 15 i EU:s dataskyddsförordning rätt att av den personuppgiftsansvarige få viss information om de personuppgifter som behandlas. Enligt 114 kap. 30 § SFB gäller denna skyldighet i ett första skede inte personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende, om den registrerade tagit del av handlingens innehåll. Då behöver Försäkringskassan eller Pensionsmyndigheten endast lämna information om vilka sådana handlingar som behandlas. Om den registrerade sedan begär att få information om personuppgifter i en sådan handling och anger vilken handling som avses, ska registerutdraget omfatta även dessa uppgifter om inte annat följer av bestämmelser om sekretess. Bestämmelsen i 114 kap. 30 § SFB reglerar således en viss begränsning av den registrerades rätt att på begäran få information från den personuppgiftsansvarige. Den begränsade rättigheten har motiverats med att det rör sig om stora mängder information, att en obegränsad skyldighet att lämna uppgifter skulle medföra en stor arbetsbelastning för myndigheten och att den enskilde egentligen inte är intresserad av all information eftersom det rör sig om handlingar som den enskilde själv lämnat till myndigheten eller som redan expedierats till honom eller henne inom ramen för handläggningen av ett ärende (prop. 2000/01:69 s. 29). Begränsningen har bedömts ha stöd i EU:s dataskyddsförordning (prop. 2017/18:171 s. 198 och 199).
En liknande begränsning av rätten till information fanns tidigare i Skatteverkets, Kronofogdemyndighetens och Tullverkets registerförfattningar. Begränsningen togs bort i samband med att författningarna anpassades till EU:s dataskyddsförordning (prop. 2017/18:95 s. 71 och 72). Regeringen konstaterade att den personuppgiftsansvarige, om denne behandlar en stor mängd uppgifter om den registrerade, kan efterfråga vilken information eller vilken behandling som en begäran om information enligt artikel 15 i EU:s dataskyddsförordning avser, innan informationen lämnas ut (skäl 63). Den personuppgiftsansvarige kan också ta ut en rimlig avgift eller vägra tillmötesgå en begäran, om den är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art (artikel 12.5 i EU:s dataskyddsförordning). Mot den bakgrunden bedömde regeringen att det inte fanns skäl att göra undantag från artikel 15 i EU:s dataskyddsförordning.
Av dataskyddslagen följer vissa begränsningar av rätten till information enligt artikel 15 i EU:s dataskyddsförordning. Rätten gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning (5 kap. 1 §). Som huvudregel gäller rätten till information inte heller personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande (5 kap. 2 §).
Av hemställan framgår att Försäkringskassan och Pensionsmyndigheten numera behandlar personuppgifter helt elektroniskt i större utsträckning än tidigare och att funktioner för registerutdrag finns integrerade i it-systemen. Mängden personuppgifter påverkar därför inte myndigheternas arbetsbelastning vid framtagning av registerutdrag på samma sätt som tidigare. I likhet med vad regeringen har anfört i fråga om bl.a. Skatteverket (prop. 2017/18:95 s. 71och 72), bör Försäkringskassan och Pensionsmyndigheten själva kunna efterfråga vad den registrerades begäran avser i syfte att avgränsa sådan information som den registrerade inte är intresserad av. Det saknas därmed skäl att införa en begränsning av rätten till information enligt artikel 15 i EU:s dataskyddsförordning i det nya 114 kap. SFB.
6.20 Kontroll av att bestämmelserna följs
Regeringens bedömning: Det bör inte införas någon bestämmelse om krav på att genom särskilda åtgärder kontrollera att bestämmelserna i 114 kap. socialförsäkringsbalken följs.
Hemställans förslag överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten framhåller att det behöver göras en kartläggning av integritetsrisker och en proportionalitetsbedömning om skyddsåtgärder ska tas bort.
Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning: Försäkringskassan och Pensionsmyndigheten ska genom särskilda åtgärder kontrollera efterlevnaden av 114 kap. SFB (114 kap. 34 § SFB). Bestämmelsen avsåg vid sin tillkomst att vara en konkretisering av den då gällande 31 § personuppgiftslagen (1998:204) (prop. 2002/03:135 s. 126). Enligt personuppgiftslagen skulle den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skulle åstadkomma en säkerhetsnivå som är lämplig med beaktande av tekniska möjligheter, kostnader, särskilda risker med behandlingen av personuppgifterna och personuppgifternas känslighet.
Krav på den personuppgiftsansvarige att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas gäller numera enligt EU:s dataskyddsförordning (artiklarna 24 och 32). Bland annat ska den personuppgiftsansvarige säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Myndigheterna ska enligt myndighetsförordningen också löpande följa upp sina verksamheter i syfte att se till att de bedrivs effektivt och lagenligt. Ett särskilt krav på kontroll av att bestämmelserna i 114 kap. följs bedöms därmed inte tillföra något utökat skydd utöver vad som redan gäller. Att inte ange ett sådant särskilt krav bör av samma anledning inte ge upphov till några sådana risker för den personliga integriteten som Integritetsskyddsmyndigheten efterfrågar en redogörelse för. En bestämmelse om krav på kontroll av att bestämmelserna i 114 kap. följs får därför enligt regeringen anses obehövlig.
6.21 Förslag i hemställan som inte bör genomföras
Regeringens bedömning: Det bör inte införas ett nytt 114 a kap. i socialförsäkringsbalken.
Bestämmelser i förordning bör inte föras över till lag.
Hemställans förslag överensstämmer inte med regeringens bedömning. I hemställan föreslås ett nytt 114 a kap. i socialförsäkringsbalken och att vissa bestämmelser som i dag finns i förordning i stället ska finnas i lag.
Remissinstanserna tillstyrker förslagen eller har inget att invända mot dem.
Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning: I hemställan föreslås att det ska införas ett nytt kapitel, 114 a kap., i SFB till vilket bestämmelserna om avgift och gallring ska föras över. Regeringen bedömer dock att dessa bestämmelser även fortsättningsvis bör finnas i 114 kap. eftersom de har ett nära samband med övriga bestämmelser i det kapitlet.
I hemställan föreslås också att vissa bestämmelser som finns i förordning ska föras över till lag. Regeringen bedömer att det inte är lämpligt att föra över dessa bestämmelser till lag. Behovet av förordningsändringar behandlas inte i denna proposition.
7 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Lagändringarna ska träda i kraft den 15 februari 2024.
Regeringens bedömning: Det behövs inte några övergångsbestämmelser.
Hemställans förslag och bedömning överensstämmer i huvudsak med regeringens förslag och bedömning. I hemställan anges att de föreslagna ändringarna ska träda i kraft så snart som möjligt.
Remissinstanserna: Ingen remissinstans har yttrat sig särskilt om tidpunkten för ikraftträdande eller behovet av övergångsbestämmelser.
Förslaget och bedömningen i utkastet till lagrådsremiss överensstämmer delvis med regeringens förslag och bedömning. I utkastet till lagrådsremiss föreslås att lagändringarna ska träda i kraft den 1 januari 2024.
Remissinstanserna: Ingen remissinstans har yttrat sig särskilt om tidpunkten för ikraftträdande eller behovet av övergångsbestämmelser.
Skälen för regeringens förslag och bedömning: Lagändringarna bör träda i kraft så snart som möjligt för att tillgodose Försäkringskassans och Pensionsmyndighetens behov av en modern och verksamhetsanpassad dataskyddsreglering. Den 15 februari 2024 bedöms vara den tidigaste tidpunkt det kan ske.
Några särskilda övergångsbestämmelser bedöms inte behövas, då den behandling av personuppgifter som är tillåten i dag även fortsättningsvis kommer att vara tillåten för myndigheterna enligt förslaget.
8 Konsekvenser
8.1 Ekonomiska konsekvenser
Förslagen ger Försäkringskassan och Pensionsmyndigheten bättre förutsättningar att utnyttja de digitala möjligheterna till att arbeta effektivt och att motverka fusk och felaktiga utbetalningar. Det rättsliga stödet för att använda personuppgifter i kontrollarbetet blir tydligare och möjligheterna att lämna personuppgifter digitalt vid informationsutbyten mellan myndigheter utökas. Därutöver föreslås ändringar som avser att göra regleringen mer teknikneutral och lättillämpad samtidigt som den värnar den enskildes personliga integritet. Sammantaget kan förslagen förväntas ge förutsättningar för en effektivare informationshantering och mer digitaliserad verksamhet. Förslagen ställer inga krav på ändrade arbetssätt eller it-lösningar. Eventuell utveckling av myndigheternas verksamhet och it-system bör därmed rymmas inom befintliga kostnadsramar. Eventuella kostnader för utbildning bedöms också rymmas inom befintliga kostnadsramar. Att ta fram nya myndighetsföreskrifter och styrande dokument som kan komma att krävas med anledning av ändrad reglering får anses ingå i myndigheternas ordinarie uppgifter. Förslagen har inte några ekonomiska konsekvenser för andra statliga myndigheter, kommuner, regioner, företag eller andra enskilda. Regeringen bedömer därför att förslagen inte kommer att medföra några kostnadsmässiga eller andra ekonomiska konsekvenser.
8.2 Konsekvenser för den personliga integriteten
Bestämmelserna i 114 kap. socialförsäkringsbalken, förkortad SFB, kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd EU:s dataskyddsförordning. Ändamålsbestämmelserna i kapitlet anger en ram för tillåten behandling av personuppgifter och säkerställer på så sätt att personuppgiftsbehandlingen är förenlig med EU:s dataskyddsförordning. De olika skyddsåtgärderna i kapitlet begränsar behandlingen ytterligare. Den behandling av personuppgifter som med dessa begränsningar är tillåten enligt 114 kap. SFB utgör ett undantag från det grundlagsreglerade kravet på skydd för den personliga integriteten (jfr 2 kap. 6, 20 och 21 §§ regeringsformen).
De förslag som lämnas i propositionen medför en viss utvidgning av Försäkringskassans och Pensionsmyndighetens möjligheter att behandla personuppgifter. Mot det integritetsintrång en utvidgad behandling medför får ställas myndigheternas behov att kunna bedriva en ändamålsenlig verksamhet. Försäkringskassan och Pensionsmyndigheten måste ges förutsättningar att utnyttja de möjligheter som digitaliseringen ger för att administrera socialförsäkringen, fatta materiellt korrekta beslut och säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott. Det är angeläget att komma till rätta med felaktiga utbetalningar och missbruk av de offentliga medlen, som inte bara medför ekonomiska förluster för det allmänna utan också riskerar att skada legitimiteten i välfärdssystemet. Väl utvecklade system för informationshantering minskar risken för felaktiga utbetalningar. Myndigheterna måste också ges rättsliga förutsättningar att vid behov utveckla e-tjänster och it-lösningar som ökar tillgängligheten och effektiviteten.
Den enskildes skydd för den personliga integriteten tillgodoses genom flera olika skyddsåtgärder som regleras i lag. Regleringen i det nya 114 kap. SFB innehåller förutom den grundläggande ändamålsbegränsningen även begränsningar av möjligheterna att behandla känsliga personuppgifter, begränsningar av tillgången till personuppgifter, begränsningar av direktåtkomst och krav på gallring. EU:s dataskyddsförordning ställer bl.a. krav på lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Tillsammans med det dataskyddsrättsliga regelverket i övrigt samt sekretesslagstiftning och förvaltningsrättslig reglering ger bestämmelserna i det nya 114 kap. SFB ett tillfredsställande skydd för den personliga integriteten.
Förslagen till ändringar ger ett tydligare och mer överskådligt regelverk som blir både enklare att tillämpa och i delar mer transparent för den registrerade. Det korresponderar också med flertalet andra motsvarande författningar. Sammantaget bedöms förslagen tillgodose behovet av en utökad personuppgiftsbehandling och en tidsenlig reglering samtidigt som hänsyn tas till behovet av ett starkt och likvärdigt integritetsskydd. Regleringen bedöms mot bakgrund av detta uppfylla regeringsformens krav på proportionalitet (2 kap. 20 och 21 §§ regeringsformen).
8.3 Övriga konsekvenser
Förslagen bedöms vara förenliga med EU-rätten. Förslagen bedöms inte få några effekter för den kommunala självstyrelsen. Förslagen bedöms inte heller ha någon inverkan på jämställdheten mellan kvinnor och män, möjligheterna att nå de integrationspolitiska målen eller miljön.
9 Författningskommentar
Förslaget till lag om ändring i socialförsäkringsbalken
Nuvarande 114 kap. socialförsäkringsbalken om behandling av personuppgifter upphävs och ersätts av ett nytt kapitel med samma nummer och namn. Allmänna överväganden om behovet av omarbetning av nuvarande 114 kap. finns i avsnitt 5. Flera av paragraferna är utformade helt i överensstämmelse med motsvarande paragrafer i nuvarande kapitel, eller skiljer sig från nuvarande paragrafer enbart i språkligt eller redaktionellt hänseende. Mindre språkliga och redaktionella ändringar kommenteras inte särskilt i detta avsnitt. I vissa paragrafer har det gjorts ändringar i förhållande till nuvarande paragrafer, dessa ändringar kommenteras nedan. Vilka bestämmelser som inte har förts över till det nya kapitlet framgår av övervägandena i avsnitt 6.
114 kap. Behandling av personuppgifter
Innehåll
1 § I detta kapitel finns bestämmelser om
- tillämpningsområdet i 2 §,
- förhållandet till annan reglering i 3 och 4 §§,
- uppgifter om avlidna personer i 5 §,
- begränsning av rätten att göra invändningar i 6 §,
- personuppgiftsansvar i 7 §,
- ändamål för behandling av personuppgifter i 8-10 §§,
- känsliga personuppgifter i 11 och 12 §§,
- tillgång till personuppgifter i 13 §,
- direktåtkomst i 14 §,
- gallring i 15 §,
- avgifter i 16 §, och
- tystnadsplikt i 17 §.
Paragrafen innehåller upplysningar om vilka bestämmelser som finns i kapitlet och i vilka paragrafer dessa är införda.
Tillämpningsområdet
2 § Detta kapitel gäller vid behandling av personuppgifter i verksamhet som avser förmåner enligt denna balk samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten.
Kapitlet gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
I paragrafen anges tillämpningsområdet för kapitlet. Paragrafen motsvarar delvis nuvarande 2 § (prop. 2002/03:135 s. 129). Övervägandena finns i avsnitt 6.1.
Bestämmelsen i andra stycket motsvarar nuvarande 2 § andra stycket som anger att kapitlet gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Den nya bestämmelsen har formulerats om och kortats ned. Vad som avses med register framgår av artikel 4.6 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd EU:s dataskyddsförordning. Någon ändring i sak är inte avsedd.
Förhållandet till annan reglering
3 § Detta kapitel innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt detta kapitel gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
Paragrafen beskriver hur kapitlet förhåller sig till annan reglering. Paragrafen motsvarar nuvarande 6 § (prop. 2017/18:171 s. 235). Övervägandena finns i avsnitt 6.3.
4 § I fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen (2001:99) om den officiella statistiken och i föreskrifter som har meddelats i anslutning till den lagen.
Paragrafen upplyser om att lagen (2001:99) om den officiella statistiken och föreskrifter som har meddelats i anslutning till den lagen gäller för behandling av personuppgifter inom ramen för den officiella statistiken. Paragrafen motsvarar nuvarande 4 § (prop. 2002/03:135 s. 130). Övervägandena finns i avsnitt 6.3.
Uppgifter om avlidna personer
5 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:
1. detta kapitel och föreskrifter som har meddelats i anslutning till kapitlet,
2. EU:s dataskyddsförordning, och
3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.
I paragrafen anges vilken reglering som gäller vid behandling av uppgifter om avlidna. Paragrafen motsvarar delvis nuvarande 2 § tredje stycket (prop. 2002/03:135 s. 130). Övervägandena finns i avsnitt 6.4.
Endast vissa bestämmelser i nuvarande 114 kap. SFB ska tillämpas på uppgifter om avlidna personer och EU:s dataskyddsförordning är inte tillämplig på uppgifter om avlidna personer (skäl 27). Genom bestämmelsen utvidgas därmed tillämpningsområdet för kapitlet i förhållande till nuvarande reglering och i förhållande till EU:s dataskyddsförordning. Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt är inte tillämpliga på avlidna personer. Någon möjlighet för efterlevande eller andra att överta rättigheter som tillkom den avlidne när denne var i livet finns inte heller (prop. 2019/20:106 s. 32). Det innebär exempelvis att bestämmelser om rätten till information, rätten till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till avlidna. Däremot gäller bl.a. ändamålsbestämmelser, krav för behandling av känsliga personuppgifter och de principer som följer av artikel 5 i EU:s dataskyddsförordning. Till skillnad från vad som framgår av nuvarande 2 § tredje stycket, ska begränsningar avseende direktåtkomst och krav på begränsad tillgång till personuppgifter också omfatta uppgifter om avlidna. En människa är död, dvs. avliden, när hjärnans samtliga funktioner totalt och oåterkalleligt har fallit bort (1 § lagen [1987:269] om kriterier för bestämmande av människans död).
Begränsning av rätten att göra invändningar
6 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
I paragrafen görs ett undantag från rätten att göra invändningar enligt EU:s dataskyddsförordning (artikel 21.1). Paragrafen motsvarar i sak nuvarande 3 § (prop. 2017/18:171 s. 188 och 189). Övervägandena finns i avsnitt 6.5.
I förhållande till nuvarande bestämmelse förtydligas det vilken rättighet i EU:s dataskyddsförordning som begränsas. Någon ändring i sak är inte avsedd.
Personuppgiftsansvar
7 § Försäkringskassan och Pensionsmyndigheten är personuppgiftsansvariga för behandling av personuppgifter i sina respektive verksamheter.
Paragrafen anger vem som är personuppgiftsansvarig för sådan behandling av personuppgifter som utförs inom tillämpningsområdet för kapitlet. Paragrafen motsvarar i sak nuvarande 6 a § (prop. 2017/18:171 s. 190-192 och författningskommentaren till 6 § i prop. 2002/03:135 s. 130 och 131). Övervägandena finns i avsnitt 6.7.
I förhållande till nuvarande bestämmelse ändras lydelsen på så sätt att myndigheternas personuppgiftsansvar, i stället för att knytas till den myndighet som utför behandlingen, omfattar all behandling av personuppgifter i myndighetens egen verksamhet. Pensionsmyndigheten är t.ex. alltid ansvarig för den behandling av personuppgifter som sker i myndighetens verksamhet. Om Försäkringskassan utför behandling av personuppgifter för Pensionsmyndighetens räkning, gör Försäkringskassan detta i egenskap av personuppgiftsbiträde och inte med ett eget personuppgiftsansvar. Den ändrade formuleringen är ett förtydligande och någon ändring i sak är inte avsedd.
Med Försäkringskassans och Pensionsmyndighetens verksamheter avses den verksamhet som ryms inom tillämpningsområdet för kapitlet.
Ändamål för behandling av personuppgifter
8 § Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter om det är nödvändigt för att
1. tillgodose behovet av det underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar ska kunna bedömas eller fastställas,
2. informera om förmåner och ersättningar,
3. handlägga ärenden,
4. vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott,
5. planera sina respektive verksamheter,
6. inom sina respektive verksamheter genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn, eller
7. framställa statistik i fråga om verksamhet enligt 3-6.
I paragrafen anges för vilka primära ändamål personuppgifter får behandlas inom tillämpningsområdet för kapitlet. Paragrafen motsvarar delvis nuvarande 7 § (prop. 2002/03:135 s. 131). Övervägandena finns i avsnitt 6.8.
I förhållande till nuvarande paragraf läggs det till ett nytt ändamål i punkt 4. Tillägget innebär att Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter om det är nödvändigt för att vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Kontrollåtgärderna ska vidtas inom ramen för tillämpningsområdet för kapitlet, dvs. i verksamhet som gäller förmåner enligt socialförsäkringsbalken, samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten (2 §). Kontrollerna ska vidtas i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Med uttrycket kontrollåtgärder avses åtgärder som innebär att övervaka, granska eller undersöka Försäkringskassans och Pensionsmyndighetens handläggning och utbetalningar av förmåner och ersättningar. Det nya ändamålet omfattar inte sådan kontroll som utgör ett moment i handläggningen av ärenden. Sådan kontroll kan utföras med stöd av ändamålet i punkt 3. Exempel på personuppgiftsbehandling som kan vara nödvändig för att vidta kontrollåtgärder är behandling i samband med att modeller för urval tas fram och tillämpas. Sådan behandling sker bl.a. genom analyser av uppgifter, dels för att utveckla och träna modeller, dels för att identifiera ärenden som ska ingå i avsett urval. Ändamålet att vidta kontrollåtgärder kan också vara tillämpligt vid sådana kontroller av det statliga tandvårdsstödet som sker genom systematisk bearbetning av elektroniska data (prop. 2007/08:49 s. 98). När Skatteverket, på begäran av Försäkringskassan, lämnar uppgifter om personliga assistenter och dem som bedriver yrkesmässig verksamhet med personlig assistans (110 kap. 34 a §) kan ändamålet att vidta kontrollåtgärder ge stöd för insamlandet av uppgifter och utförandet av de systematiska kontroller som uppgiftsskyldigheten är tänkt att möjliggöra. Därutöver kan ändamålet ge stöd för sådan behandling av personuppgifter som sker i anslutning till att uppgifter lämnas till och från myndigheterna med stöd av t.ex. lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen och lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet samt när myndigheterna behandlar personuppgifter med anledning av en polisanmälan. Det måste vara nödvändigt att behandla personuppgifter i syfte att vidta kontrollåtgärder för att behandlingen ska vara tillåten. Nödvändighetskravet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten, om behandlingen leder till effektivitetsvinster. Att behandlingen skulle kunna ske manuellt, dvs. utan tekniska hjälpmedel, medför därför normalt inte att automatisk behandling inte anses nödvändig.
Ändamålen som avser att planera verksamhet och genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn av respektive verksamhet delas upp i två punkter, 5 och 6. Någon ändring i sak är inte avsedd.
I punkt 7 görs i förhållande till motsvarande punkt i nuvarande 7 § ett tillägg. Tillägget innebär att personuppgifter också får behandlas för att framställa statistik i fråga om sådan verksamhet som avser kontrollåtgärder.
9 § Personuppgifter som behandlas för ändamål som anges i 8 § får behandlas av Försäkringskassan och Pensionsmyndigheten även för att fullgöra uppgiftslämnande som
1. sker i överensstämmelse med lag eller förordning, eller
2. följer av unionsrätten, åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.
Paragrafen anger för vilka sekundära ändamål Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter inom tillämpningsområdet för kapitlet. Paragrafen motsvarar i sak nuvarande 9 § (författningskommentaren till 8 § i prop. 2002/03:135 s. 131 och prop. 2009/10:223 s. 29). Övervägandena finns i avsnitt 6.8.4.
Första punkten motsvarar i sak nuvarande 9 § 1 och 2. Enligt punkten får personuppgifter som behandlas för något av de primära ändamålen också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Med detta avses att uppgiftslämnandet sker med stöd av bestämmelser som påbjuder eller tillåter utlämnande. Det kan t.ex. röra sig om en uttrycklig uppgiftsskyldighet (10 kap. 28 § offentlighets- och sekretesslagen [2009:400], förkortad OSL), uppgiftslämnande som sker i syfte att fullgöra serviceskyldigheten enligt förvaltningslagen (2017:900) eller uppgiftslämnande som följer av skyldigheten för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om uppgiften inte är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL).
Det sekundära ändamålet i andra punkten motsvarar nuvarande 9 § 3 och 4.
10 § Personuppgifter som behandlas enligt 8 eller 9 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
I paragrafen kommer den s.k. finalitetsprincipen till uttryck. Paragrafen motsvarar nuvarande 10 § (författningskommentaren till 9 § i prop. 2002/03:135 s. 131 och 132 och prop. 2017/18:171 s. 192). Övervägandena finns i avsnitt 6.8.5.
Känsliga personuppgifter
11 § Sådana personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får också behandlas om det är nödvändigt för något av de ändamål som anges i 9 §.
Känsliga personuppgifter om hälsa får även behandlas om det är
1. nödvändigt för något av de ändamål som anges i 8 § 1 och 2,
2. nödvändigt för något av de ändamål som anges i 8 § 4-7 och uppgifterna behandlas eller har behandlats för något av de ändamål som anges i 8 § 1-3, eller
3. absolut nödvändigt för behandling med stöd av 10 § och uppgifterna behandlas eller har behandlats för något av de ändamål som anges i 8 § 1-3.
I andra fall får känsliga personuppgifter inte behandlas.
I paragrafen regleras uttömmande när det är tillåtet att behandla känsliga personuppgifter. Paragrafen motsvarar delvis nuvarande 11 § (författningskommentarerna till 10 § i prop. 2002/03:135 s. 132 och prop. 2017/18:171 s. 193 och 194). Övervägandena finns i avsnitt 6.9.
I andra stycket görs, i förhållande till nuvarande 11 §, tillägget att känsliga personuppgifter om hälsa får behandlas om det är nödvändigt för att vidta kontrollgärder eller om det är absolut nödvändigt för behandling med stöd av finalitetsprincipen, och uppgifterna behandlas eller har behandlats för att rättigheter eller skyldigheter ska kunna bedömas eller fastställas, för att informera om förmåner och ersättningar eller för att handlägga ärenden. Känsliga personuppgifter om hälsa får alltså inte hämtas in till Försäkringskassan eller Pensionsmyndigheten i syfte att behandlas för att vidta kontrollgärder eller för behandling med stöd av finalitetsprincipen. Kravet på att behandling med stöd av finalitetsprincipen ska vara absolut nödvändig innebär inte att känsliga personuppgifter får behandlas endast i absoluta undantagsfall, utan avser att markera att behandlingen ska ske med restriktivitet och att behovet av att behandla personuppgiften ska prövas noga i det enskilda ärendet (jfr prop. 2015/16:65 s. 81 och prop. 2019/20:113 s. 28 och 29). Utrymmet för vidarebehandling av känsliga personuppgifter begränsas även av artikel 6.4 i EU:s dataskyddsförordning som bl.a. anger att personuppgifternas art, särskilt om känsliga personuppgifter behandlas, ska beaktas vid bedömningen av om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in.
Bestämmelsen är, i likhet med nuvarande 11 §, uttömmande i fråga om när det är tillåtet att behandla känsliga personuppgifter. Det framgår av tredje stycket.
12 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För de ändamål som anges i 8 § får dock sökningar utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa, om uppgiften avser förmån eller ersättning eller om urvalet ska användas för att
1. vidta åtgärder i handläggningen,
2. planera, följa upp eller utvärdera handläggningen, eller
3. vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.
I paragrafen regleras sökbegränsningar. Paragrafen motsvarar delvis nuvarande 27 och 28 §§ (författningskommentarerna till 24 och 25 §§ i prop. 2002/03:135 s. 135 och 136 och författningskommentaren till 28 § i prop. 2008/09:200 s. 585). Paragrafen motsvarar också delvis nuvarande 6 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration. Övervägandena finns i avsnitt 6.12.
I första stycket anges att sökningar inte får utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter, till skillnad från nuvarande 27 § som inte tillåter användning av känsliga personuppgifter som sökbegrepp. Definitionen av känsliga personuppgifter finns i 11 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Det är som huvudregel alltså inte tillåtet att göra t.ex. en sammanställning av personer med en viss diagnos eller funktionsnedsättning. Till skillnad från vad som gäller enligt nuvarande reglering omfattar sökbegränsningen inte uppgifter om lagöverträdelser.
I andra stycket, som saknar motsvarighet i nuvarande reglering i socialförsäkringsbalken, anges att sökningar alltid får utföras för de primära ändamålen i syfte att få fram ett urval av personer grundat på sådana känsliga personuppgifter om hälsa som avser förmån eller ersättning. Ett exempel på ett sådant urval kan vara en sammanställning av personer som erhåller sjukpenning eller sjukersättning, som är förmåner som baseras på uppgifter om den registrerades hälsa. Det anges också att sökningar får utföras för de primära ändamålen i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa under förutsättning att uppgiften ska användas för att vidta åtgärder i handläggningen, planera, följa upp eller utvärdera handläggningen eller vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Det kan vara fråga om att använda uppgifter om t.ex. diagnos eller funktionsnedsättning vid en automatisering av handläggningen. Det kan också vara fråga om sökningar i syfte att göra urval för att fördela ärenden, för att följa upp t.ex. sjukpenningärenden där den försäkrade har en viss diagnos eller för att vidta kontrollåtgärder.
Tillgång till personuppgifter
13 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Paragrafen reglerar tillgången till personuppgifter internt hos Försäkringskassan och Pensionsmyndigheten. Paragrafen motsvarar delvis nuvarande 17 § andra stycket och 19 § andra meningen (författningskommentarerna till 16 och 18 §§ i prop. 2002/03:135 s. 133 och 134). Övervägandena finns i avsnitt 6.13.
I första stycket anges att tillgången till personuppgifter ska begränsas till det som var och en behöver för att fullgöra sina arbetsuppgifter. Till skillnad från nuvarande begränsning, som avser behörighet för åtkomst till socialförsäkringsdatabasen och till personuppgifter hos Migrationsverket, gäller begränsningen tillgången till personuppgifter inom den verksamhet som omfattas av tillämpningsområdet för kapitlet. Tillgången till personuppgifter kan begränsas genom tekniska och organisatoriska åtgärder (jfr artikel 32 i EU:s dataskyddsförordning). Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning eller uppdragstagare.
Andra stycket anger att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Det är upp till myndigheten att bestämma de närmare formerna för kontroll och uppföljning. Med uttrycket regelbundet avses att kontroll och uppföljning genomförs systematiskt och återkommande, dvs. inte endast om myndigheterna av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit.
Direktåtkomst
14 § Direktåtkomst till personuppgifter i sådan verksamhet som avses i 2 § är tillåten endast i den utsträckning som anges i lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vem som får medges direktåtkomst och vilka uppgifter som då får omfattas av direktåtkomsten.
I paragrafen begränsas möjligheten till direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten. Paragrafen motsvarar delvis nuvarande 18 § (författningskommentaren till 17 § i prop. 2002/03:135 s. 133). Övervägandena finns i avsnitt 6.14.
Första stycket motsvarar i huvudsak nuvarande 18 § men reglerar direktåtkomst till personuppgifter i sådan verksamhet som omfattas av tillämpningsområdet för kapitlet i stället för direktåtkomst till socialförsäkringsdatabasen.
Andra stycket saknar motsvarighet i nuvarande reglering. I stycket anges att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om vem som får medges direktåtkomst enligt första stycket och vilka uppgifter som då får omfattas av direktåtkomsten.
Gallring
15 § Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 8 §.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Paragrafen anger när uppgifter ska gallras. Det finns även en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Paragrafen motsvarar nuvarande 31 § (författningskommentaren till 28 § i prop. 2002/03:135 s. 136, författningskommentaren till 31 § i prop. 2008/09:200 s. 585 samt prop. 2017/18:171 s. 198). Övervägandena finns i avsnitt 6.15.
Avgifter
16 § Avgifter får tas ut för utlämnande av uppgifter och handlingar från sådan verksamhet som avses i 2 §.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om uttagandet av avgifter.
Rätten att ta ut avgifter enligt första och andra styckena får inte innebära någon inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Paragrafen reglerar en särskild grund för att ta ut avgifter från mottagare av utlämnade uppgifter och handlingar. Det finns även en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om uttagandet av avgifter. Paragrafen motsvarar delvis nuvarande 32 § (författningskommentaren till 29 § i prop. 2002/03:135 s. 136 och 137 och författningskommentaren till 32 § i prop. 2008/09:200 s. 585). Övervägandena finns i avsnitt 6.16.
Rätten att ta ut avgifter enligt första stycket gäller för utlämnande av uppgifter och handlingar från sådan verksamhet som omfattas av tillämpningsområdet för kapitlet, till skillnad från nuvarande 32 § som gäller för utlämnande från socialförsäkringsdatabasen.
Tystnadsplikt
17 § Den som, genom sin befattning med personuppgifter som har inhämtats från sådan verksamhet som avses i 2 § till det för kommunerna och regionerna gemensamma organet för administration av personalpensioner, får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter.
Paragrafen reglerar tystnadsplikt för personer som är anställda hos KPA Pension AB (KPA) eller på något annat sätt deltar i eller har deltagit i KPA:s verksamhet. Paragrafen motsvarar delvis nuvarande 35 § (författningskommentaren till 32 § i prop. 2002/03:135 s. 137). Övervägandena finns i avsnitt 6.16.
Tystnadsplikten avser personuppgifter som har inhämtats från sådan verksamhet som omfattas av tillämpningsområdet för kapitlet, till skillnad från nuvarande 35 § som avser personuppgifter som har inhämtats från socialförsäkringsdatabasen.
Sammanfattning av hemställan om ändringar i 114 kap. SFB och förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration
Försäkringskassan och Pensionsmyndigheten har på eget initiativ gjort en översyn av bestämmelserna i 114 kap. socialförsäkringsbalken (SFB) och anslutande förordning, som reglerar behandlingen av personuppgifter inom myndigheternas förmånsverksamhet. Senast det gjordes en fullständig översyn av bestämmelserna var 2003 och sedan dess har verksamheterna genomgått stora förändringar, framför allt som en följd av den digitala utvecklingen. Befintlig reglering är inte längre anpassad till verksamheternas behov och de förväntningar som finns på myndigheterna att utnyttja de digitala möjligheterna. Det finns därför behov av en omarbetning av 114 kap. SFB.
Bestämmelserna i 114 kap. SFB föreslås, i likhet med vad som gäller idag, tillämpas vid behandling av personuppgifter i verksamhet som gäller förmåner enligt SFB, samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten. Bestämmelserna ska komplettera dataskyddsförordningen och på motsvarande sätt inte gälla vid helt manuell behandling. Bestämmelserna ska inte heller gälla för sådan behandling som omfattas av tillämpningsområdet för lagen (2001:99) om den officiella statistiken och anslutande författningar.
Dataskyddslagen och anslutande förordning gäller om inte annat följer av 114 kap. SFB eller föreskrifter som har meddelats i anslutning till kapitlet.
Vid behandling av uppgifter om avlidna föreslås 114 kap. SFB och föreskrifter som har meddelats i anslutning till kapitlet, dataskyddsförordningen, dataskyddslagen och föreskrifter som har meddelats i anslutning till den gälla i tillämpliga delar.
Försäkringskassan och Pensionsmyndigheten föreslås vara personuppgiftsansvarig för behandling av personuppgifter i respektive myndighets verksamhet.
Begreppet socialförsäkringsdatabasen föreslås tas bort ur regleringen. I stället ska samtliga bestämmelser gälla all personuppgiftsbehandling inom kapitlets tillämpningsområde.
Försäkringskassan och Pensionsmyndigheten får redan idag behandla personuppgifter om det är nödvändigt för att handlägga ärenden, för att tillgodose behov av underlag som krävs för att rättigheter eller skyldigheter ska kunna bedömas eller fastställas, för att informera om förmåner och ersättningar, för att framställa statistik och för att planera, styra, följa upp, redovisa och utvärdera verksamheten. Därutöver föreslås myndigheterna få behandla personuppgifter om det är nödvändigt för att vidta kontroll- och analysåtgärder samt utvecklingsåtgärder. Som ett alternativ till dessa, mer detaljerat utformade primära ändamål, föreslås att Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter om det är nödvändigt för att administrera socialförsäkringen och andra förmåner och ersättningar som enligt lag eller förordning ska administreras av myndigheterna. Myndigheterna förordar ett sådant bredare ändamål. Det förutsätter dock att myndigheterna själva formulerar mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i verksamheterna.
De personuppgifter som behandlas för primära ändamål föreslås också få behandlas om det behövs för att fullgöra uppgiftslämnanden som sker i överensstämmelse med lag eller förordning, eller som följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention eller ett avtal med främmande stat eller mellanfolklig organisation.
Finalitetsprincipen föreslås även fortsättningsvis utgöra den yttersta ramen för behandling av personuppgifter inom tillämpningsområdet för 114 kap. SFB.
Samtliga kategorier av känsliga personuppgifter föreslås få behandlas av Försäkringskassan och Pensionsmyndigheten om det är nödvändigt för att handlägga ärenden eller för att lämna ut personuppgifter. Uppgifter om hälsa föreslås få behandlas om det är nödvändigt för övriga ändamål. Som en skyddsåtgärd måste känsliga personuppgifter först behandlas för att handlägga ärenden, tillgodose behov av underlag som krävs för att rättigheter eller skyldigheter ska kunna bedömas eller fastställas eller för att informera om förmåner och ersättningar innan de får behandlas för övriga ändamål.
Sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter föreslås som huvudregel vara förbjudna. Personuppgifter som rör hälsa ska dock få användas i syfte att få fram ett urval av personer grundat på uppgift om förmån eller ersättning och som urvalskriterium vid sammanställningar om regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om det.
Bestämmelser om behandling av uppgifter om lagöverträdelser föreslås upphävas.
Direktåtkomst föreslås, precis som tidigare, vara tillåten endast i den utsträckning som anges i lag eller förordning. Befintliga bestämmelser om rätt till direktåtkomst i förordning föreslås, i syfte att skapa en tydligare systematik, i stället regleras i lag. Befintliga bestämmelser om direktåtkomst som inte längre tillämpas föreslås upphävas medan bestämmelser som ger stöd för sådan direktåtkomst som används bör behållas.
Möjligheten för registrerade att få direktåtkomst till sina egna uppgifter hos Försäkringskassan och Pensionsmyndigheten föreslås omfatta personuppgifter som behandlas för vissa ändamål. Även förmyndare, förvaltare, god man och ombud för den registrerade föreslås kunna få direktåtkomst.
Försäkringskassan och Pensionsmyndigheten, som idag har tillgång till varandras uppgifter genom rätten till åtkomst till socialförsäkringsdatabasen, föreslås få direktåtkomst till varandras personuppgifter. Sådan direktåtkomst bör gälla i den utsträckning det behövs för vissa primära ändamål och under förutsättning att det inte föreligger hinder i form av sekretess. För att undanröja hinder i form av sekretess föreslås en sekretessbrytande bestämmelse som innebär att myndigheterna utan hinder av sekretess ska ha rätt att ta del av sådana personuppgifter som myndigheterna har möjlighet att ge varandra direktåtkomst till.
Samtliga bestämmelser om utlämnande på medium för automatiserad behandling föreslås upphävas eftersom övriga krav vid utlämnanden av uppgifter bedöms medföra ett tillräckligt skydd. Ändamålsbestämmelser anger t.ex. när personuppgifter får behandlas i syfte att lämnas ut. Om mottagaren av personuppgifterna är en myndighet styrs även dennas personuppgiftsbehandling vanligtvis av en registerlagstiftning med ändamålsbestämmelser som begränsar möjligheterna att behandla personuppgifter. Den personuppgiftsansvariga myndigheten är också skyldig att vidta lämpliga säkerhetsåtgärder för att skydda de uppgifter som behandlas, t.ex. genom kryptering. Därutöver ska utlämnanden vara förenliga med bestämmelser om sekretess.
I linje med vad som redan gäller idag, föreslås 114 kap. SFB innehålla krav på att tillgången till personuppgifter inom lagens tillämpningsområde ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras på ett ändamålsenligt sätt.
Sådan behandling av personuppgifter som är tillåten enligt 114 kap. SFB föreslås även fortsättningsvis få utföras även om den registrerade motsätter sig behandlingen.
Bestämmelsen i 114 kap. SFB om begränsningar av skyldigheten att lämna information enligt artikel 15 i dataskyddsförordningen föreslås ändras på så sätt att personuppgifter som den registrerade har tagit del av och som behandlas i löpande text i ärenden endast behöver tas med i sådan information om den registrerade begär det. Av informationen bör det dock framgå i vilka ärenden det behandlas personuppgifter i löpande text.
Bestämmelsen i 114 kap. SFB om gallring föreslås ändras på så sätt att den avser personuppgifter som behandlas inom kapitlets tillämpningsområde oavsett ändamål.
Sådan överföring av personuppgifter till tredjeland som avses i befintlig bestämmelse i 114 kap. SFB är tillåten med direkt tillämpning av dataskyddsförordningen. Bestämmelsen är därmed överflödig och riskerar också att uppfattas som uttömmande. Den föreslås därför upphävas.
I syfte att renodla 114 kap. SFB till att endast innehålla dataskyddsbestämmelser, föreslås att några av bestämmelserna i kapitlet flyttas till ett nytt kapitel, 114 a kap. SFB.
De föreslagna ändringarna föreslås träda i kraft så snart som möjligt. Det saknas behov av övergångsbestämmelser.
Förslagen medför begränsade kostnader för de berörda myndigheterna. Förslagen ger myndigheterna möjlighet att utföra sina uppdrag på ett ändamålsenligt sätt samtidigt som de ger tillräckligt skydd för den enskildes personliga integritet.
Hemställans lagförslag
Förslag till lag om ändring i socialförsäkringsbalken - alternativ 1
Härigenom föreskrivs i fråga om socialförsäkringsbalken
dels att 114 kap. 5, 9, 12, 13, 14, 15, 16, 24, 25, 26, 26 a, 28, 29, 32, 34 och 35 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 114 kap. 14, 24, 29, 32, 34 och 35 §§ ska utgå,
dels att 114 kap. 1, 2, 6, 6 a, 7, 8, 10, 11, 17, 18, 19, 21, 22, 27, 30 och 31 §§ och rubrikerna närmast före 11, 17 och 27 §§ ska ha följande lydelse,
dels att det ska införas ett nytt 114 a kapitel och två nya paragrafer, 114 kap. 20 och 23 §§.
Nuvarande lydelse
Föreslagen lydelse
114 kap.
1 §
I detta kapitel finns allmänna bestämmelser i 2-5 §§.
Vidare finns bestämmelser om
- förhållandet till annan reglering i 6 §,
- personuppgiftsansvar i 6 a §,
- ändamål för behandling av personuppgifter i 7-10 §§,
- behandling av känsliga personuppgifter m.m. i 11-13 §§,
- behandling av personuppgifter i socialförsäkringsdatabasen i 14-16 §§,
- tilldelning av behörighet i 17 §,
- direktåtkomst i 18-23 §§,
- utlämnande på medium för automatisk behandling i 24-26 a §§,
- sökbegrepp i 27 och 28 §§,
- överföring av personuppgifter till tredjeland i 29 §,
- information i 30 §,
- gallring i 31 §,
- avgifter i 32 §,
- kontrollverksamhet i 34 §, och
- tystnadsplikt i 35 §.
I detta kapitel finns allmänna bestämmelser i 2-4 §§.
Vidare finns bestämmelser om
- förhållandet till annan reglering i 6 §,
- personuppgiftsansvar i 6 a §,
- ändamål för behandling av personuppgifter i 7-8 och 10 §§,
- behandling av känsliga personuppgifter i 11 §,
- tillgång till personuppgifter i 17 §,
- direktåtkomst i 18-23 §§,
- sökbegränsning i 27 §,
- information i 30 §, och
- gallring i 31 §.
2 §
Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som gäller förmåner enligt denna balk, samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten. Med socialförsäkringens administration avses i detta kapitel administration hos dessa myndigheter.
Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som gäller förmåner enligt denna balk, samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten.
Kapitlet gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Bestämmelserna i 7-16, 27, 28 och 31 §§ gäller i tillämpliga delar även uppgifter om avlidna personer.
Vid behandling av uppgifter om avlidna ska detta kapitel och föreskrifter som har meddelats i anslutning till det, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen gälla i tillämpliga delar.
6 §
Detta kapitel innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Detta kapitel innehåller bestämmelser som kompletterar EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt detta kapitel gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
Vid behandling av personuppgifter enligt detta kapitel gäller dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
6 a §
En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför.
Försäkringskassan och Pensionsmyndigheten är personuppgiftsansvarig för behandling av personuppgifter i respektive myndighets verksamhet.
7 §
Försäkringskassan och Pensionsmyndigheten får i sin verksamhet behandla personuppgifter om det är nödvändigt för att
Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter om det är nödvändigt för att
1. återsöka vägledande avgöranden,
1. handlägga ärenden,
2. tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar som avses i 2 § ska kunna bedömas eller fastställas,
2. tillgodose behov av underlag som krävs för att rättigheter eller skyldigheter ska kunna bedömas eller fastställas,
3. informera om sådana förmåner och ersättningar som avses i 2 §,
3. informera om förmåner och ersättningar,
4. handlägga ärenden,
4. vidta kontroll- och analysåtgärder,
5. planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet, eller
5. vidta utvecklingsåtgärder,
6. framställa statistik i fråga om verksamhet enligt 4 och 5.
6. framställa statistik, eller
7. planera, styra, följa upp, redovisa och utvärdera verksamheten.
Vid behandling för det ändamål som anges i första stycket 1 får inte uppgifter som direkt pekar ut den registrerade användas.
8 §
Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas av Försäkringskassan och Pensionsmyndigheten för tillhandahållande av information som behövs
Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas av Försäkringskassan och Pensionsmyndigheten för att fullgöra uppgiftslämnande som
1. som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda i den verksamhet som bedrivs av Centrala studiestödsnämnden och arbetslöshetskassorna,
1. sker i överensstämmelse med lag eller förordning, eller
2. för samordning av tjänstepensioner i den verksamhet som bedrivs av Statens tjänstepensionsverk och det för kommunerna och regionerna gemensamma organet för administration av personalpensioner,
2. följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
3. för handläggning av ärenden hos Statens tjänstepensionsverk där regler om statens tjänstegrupplivförsäkring ska tillämpas, eller
4. som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. socialtjänstlagen (2001:453) åt enskild i den verksamhet som bedrivs av socialnämnderna.
10 §
Personuppgifter som behandlas enligt 7-9 §§ får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Personuppgifter som behandlas för något av de ändamål som anges i 7 och 8 §§ får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
11 §
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får vidare behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.
Samtliga sådana personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas om det är nödvändigt för något av de ändamål som anges i 7 § 1 samt 8 §.
För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet.
Känsliga personuppgifter om hälsa får också behandlas om det är nödvändigt för något av de ändamål som anges i 7 § 2-7 och 10 §.
Utöver vad som följer av första stycket första meningen och andra stycket får känsliga personuppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2-4.
För de ändamål som anges i 7 § 4-7, 8 och 10 §§ får dock endast sådana känsliga personuppgifter behandlas som behandlas eller har behandlats för något av de ändamål som anges i 7 § 1-3.
Tilldelning av behörighet
Tillgång till personuppgifter
17 §
Behörighet för åtkomst till socialförsäkringsdatabasen ska inom socialförsäkringens administration tilldelas genom en särskild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.
Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Behörighet för åtkomst till socialförsäkringsdatabasen och till personuppgifter hos Migrationsverket ska begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras på ett ändamålsenligt sätt.
18 §
Direktåtkomst till socialförsäkringsdatabasen är tillåten endast i den utsträckning som anges i lag eller förordning.
Direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten är tillåten endast i den utsträckning som anges i lag eller förordning.
19 §
Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för de ändamål som anges i 7-9 §§. Sådan direktåtkomst ska vara förbehållen de personkategorier som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
Försäkringskassan får, om det behövs för något av de ändamål som anges i 7 § 1 och 2, ha direktåtkomst till personuppgifter hos Pensionsmyndigheten.
20 §
Pensionsmyndigheten får, om det behövs för något av de ändamål som anges i 7 § 1 och 2, ha direktåtkomst till personuppgifter hos Försäkringskassan.
21 §
Centrala studiestödsnämnden och arbetslöshetskassorna får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för ändamål som anges i 8 § 1.
Arbetsförmedlingen, kommuner och regioner som deltar i samverkan och sådan finansiell samordning som avses i lagen (2003:1210) om finansiell samordning av rehabiliteringsinsatser får ha direktåtkomst till sådana personuppgifter hos Försäkringskassan som behandlas med anledning av samordningen i den utsträckning den registrerade samtycker till det.
22 §
En socialnämnd får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för ändamål som anges i 8 § 4. En socialnämnd får ha direktåtkomst först sedan Försäkringskassan eller Pensionsmyndigheten har försäkrat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden.
Den registrerade får ha direktåtkomst till sådana personuppgifter om sig själv som behandlas hos Försäkringskassan och Pensionsmyndigheten för något av de ändamål som anges i 7 § 1 och 2 under förutsättning att uppgifterna får lämnas ut till denne. Motsvarande direktåtkomst får även ges till förmyndare, förvaltare, god man och ombud för den registrerade.
23 §
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav på säkerhetsåtgärder som ska gälla vid direktåtkomst.
Sökbegrepp
Sökbegränsning
27 §
Känsliga personuppgifter eller uppgifter som avses i 12 § första stycket får inte användas som sökbegrepp vid sökning i socialförsäkringsdatabasen.
Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.
Utan hinder av de begränsningar för sökning som anges i första stycket får personuppgifter som rör hälsa användas
1. i syfte att få fram ett urval av personer grundat på uppgift om förmån eller ersättning, och
2. som urvalskriterium vid sammanställningar om regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om det.
30 §
Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i sådan information som avses i artikel 15 i EU:s dataskyddsförordning om den registrerade tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess.
Personuppgifter som den registrerade har tagit del av och som behandlas i löpande text i ärenden behöver endast tas med i sådan information som avses i artikel 15 i EU:s dataskyddsförordning om den registrerade begär det. Av informationen ska det dock framgå i vilka ärenden det behandlas personuppgifter i löpande text.
31 §
Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för det ändamål de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
114 a kap.
Innehåll
1 §
I detta kapitel finns bestämmelser om
- avgifter i 2 §,
- uppgiftsskyldighet i 3 och 4 §§, och
- tystnadsplikt i 5 §.
Avgifter
2 §
Avgifter får tas ut för utlämnande av uppgifter och handlingar från sådan verksamhet som avses i 114 kap. 2 §.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
Uppgiftsskyldighet
3 §
Försäkringskassan och Pensionsmyndigheten ska på begäran lämna Inspektionen för socialförsäkringen de uppgifter som inspektionen behöver för sin systemtillsyn och effektivitetsgranskning enligt 2 § första stycket 1 och 2 samt 3 § förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen.
4 §
Försäkringskassan och Pensionsmyndigheten har rätt att, utan hinder av sekretess, ta del av sådana personuppgifter som myndigheterna har möjlighet att ge varandra direktåtkomst till med stöd av 114 kap. 19 och 20 §§.
Tystnadsplikt
5 §
Den som genom sin befattning med personuppgifter som inhämtats från Försäkringskassan och Pensionsmyndigheten till det för kommunerna och regionerna gemensamma organet för administration av personalpensioner får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter.
Denna lag träder i kraft den 1 mars 2023.
Förslag till lag om ändring i socialförsäkringsbalken - alternativ 2
Härigenom föreskrivs i fråga om socialförsäkringsbalken
dels att 114 kap. 5, 9, 12, 13, 14, 15, 16, 24, 25, 26, 26 a, 28, 29, 32, 34 och 35 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 114 kap. 14, 24, 29, 32, 34 och 35 §§ ska utgå,
dels att 114 kap. 1, 2, 6, 6 a, 7, 8, 10, 11, 17, 18, 19, 21, 22, 27, 30 och 31 §§ och rubrikerna närmast före 11, 17 och 27 §§ ska ha följande lydelse,
dels att det ska införas ett nytt 114 a kapitel och två nya paragrafer, 114 kap. 20 och 23 §§.
Nuvarande lydelse
Föreslagen lydelse
114 kap.
1 §
I detta kapitel finns allmänna bestämmelser i 2-5 §§.
Vidare finns bestämmelser om
- förhållandet till annan reglering i 6 §,
- personuppgiftsansvar i 6 a §,
- ändamål för behandling av personuppgifter i 7-10 §§,
- behandling av känsliga personuppgifter m.m. i 11-13 §§,
- behandling av personuppgifter i socialförsäkringsdatabasen i 14-16 §§,
- tilldelning av behörighet i 17 §,
- direktåtkomst i 18-23 §§,
- utlämnande på medium för automatisk behandling i 24-26 a §§,
- sökbegrepp i 27 och 28 §§,
- överföring av personuppgifter till tredjeland i 29 §,
- information i 30 §,
- gallring i 31 §,
- avgifter i 32 §,
- kontrollverksamhet i 34 §, och
- tystnadsplikt i 35 §.
I detta kapitel finns allmänna bestämmelser i 2-4 §§.
Vidare finns bestämmelser om
- förhållandet till annan reglering i 6 §,
- personuppgiftsansvar i 6 a §,
- ändamål för behandling av personuppgifter i 7-8 och 10 §§,
- behandling av känsliga personuppgifter i 11 §,
- tillgång till personuppgifter i 17 §,
- direktåtkomst i 18-23 §§,
- sökbegränsning i 27 §,
- information i 30 §, och
- gallring i 31 §.
2 §
Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som gäller förmåner enligt denna balk, samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten. Med socialförsäkringens administration avses i detta kapitel administration hos dessa myndigheter.
Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som gäller förmåner enligt denna balk, samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten.
Kapitlet gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Bestämmelserna i 7-16, 27, 28 och 31 §§ gäller i tillämpliga delar även uppgifter om avlidna personer.
Vid behandling av uppgifter om avlidna ska detta kapitel och föreskrifter som har meddelats i anslutning till det, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen gälla i tillämpliga delar.
6 §
Detta kapitel innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Detta kapitel innehåller bestämmelser som kompletterar EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt detta kapitel gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
Vid behandling av personuppgifter enligt detta kapitel gäller dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
6 a §
En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför.
Försäkringskassan och Pensionsmyndigheten är personuppgiftsansvarig för behandling av personuppgifter i respektive myndighets verksamhet.
7 §
Försäkringskassan och Pensionsmyndigheten får i sin verksamhet behandla personuppgifter om det är nödvändigt för att
1. återsöka vägledande avgöranden,
2. tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar som avses i 2 § ska kunna bedömas eller fastställas,
3. informera om sådana förmåner och ersättningar som avses i 2 §,
4. handlägga ärenden,
5. planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet, eller
6. framställa statistik i fråga om verksamhet enligt 4 och 5.
Vid behandling för det ändamål som anges i första stycket 1 får inte uppgifter som direkt pekar ut den registrerade användas.
Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter om det är nödvändigt för att administrera socialförsäkringen och andra förmåner och ersättningar som enligt lag eller förordning ska administreras av myndigheterna.
8 §
Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas av Försäkringskassan och Pensionsmyndigheten för tillhandahållande av information som behövs
Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas av Försäkringskassan och Pensionsmyndigheten för att fullgöra uppgiftslämnande som
1. som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda i den verksamhet som bedrivs av Centrala studiestödsnämnden och arbetslöshetskassorna,
1. sker i överensstämmelse med lag eller förordning, eller
2. för samordning av tjänstepensioner i den verksamhet som bedrivs av Statens tjänstepensionsverk och det för kommunerna och regionerna gemensamma organet för administration av personalpensioner,
2. följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
3. för handläggning av ärenden hos Statens tjänstepensionsverk där regler om statens tjänstegrupplivförsäkring ska tillämpas, eller
4. som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. socialtjänstlagen (2001:453) åt enskild i den verksamhet som bedrivs av socialnämnderna.
10 §
Personuppgifter som behandlas enligt 7-9 §§ får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Personuppgifter som behandlas för något av de ändamål som anges i 7 och 8 §§ får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
11 §
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får vidare behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.
Samtliga sådana personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas om det är nödvändigt för något av de ändamål som anges i 7 och 8 §§.
För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet.
Känsliga personuppgifter om hälsa får också behandlas om det är nödvändigt för något av de ändamål som anges i 10 §.
Utöver vad som följer av första stycket första meningen och andra stycket får känsliga personuppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2-4.
För de ändamål som anges i 8 och 10 §§ får dock endast sådana känsliga personuppgifter behandlas som behandlas eller har behandlats för det ändamål som anges i 7 §.
Tilldelning av behörighet
Tillgång till personuppgifter
17 §
Behörighet för åtkomst till socialförsäkringsdatabasen ska inom socialförsäkringens administration tilldelas genom en särskild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.
Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Behörighet för åtkomst till socialförsäkringsdatabasen och till personuppgifter hos Migrationsverket ska begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras på ett ändamålsenligt sätt.
18 §
Direktåtkomst till socialförsäkringsdatabasen är tillåten endast i den utsträckning som anges i lag eller förordning.
Direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten är tillåten endast i den utsträckning som anges i lag eller förordning.
19 §
Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för de ändamål som anges i 7-9 §§. Sådan direktåtkomst ska vara förbehållen de personkategorier som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
Försäkringskassan får, om det behövs för något av de ändamål som anges i 7 §, ha direktåtkomst till personuppgifter hos Pensionsmyndigheten.
20 §
Pensionsmyndigheten får, om det behövs för något av de ändamål som anges i 7 §, ha direktåtkomst till personuppgifter hos Försäkringskassan.
21 §
Centrala studiestödsnämnden och arbetslöshetskassorna får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för ändamål som anges i 8 § 1.
Arbetsförmedlingen, kommuner och regioner som deltar i samverkan och sådan finansiell samordning som avses i lagen (2003:1210) om finansiell samordning av rehabiliteringsinsatser får ha direktåtkomst till sådana personuppgifter hos Försäkringskassan som behandlas med anledning av samordningen i den utsträckning den registrerade samtycker till det.
22 §
En socialnämnd får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för ändamål som anges i 8 § 4. En socialnämnd får ha direktåtkomst först sedan Försäkringskassan eller Pensionsmyndigheten har försäkrat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden.
Den registrerade får ha direktåtkomst till sådana personuppgifter om sig själv som behandlas hos Försäkringskassan och Pensionsmyndigheten för något av de ändamål som anges i 7 § 1 och 2 under förutsättning att uppgifterna får lämnas ut till denne. Motsvarande direktåtkomst får även ges till förmyndare, förvaltare, god man och ombud för den registrerade.
23 §
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav på säkerhetsåtgärder som ska gälla vid direktåtkomst.
Sökbegrepp
Sökbegränsning
27 §
Känsliga personuppgifter eller uppgifter som avses i 12 § första stycket får inte användas som sökbegrepp vid sökning i socialförsäkringsdatabasen.
Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.
Utan hinder av de begränsningar för sökning som anges i första stycket får personuppgifter som rör hälsa användas
1. i syfte att få fram ett urval av personer grundat på uppgift om förmån eller ersättning, och
2. som urvalskriterium vid sammanställningar om regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om det.
30 §
Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i sådan information som avses i artikel 15 i EU:s dataskyddsförordning om den registrerade tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess.
Personuppgifter som den registrerade har tagit del av och som behandlas i löpande text i ärenden behöver endast tas med i sådan information som avses i artikel 15 i EU:s dataskyddsförordning om den registrerade begär det. Av informationen ska det dock framgå i vilka ärenden det behandlas personuppgifter i löpande text.
31 §
Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för det ändamål de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
114 a kap.
Innehåll
1 §
I detta kapitel finns bestämmelser om
- avgifter i 2 §,
- uppgiftsskyldighet i 3 och 4 §§, och
- tystnadsplikt i 5 §.
Avgifter
2 §
Avgifter får tas ut för utlämnande av uppgifter och handlingar från sådan verksamhet som avses i 114 kap. 2 §.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
Uppgiftsskyldighet
3 §
Försäkringskassan och Pensionsmyndigheten ska på begäran lämna Inspektionen för socialförsäkringen de uppgifter som inspektionen behöver för sin systemtillsyn och effektivitetsgranskning enligt 2 § första stycket 1 och 2 samt 3 § förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen.
4 §
Försäkringskassan och Pensionsmyndigheten har rätt att, utan hinder av sekretess, ta del av sådana personuppgifter som myndigheterna har möjlighet att ge varandra direktåtkomst till med stöd av 114 kap. 19 och 20 §§.
Tystnadsplikt
5 §
Den som genom sin befattning med personuppgifter som inhämtats från Försäkringskassan och Pensionsmyndigheten till det för kommunerna och regionerna gemensamma organet för administration av personalpensioner får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter.
Denna lag träder i kraft den 1 mars 2023.
Förteckning över remissinstanserna (hemställan)
Efter remiss har yttranden kommit in från Allmänna ombudet för socialförsäkringen, Arbetsförmedlingen, Centrala studiestödsnämnden, Ekobrottsmyndigheten, Ekonomistyrningsverket, Filipstads kommun, Förvaltningsrätten i Malmö, Gotlands kommun, Halmstads kommun, Haninge kommun, Inspektionen för arbetslöshetsförsäkringen, Inspektionen för socialförsäkringen, Integritetsskyddsmyndigheten, Justitiekanslern, Kammarrätten i Stockholm, Luleå kommun, Migrationsverket, Myndigheten för digital förvaltning, Norrköpings kommun, Polismyndigheten, Riksarkivet, Skatteverket, Statens tjänstepensionsverk, Statistiska centralbyrån, Statskontoret, Sveriges a-kassor, Sveriges Kommuner och Regioner, Uppsala kommun och Vänersborgs kommun.
Därutöver har yttrande kommit in från Privatliv och Dataskydd Sverige.
Följande remissinstanser har inte svarat eller angett att de avstår från att lämna några synpunkter. Alvesta kommun, Arbetsgivarverket, Bengtsfors kommun, Enköpings kommun, Degerfors kommun, Forshaga kommun, Funktionsrätt Sverige, Göteborgs kommun, Helsingborgs kommun, Hudiksvalls kommun, Jönköpings kommun, Karlskrona kommun, Kiruna kommun, Kramfors kommun, Linköpings kommun, Ludvika kommun, Lunds kommun, Nyköpings kommun. Pensionärernas riksorganisation, Riksdagens ombudsmän, Skellefteå kommun, Svenska KommunalPensionärernas Förbund, Sveriges pensionärsförbund, Umeå kommun, Vallentuna kommun, Västerviks kommun, Västerås kommun och Östersunds kommun.
Sammanfattning av utkast till lagrådsremiss En modern dataskyddsreglering på socialförsäkringsområdet
I utkastet till lagrådsremiss lämnas förslag till en modern dataskyddsreglering för Försäkringskassan och Pensionsmyndigheten. Förslagen syftar till att skapa en teknikneutral lagstiftning som möjliggör en digitaliserad och effektiv verksamhet och som värnar den enskildes personliga integritet.
De ändamål för vilka Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter föreslås utvidgas på så sätt att myndigheterna får möjlighet att behandla personuppgifter om det är nödvändigt för att vidta kontrollåtgärder. Ändamålet för kontrollåtgärder är framför allt avsett att tillämpas när personuppgifter behandlas vid sidan av ärendehandläggningen i syfte att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott.
De särskilda begränsningar som gäller för utlämnande av personuppgifter på medium för automatiserad behandling (annat elektroniskt utlämnande av personuppgifter än genom direktåtkomst) föreslås slopas. Försäkringskassan och Pensionsmyndigheten ska få lämna ut personuppgifter elektroniskt på andra sätt än genom direktåtkomst under förutsättning att utlämnande kan ske med stöd i angivna ändamål och med beaktande av krav på säkerhet och sekretess.
Därutöver föreslås bl.a. att uttrycket socialförsäkringsdatabasen ska utmönstras och att sökbegränsningar ska utgå från syftet med sökningen i stället för otillåtna sökbegrepp.
Lagändringarna föreslås träda i kraft den 1 januari 2024.
Lagförslag i utkastet till lagrådsremiss
Förslag till lag om ändring i socialförsäkringsbalken
Härigenom föreskrivs i fråga om socialförsäkringsbalken
dels att 114 kap. ska upphöra att gälla,
dels att det ska införas ett nytt kapitel, 114 kap., av följande lydelse.
114 kap. Behandling av personuppgifter
Innehåll
1 § I detta kapitel finns bestämmelser om
- tillämpningsområdet i 2 §,
- förhållandet till annan reglering i 3 och 4 §§,
- uppgifter om avlidna personer i 5 §,
- begränsning av rätten att göra invändningar i 6 §,
- personuppgiftsansvar i 7 §,
- ändamål för behandling av personuppgifter i 8-10 §§,
- känsliga personuppgifter i 11 §,
- sökbegränsningar i 12 §,
- tillgång till personuppgifter i 13 §,
- direktåtkomst i 14 §,
- gallring i 15 §,
- avgifter i 16 §, och
- tystnadsplikt i 17 §.
Tillämpningsområdet
2 § Detta kapitel gäller vid behandling av personuppgifter i verksamhet som avser förmåner enligt denna balk, samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten.
Kapitlet gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Förhållandet till annan reglering
3 § Detta kapitel innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt detta kapitel gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
4 § I fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen (2001:99) om den officiella statistiken och i författningar som ansluter till den lagen.
Uppgifter om avlidna personer
5 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:
1. detta kapitel och föreskrifter som har meddelats i anslutning till det,
2. EU:s dataskyddsförordning, och
3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den.
Begränsning av rätten att göra invändningar
6 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
Personuppgiftsansvar
7 § Försäkringskassan och Pensionsmyndigheten är personuppgiftsansvariga för behandling av personuppgifter i sina respektive verksamheter.
Ändamål för behandling av personuppgifter
8 § Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter om det är nödvändigt för att
1. tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar som avses i 2 § ska kunna bedömas eller fastställas,
2. informera om sådana förmåner och ersättningar som avses i 2 §,
3. handlägga ärenden,
4. vidta kontrollåtgärder,
5. planera sina respektive verksamheter,
6. inom sina respektive verksamheter genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn,
7. framställa statistik i fråga om verksamhet enligt 3-6, eller
8. återsöka vägledande avgöranden.
Vid behandling för det ändamål som anges i första stycket 8 får inte uppgifter som direkt pekar ut den registrerade användas.
9 § Personuppgifter som behandlas för ändamål som anges i 8 § får också behandlas av Försäkringskassan och Pensionsmyndigheten för att fullgöra uppgiftslämnande som
1. sker i överensstämmelse med lag eller förordning, eller
2. följer av unionsrätten inom Europeiska unionen, åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.
10 § Personuppgifter som behandlas enligt 8 och 9 §§ får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Känsliga personuppgifter
11 § Sådana personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas om uppgifterna lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får också behandlas om det är nödvändigt för något av de ändamål som anges i 8 § första stycket 8 och 9 §.
Känsliga personuppgifter om hälsa får även behandlas om det är
1. nödvändigt för något av de ändamål som anges i 8 § första stycket 1 och 2,
2. nödvändigt för något av de ändamål som anges i 8 § första stycket
4-7 och uppgifterna behandlas eller har behandlats för något av de ändamål som anges i 8 § första stycket 1-3, eller
3. absolut nödvändigt för behandling med stöd av 10 § och uppgifterna behandlas eller har behandlats för något av de ändamål som anges i 8 § första stycket 1-3.
I andra fall får känsliga personuppgifter inte behandlas.
Sökbegränsningar
12 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter om hälsa får behandlas i syfte att få fram ett urval av personer.
Sökningar får dock alltid utföras i syfte att få fram ett urval av personer grundat på sådana personuppgifter om hälsa som avser förmån eller ersättning. Detta gäller under förutsättning att sökningen sker för de ändamål som anges i 8 §.
Tillgång till personuppgifter
13 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Direktåtkomst
14 § Direktåtkomst till personuppgifter i sådan verksamhet som avses i 2 § är tillåten endast i den utsträckning som anges i lag eller förordning.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att en förvaltningsmyndighet får medges direktåtkomst enligt första stycket och vilka uppgifter som då får omfattas av direktåtkomsten.
Gallring
15 § Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 8 §.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Avgifter
16 § Avgifter får tas ut för utlämnande av uppgifter och handlingar från sådan verksamhet som avses i 2 §.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om uttagandet av avgifter.
Rätten att ta ut avgifter enligt första och andra stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Tystnadsplikt
17 § Den som, genom sin befattning med personuppgifter som inhämtats från sådan verksamhet som avses i 2 § till det för kommunerna och regionerna gemensamma organet för administration av personalpensioner, får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter.
Denna lag träder i kraft den 1 januari 2024.
Förteckning över remissinstanserna (utkastet till lagrådsremiss)
Efter remiss har yttranden kommit in från Allmänna ombudet för socialförsäkringen, Arbetsförmedlingen, Arbetsgivarverket, Centrala studiestödsnämnden, Ekobrottsmyndigheten, Ekonomistyrningsverket, Enköpings kommun, Försäkringskassan, Förvaltningsrätten i Malmö, Göteborgs kommun, Haninge kommun, Integritetsskyddsmyndigheten, Inspektionen för arbetslöshetsförsäkringen, Inspektionen för socialförsäkringen, Justitiekanslern, Kammarrätten i Stockholm, Migrationsverket, Myndigheten för digital förvaltning, Pensionsmyndigheten, Polismyndigheten, Riksarkivet, Skatteverket, Skellefteå kommun, Statens tjänstepensionsverk, Statistiska centralbyrån, Statskontoret, Svenska KommunalPensionärernas Förbund, Sveriges advokatsamfund, Sveriges a-kassor, Sveriges Kommuner och Regioner, Umeå kommun, Vallentuna kommun och Vänersborgs kommun.
Följande remissinstanser har inte svarat eller angett att de avstår från att lämna några synpunkter. Alvesta kommun, Bengtsfors kommun, Degerfors kommun, Filipstads kommun, Forshaga kommun, Forum för dataskydd, Funktionsrätt Sverige, Gotlands kommun, Halmstads kommun, Helsingborgs kommun, Hudiksvalls kommun, Jönköpings kommun, Karlskrona kommun, Kiruna kommun, Kramfors kommun, Linköpings kommun, Ludvika kommun, Luleå kommun, Lunds kommun, Myndigheten för delaktighet, Norrköpings kommun, Nyköpings kommun, Pensionärernas riksorganisation, Riksdagens ombudsmän, Sveriges pensionärsförbund, Uppsala kommun, Västerviks kommun, Västerås kommun och Östersunds kommun.
Lagrådsremissens lagförslag
Förslag till lag om ändring i socialförsäkringsbalken
Härigenom föreskrivs i fråga om socialförsäkringsbalken
dels att 114 kap. ska upphöra att gälla,
dels att det ska införas ett nytt kapitel, 114 kap., av följande lydelse.
114 kap. Behandling av personuppgifter
Innehåll
1 § I detta kapitel finns bestämmelser om
- tillämpningsområdet i 2 §,
- förhållandet till annan reglering i 3 och 4 §§,
- uppgifter om avlidna personer i 5 §,
- begränsning av rätten att göra invändningar i 6 §,
- personuppgiftsansvar i 7 §,
- ändamål för behandling av personuppgifter i 8-10 §§,
- känsliga personuppgifter i 11 §,
- sökbegränsningar i 12 §,
- tillgång till personuppgifter i 13 §,
- direktåtkomst i 14 §,
- gallring i 15 §,
- avgifter i 16 §, och
- tystnadsplikt i 17 §.
Tillämpningsområdet
2 § Detta kapitel gäller vid behandling av personuppgifter i verksamhet som avser förmåner enligt denna balk samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten.
Kapitlet gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Förhållandet till annan reglering
3 § Detta kapitel innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt detta kapitel gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds-förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
4 § I fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen (2001:99) om den officiella statistiken och i föreskrifter som har meddelats i anslutning till den lagen.
Uppgifter om avlidna personer
5 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:
1. detta kapitel och föreskrifter som har meddelats i anslutning till kapitlet,
2. EU:s dataskyddsförordning, och
3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.
Begränsning av rätten att göra invändningar
6 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
Personuppgiftsansvar
7 § Försäkringskassan och Pensionsmyndigheten är personuppgiftsansvariga för behandling av personuppgifter i sina respektive verksamheter.
Ändamål för behandling av personuppgifter
8 § Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter om det är nödvändigt för att
1. tillgodose behovet av det underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar ska kunna bedömas eller fastställas,
2. informera om förmåner och ersättningar,
3. handlägga ärenden,
4. vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott,
5. planera sina respektive verksamheter,
6. inom sina respektive verksamheter genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn, eller
7. framställa statistik i fråga om verksamhet enligt 3-6.
9 § Personuppgifter som behandlas för ändamål som anges i 8 § får även behandlas av Försäkringskassan och Pensionsmyndigheten för att fullgöra uppgiftslämnande som
1. sker i överensstämmelse med lag eller förordning, eller
2. följer av unionsrätten, åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.
10 § Personuppgifter som behandlas enligt 8 eller 9 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Känsliga personuppgifter
11 § Sådana personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får också behandlas om det är nödvändigt för något av de ändamål som anges i 9 §.
Känsliga personuppgifter om hälsa får även behandlas om det är
1. nödvändigt för något av de ändamål som anges i 8 § 1 och 2,
2. nödvändigt för något av de ändamål som anges i 8 § 4-7 och uppgifterna behandlas eller har behandlats för något av de ändamål som anges i 8 § 1-3, eller
3. absolut nödvändigt för behandling med stöd av 10 § och uppgifterna behandlas eller har behandlats för något av de ändamål som anges i 8 §
1-3.
I andra fall får känsliga personuppgifter inte behandlas.
Sökbegränsningar
12 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För de ändamål som anges i 8 § får dock sökningar utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa, om uppgiften avser förmån eller ersättning eller om urvalet ska användas för att
1. vidta åtgärder i handläggningen,
2. planera, följa upp eller utvärdera handläggningen, eller
3. vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.
Tillgång till personuppgifter
13 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Direktåtkomst
14 § Direktåtkomst till personuppgifter i sådan verksamhet som avses i 2 § är tillåten endast i den utsträckning som anges i lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vem som får medges direktåtkomst och vilka uppgifter som då får omfattas av direktåtkomsten.
Gallring
15 § Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 8 §.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Avgifter
16 § Avgifter får tas ut för utlämnande av uppgifter och handlingar från sådan verksamhet som avses i 2 §.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om uttagandet av avgifter.
Rätten att ta ut avgifter enligt första och andra styckena får inte innebära någon inskränkning i rätten att ta del av och mot fastställd avgift få en kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Tystnadsplikt
17 § Den som, genom sin befattning med personuppgifter som inhämtats från sådan verksamhet som avses i 2 § till det för kommunerna och regionerna gemensamma organet för administration av personalpensioner, får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter.
Denna lag träder i kraft den 15 februari 2024.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2023-09-27
Närvarande: F.d. justitierådet Mari Andersson samt justitieråden Kristina Svahn Starrsjö och Eric M. Runesson
En modern dataskyddsreglering på socialförsäkringsområdet
Enligt en lagrådsremiss den 21 september 2023 har regeringen (Socialdepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om ändring i socialförsäkringsbalken.
Förslaget har inför Lagrådet föredragits av kanslirådet Jenny Gaudio, biträdd av departementssekreteraren Hélène Runsten.
Lagrådet lämnar förslaget utan erinran.
Socialdepartementet
Utdrag ur protokoll vid regeringssammanträde den 19 oktober 2023
Närvarande: statsrådet Billström, ordförande, och statsråden Ankarberg Johansson, Edholm, Roswall, Forssmed, Forssell, Slottner, M Persson, Kullgren, Liljestrand, Brandberg, Carlson, Pourmokhtari
Föredragande: statsrådet Ankarberg Johansson
Regeringen beslutar proposition En ny dataskyddsreglering på socialförsäkringsområdet