Post 78 av 7191 träffar
En registerlag för Inspektionen för socialförsäkringen
Ansvarig myndighet: Socialdepartementet
Dokument: Prop. 146
Regeringens proposition
2023/24:146
En registerlag för Inspektionen för socialförsäkringen
Prop.
2023/24:146
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 23 maj 2024
Ulf Kristersson
Anna Tenje
(Socialdepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås en lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen (ISF). Lagen ska komplettera EU:s dataskyddsförordning och gälla vid behandling av personuppgifter i verksamhet vid ISF som avser systemtillsyn och effektivitetsgranskning. Personuppgifter ska få behandlas om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet samt för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Lagen innehåller flera olika skyddsåtgärder som avser att ge enskildas personliga integritet ett tillfredsställande skydd. Behandlingen av personuppgifter ska som huvudregel ske i projekt. Personuppgifter som samlas in för att behandlas i ett projekt får återanvändas i ett annat projekt än det som de samlats in för endast om behandlingen är nödvändig för att ISF helt eller delvis ska kunna upprepa eller följa upp det ursprungliga projektet. Personuppgifter som direkt kan hänföras till den registrerade ska som huvudregel separeras från övriga personuppgifter. Endast vissa kategorier av känsliga personuppgifter ska få ligga till grund för sökningar i syfte att få fram ett urval av personer. Dessutom innehåller lagen bestämmelser om bl.a. krav på den enskildes medgivande vid viss personuppgiftsbehandling och begränsningar av tillgången till personuppgifter.
Lagen föreslås träda i kraft den 1 januari 2025.
Innehållsförteckning
1Förslag till riksdagsbeslut4
2Förslag till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen5
3Ärendet och dess beredning8
4Inspektionen för socialförsäkringen8
4.1Myndighetens uppgifter8
4.2Tillsyns- och granskningsområdet9
4.3Samverkan med andra tillsynsmyndigheter10
4.4Verksamheten bedrivs huvudsakligen i projektform10
4.5Omvärldsbevakning och planering av verksamheten13
5Gällande rätt13
5.1Europakonventionen13
5.2EU:s dataskyddsförordning14
5.3Regeringsformen17
5.4Dataskyddslagen17
5.5Offentlighets- och sekretesslagen18
5.6Barnkonventionen18
6Behovet av reglering19
7En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen26
7.1Lagens tillämpningsområde26
7.2Förhållandet till annan dataskyddsreglering27
7.3Uppgifter om avlidna personer28
7.4Begränsning av rätten att göra invändningar30
7.5Personuppgiftsansvar32
7.6Ändamål för behandling av personuppgifter33
7.6.1Rättslig grund för behandlingen av personuppgifter33
7.6.2Primära ändamål35
7.6.3Sekundära ändamål40
7.6.4Finalitetsprincipen42
7.7Behandling av känsliga personuppgifter43
7.8Etikprövning vid forskning51
7.9Behandling av personuppgifter som rör lagöverträdelser53
7.10Sökbegränsningar54
7.11Behandling av personuppgifter i projekt58
7.12Fastställande av ramar för projekt62
7.13Medgivande till behandling av personuppgifter64
7.14Begränsning av möjligheterna att identifiera den registrerade68
7.15Begränsning av tillgången till personuppgifter72
7.16Längsta tid som personuppgifter får behandlas74
8Samlad integritets- och proportionalitetsanalys76
8.1Krav på proportionalitet76
9Ikraftträdande- och övergångsbestämmelser86
10Konsekvenser86
10.1Ekonomiska konsekvenser86
10.2Konsekvenser för den personliga integriteten87
10.3Övriga konsekvenser88
11Författningskommentar89
Sammanfattning av promemorian En registerlag för Inspektionen för socialförsäkringen99
Promemorians lagförslag100
Förteckning över remissinstanserna103
Lagrådsremissens lagförslag104
Lagrådets yttrande107
Utdrag ur protokoll vid regeringssammanträde den 23 maj 2024108
Förslag till riksdagsbeslut
Regeringens förslag:
Riksdagen antar regeringens förslag till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen.
Förslag till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Förhållandet till annan dataskyddsreglering
2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Uppgifter om avlidna personer
3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:
1. denna lag och föreskrifter som har meddelats i anslutning till lagen,
2. EU:s dataskyddsförordning, och
3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.
Begränsning av rätten att göra invändningar
4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.
Personuppgiftsansvar
5 § Inspektionen för socialförsäkringen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.
Ändamål för behandling av personuppgifter
6 § Inspektionen för socialförsäkringen får behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet eller inom verksamheter som gränsar till socialförsäkringsområdet.
Inom ramen för sådana undersökningar får personuppgifter behandlas även för att framställa statistik eller utföra forskning.
7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Känsliga personuppgifter och uppgifter om lagöverträdelser
8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g eller 9.2 j i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.
9 § Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) måste etikprövas.
10 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning om sökningen sker för ändamål enligt 6 §.
Behandling av personuppgifter i projekt
11 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar.
12 § Behandling av personuppgifter enligt 6 § ska ske inom ramen för ett projekt. Personuppgifter som har samlats in för att behandlas inom ramen för ett projekt får inte behandlas i ett annat projekt.
Personuppgifter får dock behandlas inom ramen för ett annat projekt än det som uppgifterna samlats in för, om behandlingen är nödvändig för att Inspektionen för socialförsäkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.
Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Inspektionen för socialförsäkringens verksamhet behöver inte ske inom ramen för ett projekt.
13 § Innan personuppgifter får behandlas inom ramen för ett projekt ska Inspektionen för socialförsäkringen fastställa
1. syftet med projektet,
2. vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras i projektet, och
3. när projektet senast ska vara avslutat.
Det fastställda syftet får inte ändras.
Information om vad som har fastställts ska hållas tillgänglig på Inspektionen för socialförsäkringens webbplats.
Medgivande till behandling av personuppgifter
14 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.
Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas.
Om ett medgivande återkallas får behandlingen av personuppgifter dock fortsätta om Inspektionen för socialförsäkringen inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering.
Begränsning av möjligheterna att identifiera den registrerade
15 § Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter, om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.
Det som sägs i första stycket hindrar inte att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.
Tillgång till personuppgifter
16 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Inspektionen för socialförsäkringen.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
1. Denna lag träder i kraft den 1 januari 2025.
2. Bestämmelserna i 12–14 §§ tillämpas inte på projekt som har inletts före ikraftträdandet.
Ärendet och dess beredning
Inom Socialdepartementet har promemorian En registerlag för Inspektionen för socialförsäkringen (Ds 2023:13) tagits fram. En sammanfattning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Socialdepartementet (S2023/01513).
I propositionen behandlas promemorians förslag.
Lagrådet
Regeringen beslutade den 4 april 2024 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Regeringen har i huvudsak följt Lagrådets förslag. Lagrådets synpunkter behandlas i avsnitt 7.14 och i författningskommentaren.
I förhållande till lagrådsremissen har dessutom vissa språkliga och redaktionella ändringar gjorts.
Inspektionen för socialförsäkringen
Myndighetens uppgifter
Inspektionen för socialförsäkringen (ISF) bildades 2009. Myndigheten har enligt förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen, här benämnd instruktionen, till uppgift att genom systemtillsyn och effektivitetsgranskning värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet.
Med systemtillsyn avses granskning av om tillsynsobjektets egna system för styrning och kontroll säkerställer en korrekt och enhetlig tillämpning av det regelverk som tillsynsobjektet ska tillämpa (1 § andra stycket instruktionen). Vid systemtillsyn granskar ISF tillsynsobjektens organisation, styrning och verksamhet och undersöker om det finns förutsättningar och metoder för en korrekt och rättssäker handläggning. Granskningen omfattar bl.a. styrdokument, handläggningsprocesser, informationssystem och system för uppföljning och kontroll. För att kunna avgöra om tillsynsobjektens verksamhet på systemnivå fungerar som avsett, analyseras ofta tillsynsobjektens handläggning i enskilda ärenden. ISF:s uppgifter omfattar dock inte tillsyn i enskilda ärenden.
Med effektivitetsgranskning avses granskning av om tillsynsobjektets verksamhet fungerar effektivt med utgångspunkt i det statliga åtagandet (1 § andra stycket instruktionen). I en effektivitetsgranskning undersöker ISF måluppfyllelse och administrativ effektivitet. Granskningar av måluppfyllelse görs ofta genom utvärdering av samhällseffekter – om socialförsäkringen ger avsedda effekter och om det uppstår oavsedda effekter för försäkrade personer och berörda verksamheter. Som en del i detta kan ISF granska nyttjandet av socialförsäkringen. Även nyttjandet av andra ersättningssystem i förhållande till socialförsäkringen kan granskas. Det kan handla om att undersöka om en viss lagändring har orsakat förflyttningar mellan olika ersättningar eller ersättningssystem. Sådana granskningar görs ofta på ett mer övergripande plan, exempelvis genom att ISF undersöker om en reform har fått den genomslagskraft som varit tänkt eller om en viss lagstiftning är relevant och anpassad till samhällsutvecklingen.
I effektivitetsgranskningarna ingår också att utvärdera om verksamheterna inom socialförsäkringsområdet utförs i enlighet med de mål som regering och riksdag har ställt upp i styrande dokument. Dessutom granskas om myndigheternas egna system för mål- och resultatstyrning skapar rätt förutsättningar för att nå uppsatta mål.
Vidare gör ISF granskningar av om de resurser som tillförs de myndigheter som administrerar socialförsäkringen används på ett kostnadseffektivt sätt. Granskningarna av administrativ effektivitet kan handla om att mäta effektiviteten i handläggningen av olika förmåner. Sådana mätningar kan göras genom att kostnader för handläggningen relateras till prestationer. Prestationer mäts genom både produktionsvolym, t.ex. antalet beslut, och handläggningens kvalitet. I granskningar av administrativ effektivitet ingår även att analysera tillsynsobjektens förutsättningar för att upprätthålla en god effektivitet, t.ex. om ärendehanteringen och beslutsstödet är organiserat och utformat på ett ändamålsenligt sätt.
Regeringens styrning påverkar tillsynsobjektens förutsättningar att bedriva en rättssäker och effektiv verksamhet. ISF:s granskningar av tillsynsobjekten kan därför även omfatta regeringens styrning.
I 3 a § instruktionen anges att ISF, i de fall det är nödvändigt, får bedriva den forskning som behövs för att myndigheten ska kunna fullgöra sina uppgifter enligt 1–3 §§. ISF kan således, under de nämnda förutsättningarna, använda forskning som metod för att utföra sin systemtillsyn eller effektivitetsgranskning.
ISF ska löpande redovisa resultatet av sin systemtillsyn och effektivitetsgranskning till regeringen (11 § instruktionen). Det sker normalt genom att myndigheten publicerar och lämnar över skriftliga rapporter till regeringen. Resultatredovisningar förekommer också i form av skrivelser till regeringen, olika typer av arbetsrapporter och vetenskapliga artiklar.
ISF har inte någon normerande roll eller några sanktionsmöjligheter i förhållande till de granskade verksamheterna. Inte heller har myndigheten någon klagomålshantering eller möjlighet att ingripa i enskilda ärenden.
ISF är inte en statistikansvarig myndighet och ansvarar därmed inte för framställning av officiell statistik enligt lagen (2001:99) om den officiella statistiken.
Tillsyns- och granskningsområdet
ISF ska utöva systemtillsyn över och utföra effektivitetsgranskning av den verksamhet som bedrivs av Försäkringskassan, Pensionsmyndigheten i de delar som inte står under Finansinspektionens tillsyn och Skatteverket i de delar som avser beslut om pensionsgrundande inkomst (2 § instruktionen). Tillsynen och granskningen får också omfatta verksamheter som gränsar till socialförsäkringsområdet (3 § instruktionen). Det handlar primärt om hur andra trygghetssystem eller verksamheter påverkar socialförsäkringen, men granskningen kan även avse det omvända förhållandet – socialförsäkringens påverkan på andra system eller verksamheter. Verksamheter som gränsar till socialförsäkringsområdet kan vara hälso- och sjukvården, som utfärdar läkarintyg för sjukskrivning, eller tjänstepensionsföretag. En annan viktig verksamhet som gränsar till socialförsäkringen är Arbetsförmedlingens verksamhet för att stödja personer som får eller har fått ersättning från sjukförsäkringen och som behöver hjälp att få eller byta arbete. ISF har också behov av att kunna undersöka hur samspelet mellan socialförsäkringen och arbetslöshetsförsäkringen fungerar för de grupper som rör sig mellan dessa försäkringar. Kommuner tillhandahåller stöd som kan påverka behovet av stöd till personer med funktionsnedsättning från socialförsäkringen, framför allt i form av insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade och enligt socialtjänstlagen (2001:453). Kommuner tillhandahåller också stöd till pensionärer.
Därutöver får tillsynen och granskningen även omfatta samverkansinsatser med anknytning till socialförsäkringsområdet (3 § instruktionen). Sådana samverkansinsatser kan vara samverkan mellan Försäkringskassan och Arbetsförmedlingen eller rehabiliteringsinsatser som finansieras av samordningsförbund. ISF:s tillsynsområde omfattar dock inte de delar som ingår i tillsynsområdet för Inspektionen för arbetslöshetsförsäkringen.
ISF gör även granskningar som inte avser en särskild verksamhet. När socialförsäkringsområdet granskas på ett mer övergripande plan, exempelvis om en viss reform har fått den genomslagskraft som varit avsedd, är det reformen som står i fokus och inte verksamheterna.
Samverkan med andra tillsynsmyndigheter
ISF ska i sin systemtillsyn och effektivitetsgranskning samverka med de tillsynsmyndigheter som kan komma att beröras av myndighetens tillsyns- eller granskningsverksamhet (4 § instruktionen). Socialförsäkringsområdet gränsar till flera andra verksamhetsområden, t.ex. hälso- och sjukvård och arbetsmarknad. Det kan därför vara aktuellt att samverka med bl.a. Socialstyrelsen, Inspektionen för vård och omsorg och Inspektionen för arbetslöshetsförsäkringen när förhållanden på socialförsäkringsområdet och angränsade områden granskas samtidigt.
Verksamheten bedrivs huvudsakligen i projektform
Verksamheten vid ISF bedrivs normalt i projektform, oavsett om det handlar om egeninitierade granskningar eller genomförande av särskilda uppdrag från regeringen. Med projekt avser ISF en planerad och avgränsad arbetsinsats som ska genomföras inom bestämda ramar. Arbetet bedrivs i enlighet med myndighetens projektvägledning.
Sådan verksamhet som avser omvärldsbevakning och planering av verksamheten bedrivs inte i projektform. Ett projekt aktualiseras först när myndigheten får ett regeringsuppdrag eller på egen hand har tagit fram en underlagspromemoria med en projektidé. För att ett projekt ska kunna inledas utformar en arbetsgrupp en projektplan som innehåller bl.a. syfte och frågeställningar, nyttan med projektet, jämställdhets- och barnrättsperspektiv, juridiska frågor, avgränsningar, hur projektet ska genomföras och metod, beskrivning av hur personuppgifter ska behandlas, bemanning, kvalitetssäkring och tidsplan. Projektplanen föredras för ledningsgruppen, varvid generaldirektören fattar beslut om att ett projekt ska startas. Därefter kan arbetet inledas och projektgruppen kan börja att samla in personuppgifter och göra de analyser som behövs för granskningen.
En projektgrupp består av en projektledare som leder arbetet i projektet och ett visst antal projektmedlemmar med olika kompetenser. En projektansvarig chef följer arbetet i projektet och ger stöd, t.ex. när det gäller praktiska frågor, vägval i projektet och frågor som rör kvaliteten. Den projektansvariga chefen säkrar tillsammans med en annan kvalitetssäkrande chef samt ledningsgruppen att rapporten uppfyller de krav ISF har på sina rapporter. Chefsjuristen har ett övergripande ansvar för den rättsliga kvaliteten i rapporten. Därutöver har projektgruppen stöd av särskilt utsedda kvalitetssäkrare när det gäller sakfrågor och metodfrågor samt av ISF:s dataskyddsombud när det gäller frågor som rör behandling av personuppgifter. Resultatet och slutsatserna från tillsyn och granskningar publiceras i rapporter och skrivelser.
Arbetsmetoder
Inom ramen för ett projekt bedriver ISF ofta flera olika undersökningar. Undersökningarna genomförs i form av dokumentstudier och rättsutredningar, registerstudier, aktstudier samt intervju- och enkätstudier. Det förekommer att uppgifter bearbetas genom framställning av statistik och forskning. Olika metoder kan kombineras för att myndigheten ska kunna belysa en fråga ur flera perspektiv. Genom att kombinera kvalitativa metoder med kvantitativa metoder är det också möjligt att dra mer djupgående slutsatser.
Dokumentstudier
När ISF granskar tillsynsobjektens styrning genom att studera interna styrdokument och informationssystem görs det genom s.k. dokumentstudier. Sådan granskning kräver inte behandling av personuppgifter i någon större omfattning. Om dokumenten innehåller personuppgifter, handlar det normalt bara om namn och kontaktuppgifter till medarbetare hos tillsynsobjekten.
Rättsutredningar
Genom rättsutredningar kartlägger ISF gällande rätt och praxis. Detta förutsätter att myndigheten tar del av domar och beslut inom det rättsområde som utreds. I många domar och beslut inom socialförsäkringsområdet förekommer personuppgifter om hälsa, som är s.k. känsliga personuppgifter (se avsnitt 7.7). ISF:s rättsutredningar kan således medföra behandling av känsliga personuppgifter.
Registerstudier
ISF utför ofta registerstudier, dvs. registerbaserade studier där myndigheten använder uppgifter från ett eller flera register som finns hos andra myndigheter eller andra organisationer. Till en sådan studie samlar myndigheten in uppgifter från såväl tillsynsobjekten som andra myndigheter och organisationer. Det kan handla om uppgifter om ansökta och beviljade förmåner och ersättningar, diagnos, yrke, kön, ålder, födelseland, inkomst, bostadsort, socialtjänstinsatser m.m. Registerstudier genomförs ofta med stora informationsmängder och kan användas för att följa individer under längre perioder. Själva studien kan utföras på kort tid av ett fåtal personer, förutsatt att nödvändiga uppgifter kan göras tillgängliga i elektronisk form.
I registerstudier behandlas endast sådana personuppgifter som inte direkt kan hänföras till den registrerade. Oftast skapas en kodnyckel av den myndighet som ISF begär registerdata från men ISF kan också ta fram en kodnyckel på egen hand. Genom kodnyckeln ersätts de registrerades personnummer, namn eller andra liknande beteckningar med ett löpnummer. ISF får på så vis endast del av personuppgifter kopplade till ett löpnummer. Den myndighet som skapat kodnyckeln förvarar den hos sig. Även om sådana personuppgifter som direkt kan hänföras till enskilda byts ut mot ett löpnummer finns det fortfarande en risk att det utifrån övriga uppgifter är möjligt att identifiera den registrerade, s.k. bakvägsidentifiering. Risken för att det genom bakvägsidentifiering går att identifiera den registrerade ökar med uppgifternas omfattning och detaljnivå. I registerstudier behandlas ofta känsliga personuppgifter.
Aktstudier
Aktstudier utförs genom granskning av ärendeakter. Detta kan ske i syfte att t.ex. bedöma om handläggningen av rätten till en viss socialförsäkringsförmån är rättssäker. Avsikten är alltså inte att bedöma handläggningen i det enskilda ärendet. Aktstudier fångar ofta information av mer kvalitativ art, men kan även användas för att samla in kvantitativa uppgifter. Eftersom aktstudier ofta innefattar mer ingående bedömningar av processer och av kvaliteten i ärendehandläggningen är de mer resurskrävande än registerstudier.
ISF tar in ärendeakter i pappersformat och har i dagsläget inga möjligheter att hantera ärendeakter i elektronisk form. Myndigheternas digitala ärendeakter behöver därför skrivas ut och skickas med post till ISF, vilket kan vara en tidskrävande process. Även granskningen av ärendeakterna sker manuellt. Ett antal uppgifter ur de ärendeakter som granskas registreras dock i ett digitalt analys- och enkätverktyg. Varje ärendeakt får ett löpnummer som används när uppgifter ur akten registreras. Den uppgiftssamling som genereras vid en aktgranskning innehåller därmed ett urval av uppgifter från de granskade akterna. Det kan bl.a. röra sig om känsliga personuppgifter. Därutöver registreras uppgifter som inte direkt går att utläsa ur den granskade akten, t.ex. ISF:s bedömningar av olika aspekter på kvaliteten i handläggningen.
Uppgifter som registrerats vid en aktgranskning kan i vissa fall behöva kopplas samman med registeruppgifter. En sådan sammankoppling förutsätter att personnummer eller annan identitetsbeteckning används. En separat nyckel skapas därför i dessa fall mellan ärendeaktens löpnummer och den registrerades personnummer. När aktgranskningen är klar kan nyckeln användas för att inhämta kompletterande uppgifter.
Intervju- och enkätstudier
ISF genomför ofta intervjustudier och ibland även enkätstudier. Intervjuerna genomförs framför allt med tjänstemän hos tillsynsobjekten eller i enstaka fall med allmänheten. En intervjustudie kan ge en djupare bild av exempelvis handläggningsprocesserna hos en myndighet. Utskick av enkäter kan göras till en riktad målgrupp.
ISF gör oftast en ljudinspelning av intervjuer och transkriberar sedan dessa. ISF behandlar inspelningar av intervjuer som personuppgifter trots att det inte alltid går att identifiera en fysisk person genom enbart rösten. Vid intervjuer med tjänstemän innehåller transkriberingen av en ljudinspelning sällan personuppgifter.
Omvärldsbevakning och planering av verksamheten
En viktig del av ISF:s arbete är att bevaka utvecklingen inom socialförsäkringsområdet. Det kan handla om att läsa domar och beslut, nyhetsbrev, artiklar, publicerade rapporter, litteratur och liknande. Det kan också handla om att hämta in styrdokument och liknande handlingar från de myndigheter som granskas och samla sådant material i ett e-bibliotek. ISF får vidare in synpunkter på socialförsäkringen från allmänheten. Genom omvärldsbevakning kan myndigheten identifiera egna förslag till projekt.
Innan ett projekt inleds har ISF behov av att kunna planera verksamheten. Det kan handla om att utvärdera om det finns underlag för en viss undersökning och ta ställning till om det är meningsfullt att inleda en tillsyn eller granskning. Genom kartläggningar av socialförsäkringen kan ISF bl.a göra översikter av hur vissa förmåner används eller hur ersättningsnivåer utvecklats över tid. Syftet med kartläggningar är att bidra till att identifiera områden eller frågor som kan komma att bli föremål för systemtillsyn eller effektivitetsgranskning.
I praktiken är omvärldsbevakning och planering av verksamheten en simultan process. Omvärldsbevakning kan ge upphov till planering och planering kan ge anledning till omvärldsbevakning. Sådan verksamhet bedrivs inte i projektform.
Gällande rätt
Europakonventionen
Enligt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, här benämnd Europakonventionen, har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rättighet annat än med stöd av lag och under förutsättning att det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
När det gäller kravet på lagreglering krävs bl.a. att den nationella författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar och de ska vara allmänt tillgängliga. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse som åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.
Europakonventionen gäller som lag i Sverige. Av regeringsformen, förkortad RF, framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen (2 kap. 19 §).
EU:s dataskyddsförordning
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, är direkt tillämplig i alla medlemsstater. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter, och att främja det fria flödet av personuppgifter inom unionen.
Det materiella tillämpningsområdet för EU:s dataskyddsförordning omfattar sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Vissa undantag från tillämpningsområdet görs dock. Exempelvis ska behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten inte omfattas av förordningens bestämmelser (artikel 2.2 a). Enligt artikel 2.2 d gäller EU:s dataskyddsförordning inte heller för bl.a. sådan personuppgiftsbehandling som omfattas av tillämpningsområdet för Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet).
För att en behandling av personuppgifter ska vara tillåten, krävs att någon av de rättsliga grunder som anges i artikel 6 i EU:s dataskyddsförordning är tillämplig. Av särskilt intresse för myndigheters verksamhet är artikel 6.1 c som gäller när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och artikel 6.1 e som gäller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Av artikel 5 framgår ett antal grundläggande principer som gäller för all behandling av personuppgifter. Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Personuppgifterna ska vara korrekta – alla rimliga åtgärder ska vidtas för att felaktiga uppgifter rättas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandlingen ska ske på ett säkert sätt och inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter, kan dock personuppgifter lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Personuppgifter som samlats in för ett visst ändamål får som huvudregel inte behandlas för något annat ändamål som är oförenligt med det ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering (artiklarna 5.1 b och 6.4).
Artiklarna 5 och 6 är grundläggande och kumulativa. Det innebär att någon av de rättsliga grunderna i artikel 6 måste vara tillämplig, samtidigt som samtliga principer i artikel 5 ska följas.
EU:s dataskyddsförordning både förutsätter och medger nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gäller särskilt sådan behandling som sker inom den offentliga sektorn. Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Bestämmelserna får innehålla specifika krav för behandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling.
Av artikel 6.3 framgår att den rättsliga grunden, vid behandling enligt artikel 6.1 c och e, ska fastställas i unionsrätten eller i nationell rätt. Syftet med behandlingen ska i sin tur fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i EU:s dataskyddsförordning, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjuden. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Från huvudregeln att dessa särskilda kategorier av personuppgifter inte får behandlas finns flera undantag (artikel 9.2). Sådan behandling är bl.a. tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder måste ske under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs (artikel 10).
EU:s dataskyddsförordning föreskriver ett antal rättigheter för den registrerade och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rätt att få omfattande information från den personuppgiftsansvarige (artiklarna 12–14). Den registrerade kan också begära registerutdrag med information om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få felaktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artiklarna 16–18). Rätten till radering gäller dock inte för behandling som sker med stöd av grunderna i artikel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning). Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning (artikel 21). En ytterligare rättighet för den registrerade är att slippa bli föremål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22).
Vissa av de rättigheter och skyldigheter som föreskrivs i förordningen får begränsas i nationell rätt. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23.1, t.ex. en medlemsstats viktiga mål av generellt allmänt intresse.
Om EU:s dataskyddsförordning föreskriver att förtydliganden eller begränsningar av dess bestämmelser kan göras i medlemsstaternas nationella rätt kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8). Regeringen har i propositionen Ny dataskyddslag gjort bedömningen att detta innebär att förordningen ger medlemsstaterna möjlighet att i lagar på nationell nivå föreskriva vissa anpassade bestämmelser (prop. 2017/18:105 s. 21–23). Principen om unionsrättens företräde innebär dock att bestämmelser i sådana författningar måste vara förenliga med EU:s dataskyddsförordning.
Regeringsformen
I regeringsformens målsättningsstadgande i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och värdighet. Vidare anges i dess fjärde stycke att det allmänna bl.a. ska värna den enskildes privatliv och familjeliv. Grundläggande bestämmelser till skydd för den personliga integriteten som gäller i förhållandet mellan enskilda och staten finns i 2 kap. RF. Av 2 kap. 6 § andra stycket RF följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.
Dataskyddslagen
Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, innehåller bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Inom ramen för det utrymme som EU:s dataskyddsförordning ger reglerar lagen bl.a. frågor om rättslig grund för behandling av personuppgifter, särskilda kategorier av personuppgifter (som i nationell lagstiftning benämns känsliga personuppgifter), tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är, på samma sätt som den tidigare personuppgiftslagen var, subsidiär i förhållande till annan lag eller förordning. Det gör det möjligt att även fortsättningsvis ha från dataskyddslagen avvikande bestämmelser i sektorsspecifika registerförfattningar.
Offentlighets- och sekretesslagen
Sekretess gäller enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det. Regeringen har i 7 § offentlighets- och sekretessförordningen (2009:641) föreskrivit att sekretess gäller hos Inspektionen för socialförsäkringen (ISF) avseende undersökningar av rättstillämpning, handläggning och administration inom socialförsäkringsområdet och inom verksamheter med direkt anknytning till socialförsäkringen, undersökningar om effekter av förändringar inom socialförsäkringsområdet och om utnyttjandet av socialförsäkringen för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (24 kap. 8 § tredje stycket OSL).
Eftersom ISF är en tillsynsmyndighet gäller också tillsynssekretessen enligt 11 kap. 1 § OSL.
Barnkonventionen
FN:s konvention om barnets rättigheter, här benämnd barnkonventionen, gäller genom lagen (2018:1197) om Förenta nationernas konvention om barnets rättigheter sedan 2020 som svensk lag. Barnkonventionen innehåller fyra grundprinciper som ska vara vägledande: barnets lika värde och rätt att inte diskrimineras (artikel 2), barnets bästa (artikel 3), barnets rätt till liv, överlevnad och utveckling (artikel 6) och barnets rätt att uttrycka sina åsikter och få dem beaktade (artikel 12).
Vid alla åtgärder som rör barn, vare sig de vidtas av offentliga eller privata sociala välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ, ska i första hand beaktas vad som bedöms vara barnets bästa (artikel 3.1). Konventionsstaterna åtar sig att tillförsäkra barnet sådant skydd och sådan omvårdnad som behövs för dess välfärd, med hänsyn tagen till de rättigheter och skyldigheter som tillkommer dess föräldrar, vårdnadshavare eller andra personer som har juridiskt ansvar för barnet, och ska för detta ändamål vidta alla lämpliga lagstiftningsåtgärder och administrativa åtgärder (artikel 3.2).
Inget barn får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende (artikel 16.1). Barnet har rätt till lagens skydd mot sådana ingripanden eller angrepp (artikel 16.2).
Behovet av reglering
Regeringens förslag: En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen ska införas.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Skälen för regeringens förslag
Behovet av en registerförfattning har utretts tidigare
Inspektionen för socialförsäkringen (ISF) inrättades 2009. Redan i samband med detta pekade Utredningen för inrättandet av Inspektionen för socialförsäkringen tillsammans med myndigheten på behovet av en särskild registerförfattning för ISF:s verksamhet (S2009/4622 och S2009/5373).
I januari 2011 presenterade en arbetsgrupp vid Socialdepartementet promemorian Behandling av personuppgifter vid Inspektionen för socialförsäkringen, m.m. (Ds 2011:4). Promemorian remissbehandlades och mottog viss kritik från remissinstanserna. Enligt bl.a. ISF skulle förslagen i promemorian riskera att försämra ISF:s möjligheter att genomföra myndighetens uppdrag. Förslagen i promemorian har inte lagts till grund för lagstiftning.
I augusti 2013 beslutade regeringen att tillsätta en särskild utredare som fick i uppdrag att på nytt analysera behovet av en särskild lagreglering för behandling av personuppgifter för tillsyns- och granskningsverksamheten vid ISF (dir. 2013:83 och 2014:89). I betänkandet Inbyggd integritet inom Inspektionen för socialförsäkringen (SOU 2014:67) föreslogs en ny registerförfattning. Enligt den föreslagna lagen skulle ISF få behandla känsliga personuppgifter under förutsättning att dessa lämnats i ett tillsyns- eller granskningsärende eller annars var nödvändiga för handläggningen av ett sådant ärende. En integritetsskyddsfunktion som skulle ha till uppgift att tekniskt och administrativt skydda enskildas personliga integritet och upprätthålla en lämplig säkerhetsnivå för de personuppgifter som behandlas föreslogs också inrättas vid ISF. Betänkandet remissbehandlades. Flera remissinstanser ansåg att förslagen innebar en rimlig avvägning mellan å ena sidan kravet på en effektiv tillsyns- och granskningsverksamhet hos ISF och å andra sidan enskildas behov av skydd för den personliga integriteten. Integritetsskyddsmyndigheten (dåvarande Datainspektionen) avstyrkte dock förslaget till ny registerlag och ifrågasatte bl.a. lämpligheten i att ISF skulle kunna välja att tillämpa den föreslagna lagen eller lagen (2003:460) om etikprövning av forskning som avser människor vid behandling av känsliga personuppgifter. Datainspektionen ansåg också att de skyddsåtgärder som är av central betydelse för integritetsskyddet måste framgå av lagen för att förslaget skulle uppfylla kraven enligt regeringsformen och att det inte var tillräckligt att reglera ett krav på en integritetsskyddsfunktion. Även Vetenskapsrådet avstyrkte förslaget och ansåg att behovet av skyddsåtgärder inte var tillgodosett med enbart en integritetsskyddsfunktion inom myndigheten. Förslagen i betänkandet har inte lagts till grund för lagstiftning.
ISF:s behov av att behandla personuppgifter
ISF:s systemtillsyn och effektivitetsgranskningar aktualiserar många olika typer av undersökningar. Inom ramen för de olika undersökningarna är det ofta nödvändigt att behandla personuppgifter. För undersökningar av rättstillämpning krävs ofta behandling av uppgifter om enskildas personliga förutsättningar och de omständigheter som är aktuella i olika förmånsärenden. Undersökningar av handläggning förutsätter på motsvarande sätt uppgifter om hanteringen av och förutsättningarna i olika individärenden. För att skapa kunskap om samband, exempelvis vilken eller vilka av flera faktorer som är avgörande för handläggningen av en viss fråga, kan det vara nödvändigt att följa tillämpningen av ett visst regelverk på ärendenivå. Personuppgifter är också relevanta vid kontroller av att tillsynsobjektens verksamhetsprocesser fungerar som de ska. Utvärderingar av åtgärder och insatser inom socialförsäkringsområdet förutsätter information om deltagande och hur individerna påverkats av insatsen.
Demografiska och socioekonomiska uppgifter som beskriver individers egenskaper, t.ex. uppgifter om kön, ålder, födelseland, boende, civilstånd och familj används för att kunna undersöka skillnader mellan olika grupper och vad skillnaderna beror på. Som exempel kan det vid en effektutvärdering av en viss insats vara relevant att undersöka vad som hade hänt om insatsen inte hade införts. Det krävs då förståelse för de mekanismer som styr deltagandet i en insats, t.ex. hur hälsa och sociala omständigheter påverkar sannolikheten att en individ tar del av en insats. Detta är möjligt att undersöka genom att göra jämförelser med grupper med likartade förutsättningar. Det kan då vara relevant att behandla uppgifter om individers hälsa, sysselsättning, inkomster, yrke, bransch och utbildning.
Även effektutvärderingar och andra granskningar på ett mer övergripande plan förutsätter behandling av personuppgifter. För att det t.ex. ska vara möjligt att undersöka om förändringar inom socialförsäkringsområdet fått avsedda effekter eller göra analyser av hur ett förmånssystem fungerar, krävs uppgifter från individärenden. Detsamma gäller om ISF ska analysera hur olika förmånssystem samverkar med varandra på individnivå. Vid utvärderingar av åtgärder och insatser inom socialförsäkringsområdet används uppgifter om vilken insats en individ har deltagit i och hur individen påverkats av insatsen. Det kan också vara relevant att undersöka hur ekonomiska incitament påverkar flödet inom och mellan olika förmånssystem över tid, t.ex. mellan sjukförsäkringen och närliggande system. Att ISF har tillgång till personuppgifter är i många fall en förutsättning för att myndigheten ska kunna identifiera problem och förbättringsområden inom socialförsäkringsområdet och i gränssnitt mot andra områden.
ISF granskar också om regelverk och rättspraxis är tillräckligt vägledande. Det kan handla om att undersöka om lagstiftningen är relevant och anpassad efter samhällsutvecklingen och om tillsynsobjekten har förutsättningar för en korrekt och rättssäker handläggning. För att ISF ska kunna genomföra denna typ av granskningar måste det vara möjligt för myndigheten att söka efter praxis i olika rättsfallsdatabaser och hantera domar och beslut från domstolar och andra myndigheter.
ISF inhämtar personuppgifter från ärendeakter, databaser, register och andra uppgiftssamlingar hos såväl tillsynsobjekten som andra myndigheter och organisationer. Det krävs ofta stora mängder personuppgifter för att det ska vara möjligt att göra statistiskt säkerställda uttalanden. Ibland kan det röra sig om en stor population, exempelvis alla mellan 18 och 65 år eller alla som har fått en viss förmån medan det ibland räcker med uppgifter om mindre kretsar. Vissa uppgifter kan vara sådana särskilda kategorier av personuppgifter (känsliga personuppgifter) som avses i artikel 9 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Det handlar framför allt om uppgifter om hälsa, t.ex. uppgifter om ansökta och beviljade sjukförmåner, diagnos, funktionsnedsättning, sjukdomshistorik och hälsotillstånd i övrigt. Myndigheten har även behov av att behandla andra känsliga personuppgifter, se avsnitt 7.7. Uppgifterna sammanställs, systematiseras och analyseras.
Försäkringskassan, Pensionsmyndigheten och Skatteverket ska på begäran lämna de uppgifter till ISF som myndigheten behöver för sin systemtillsyn och effektivitetsgranskning (4 § förordningen [1980:995] om skyldighet för Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra myndigheter och 7 b § förordningen [2001:588] om behandling av uppgifter i Skatteverkets beskattningsverksamhet). Uppgifter från Försäkringskassan, Pensionsmyndigheten och Skatteverket behövs även i stor utsträckning vid tillsyn och granskning av gränsytor och samverkansinsatser. För att kunna granska hur myndigheterna samverkar med varandra eller med andra aktörer med verksamheter som gränsar till socialförsäkringsområdet är det normalt nödvändigt att hämta in uppgifter från båda samverkansparterna.
Andra myndigheter lämnar uppgifter i den mån det kan ske utan hinder av sekretess. Merparten av de uppgifter som används i olika analyser begärs ut från Statistiska centralbyrån (SCB), Arbetsförmedlingen och Socialstyrelsen men även från Inspektionen för arbetslöshetsförsäkringen (IAF) och Centrala studiestödsnämnden (CSN). Från SCB hämtar ISF uppgifter om bl.a. yrke, utbildning, bransch och sektor men även bakgrundsvariabler som kön, ålder, födelseland, inkomst och bostadsort samt uppgifter om förmåner och ersättningar. Från Arbetsförmedlingen begärs främst uppgifter om inskrivningsperioder och olika insatser vid granskning av bl.a. rehabiliteringsinsatser och samspelet med arbetslöshetsförsäkringen. Socialstyrelsen kan lämna uppgifter om t.ex. socialtjänstinsatser, insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade, vårdbesök, läkemedelsförbrukning och ekonomiskt bistånd. IAF kan tillhandahålla uppgifter om ersättningsperioder och utbetalningar av arbetslöshetsersättning. Från CSN kan ISF få uppgifter om studiehjälp och studiemedel.
Det förekommer också att ISF begär personuppgifter från andra myndigheter och organisationer som exempelvis Domstolsverket, Brottsförebyggande rådet, Kronofogdemyndigheten, Statens tjänstepensionsverk, Kriminalvården, Tandvårds- och läkemedelsförmånsverket, Skolverket, samordningsförbund, arbetslöshetskassor, Statens institutionsstyrelse och ibland även från privata aktörer.
ISF har inte alltid behov av att behandla personuppgifter för att utöva tillsyn och utföra granskningar. I dokumentstudier behandlas få personuppgifter och i vissa fall kan det vara tillräckligt att dra slutsatser utifrån statistik. I de flesta sammanhang behövs emellertid personuppgifter för att det ska vara möjligt att kontrollera uppgifterna och trygga relevanta och tillräckligt säkra resultat. Användning av enbart statistikuppgifter från de granskade myndigheterna kan göra granskningarna begränsade och orsaka bristande kvalitet eftersom helt avidentifierade uppgifter riskerar att ge otillräckliga svar på undersökningarnas frågeställningar och leda till att myndigheten missar väsentliga resultat.
I de allra flesta fall behöver de personuppgifter som ISF behandlar inte vara direkt hänförliga till enskilda. I registerstudier används kodade personuppgifter. Ärendeakter innehåller dock uppgifter om bl.a. namn och personnummer, och även vid enkäter och intervjuer med enskilda är det oftast nödvändigt att behandla personuppgifter som direkt kan hänföras till den registrerade.
En särskild reglering för personuppgiftsbehandling behövs
ISF:s behandling av personuppgifter i tillsyns- och granskningsverksamheten omfattas av bestämmelserna i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen. Detta generella regelverk ger ett visst skydd för de uppgifter som myndigheten behandlar men föreskriver inga anpassade skyddsåtgärder. Den stora mängden integritetskänsliga personuppgifter som ISF behandlar kräver ett mer anpassat skydd med bestämmelser som anger under vilka förutsättningar det är tillåtet att behandla personuppgifter i den aktuella verksamheten. För behandling av känsliga personuppgifter som är nödvändig för att utföra en uppgift av viktigt allmänt intresse kräver EU:s dataskyddsförordning också bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Även vid behandling av personuppgifter för statistik- och forskningsändamål krävs bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 j).
Regeringen har i propositionen Behandling av personuppgifter för forskningsändamål bedömt att en etikprövning av Etikprövningsmyndigheten är en sådan i nationell rätt fastställd lämplig och särskild åtgärd som krävs enligt artikel 9.2 j i EU:s dataskyddsförordning vid behandling av känsliga personuppgifter för forskningsändamål (prop. 2017/18:298 s. 87 och 88). ISF kan således behandla känsliga personuppgifter i forskningsprojekt under förutsättning att forskningen har godkänts av Etikprövningsmyndigheten. För projekt som inte har forskningsinslag krävs dock andra skyddsåtgärder. I en registerförfattning är det möjligt att fastställa en ram för personuppgiftsbehandlingen genom att ange under vilka förutsättningar personuppgifter får behandlas och vilka skyddsåtgärder som ska gälla för personuppgiftsbehandlingen. Skyddsåtgärderna kan gälla oavsett om projektet bedrivs som ett forskningsprojekt eller inte utgör forskning, varvid ett mer förutsägbart och generellt gällande skydd för den personliga integriteten säkerställs.
Försäkringskassan, Pensionsmyndigheten och Skatteverket ska på begäran lämna de uppgifter till ISF som inspektionen behöver för sin systemtillsyn och effektivitetsgranskning. Behandling av personuppgifter hos såväl Försäkringskassan och Pensionsmyndigheten som Skatteverket omfattas av registerförfattningar som beaktar de särskilda behov och risker som finns i de olika myndigheternas verksamheter. Registerförfattningarna bidrar till att myndigheterna kan fullgöra sina uppgifter på ett effektivt och ändamålsenligt sätt samtidigt som de registrerades rättigheter och skyddet för den personliga integriteten säkerställs. Enligt regeringen bör skyddet för personuppgifter som utgångspunkt inte vara mindre omfattande vid ISF än vad det är vid de myndigheter som lämnar uppgifter till ISF.
Behovet av skydd för personuppgifter kan bäst tillgodoses genom en särskild reglering för personuppgiftsbehandlingen vid ISF. Genom en sådan reglering är det möjligt att ta hänsyn till de särskilda behov som finns i myndighetens verksamhet samtidigt som ett starkt skydd för enskildas personliga integritet upprätthålls. Regleringen skapar också tydlighet och transparens för såväl tillämpare som de registrerade och övrig allmänhet. Regeringen anser därför att en särskild författning som reglerar behandlingen av personuppgifter i ISF:s tillsyns- och granskningsverksamhet bör införas.
Särskilda bestämmelser är tillåtna enligt EU:s dataskyddsförordning och dataskyddslagen
EU:s dataskyddsförordning är direkt tillämplig men förutsätter och tillåter nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gäller särskilt sådan behandling som sker inom den offentliga sektorn. Enligt artikel 6.2 får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c eller för en uppgift av allmänt intresse eller myndighetsutövning enligt 6.1 e. Detta får ske genom att medlemsstaterna närmare fastställer specifika krav för personuppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. I avsnitt 7.6.1 görs bedömningen att behandling av personuppgifter i ISF:s tillsyns- och granskningsverksamhet sker med stöd av den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Det är därför tillåtet att införa nationella bestämmelser som anpassar tillämpningen av dataskyddsförordningen.
Enligt artikel 6.3 i EU:s dataskyddsförordning ska den rättsliga grunden fastställas i unionsrätten eller i nationell rätt vid behandling enligt artikel 6.1 c eller e. Den rättsliga grunden kan innehålla särskilda bestämmelser om bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. I enlighet med skäl 8 i EU:s dataskyddsförordning kan medlemsstaterna dessutom under vissa förutsättningar, och i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella reglerna begripliga, införliva delar av förordningen i nationell rätt. Vissa rättigheter och skyldigheter enligt dataskyddsförordningen får enligt artikel 23 begränsas i den nationella rätten under förutsättning att det sker med respekt för de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle.
Dataskyddslagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket gör det möjligt att ha avvikande bestämmelser i sektorsspecifika registerförfattningar.
Regleringen bör ske i lag
Som beskrivs i avsnitt 5.3 finns det i regeringsformen, förkortad RF, grundläggande bestämmelser till skydd för den personliga integriteten. Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket RF). Begreppet enskildas personliga förhållanden har samma innebörd som i sekretesslagstiftningen och avser alltså bl.a. namn och andra identifikationsuppgifter, adress, familjeförhållanden, hälsa, fotografisk bild, uppgift om anställning och en persons ekonomi (propositionen En reformerad grundlag [prop. 2009/10:80 s. 177]).
Vid bedömningen av om en åtgärd innebär kartläggning ska åtgärdens effekter snarare än det huvudsakliga syftet med åtgärden beaktas (prop. 2009/10:80 s. 180–182). Som framgår av avsnitt 4.4 behandlar ISF stora mängder uppgifter som rör enskildas personliga förhållanden inom sin tillsyns- och granskningsverksamhet. Uppgifterna kan avse enskilda i livets alla faser och röra både privatliv och arbetsliv. Det handlar om allt från olika demografiska och socioekonomiska uppgifter om ålder, kön, boende, civilstånd, yrke och utbildning till uppgifter om sysselsättning, löneinkomster, behov av ekonomiskt stöd och känsliga personuppgifter. Uppgifterna hämtas från flera olika myndigheter och organisationer och behandlingen berör både en stor del av Sveriges befolkning och människor i andra länder. Syftet är att skapa en bred bild av individerna för analysändamål. I dessa fall får behandlingen av personuppgifter anses innebära en kartläggning av enskildas personliga förhållanden enligt regeringsformen.
Vad som utgör ett betydande intrång avgörs utifrån bl.a. uppgifternas karaktär och omfattning samt ändamålet med behandlingen (prop. 2009/10:80 s. 183 och 184). Även om ISF:s verksamhet har ett kvalitetsfokus och myndigheten inte fattar beslut som får konsekvenser för enskilda, bör myndighetens personuppgiftsbehandling mot bakgrund av uppgifternas omfattning och behandlingens integritetskänsliga karaktär till övervägande del anses kunna utgöra ett betydande intrång i den mening som avses i regeringsformen. Personuppgiftsbehandlingen bedöms därmed utgöra ett sådant betydande integritetsintrång som avses i 2 kap. 6 § andra stycket RF. Behandlingen sker i de flesta fall utan samtycke från den enskilde.
Skyddet för den personliga integriteten är inte absolut och kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning måste enligt 2 kap. 20 § RF göras genom lag. Integritetsskyddskommittén, som lämnade förslaget till grundlagsbestämmelsen i 2 kap. 6 § andra stycket RF, konstaterade att de från integritetsskyddssynpunkt viktigaste momenten i hanteringen handlar om hur uppgifter om enskilda får samlas in, ändamålet med behandlingen och i vilken utsträckning uppgifter på grund av uppgiftsskyldighet, som alltså bryter sekretess som gäller för uppgifterna, ska lämnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skäl (Skyddet för den personliga integriteten [SOU 2008:3 s. 272]). Sådana bestämmelser bör därmed meddelas i lag. Riksdagen och regeringen har tidigare också uttalat att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (propositionen om offentlighet, integritet och ADB [prop. 1990/91:60 s. 58] och utskottsbetänkandet Offentlighet, integritet och ADB [bet. 1990/91:KU11 s. 11]). Uttalandena har med åren kommit att tillämpas på såväl regleringen av regelrätta register som myndigheters behandling av personuppgifter i stort (propositionen Personuppgiftslag [prop. 1997/98:44 s. 41], utskottsbetänkandet Personuppgiftslag [bet. 1997/98:KU18 s. 43], propositionen Registrering av fastighetsrättsliga förhållanden, m.m. [prop. 1999/2000:39 s. 78] och prop. 2009/10:80 s. 183).
En särskild lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
Det finns ett behov av att särskilt reglera behandlingen av personuppgifter vid ISF. Regleringen bör fastställa en ram för personuppgiftsbehandlingen och innehålla anpassade skyddsåtgärder som ger ISF möjlighet att behandla känsliga personuppgifter i sin tillsyns- och granskningsverksamhet. Samtidigt ska regleringen säkerställa ett tillfredsställande skydd för den personliga integriteten. Regleringen bör ske i lag.
På socialförsäkringsområdet samlas gällande lagstiftning i socialförsäkringsbalken, förkortad SFB. I socialförsäkringsbalken finns bl.a. regleringen av Försäkringskassans och Pensionsmyndighetens behandling av personuppgifter. Om även bestämmelser om ISF:s behandling av personuppgifter fördes in i socialförsäkringsbalken skulle det ge en bra överblick över hanteringen av de personuppgifter som lämnas inom socialförsäkringsområdet. ISF granskar dock även andra myndigheter, bl.a. Skatteverket och Arbetsförmedlingen, vars personuppgiftsbehandling regleras i andra lagar. ISF är inte heller en del av socialförsäkringens administration (jfr 2 kap. 2 § SFB). Med hänsyn till detta och för att markera att ISF är en fristående myndighet och inte en del av de verksamheter som myndigheten granskar, föreslår regeringen att regleringen inte ska ingå i socialförsäkringsbalken utan införas i en särskild lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen.
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
Lagens tillämpningsområde
Regeringens förslag: Lagen ska gälla vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.
Lagen ska gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Skälen för regeringens förslag
Lagen bör gälla i tillsyns- och granskningsverksamheten
Inspektionen för socialförsäkringen (ISF) ska enligt förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen, här benämnd instruktionen, genom systemtillsyn och effektivitetsgranskning värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet. Myndighetens uppgifter framgår av 1–4 §§ instruktionen och beskrivs i avsnitt 4. Enligt regeringen bör den nya lagens tillämpningsområde omfatta personuppgiftsbehandling som utförs med anledning av dessa uppgifter. Lagen bör därmed vara tillämplig vid behandling av personuppgifter i sådan verksamhet vid ISF som avser systemtillsyn och effektivitetsgranskning.
ISF behandlar också personuppgifter med anledning av myndighetsintern administration. Det handlar bl.a. om personal- och lokalfrågor, ekonomiadministration och hantering av inkomna skrivelser från enskilda som inte rör tillsyns- och granskningsverksamheten. Behandling av personuppgifter i den administrativa verksamheten har inte någon närmare koppling till fullgörandet av de uppgifter som myndigheten ska utföra enligt sin instruktion. Inte heller skiljer den sig nämnvärt från den behandling som utförs av andra myndigheter eller enskilda företag. ISF:s behandling av personuppgifter inom den administrativa verksamheten bör därför inte omfattas av lagen. I stället bör den allmänna dataskyddsregleringen även fortsättningsvis tillämpas inom den verksamheten.
Lagen bör gälla automatiserad behandling och behandling i register
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Med register avses en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6). Regeringen anser att tillämpningsområdet för den föreslagna lagen bör följa tillämpningsområdet för EU:s dataskyddsförordning och därför omfatta samma slags behandlingar.
I registerförfattningar har ofta uttrycket ”en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier” använts för att beteckna register. I registerförfattningar från senare år används dock uttrycket register utan att det definieras i lagen, se t.ex. lagen (2019:663) om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap, lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter och 114 kap. socialförsäkringsbalken, förkortad SFB. Regeringen bedömer därför att uttrycket register bör användas även i den föreslagna lagen. Uttrycket bör ha samma definition som i EU:s dataskyddsförordning och behöver inte definieras i lagen. Lagen föreslås därmed gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Helt manuell behandling av personuppgifter som inte ingår eller kommer att ingå i ett register faller utanför den föreslagna lagens tillämpningsområde. Lagen kommer därmed inte att gälla vid t.ex. helt manuell granskning av ärendeakter. Däremot kommer en delvis automatiserad granskning av ärendeakter, när ISF registrerar löpnummer och ett urval av uppgifter från ärendeakterna i ett digitalt verktyg, att omfattas av lagens tillämpningsområde.
Förhållandet till annan dataskyddsreglering
Regeringens förslag: Lagen ska innehålla en upplysning om att den kompletterar EU:s dataskyddsförordning.
I lagen ska det också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Justitiekanslern noterar att s.k. upplysningsbestämmelser förekommer i flera andra lagar som tar sikte på behandling av personuppgifter inom den offentliga verksamheten och för fram att det i det fortsatta lagstiftningsarbetet kan finnas anledning att närmare överväga det eventuella behovet av en särskild upplysningsbestämmelse.
Skälen för regeringens förslag: EU:s dataskyddsförordning är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Av propositionen Ny dataskyddslag framgår att principen om unionsrättens företräde innebär att en bestämmelse i en registerförfattning får tillämpas endast om den är förenlig med EU:s dataskyddsförordning och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt (prop. 2017/18:105 s. 27). För att det ska bli tydligt för tillämparen hur de olika regleringarna förhåller sig till varandra, bör en bestämmelse med upplysning om att den föreslagna lagen kompletterar EU:s dataskyddsförordning tas in i lagen.
Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, kompletterar EU:s dataskyddsförordning på en generell nivå. Dataskyddslagen är subsidiär och gäller om inget annat följer av en annan lag eller förordning (1 kap. 6 §). Registerförfattningar innehåller ofta en upplysning om att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av den aktuella lagen (jfr propositionen Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddförordning [prop. 2017/18:171 s. 73]). Även den nu föreslagna lagen bör av tydlighetsskäl innehålla en sådan upplysning.
Regeringen gör bedömningen att det inte kommer att bli aktuellt att meddela föreskrifter med stöd av regeringens restkompetens (8 kap. 7 § första stycket 2 regeringsformen, förkortad RF). Det saknas därmed behov av en sådan upplysningsbestämmelse som Justitiekanslern avser. I likhet med bedömningen som görs i promemorian anser regeringen att det saknas behov av ett normgivningsbemyndigande. Däremot kan regeringen komma att meddela föreskrifter om verkställighet med stöd av 8 kap. 7 § första stycket 1 RF. Föreskrifter om verkställighet kan meddelas utan att en upplysningsbestämmelse införs i den nya lagen. Även sådana föreskrifter bör ha företräde framför dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, vilket bör framgå uttryckligen av den nya lagen.
Uppgifter om avlidna personer
Regeringens förslag: Vid behandling av uppgifter om avlidna personer ska lagen och föreskrifter som har meddelats i anslutning till lagen, EU:s dataskyddsförordning, dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla i tillämpliga delar.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Skatteverket anser att det är mer ändamålsenligt att ange vilka bestämmelser som ska vara tillämpliga på uppgifter om avlidna personer. Pensionsmyndigheten efterfrågar en redogörelse för vilka delar i lagen som blir tillämpliga på uppgifter om avlidna personer. Enligt Umeå universitet bör det framgå av regleringen att efterlevande inte övertar de rättigheter som tillkom den avlidne när denne var i livet.
Skälen för regeringens förslag: När uppgifter inhämtas från bl.a. Försäkringskassan, Pensionsmyndigheten och Skatteverket i syfte att utgöra underlag vid tillsyn och granskningar, kan uppgifterna i viss utsträckning avse avlidna personer. Sådana uppgifter omfattas ofta av dataskyddsbestämmelser hos den utlämnande myndigheten. Bestämmelser i 114 kap. SFB, som reglerar behandling av personuppgifter i Försäkringskassans och Pensionsmyndighetens verksamheter, gäller i tillämpliga delar för uppgifter om avlidna personer (114 kap. 5 § SFB). Av 1 kap. 1 § andra stycket lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och 1 kap. 1 § andra stycket lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet framgår att de båda lagarna gäller till stor del för uppgifter om avlidna personer. Regeringen bedömer att det är lämpligt att uppgifter som ISF hämtar in från Försäkringskassan, Pensionsmyndigheten och Skatteverket omfattas av dataskyddsbestämmelser även hos ISF. Eftersom ISF till övervägande del hanterar uppgifter som inte direkt kan hänföras till den registrerade, saknar myndigheten dessutom oftast möjlighet att särskilja sådana uppgifter som avser avlidna personer från övriga uppgifter. Regeringen föreslår därför att den nya lagen och eventuella föreskrifter som meddelats i anslutning till lagen bör gälla för samtliga individrelaterade uppgifter, inklusive uppgifter om avlidna personer.
För att få en enhetlig och heltäckande reglering bör även EU:s dataskyddsförordning, dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen gälla för uppgifter om avlidna. EU:s dataskyddsförordning är inte tillämplig på uppgifter om avlidna personer (skäl 27) och medlemsstaterna får alltså själva bestämma vad som ska gälla för sådana uppgifter, t.ex. att behandlingen ska omfattas av samma krav som gäller för personuppgifter enligt förordningen.
I huvudsak bör samma krav gälla för uppgifter om avlidna personer som för personuppgifter. Exempelvis bör ändamålsbestämmelser, krav för behandling av känsliga personuppgifter och de principer som följer av artikel 5 i EU:s dataskyddsförordning gälla för uppgifter om avlidna personer. Regleringen bör emellertid inte gälla fullt ut för uppgifter om avlidna. Som regeringen konstaterar i propositionen Stärkt integritet i Rättsmedicinalverkets verksamhet är bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt inte tillämpliga på avlidna personer. Någon möjlighet för efterlevande eller andra att överta rättigheter som tillkom den avlidne när denne var i livet finns inte heller (prop. 2019/20:106 s. 32). Det innebär t.ex. att bestämmelser om rätten till information, rätten till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till avlidna. Regeringen anser, till skillnad från Umeå universitet, att detta inte uttryckligen behöver anges i lagen. Den lagtekniska lösningen är i linje med den som används i t.ex. lagen om Rättsmedicinalverkets behandling av personuppgifter, patientdatalagen (2008:355) och i 114 kap. 5 § SFB, där tillämpningsområdet utsträckts till att även omfatta personer som inte längre är i livet. Regeringen bedömer att en sådan reglering är ändamålsenlig och att något sådant ytterligare förtydligande av vilka bestämmelser som ska gälla för uppgifter om avlidna personer, som Skatteverket och Pensionsmyndigheten efterfrågar, inte behövs.
Begränsning av rätten att göra invändningar
Regeringens förslag: Rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning ska inte gälla vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar ska dock gälla när personuppgifterna samlas in direkt från den enskilde.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Sveriges advokatsamfund anser att det, givet mängden personuppgifter och deras karaktär, är olämpligt att de registrerade generellt fråntas sin rätt att invända mot behandlingen.
Skälen för regeringens förslag
Den registrerades rätt att göra invändningar
Den registrerade har enligt EU:s dataskyddsförordning rätt att göra invändningar mot sådan behandling av personuppgifter avseende honom eller henne som grundar sig på att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 21.1). Rätten att invända mot behandlingen av personuppgifter är begränsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall har den registrerade bara rätt att göra invändningar om behandlingen inte är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). All forskning som ISF utför bedöms vara en uppgift av allmänt intresse (se avsnitt 7.7). Den registrerade har således inte rätt att göra invändningar mot sådan behandling av personuppgifter som motiveras av ISF:s forskning.
När den registrerade invänder mot behandling av personuppgifter måste den personuppgiftsansvarige kunna visa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen (artikel 21.1). Om det saknas berättigade skäl för behandlingen som väger tyngre, har den registrerade rätt att få personuppgifterna raderade (artikel 17.1 c).
Rätten att göra invändningar bör begränsas
När ISF inhämtar personuppgifter från andra myndigheter, kodar den utlämnande myndigheten i de flesta fall uppgifterna genom att ersätta personuppgifter som direkt kan hänföras till den registrerade med ett löpnummer. När så sker behåller den utlämnande myndigheten vanligtvis också kodnyckeln. De personuppgifter som ISF behandlar saknar således ofta koppling till personnummer eller annan liknande identitetsbeteckning. För att hantera en invändning i fråga om sådana uppgifter skulle ISF i praktiken vara tvungen att försöka härleda uppgifter som är kopplade till löpnummer till en enskild person. En sådan ordning skulle i sig kunna innebära en integritetskränkning och är i de flesta fall inte heller möjlig. Det finns inte heller någon skyldighet enligt EU:s dataskyddsförordning att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade i syfte att hantera en invändning (artikel 11).
Det förekommer att ISF har behov av uppgifter som kan hänföras till ett personnummer eller liknande identitetsbeteckning. Så är fallet när myndigheten hämtar in uppgifter från flera olika objekt och själv ombesörjer samkörningar. Även vid bl.a. aktstudier behandlas personuppgifter som direkt kan hänföras till den registrerade. Enligt Sveriges advokatsamfund är det, givet mängden personuppgifter och deras karaktär, olämpligt att de registrerade generellt fråntas sin rätt att invända mot ISF:s behandling av personuppgifter. Regeringen anser att det är av stor betydelse att personuppgifter får behandlas i ISF:s verksamhet oberoende av den registrerades inställning. Underlag vid olika undersökningar bör väljas ut baserat på statistiska urvalsmetoder utan att invändningar från registrerade påverkar urvalet. ISF:s berättigade skäl att behandla personuppgifter för att kunna utföra sitt uppdrag väger således i regel tyngre än den registrerades intressen. Det kan under sådana omständigheter, i likhet med vad regeringen har konstaterat i fråga om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, inte anses motiverat att ISF i varje enskilt fall ska behöva påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen innan myndigheten kan fortsätta behandla personuppgifterna (jfr propositionen Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap [prop. 2018/19:151 s. 17 och 18], propositionen Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering [prop. 2011/12:176 s. 22 och 23], propositionen Anpassningar av registerförfattningar på arbetsmarknadsområdet till EU:s dataskyddsförordning [prop. 2017/18:112 s. 51 och 52] och prop. 2023/24:29 s. 25).
Det är möjligt att i nationell rätt begränsa rätten att göra invändningar om begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa uppräknade intressen (artikel 23.1 i EU:s dataskyddsförordning). Dessa intressen innefattar bl.a. viktiga mål av generellt allmänt intresse, däribland folkhälsa och social trygghet (punkt e). ISF:s tillsyns- och granskningsverksamhet syftar till att värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet, som är en del av det sociala trygghetssystemet. Regeringen har ansett att bedrivande av verksamhet inom bl.a. socialförsäkring och pensioner, inklusive den administration dessa verksamheter kräver, är ett sådant allmänt intresse som avses i artikel 23.1 e i EU:s dataskyddsförordning (prop. 2017/18:171 s. 189). Eftersom ISF:s verksamhet avser att säkerställa att socialförsäkringen fungerar på det sätt som är tänkt, anser regeringen att även myndighetens tillsyn och granskningar får anses utgöra ett sådant allmänt intresse (jfr avsnitt 7.6.1). Som konstateras ovan väger ISF:s intresse av att behandla personuppgifter för att kunna utföra sitt uppdrag i regel tyngre än den registrerades intressen. ISF saknar också i de flesta fall möjlighet att tillgodose en invändning som avser personuppgifter som inte direkt kan hänföras till en registrerad. En begränsning av rätten att göra invändningar får därmed anses både nödvändig och proportionerlig i enlighet med artikel 23.1 e i EU:s dataskyddsförordning.
Vid en eventuell begränsning enligt artikel 23.1 i EU:s dataskyddsförordning ska det, när så är relevant, finnas vissa specifika bestämmelser om bl.a. ändamålen med behandlingen eller kategorierna av behandling och lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling (artikel 23.2 i EU:s dataskyddsförordning). Förslaget till ny lag omfattar bestämmelser om bl.a. ändamål med behandlingen och ett flertal olika skyddsåtgärder. Denna reglering anger en förhållandevis snäv ram för personuppgiftsbehandlingen och minimerar risken för kränkning av den registrerades rättigheter och friheter. Den får därmed anses uppfylla de krav som uppställs i artikel 23.2 i EU:s dataskyddsförordning.
Regeringen bedömer sammanfattningsvis att rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning som huvudregel inte bör gälla vid sådan behandling av personuppgifter som är tillåten enligt den föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgifter som samlas in direkt från den enskilde
Vid behandling av personuppgifter som samlats in direkt från den enskilde, t.ex. genom enkät- eller intervjuförfaranden, väger skälen för ett undantag från rätten att göra invändningar inte lika tungt som när uppgifterna har samlats in från någon annan. En enskild som väljer att delta i en studie och lämna sina uppgifter till myndigheten bör så långt som möjligt ges inflytande över uppgifterna. Sådana personuppgifter som samlas in från den enskilde själv är dessutom ofta direkt hänförliga till den registrerade. Det innebär att det i större utsträckning är praktiskt möjligt att tillgodose rätten att göra invändningar. Direkt hänförliga personuppgifter bör i den mån det är möjligt också omfattas av ett starkare skydd än andra uppgifter.
I avsnitt 7.13 föreslås att personuppgifter som samlas in direkt från den enskilde endast ska få behandlas om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen. Ett medgivande ska kunna återkallas, varvid personuppgifter som omfattas av det återkallade medgivandet ska raderas. Samma skäl som gör sig gällande vid den bedömningen är relevanta här.
Rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning bör enligt regeringen därför inte begränsas när det gäller sådana personuppgifter som samlas in direkt från den enskilde.
Personuppgiftsansvar
Regeringens förslag: Inspektionen för socialförsäkringen ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Skälen för regeringens förslag: Uttrycket personuppgiftsansvarig är centralt inom all dataskyddsreglering. Den personuppgiftsansvarige är skyldig att se till att behandling av personuppgifter sker i enlighet med gällande bestämmelser och enskilda ska alltid kunna vända sig till den personuppgiftsansvarige för att göra sina rättigheter gällande. Den personuppgiftsansvarige ska exempelvis ansvara för och kunna visa att de grundläggande principerna i artikel 5.1 i EU:s dataskyddsförordning efterlevs (artikel 5.2). Därutöver ska den personuppgiftsansvarige bl.a. genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning (artikel 24.1) och för att säkerställa en lämplig säkerhetsnivå (artikel 32.1).
Av definitionen i artikel 4.7 i EU:s dataskyddsförordning framgår att med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen eller medlen för behandlingen bestäms i unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Det är alltså tillåtet att i nationell rätt ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter.
Registerförfattningar innehåller regelmässigt en reglering av vem som är personuppgiftsansvarig. När ISF behandlar personuppgifter inom ramen för sin tillsyns- och granskningsverksamhet, finns det oftast inga oklarheter i fråga om personuppgiftsansvaret. En bestämmelse om personuppgiftsansvar bidrar dock till tydlighet för både myndigheten och de registrerade. Regeringen anser därför att det bör framgå av den nya lagen att ISF är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför inom lagens tillämpningsområde.
Ändamål för behandling av personuppgifter
Rättslig grund för behandlingen av personuppgifter
Regeringens bedömning: Den behandling av personuppgifter som Inspektionen för socialförsäkringen behöver utföra med anledning av sitt uppdrag har stöd i den rättsliga grunden i artikel 6.1 e i EU:s dataskyddsförordning.
Promemorians bedömning överensstämmer med regeringens bedömning.
Remissinstanserna instämmer i bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning: All behandling av personuppgifter måste ha stöd i någon av de rättsliga grunder som anges i artikel 6.1 a–f i EU:s dataskyddsförordning. Regeringen har bedömt att alla uppgifter som riksdagen eller regeringen har gett i uppdrag åt statliga myndigheter att utföra och sådan verksamhet som myndigheterna bedriver inom ramen för sin befogenhet i normalfallet är sådana uppgifter av allmänt intresse som avses i artikel 6.1 e (prop. 2017/18:105 s. 56 och 57). De uppgifter som ISF utför till följd av uppgifter i myndighetens instruktion, regleringsbrev, specifika regeringsuppdrag och myndighetsförordningen (2007:515) är således generellt uppgifter av allmänt intresse. De rättsliga grunderna är dock i viss mån överlappande och flera rättsliga grunder kan därför vara tillämpliga för en och samma behandling (prop. 2017/18:105 s. 46).
Personuppgifter får också behandlas om det i enlighet med den rättsliga grunden i artikel 6.1 c i EU:s dataskyddsförordning är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Det kan handla om bl.a. en rättsligt reglerad skyldighet att lämna uppgifter eller att utföra uppdrag enligt myndighetens instruktion. I normalfallet torde dock myndigheters uppgifter och uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e i EU:s dataskyddsförordning, dvs. på grundval av att uppgiften eller uppdraget avser en uppgift av allmänt intresse (prop. 2017/18:105 s. 53 och 54).
En behandling enligt artikel 6.1 c eller e är bara tillåten om den också är nödvändig. Att behandlingen ska vara nödvändig innebär inte att det ska vara omöjligt att uppnå syftet med behandlingen utan att personuppgifter behandlas. Vanligtvis anses det nödvändigt att behandla personuppgifter elektroniskt eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (prop. 2017/18:105 s. 46 och 47 och EU-domstolens dom i målet Huber mot Tyskland C-524/06, EU:C:2008:724). Kravet på nödvändighet innebär dock att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (propositionen Brottsdatalag [prop. 2017/18:232 s. 117]). En bedömning av om nödvändighetskravet är uppfyllt måste göras inför varje behandling.
De grunder för behandlingen som avses i artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket i EU:s dataskyddsförordning). Med detta avses, enligt skäl 41 i EU:s dataskyddsförordning, inte att den rättsliga grunden nödvändigtvis måste fastställas i lag. Däremot måste grunden vara fastställd i laga ordning på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). I 2 kap. 2 § 1 dataskyddslagen finns en upplysningsbestämmelse som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
ISF:s uppgifter regleras i instruktionen. Uppgifterna är således fastställda i förordning. För de särskilda uppdrag som regeringen ger myndigheten anges det dessutom mer specifikt i regleringsbrev eller separata regeringsbeslut vad en granskning ska omfatta. Myndighetens verksamhet omfattas också av allmän förvaltningsrättslig reglering, som förvaltningslagen (2017:900) och myndighetsförordningen. Den nu föreslagna lagen kommer dessutom att närmare fastställa den rättsliga grunden i den nationella rätten, bl.a. när det gäller de allmänna villkoren för behandling av personuppgifter, för vilka ändamål personuppgifter får behandlas och åtgärder för att tillförsäkra en laglig och rättvis behandling. Kravet på att grunden för de behandlingar som myndigheten behöver utföra ska vara rättsligt fastställd i enlighet med artikel 6.3 i EU:s dataskyddsförordning får därmed enligt regeringen anses uppfyllt genom befintlig reglering och den lag som nu föreslås.
När ändamål anges i en registerförfattning måste syftet med behandlingen av personuppgifter framgå redan av den rättsliga grunden när den handlar om rättsliga förpliktelser eller vara nödvändigt för att myndigheten ska kunna utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (jfr artikel 6.3 andra stycket). De ändamål som anges i den föreslagna lagen måste alltså vara nödvändiga för att ISF ska kunna utföra sitt uppdrag. Detta krav får anses uppfyllt så länge ändamålen knyts till ISF:s uppgifter enligt instruktionen och det inte finns någon diskrepans mellan ändamålen och de uppgifter som myndigheten förväntas utföra.
Slutligen ska den rättsliga grunden också uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Uppgifter av allmänt intresse som har fastställts i enlighet med svensk rätt uppfyller genomgående dessa krav (prop. 2017/18:105 s. 50). Kravet på proportionalitet kan också tillgodoses genom särskilt reglerade skyddsåtgärder (jfr avsnitt 8).
Sammantaget bedömer regeringen att den behandling av personuppgifter som Inspektionen för socialförsäkringen behöver utföra med anledning av sitt uppdrag har stöd i den rättsliga grunden i artikel 6.1 e i EU:s dataskyddsförordning.
Primära ändamål
Regeringens förslag: Inspektionen för socialförsäkringen ska få behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet eller inom verksamheter som gränsar till socialförsäkringsområdet.
Lagen ska innehålla en upplysning om att myndigheten även får behandla personuppgifter för att framställa statistik eller utföra forskning, om det sker inom ramen för en undersökning.
Promemorians förslag överensstämmer i sak med regeringens förslag. Promemorians förslag har en något annorlunda redaktionell utformning.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Centrala studiestödsnämnden anser att ISF ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter enligt lag eller förordning. Myndigheten för vård- och omsorgsanalys föreslår att paragrafens andra stycke förtydligas genom att ordet ”även” läggs till. Sveriges advokatsamfund framhåller att ändamål ska vara tydliga, förutsebara och uttömmande. Umeå universitet framför att det i förtydligande syfte kan övervägas att i ändamålsparagrafen ange att övriga förutsättningar för behandlingen finns specificerade i lagen.
Skälen för regeringens förslag
Ett fastställt ändamål är en grundläggande förutsättning för behandlingen
Ett fastställt ändamål är enligt EU:s dataskyddsförordning en grundläggande förutsättning för att personuppgifter ska få samlas in och i övrigt behandlas. Personuppgifter ska enligt artikel 5.1 b i EU:s dataskyddsförordning samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Detta kallas principen om ändamålsbegränsning. Möjligheten att senare behandla personuppgifterna för andra ändamål är begränsad. Den registrerade skyddas därigenom mot oväntad och integritetskränkande behandling av de personuppgifter som har samlats in. I skäl 39 i EU:s dataskyddsförordning klargörs att de specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Utifrån det fastställda ändamålet avgörs vilka personuppgifter som får behandlas (artikel 5.1 c) och den registrerade har rätt att få information om ändamålet för behandlingen av personuppgifterna (artiklarna 13–15). Även lämplig säkerhetsnivå bestäms utifrån bl.a. behandlingens ändamål (artikel 32). Ändamålet fastställs av den personuppgiftsansvarige, i EU-rätt eller i nationell rätt (artiklarna 4.7, 6.2 och 6.3). Lagstiftning som begränsar tillämpningsområdet för de rättigheter och skyldigheter som följer av EU:s dataskyddsförordning, däribland rätten att invända mot behandling, ska innehålla specifika ändamålsbestämmelser när så är relevant (artikel 23.2 a).
Primära ändamål är sådana ändamål som avser myndigheters interna verksamhet. I registerförfattningar förekommer primära ändamål med varierande detaljeringsgrad. I vissa registerförfattningar är ändamålen utförligt uppräknade, t.ex. studiestödsdatalagen (2009:287), utlänningsdatalagen (2016:27) och kustbevakningsdatalagen (2019:429). I andra registerförfattningar är ändamålen brett formulerade och snarast knutna till myndighetens generella uppdrag och tillämpningsområdet för registerförfattningen, t.ex. lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, kriminalvårdsdatalagen (2018:1235), lagen om Rättsmedicinalverkets behandling av personuppgifter och lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten. För att leva upp till kravet på särskilda, uttryckligt angivna och berättigade ändamål i EU:s dataskyddsförordning behöver myndigheten då normalt också formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet (prop. 2019/20:106 s. 39).
En bestämmelse om ändamål anger just tillåtna ändamål för behandling av personuppgifter medan andra förutsättningar för behandlingen anges i övriga bestämmelser i lagen. Regeringen anser att det inte, på det sätt som Umeå universitet föreslår, behöver anges i ändamålsbestämmelsen att fler krav för behandlingen framgår av övriga bestämmelser.
ISF gör undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet
ISF utövar systemtillsyn och utför effektivitetsgranskningar genom att undersöka olika förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. I 7 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, anges att statistiksekretess gäller hos ISF när myndigheten genomför undersökningar av rättstillämpning, handläggning och administration inom socialförsäkringsområdet och inom verksamheter med direkt anknytning till socialförsäkringen. Statistiksekretessen enligt 7 § OSF gäller också när ISF genomför undersökningar om effekter av förändringar inom socialförsäkringsområdet och om nyttjandet av socialförsäkringen. Det finns ingen definition av vad som utgör en undersökning enligt offentlighets- och sekretessförordningen. Enligt Svensk ordbok utgiven av Svenska Akademien betyder ordet undersökning noggrant studium av något. Att undersöka definieras i Svensk ordbok som att noggrant studera för att skaffa fram fakta om en viss, vanligen sammansatt företeelse i fråga om dess uppbyggnad, funktionssätt etc. En undersökning får alltså anses vara en aktivitet eller en process som syftar till att erhålla kunskap. Bestämmelsen i 7 § OSF bör kunna ses som en konkretisering av myndighetens uppgifter enligt instruktionen. Uttrycket undersökning bör därmed enligt regeringen användas för att beskriva myndighetens arbetsmetodik inom tillsyns- och granskningsverksamheten.
Undersökningarna medför behov av att samla in, systematisera, bearbeta och analysera stora mängder personuppgifter. Bedömningen av vilket urval av uppgifter som är nödvändigt att behandla görs mot bakgrund av ändamålet för den aktuella undersökningen. Det är således undersökningarna som är centrala för behandlingen av personuppgifter. Varje undersökning bör normalt ses som en behandling av personuppgifter, vilket innebär att ISF måste formulera preciserade ändamål för varje undersökning för att leva upp till kravet på särskilda, uttryckligt angivna och berättigade ändamål i artikel 5.1 b i EU:s dataskyddsförordning. Detta ska dokumenteras på ett sådant sätt att ISF kan visa att principen om ändamålsbegränsning följs (artikel 5.2 i EU:s dataskyddsförordning). I dag sker dokumentationen, förutom i ett särskilt register för behandlingar (artikel 30 i EU:s dataskyddsförordning) genom de projektplaner, projektbeslut och beställningar av data som myndigheten tar fram för att genomföra regeringsuppdrag och egeninitierade uppdrag. Det är inte möjligt att i lag fastställa alla de olika ändamål som kan aktualiseras.
ISF utför i dagsläget sina granskningar i projektform, och i den nya lagen föreslås att personuppgifter ska behandlas i projekt (avsnitt 7.11). Ett projekt kan omfatta flera olika undersökningar. Om syftet med ett projekt är att bedöma effekterna av en viss lagändring inom en socialförsäkringsförmån, skulle det inom ramen för det projektet exempelvis kunna utföras tre olika undersökningar. En undersökning skulle kunna vara en kartläggning av rättspraxis på området, en annan undersökning skulle kunna vara en aktstudie för att undersöka vilken vikt som har lagts vid det ändrade lagrekvisitet i handläggningen medan en tredje undersökning skulle kunna vara en registerstudie för att undersöka förändringar över tid inom den aktuella socialförsäkringsförmånen. Eftersom en enskild undersökning kan vara en del av ett projekt, är det nödvändigt att bedöma behovet av undersökningen utifrån ett helhetsperspektiv. För att det ska vara möjligt att förstå ändamålet med den enskilda undersökningen och kunna bedöma behovet av behandlingen, föreslås i avsnitt 7.12 att ISF ska besluta om syftet med hela projektet innan projektet inleds. Ändamålet för den enskilda undersökningen ska kunna knytas till det övergripande syftet med det projekt inom vilket undersökningen görs. Eftersom ISF:s systemtillsyn och effektivitetsgranskningar täcker hela socialförsäkringsområdet och även verksamheter som gränsar till socialförsäkringsområdet och därför kan ha många olika inriktningar, är det inte heller möjligt att precisera olika syften för projekt i lag.
Utformning av den primära ändamålsbestämmelsen
Utredningen om personuppgiftsbehandlingen vid ISF lämnade ett förslag till en lag om behandling av personuppgifter vid ISF med en ändamålsbestämmelse som utformats mot bakgrund av hur myndighetens uppgifter anges i instruktionen samt konkretiseringen av uppgifterna i 7 § OSF (SOU 2014:67 s. 99–103). Personuppgifter får enligt det förslaget behandlas om det behövs för att fullgöra inspektionens uppdrag att vid sin systemtillsyn eller effektivitetsgranskning genomföra undersökningar av rättstillämpning, handläggning och administration inom socialförsäkringsområdet och inom verksamheter med direkt anknytning till socialförsäkringen, effekter av förändringar inom socialförsäkringsområdet, samt nyttjandet av socialförsäkringen och av system som gränsar till socialförsäkringen. Som konstaterats består ett projekt dock ofta av flera olika typer av undersökningar. Teoretiskt sett skulle därmed samtliga ändamål kunna aktualiseras inom ramen för samma projekt. Ändamålen beskriver dessutom snarare vad som undersöks, t.ex. rättstillämpningen eller handläggningen, än syftet med behandlingen, dvs. varför ISF gör undersökningen. Det blir då svårare att knyta ihop de olika behandlingarna till ett gemensamt syfte och skapa en projektstruktur där det blir tydligt och transparent varför ISF samlar in och behandlar personuppgifter.
En annan teknik för att ange ändamål är att ange olika delmoment i verksamheten som olika ändamål, t.ex. insamling, utvärdering respektive analys av personuppgifter. Även om de olika delmomenten i sig medför behandling av personuppgifter, är det inte möjligt att utifrån sådana ändamål ta ställning till nödvändighetsrekvisitet. Personuppgifterna samlas inte in för att samlas in, de samlas in för att användas som underlag i en viss undersökning. Ytterligare en teknik är att ange olika typer av undersökningar, t.ex. dokumentstudier, rättsutredningar, registerstudier, aktstudier och intervju- och enkätstudier. Inte heller utifrån sådana ändamål är det dock möjligt att avgöra varför personuppgifter behöver behandlas och om behandlingen är nödvändig med hänsyn till ändamålet.
Det kan sammantaget konstateras att det inte är lämpligt att, så som Sveriges advokatsamfund förordar, uttömmande ange de situationer då ISF får behandla personuppgifter.
Det är viktigt att ISF kan utföra den tillsyn och de granskningar som följer av myndighetens uppdrag. En registerlag ska inte inskränka myndighetens möjligheter att utföra sitt uppdrag utan syftar till att skapa väl avvägda möjligheter att utföra uppdraget med beaktande av behovet av skydd för den personliga integriteten. De ändamål som anges i lagen bör därför spegla myndighetens behov av behandling av personuppgifter. Centrala studiestödsnämnden anser att bestämmelsen bör utformas på så sätt att ISF får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter enligt lag eller förordning. ISF:s uppgifter regleras i myndighetens instruktion och är därmed fastställda i förordning. Regeringen anser att det är tydligare att i den föreslagna lagen återge myndighetens uppgifter än att enbart hänvisa till lag och förordning.
ISF har ett brett uppdrag att utöva systemtillsyn och utföra effektivitetsgranskningar inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. Trots bredden handlar uppdraget alltid om att analysera förhållanden som anknyter till administrationen och tillämpningen av socialförsäkringen. Ändamålet bör därför uttrycka behovet av att behandla personuppgifter för att utföra undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. Eftersom ändamålet därmed får en rambetonad karaktär föreslår regeringen att ändamålsbestämmelsen kompletteras med ett krav på att ISF som huvudregel ska behandla personuppgifter i projekt, för vilka det ska beslutas om särskilda syften (avsnitt 7.11 och 7.12). Därutöver gäller kravet enligt EU:s dataskyddsförordning på att fastställa ändamål för varje enskild behandling. I och med det skapas flera nivåer av ändamål som i sista hand måste kunna motiveras utifrån myndighetens uppdrag.
Sammanfattningsvis anser regeringen att ISF ska få behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet.
Det bör upplysas om att personuppgifter får behandlas för statistik- och forskningsändamål
I 3 a § instruktionen anges att ISF, i de fall det är nödvändigt, får bedriva den forskning som behövs för att myndigheten ska kunna fullgöra sina uppgifter enligt 1–3 §§. I vissa projekt kan det således vara aktuellt att använda forskning som metod för att myndigheten ska kunna fullgöra sina uppgifter.
ISF har inte i uppgift att ta fram statistik men använder sig av statistiska metoder för insamling, bearbetning, redovisning och analys av data. Uppgifterna hämtas huvudsakligen från olika administrativa datakällor, bl.a. myndighetsregister. Tillsyn och granskningar syftar till att undersöka allmänna förhållanden och att analysera och följa upp viss verksamhet på ett generellt plan. Det förekommer alltså inte myndighetsutövning och inte heller någon annan handläggning eller beslutsfattande som rör enskilda personer eller organ. Resultatet av behandlingen av personuppgifter består inte heller av personuppgifter utan av avidentifierade och aggregerade personuppgifter. Stora delar av den analysverksamhet som ISF ägnar sig åt bör därmed kunna anses ske för statistiska ändamål (jfr propositionen om förenklad statistikreglering [prop. 1991/92:118 s. 12–14], propositionen Ändringar av statistiksekretessen [prop. 2013/14:162 s. 8 och 11] och SOU 2018:52 s. 140–142 och 253–256). Regeringen har också uttryckt att personuppgifter, med stöd av artikel 6.1 e i EU:s dataskyddsförordning, kan samlas in och i övrigt behandlas utan samtycke från de registrerade vid sådan statistikverksamhet som är nödvändig för att t.ex. en myndighet ska kunna utföra sitt fastställda uppdrag, även om statistik inte uttryckligen nämns i myndighetens uppdrag (prop. 2017/18:105 s. 122).
ISF behandlar personuppgifter för statistikändamål på motsvarande sätt som myndigheten använder forskning, dvs. som en metod i arbetet med systemtillsyn och effektivitetsgranskning. För att det ska bli tydligt att ISF får behandla personuppgifter för forsknings- och statistikändamål inom ramen för undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet, bör det upplysas om detta i ändamålsbestämmelsen. Regeringen anser i likhet med Myndigheten för vård- och omsorgsanalys att paragrafens andra stycke bör omformuleras så att det klart framgår att personuppgifter även får behandlas för att framställa statistik och utföra forskning.
Samverkan med tillsynsmyndigheter
ISF ska enligt 4 § instruktionen i sin systemtillsyn och effektivitetsgranskning samverka med de tillsynsmyndigheter som kan komma att beröras av inspektionens tillsyns- eller granskningsverksamhet. ISF har hittills inte genomfört någon tillsyn eller granskning i samverkan med andra tillsynsmyndigheter. Om en tillsyn eller granskning skulle genomföras i sådan samverkan, skulle myndigheterna behöva förhålla sig till sina respektive uppdrag och behandla personuppgifter i den utsträckning det är nödvändigt med anledning av det egna uppdraget. Även vid eventuell samverkan skulle därför ISF:s behandling av personuppgifter i första hand ske för myndighetens egna primära ändamål, dvs. för att undersöka förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. Om samverkan med andra tillsynsmyndigheter har angetts som en förutsättning för den aktuella granskningen bör det anses nödvändigt att, utöver uppgifter i de granskade verksamheterna, behandla kontaktuppgifter till tjänstemän på de samverkande myndigheterna för det primära ändamålet. Om den samverkande myndigheten har behov av uppgifter, kan uppgifterna lämnas ut i den mån det är förenligt med de sekundära ändamålen (avsnitt 7.6.3) och gällande sekretesslagstiftning. Regeringen bedömer därmed att det inte finns behov av ett särskilt ändamål som avser samverkan med andra tillsynsmyndigheter.
Sekundära ändamål
Regeringens förslag: Inspektionen för socialförsäkringen ska få behandla sådana personuppgifter som behandlas för primära ändamål för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Centrala studiestödsnämnden anser att det inte bör regleras genom ändamålsbestämmelser i vilken utsträckning myndigheter får lämna ut personuppgifter. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering saknar en mer utförlig diskussion om för vilka sekundära ändamål ISF bör lämna ut personuppgifter när detta är tillåtet, men inte tvingande. Sveriges advokatsamfund anser att den föreslagna sekundära ändamålsbestämmelsen i kombination med ett ökande antal författningar som innebär att information ska lämnas ut leder till en urholkning av det skydd som EU:s dataskyddsförordning eller andra integritetsskyddande rättsakter ska ge.
Skälen för regeringens förslag: När ISF lämnar ut personuppgifter från myndigheten sker en behandling av personuppgifter. Behandlingen måste, i likhet med all annan behandling, ha stöd i en rättslig grund enligt artikel 6.1 i EU:s dataskyddsförordning. Det är framför allt aktuellt att lämna ut uppgifter med anledning av de rättsliga grunderna i artikel 6.1 c och e (rättslig förpliktelse respektive uppgift av allmänt intresse). Den rättsliga grunden enligt artikel 6.1 c och e ska vara fastställd (artikel 6.3 första stycket), vilket innebär att uppgiftslämnandet måste ske i överensstämmelse med lag eller förordning. ISF omfattas inte av någon sådan uttrycklig uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, men kan lämna ut uppgifter bl.a. i syfte att fullgöra serviceskyldigheten gentemot enskilda enligt förvaltningslagen eller skyldigheten enligt 6 kap. 5 § OSL för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (jfr propositionen Domstolsdatalag [prop. 2014/15:148 s. 41 och 42]).
Syftet med behandlingen när personuppgifter lämnas ut kan förutsättas framgå av de bestämmelser som uppgiftslämnandet grundar sig på, alternativt vara nödvändigt för utlämnandet (artikel 6.3 andra stycket i EU:s dataskyddsförordning).
En sekundär ändamålsbestämmelse ger stöd för den behandling av personuppgifter som sker vid ett utlämnande av personuppgifter. Stöd för utlämnandet finns dock i annan lagstiftning. Vid uppgiftslämnande är den viktigaste frågan ur ett integritetsperspektiv om uppgifterna över huvud taget ska lämnas ut. Den frågan aktualiseras redan när den bestämmelse som fastställer en skyldighet eller tillåter ett utlämnande införs. Det får förutsättas att det då görs en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet. Den avvägningen säkerställer att den rättsliga grunden uppfyller ett mål av allmänt intresse och är proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i EU:s dataskyddsförordning). Avvägningen säkerställer också att den behandling av personuppgifter som utlämnandet innebär är proportionerlig i enlighet med regeringsformens krav (2 kap. 6, 20 och 21 §§ RF).
Ett utlämnande av personuppgifter som sker i överensstämmelse med lag eller förordning får alltså anses uppfylla kraven enligt artikel 6 i EU:s dataskyddsförordning. En ändamålsbestämmelse med detta innehåll får införas i nationell rätt (artikel 6.2 och 6.3). En sådan bestämmelse ger stöd för den behandling av personuppgifter som ett utlämnande av uppgifter medför. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering efterfrågar ledning för när ISF bör lämna ut personuppgifter. Regeringen konstaterar att ISF måste göra en bedömning i varje enskilt fall av om och hur personuppgifter bör lämnas ut. Vid en sådan bedömning ska bl.a. frågor om sekretess och säkerhet beaktas.
ISF kan redan i dag lämna ut personuppgifter när uppgiftslämnandet sker på grund av skyldigheter respektive medgivanden att lämna uppgifter. En sekundär ändamålsbestämmelse som ger stöd för uppgiftslämnande som sker i överensstämmelse med lag eller förordning medför därmed inte någon utvidgning av myndighetens nuvarande möjligheter att elektroniskt lämna ut personuppgifter. Därmed bör det enligt regeringen inte heller finnas någon risk för att bestämmelsen skulle leda till en sådan urholkning av integritetsskyddet som Sveriges advokatsamfund befarar.
Regeringen anser, till skillnad från Centrala studiestödsnämnden, att den föreslagna lagen av tydlighetsskäl bör innehålla en sekundär ändamålsbestämmelse. En bestämmelse som förhåller sig till lag och förordning är också i linje med annan motsvarande lagstiftning, jfr bl.a. 6 § lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, 7 § lagen (2018:258) om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador, 8 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och 114 kap. 9 § 1 SFB om behandling av personuppgifter vid Försäkringskassan och Pensionsmyndigheten.
Sammanfattningsvis anser regeringen att ISF ska få behandla sådana personuppgifter som behandlas för primära ändamål för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Finalitetsprincipen
Regeringens bedömning: Det bör inte införas en bestämmelse som ger uttryck för finalitetsprincipen.
Promemorians bedömning överensstämmer med regeringens bedömning.
Remissinstanserna instämmer i bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning: Enligt artikel 5.1 b i EU:s dataskyddsförordning ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. I artikel 6.4 i EU:s dataskyddsförordning beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. Principen om att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål brukar kallas finalitetsprincipen.
I registerförfattningar finns ofta en bestämmelse som ger uttryck för finalitetsprincipen, se t.ex. 2 kap. 2 § lagen om Rättsmedicinalverkets behandling av personuppgifter, 9 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och 114 kap. 10 § SFB. Finalitetsprincipen gäller dock oavsett om den uttrycks i svensk författning eller inte. Bestämmelser som ger uttryck för finalitetsprincipen har införts av tydlighetsskäl och avser främst att klargöra att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen (prop. 2018/19:151 s. 24, prop. 2019/20:106 s. 40 och propositionen En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten [prop. 2019/20:113 s. 23]). I den föreslagna lagen föreslås det primära ändamålet vara så brett att det täcker ISF:s kärnuppdrag och därmed lagens hela tillämpningsområde. Som en följd av detta bör det inte finnas anledning att behandla personuppgifter för andra ändamål än de som anges i lagen. Det behöver därför inte förtydligas att finalitetsprincipen gäller i förhållande till ändamålsbestämmelsen i den föreslagna 6 §.
Det breda primära ändamålet i lagen avses att specificeras genom att ISF ska ange dels syftet med varje projekt, dels ändamålet med varje enskild undersökning. Av finalitetsprincipen följer inte bara att det är möjligt att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen utan också att det är möjligt att behandla personuppgifter för andra ändamål än de specificerade ändamål som ISF själv fastställer vid insamlingstillfället. I avsnitt 7.11 föreslås att personuppgifter ska få behandlas i ett annat projekt än det som de samlats in för om behandlingen är nödvändig för att kunna helt eller delvis upprepa eller följa upp projektet. Behandling i båda projekten sker med stöd av samma ändamålsbestämmelse i den föreslagna lagen, men eftersom ISF fastställer ändamål för varje enskild undersökning är en förutsättning för behandling i ett annat projekt trots detta att behandlingen också är förenlig med finalitetsprincipen. Finalitetsprincipens tillämpning riskerar därför att bli otydlig om det, i enlighet med utformningen i andra registerförfattningar, endast ges uttryck för den i förhållande till lagens ändamålsbestämmelser. Härtill kommer att det för tillämparen kan bli missvisande om endast vissa bestämmelser i EU:s dataskyddsförordning återges i lagen när även övriga bestämmelser i förordningen gäller. Det bör enligt regeringen därför inte införas någon bestämmelse som ger uttryck för finalitetsprincipen i lagen.
Behandling av känsliga personuppgifter
Regeringens förslag: Känsliga personuppgifter ska få behandlas med stöd av artikel 9.2 g eller 9.2 j i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Sveriges advokatsamfund anser att uttrycket känsliga personuppgifter bör förklaras i lagtexten genom en hänvisning till dataskyddslagen. Vetenskapsrådet anser att det är en brist att det inte framgår i vilken utsträckning som behandling av känsliga personuppgifter kommer att ske.
Skälen för regeringens förslag
Särskilda kategorier av uppgifter är samma sak som känsliga personuppgifter
Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning benämns i artikel 9.1 i EU:s dataskyddsförordning som särskilda kategorier av uppgifter. I svensk rätt kallas uppgifterna känsliga personuppgifter (se t.ex. 3 kap. 1 § dataskyddslagen). Enligt regeringen är uttrycket känsliga personuppgifter väl inarbetat, även på EU-nivå, och dessutom språkligt enklare att använda och förstå, inte minst i författningstext (prop. 2017/18:105 s. 75). Av dessa skäl är uttrycket lämpligt att använda även i den lag som nu föreslås.
Sveriges advokatsamfund anser att uttrycket känsliga personuppgifter bör förklaras i lagtexten genom en hänvisning till 3 kap. 1 § dataskyddslagen. Regeringen bedömer att uttrycket förklaras genom hänvisningen till artikel 9.1 i EU:s dataskyddsförordning. Någon risk för missförstånd bör därmed inte uppstå.
ISF har behov av att behandla känsliga personuppgifter om hälsa
Enligt Vetenskapsrådet är det en brist att det inte framgår i vilken utsträckning som ISF kommer att behandla känsliga personuppgifter. Eftersom det inte är möjligt att förutse vilka granskningar som ISF kommer att behöva utföra, är det inte heller möjligt att ange en förväntad omfattning av behandlingen av känsliga personuppgifter. Däremot är det möjligt att konstatera att många av de personuppgifter som ISF har behov av att behandla är känsliga personuppgifter, framför allt uppgifter om hälsa. Personuppgifter om hälsa definieras i artikel 4.15 i EU:s dataskyddsförordning som personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. Omständigheten att någon har ansökt om, beviljats eller fått avslag på en ansökan om sjukförsäkringsförmåner avslöjar ofta något om personens tidigare, nuvarande eller framtida hälsotillstånd. Sådana uppgifter kan därmed utgöra känsliga personuppgifter om hälsa. När ISF granskar förhållanden som rör sjukförsäkringsförmåner, behöver myndigheten ofta göra analyser som inkluderar uppgifter om individer som erhållit sådana förmåner. Redan av detta följer att ISF har ett stort behov av att behandla känsliga personuppgifter om hälsa.
Granskningarna kräver också analyser av andra uppgifter om hälsa, t.ex. diagnos. ISF har exempelvis på uppdrag av regeringen studerat i vilken utsträckning utformningen av regelverk och sjukförsäkringens administration har påverkat utvecklingen av sjukskrivningar med psykiatriska diagnoser samt i vilken utsträckning nuvarande system är anpassat till dagens situation (Sjukfrånvaro och psykiatriska diagnoser [ISF-rapport 2014:22]). Uppgifter om personkretstillhörighet enligt 1 § lagen (1993:387) om stöd och service till vissa funktionshindrade behöver ingå i analyser när ISF undersöker förhållanden som rör assistansersättningen (se t.ex. Assistansersättningen – Brister i lagstiftning och tillämpning [ISF-rapport 2015:9]). Uppgifter om sjukdomshistorik kan vara relevanta i undersökningar av rehabiliteringsåtgärder och långa sjukfall. Uppgifter om vårdbesök och läkemedelsförbrukning visar bl.a. om det handlar om en svårt sjuk person eller inte. Sådana uppgifter kan användas för att analysera sannolikheten för att bli sjukskriven eller vilka som blir sjukskrivna efter vårdbesök. Uppgifter om vårdbesök kan även vara relevanta vid analyser av i vilken utsträckning väntetider i vården kan påverka hur mycket ersättning som betalas ut från Försäkringskassan. Vid en granskning av de reformerade stöden till personer med funktionsnedsättning har ISF i en registerstudie använt uppgifter om bl.a. utbetalningar av vårdbidrag och omvårdnadsbidrag, ersättningsnivåer och barnens diagnos (Från vårdbidrag till omvårdnadsbidrag – En granskning av de reformerade stöden till personer med funktionsnedsättning [ISF-rapport 2021:10]). I en analys av vilken effekt avgiftsfri tandvård har på hur unga vuxna besöker tandvården har ISF analyserat bl.a. uppgifter om tandvårdsbesök och mått på tandhälsa, i form av hur många intakta tänder en person har och hur många tänder personen har kvar (Avgiftsfri tandvård till unga vuxna – En analys av vilken effekt avgiftsfri tandvård har på hur unga vuxna besöker tandvården [ISF-rapport 2021:4]). Ett annat exempel är en granskning av underutnyttjandet av den kollektivavtalade sjukförsäkringen, där ISF har använt bl.a. uppgifter om beviljad sjukpenning, sjukersättning och aktivitetsersättning, ersättningsperioder från avtalssjukförsäkringen och ersättning för inkomstbortfall från arbetsskadeförsäkringen (Försäkrad men utan ersättning – En granskning av underutnyttjandet av den kollektivavtalade sjukförsäkringen [ISF-rapport 2018:7]). Behandlingen av känsliga personuppgifter i de olika granskningarna bedöms ha varit nödvändig för att ISF ska kunna utföra sitt uppdrag.
ISF har behov av att behandla känsliga personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse och sexuell läggning
Regeringen konstaterade i kommittédirektiven till Utredningen om inrättande av ISF att det är angeläget att rättssäkerheten och effektiviteten inom socialförsäkringsområdet fortlöpande blir föremål för objektiv granskning. Den enskilde ska ha samma rätt till förmåner oavsett var i landet han eller hon är bosatt, osakliga regionala skillnader ska inte förekomma, försäkringen ska fungera på samma sätt för alla försäkrade och ingen ska diskrimineras genom socialförsäkringens tillämpning (dir. 2007:24). Det har således redan initialt funnits en avsikt att ISF:s granskning ska omfatta likabehandlingsaspekter.
Bestämmelser som syftar till att garantera saklighet och opartiskhet inom den offentliga förvaltningen finns i såväl grundlag som vanlig lag. Enligt 1 kap. 9 § RF ska domstolar samt förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter i sin verksamhet beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet. I 5 § förvaltningslagen ges uttryck för den s.k. objektivitetsprincipen genom att det ställs krav på att myndigheten i sin verksamhet ska vara saklig och opartisk. I propositionen En modern och rättssäker förvaltning – ny förvaltningslag anges att objektivitetsprincipen gäller all förvaltningsverksamhet, inklusive då det är fråga om faktiskt handlande och ren service (prop. 2016/17:180 s. 60). Vid ISF:s granskning av den verksamhet som bedrivs av de myndigheter som administrerar socialförsäkringen är kraven på likabehandling, saklighet och objektivitet således viktiga utgångspunkter. Brister i fråga om likabehandling kan få konsekvenser både ur effektivitets- och rättssäkerhetsperspektiv. När bristerna finns på systemnivå kan en felaktig handläggning i förlängningen påverka t.ex. integrationen eller kvinnors möjligheter att delta på arbetsmarknaden. Det kan också få konsekvenser för hur olika socialförsäkringsförmåner interagerar med varandra och vilken effekt de har.
En förutsättning för att ISF ska kunna granska om det förekommer brister ur ett likabehandlingsperspektiv är att myndigheten kan behandla personuppgifter som kan utgöra grund för en osaklig hantering. Det kan exempelvis röra sig om personuppgifter om kön, etniskt ursprung, religiös eller filosofisk övertygelse och sexuell läggning. Myndigheten kan t.ex. ha anledning att göra studier som jämför samkönade respektive olikkönade pars uttag av föräldrapenning. Det kan också finnas anledning att i en enkätstudie ställa frågor som handlar om kränkningar kopplade till sexuell läggning eller etnisk tillhörighet. Utöver känsliga personuppgifter om hälsa har ISF således behov av att behandla känsliga personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse och sexuell läggning.
Känsliga personuppgifter kan utgöra överskottsinformation
Även när syftet inte är att analysera känsliga personuppgifter, kan ISF:s behandling av personuppgifter omfatta känsliga personuppgifter. Det förekommer exempelvis att ISF jämför hanteringen av inrikes och utrikes födda. Regeringen har i propositionen Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten bedömt att en isolerad uppgift om medborgarskap inte avslöjar etniskt ursprung (prop. 2001/02:144 s. 42). I propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet har regeringen bedömt att en uppgift om nationalitet eller ursprungsland normalt inte ger upplysning om etniskt ursprung (prop. 2009/10:85 s. 325). Uppgifter om modersmål, som kan vara nödvändiga att behandla i studier av om språkliga faktorer påverkar hanteringen av ett ärende, kan i vissa fall tillföra information som i kombination med andra uppgifter avslöjar etniskt ursprung.
Oavsiktlig behandling av känsliga personuppgifter kan också inträffa när ISF gör kopplingar mellan familjemedlemmar. Sådana kopplingar kan avslöja bl.a. civilstånd, vilka personer som utgör en familj och vilka som har gemensamma barn. För- och efternamn på make, sambo eller partner kan utgöra känsliga personuppgifter enligt EU:s dataskyddsförordning om dessa indirekt avslöjar uppgifter om sexualliv eller sexuell läggning (EUdomstolens dom i målet OT mot Vyriausioji tarnybines etikos komisija C-184/20, EU:C:2022:601).
Det är inte helt ovanligt att tillsynsobjekten behandlar flera olika personuppgifter i ett sammanhang, t.ex. i en inkommen eller upprättad handling eller i en ärendeakt. Som framgår av avsnitt 4.4 förekommer det att ISF granskar ärendeakter och separata journalanteckningar i sina undersökningar. Dessa akter och journalanteckningar begärs ut från tillsynsobjekten, oftast från Försäkringskassan, Pensionsmyndigheten och Arbetsförmedlingen. Som regeringen konstaterar i propositionen En ny dataskyddsreglering på socialförsäkringsområdet är det inte är möjligt att förutse vilka uppgifter som kan behöva behandlas inom ramen för ett ärende (prop. 2023/24:29 s. 52). Ärendeakterna kan därmed innehålla alla kategorier av känsliga personuppgifter. Det kan t.ex. finnas läkarintyg, som förutom uppgifter om hälsa kan innehålla uppgifter om både religiös övertygelse och testresultat som avslöjar genetiska uppgifter. Motsvarande gäller i viss mån också upprättade journalanteckningar. När ISF granskar ärendeakter och journalanteckningar finns det sällan behov av att analysera samtliga personuppgifter i akterna respektive journalanteckningarna. Oftast är det dock varken möjligt eller lämpligt för ISF att begära ut enbart de uppgifter som myndigheten behöver analysera. Det skulle i så fall innebära att den myndighet som är föremål för tillsyn måste gå igenom samtliga akter som ISF begär ut och maskera uppgifter som inte ska lämnas ut. Det skulle innebära en ny omfattande arbetsuppgift för de myndigheter som omfattas av ISF:s tillsynsuppdrag som inte framstår som proportionerlig i förhållande till den integritetsrisk den avser att reducera. Om den myndighet som är föremål för tillsyn skulle gå igenom samtliga akter och ta bort känsliga personuppgifter som ISF inte har behov av, skulle det i sig dessutom innebära ett intrång i den personliga integriteten. En mer omfattande genomgång som inkluderar bedömningar av vilka uppgifter ISF har behov av, riskerar också att göra ISF beroende av den andra myndighetens egna urval av uppgifter. Det bör därför vara möjligt för andra myndigheter att lämna ut, och för ISF att ta emot, materialet i sin helhet.
När ISF använder sig av enkät- och intervjuförfaranden, kan svaren innehålla viss överskottsinformation i form av känsliga personuppgifter som inte efterfrågas i den aktuella granskningen. Myndigheten bör, i enlighet med principen om uppgiftsminimering i artikel 5.1 c i EU:s dataskyddsförordning, vidta åtgärder för att i den mån det är möjligt förhindra att fler personuppgifter än vad som behövs för granskningen samlas in. Det kan handla om att lämna tydlig information om vilka uppgifter myndigheten är intresserad av och att i intervjusituationer leda bort samtalet från oväsentlig information. Det är dock inte möjligt för ISF att vid enkät- och intervjuförfaranden helt förhindra behandling av personuppgifter som inte behöver analyseras inom ramen för det aktuella projektet.
Det finns fler exempel på situationer då ISF kan få in överskottsinformation som inte är relevant för en viss granskning, t.ex. när domar innehåller fler personuppgifter än de som myndigheten avser att analysera och när begärda handlingar omfattar annan information än den förväntade. Det som kännetecknar samtliga dessa situationer är att personuppgifter som ISF har behov av att analysera behandlas i nära anslutning till andra personuppgifter och att det inte är möjligt eller inte kan anses proportionerligt att separera uppgifterna från varandra.
Behandling av känsliga personuppgifter för ett viktigt allmänt intresse
Det är som huvudregel förbjudet att behandla känsliga personuppgifter (artikel 9.1 i EU:s dataskyddsförordning). Förbudet kompletteras dock med ett antal undantag, som anger när behandling av känsliga personuppgifter trots allt är tillåten eller kan tillåtas (artikel 9.2). Några av undantagen är direkt tillämpliga medan andra kräver viss nationell reglering för att behandling av känsliga personuppgifter ska vara tillåten. Känsliga personuppgifter får enligt artikel 9.2 g i EU:s dataskyddsförordning bl.a. behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, under förutsättning att det sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Vad som är ett allmänt intresse respektive ett viktigt allmänt intresse är inte definierat i EU:s dataskyddsförordning. Uttryckets innebörd har inte heller utvecklats närmare av EU-domstolen. Regeringen har konstaterat att det är svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse men att det, när det gäller myndigheters behandling, måste anses utgöra ett viktigt allmänt intresse att svenska myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt (prop. 2017/18:105 s. 83). Den verksamhet som ISF bedriver inom ramen för sitt uppdrag har i avsnitt 7.6.1 bedömts utgöra sådana arbetsuppgifter av allmänt intresse som avses i artikel 6.1 e i EU:s dataskyddsförordning. Av samma skäl får myndighetens arbetsuppgifter också anses utgöra ett viktigt allmänt intresse enligt artikel 9.2 g i EU:s dataskyddsförordning.
I dataskyddslagen har det införts ett för myndigheter generellt undantag från förbudet mot att behandla känsliga personuppgifter. Känsliga personuppgifter får enligt 3 kap. 3 § första stycket dataskyddslagen behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
ISF kan i viss utsträckning behandla känsliga personuppgifter med stöd av dataskyddslagen. Det saknas dock stöd för den omfattande hanteringen av känsliga personuppgifter i myndighetens tillsyns- och granskningsverksamhet. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande från myndighetens sida som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Uttrycket handläggning innefattar alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det avslutas (prop. 2017/18:105 s. 87 och prop. 2016/17:180 s. 23–25 och 286). ISF:s tillsyns- och granskningsverksamhet har inslag av ärendehandläggning men den slutprodukt som tas fram är inte avsedd att ge faktiska verkningar för mottagaren. Myndighetens huvudsakliga syfte är att förse regeringen och myndigheter med kunskap för att kunna utveckla och förbättra socialförsäkringen. Därmed kan myndighetens verksamhet inte anses utgöra sådan verksamhet som har anknytning till ett särskilt ärende i den mening som avses i 3 kap. 3 § första stycket 2 dataskyddslagen. Behandlingen av personuppgifter inom tillsyns- och granskningsverksamheten kan inte heller ske med stöd av det undantag som avser behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet, eftersom 3 kap. 3 § första stycket 3 dataskyddslagen inte är avsedd att tillämpas slentrianmässigt i den löpande verksamheten (prop. 2017/18:105 s. 194).
För att ISF ska kunna behandla känsliga personuppgifter i myndighetens tillsyns- och granskningsverksamhet, krävs således att en särskild bestämmelse om detta införs i den föreslagna lagen. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten innebär, i likhet med vad som gäller enligt artikel 6.3, att uppgiften av viktigt allmänt intresse ska ha stöd i rättsordningen (prop. 2017/18:105 s. 49–52 och s. 84). För ISF är kravet på en rättslig grund uppfyllt i fråga om behandlingar som sker för de ändamål som anges i lagen (se avsnitt 7.6.2 och 7.6.3). Kravet på att den rättsliga grunden ska vara förenlig med det väsentliga innehållet i rätten till dataskydd bedöms inte tillföra något utöver de krav som gäller enligt artikel 6 i EU:s dataskyddsförordning (prop. 2017/18:105 s. 84). Som framgår av avsnitt 8 bedöms kravet på proportionalitet vara uppfyllt. Lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen föreslås i avsnitt 7.10–7.15.
För att det ska vara tillåtet att behandla känsliga personuppgifter enligt artikel 9.2 g i EU:s dataskyddsförordning måste behandlingen vara nödvändig. Kravet på nödvändighet i artikel 9 innebär detsamma som kravet på nödvändighet i artikel 6 (prop. 2017/18:105 s. 75 och 76). Att behandlingen ska vara nödvändig innebär således inte att det måste vara omöjligt att utföra uppdraget om inte känsliga personuppgifter behandlas. Behandling av känsliga personuppgifter kan anses nödvändig om den medför effektivitetsvinster, även om arbetsuppgiften skulle kunna utföras utan att personuppgifter behandlas på visst sätt. När behandlingen av känsliga personuppgifter tillför relevant information till en undersökning och undersökningen inte kan utföras lika effektivt utan uppgifterna, får behandlingen enligt regeringen anses nödvändig i den mening som avses i artikel 9.2 g i EU:s dataskyddsförordning. Även sådana uppgifter som utgör överskottsinformation i förhållande till vad myndigheten behöver analysera får anses nödvändiga att behandla, om uppgifter som är nödvändiga att analysera annars inte kan samlas in av myndigheten. Vad som är nödvändigt med hänsyn till ändamålet med behandlingen måste avgöras i varje enskilt fall. Vid prövningen av nödvändighetsrekvisitet ska de grundläggande principerna om uppgiftsminimering och lagringsminimering enligt artikel 5.1 c och e i EU:s dataskyddsförordning säkerställa att fler uppgifter än nödvändigt inte samlas in.
En särskild reglering om behandlingen av känsliga personuppgifter säkerställer att ISF har stöd för den behandling av sådana uppgifter som är nödvändig i myndighetens verksamhet. En sådan bestämmelse uppfyller dessutom kravet på reglering i lag vid sådant betydande intrång i den personliga integriteten som var och en gentemot det allmänna är skyddad mot enligt regeringsformen (jfr avsnitt 5.3). Enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning är det tillåtet att ha bestämmelser om när myndigheter får behandla personuppgifter i nationell rätt för att reglera behandling som grundar sig på en uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Regeringen föreslår därför att det införs en bestämmelse i lagen som anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Behandling av känsliga personuppgifter för forskningsändamål
Känsliga personuppgifter får enligt artikel 9.2 j i EU:s dataskyddsförordning behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I likhet med vad som gäller vid behandling av personuppgifter för ett viktigt allmänt intresse ska behandlingen ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.
Uttrycket vetenskapliga eller historiska forskningsändamål är ett EUrättsligt uttryck. Enligt skäl 159 i EU:s dataskyddsförordning bör uttrycket vetenskapliga forskningsändamål i förordningen ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Den behandling av personuppgifter som aktualiseras vid forskning inom ramen för ISF:s granskningar får anses ske för sådana forskningsändamål som avses i artikel 9.2 j i EU:s dataskyddsförordning.
ISF får enligt 3 a § instruktionen, i de fall det är nödvändigt, bedriva den forskning som behövs för att myndigheten ska kunna fullgöra vissa uppgifter enligt instruktionen. Att uppgiften framgår av instruktionen innebär att uppgiften kan förutsättas vara av allmänt intresse (prop. 2017/18:105 s. 56 och 57). Regeringen har också uttalat att presumtionen bör vara att uppgiften att forska är en uppgift av allmänt intresse (propositionen Behandling av personuppgifter för forskningsändamål [prop. 2017/18:298 s. 33]). ISF kan således behandla känsliga personuppgifter vid forskning med stöd av ett viktigt allmänt intresse. Eftersom lagen föreslås vara tillämplig vid forskning (avsnitt 7.1 och 7.8) anser regeringen dock att stödet för behandling av personuppgifter vid forskning bör uttryckas i lagen. Grunden för behandlingen av personuppgifter är fastställd i ISF:s instruktion och lagen (2003:460) om etikprövning av forskning som avser människor, här benämnd etikprövningslagen, som anger under vilka förutsättningar forskning får bedrivas. Lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen finns i form av krav på etikprövning och därutöver genom förslagen i avsnitt 7.10–7.15.
Regeringen föreslår därför att det införs en bestämmelse i lagen som anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Behandling av känsliga personuppgifter för andra undantag än viktigt allmänt intresse och forskningsändamål
Som konstateras i avsnitt 7.6.2 kan ISF, trots att myndigheten inte är en statistikansvarig myndighet, samla in och behandla personuppgifter för statistiska ändamål med stöd av artikel 6.1 e i EU:s dataskyddsförordning (prop. 2017/18:105 s. 122). Känsliga personuppgifter får enligt 3 kap. 7 § dataskyddslagen behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Villkoret att samhällsintresset av statistikprojektet klart ska väga över risken för otillbörligt integritetsintrång utgör en sådan lämplig och särskild åtgärd som avses i artikel 9.2 j i EU:s dataskyddsförordning (prop. 2017/18:105 s. 124).
ISF kan, beroende på omständigheterna i det enskilda fallet, också behandla känsliga personuppgifter med stöd av andra undantag i artikel 9.2 i EU:s dataskyddsförordning. Om giltigt samtycke (artikel 4.11) kan inhämtas, kan artikel 9.2 a utgöra stöd för behandlingen. I ett fåtal situationer, främst vid behandling av känsliga personuppgifter som offentliggjorts i nyhetsartiklar eller dylikt, kan undantaget för offentliggjorda uppgifter i artikel 9.2 e i EU:s dataskyddsförordning tillämpas. I fråga om undantaget för bl.a. förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system i artikel 9.2 h i EU:s dataskyddsförordning har regeringen uttalat att uttrycket social omsorg omfattar uppgifter som utförs inom socialtjänsten, men att det i avsaknad av praxis är svårt att närmare avgränsa innebörden av uttrycken (prop. 2017/18:105 s. 93). Enligt 3 kap. 5 § dataskyddslagen får känsliga personuppgifter behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen är nödvändig för bl.a. förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system och under förutsättning att kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning är uppfyllt. Kravet på tystnadsplikt är uppfyllt hos ISF när uppgifterna omfattas av sekretess enligt 24 kap. 8 § andra stycket OSL och 7 § OSF.
ISF kan således under vissa förutsättningar behandla känsliga personuppgifter med stöd av andra undantag än viktigt allmänt intresse och forskningsändamål.
Etikprövning vid forskning
Regeringens förslag: Lagen ska innehålla en upplysning om att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Etikprövningsmyndigheten anser att det behöver klargöras vilka projekt som inte kommer att etikprövas samt hur de projekten är tänkta att bedrivas. Etikprövningsmyndigheten förordar också en fördjupad analys av sannolikheten för att den föreslagna lagen och etikprövningslagen leder till olika slutsatser om hur en studie får bedrivas och hur sådana regelkonflikter bör hanteras.
Skälen för regeringens förslag: Etikprövningslagen innehåller bestämmelser om etikprövning av forskning som avser människor. Syftet med lagen är att skydda den enskilda människan och respekten för människovärdet vid forskning. Med forskning avses vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå (2 § etikprövningslagen).
Etikprövningslagen ska tillämpas på forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 §). Etikprövningsmyndigheten ska vid sin prövning göra en intresseavvägning där riskerna för den personliga integriteten vägs mot forskningens vetenskapliga värde (7–11 §§). Forskning får utföras bara om den godkänts vid en etikprövning, och ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning (6 §).
En etikprövning enligt etikprövningslagen uppfyller enligt regeringen det krav som EU:s dataskyddsförordning ställer på en objektiv bedömning av de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter (prop. 2017/18:298 s. 87 och 88). Etikprövning anses därmed vara en sådan i nationell rätt fastställd lämplig och särskild åtgärd som krävs enligt artikel 9.2 j i EU:s dataskyddsförordning vid nödvändig behandling av känsliga personuppgifter för forskningsändamål.
ISF måste för varje enskilt projekt ta ställning till om projektet måste etikprövas enligt etikprövningslagen. Detta bör myndigheten göra i samband med framtagandet av en projektplan och övrig projektplanering (jfr avsnitt 4.4). Det är inte möjligt att, som Etikprövningsmyndigheten efterfrågar, på förhand klargöra vilka projekt som inte kommer att omfatta sådana forskningsmoment som förutsätter etikprövning. Det är en bedömning som måste göras i varje enskilt fall. Generellt kan dock konstateras att tillsynsprojekt sällan innehåller tydliga forskningsinslag.
Etikprövningsmyndigheten kan i samband med sitt godkännande ställa villkor för personuppgiftsbehandlingen i ett forskningsprojekt. För att skyddsnivån inte ska bli lägre när ISF behandlar personuppgifter i forskningsprojekt, bör dessa villkor gälla utöver de krav som ställs enligt den föreslagna lagen. Kraven enligt den föreslagna lagen bör således gälla för alla projekt, oavsett vilka villkor Etikprövningsmyndigheten ställer, så länge behandlingen sker inom lagens tillämpningsområde. Regeringen bedömer att detta inte bör ge upphov till några sådana regelkonflikter som Etikprövningsmyndigheten befarar. Eftersom syftet med etikprövningslagen är att skydda den enskilda människan och respekten för människovärdet vid forskning (1 § etikprövningslagen) är det osannolikt att Etikprövningsmyndighetens villkor och den föreslagna lagens krav skulle kunna leda till oförenliga slutsatser om hur en studie får bedrivas och vilket skydd som är nödvändigt.
Som en följd av att kraven enligt den föreslagna lagen gäller oavsett vilka villkor Etikprövningsmyndigheten ställer, kan ISF endast ansöka om etikprövning för forskning som omfattar sådana känsliga personuppgifter som får behandlas enligt den föreslagna lagen. Det måste således vara nödvändigt att behandla de känsliga personuppgifterna med hänsyn till det primära ändamålet enligt den föreslagna lagen. Lagens begränsningar för bl.a. sökningar måste också beaktas. Det finns därmed inte några andra skäl att göra en ansökan om etikprövning än för att kunna bedriva ett projekt som forskning.
För att det ska bli tydligt vad som gäller, föreslår regeringen att det i lagen införs en bestämmelse som upplyser om ordningen med obligatorisk etikprövning när det är fråga om forskning.
Behandling av personuppgifter som rör lagöverträdelser
Regeringens bedömning: Möjligheterna att behandla uppgifter som rör lagöverträdelser bör inte begränsas.
Promemorians bedömning överensstämmer med regeringens bedömning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.
Skälen för regeringens bedömning: Enligt artikel 10 i EU:s dataskyddsförordning får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av en myndighet eller då sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet är direkt tillämplig och regeringen har bedömt att bestämmelsen i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet (prop. 2017/18:105 s. 99). EU:s dataskyddsförordning innehåller alltså inga begränsande regler för behandling av personuppgifter om lagöverträdelser om den personuppgiftsansvarige är en myndighet. I linje med detta anges i 3 kap. 8 § första stycket dataskyddslagen att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter. Det krävs därmed inga särskilda ställningstaganden för myndigheters behandling av personuppgifter som avser lagöverträdelser utöver de ställningstaganden som allmänt ska göras i fråga om laglig grund. Personuppgifter om lagöverträdelser är dock av integritetskänslig karaktär och behandling av sådana uppgifter anses därför som särskilt riskfylld. Av det skälet är behandling av uppgifter om lagöverträdelser särskilt reglerad både i EU:s dataskyddsförordning och i många myndighetsspecifika registerförfattningar.
ISF har i viss utsträckning behov av att behandla personuppgifter om lagöverträdelser. Det kan exempelvis förekomma uppgifter om lagöverträdelser i ärendeakter från Försäkringskassan, bl.a. uppgifter om att den försäkrade är intagen i kriminalvårdsanstalt. I vissa granskningar inhämtas uppgifter om enskilda från Kriminalvården i syfte att användas som bakgrundsvariabler. Det kan också vara relevant att hämta in domar om bidragsbrott och uppgifter om polisanmälningar vid granskningar av Försäkringskassans och Pensionsmyndighetens arbete för att motverka fusk och felaktigheter. Eftersom inget av tillsynsobjekten har något brottsutredande uppdrag förekommer dock uppgifter om lagöverträdelser generellt sett i mycket begränsad omfattning i de granskade verksamheterna. Uppgifter om lagöverträdelser aktualiseras därmed sällan inom ramen för ISF:s tillsyns- och granskningsverksamhet. Som en följd av detta kommer det i mycket begränsad utsträckning vara relevant och adekvat att behandla uppgifter om lagöverträdelser för den föreslagna lagens primära ändamål (artikel 5.1 c i EU:s dataskyddsförordning). I de fall det ändå bedöms relevant att behandla uppgifter om lagöverträdelser i en undersökning, måste ISF förhålla sig till övriga begränsningar som gäller för all behandling av personuppgifter enligt den föreslagna lagen (avsnitt 7.10–7.15). Exempelvis ska personuppgifter som direkt kan hänföras till en person behandlas separat från övriga uppgifter. Uppgifter om lagöverträdelser omfattas också av absolut sekretess enligt 24 kap. 8 § andra stycket OSL och 7 § OSF.
För behandling av uppgifter om lagöverträdelser i forskningsprojekt krävs en ansökan om etikprövning enligt lagen om etikprövning av forskning som avser människor. I avsnitt 7.8 lämnas förslag om en särskild bestämmelse i lagen som upplyser om att forskning som innefattar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas. I avsnitt 7.12 föreslås också att ISF, i samband med att syftet med ett projekt fastställs, ska fastställa vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet. Detta gäller även när projektet inte ska bedrivas som forskning.
Ett starkt skydd för uppgifter om lagöverträdelser säkerställs därmed genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder som föreslås i den nya lagen. Regeringen anser därför att det inte är ändamålsenligt att i den föreslagna lagen införa särskilda begränsningar av möjligheten att behandla personuppgifter om lagöverträdelser. För behandling av sådana uppgifter bör samma begränsningar gälla som för behandling av andra personuppgifter som inte är känsliga personuppgifter.
Sökbegränsningar
Regeringens förslag: Sökningar ska inte få utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Sökningar ska dock få utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning om sökningen sker för primära ändamål.
Regeringens bedömning: Det bör inte införas sökbegränsningar som avser personuppgifter om lagöverträdelser i lagen.
Promemorians förslag överensstämmer med regeringens förslag och bedömning.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och instämmer i bedömningen eller har inget att invända mot dem. Umeå universitet anser att det bör övervägas om bestämmelsen i stället kan utformas med utgångspunkt i en uppräkning av de kategorier av känsliga personuppgifter som ISF inte får utföra sökningar på.
Skälen för regeringens förslag och bedömning
Det bör införas en sökbegränsning i lagen
I sin verksamhet med att utöva systemtillsyn och utföra effektivitetsgranskningar inhämtar ISF stora mängder personuppgifter i syfte att göra sammanställningar och analyser. Hantering av stora informationsmängder förutsätter möjlighet att söka, sammanställa och på annat sätt sortera personuppgifter utifrån olika premisser och uppgiftskategorier. Det handlar sällan om enkla sökningar utifrån fristående sökbegrepp utan snarare om att filtrera information utifrån olika variabler och göra sammanställningar för att se olika samband.
En sökning medför behandling av personuppgifter. De bestämmelser som anger under vilka förutsättningar personuppgifter får behandlas gäller därmed vid sökningar. Det innebär att sökningen måste ske för ett ändamål som har stöd i lagen och att sökningen måste vara nödvändig för ändamålet. De skyddsåtgärder som föreslås inom lagens tillämpningsområde kommer också att gälla, vilket innebär att det i de flesta fall inte kommer att vara tillåtet att utföra sökningar i mer än en granskning åt gången (avsnitt 7.11), att uppgifterna i de flesta fall inte kommer att kunna hänföras direkt till den registrerade (avsnitt 7.14) och att endast den som behöver tillgång till uppgifterna i sitt arbete kommer att ha möjlighet att göra sökningar (avsnitt 7.15).
Det finns i EU:s dataskyddsförordning inget förbud mot att använda personuppgifter vid sökning, men vid behandling av känsliga personuppgifter krävs lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Regeringen har bedömt att en sökbegränsning är en sådan skyddsåtgärd som säkerställer den registrerades grundläggande rättigheter och intressen (prop. 2017/18:105 s. 90). En sökbegränsning utgör därför många gånger en förutsättning för att behandling av känsliga personuppgifter ska vara tillåten enligt EU:s dataskyddsförordning. Bestämmelser om skyddsåtgärder är tillåtna med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning när det gäller reglering av behandling som grundar sig på en rättslig förpliktelse eller arbetsuppgift av allmänt intresse enligt artikel 6.1 c och e i EU:s dataskyddsförordning.
Vid utformningen av en sökbegränsning måste en avvägning göras mellan å ena sidan intresset av effektivitet i en myndighets verksamhet och å andra sidan risken för integritetsintrång. Regler om begränsning av tillåtna sökbegrepp bör därför ta sikte på sådana sökningar som typiskt sett medför särskilda integritetsrisker. I nyare lagstiftning har sökbegränsningar utformats på så sätt att de utgår från syftet med sökningen. Enligt dataskyddslagen och brottsdatalagen (2018:1177) är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Motsvarande modell används i lagstiftning som tillkommit efter dataskyddslagen och brottsdatalagen, t.ex. 6 § kriminalvårdsdatalagen, 17 kap. 7 § spellagen (2018:1138), 2 kap. 21 § vägtrafikdatalagen, 2 kap. 3 § och 3 kap. 4 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 114 kap. 12 § SFB. Enligt regeringen bör motsvarande sökbegränsning gälla för ISF:s behandling av personuppgifter.
Den sökbegränsning som gäller enligt dataskyddslagen är inte tillämplig när känsliga personuppgifter behandlas med stöd av bestämmelser i annan författning (prop. 2017/18:105 s. 91). Dataskyddslagens sökbegränsning kommer därmed inte att vara tillämplig när behandling sker enligt den föreslagna lagen. Det bör därför införas en bestämmelse i den nya lagen med innebörden att det som huvudregel ska vara förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Tillåtna sökningar med hänsyn till myndighetens behov
En bestämmelse om sökbegränsningar, som ska vara en skyddsåtgärd, måste utformas på ett sådant sätt att den enskildes personliga integritet beaktas. Syftet är dock inte att omöjliggöra sådana sökningar som behövs för att myndighetens verksamhet ska kunna fungera. En sökbegränsning som utgår från syftet med sökningen hindrar inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, exempelvis för att ta fram verksamhetsstatistik eller för registervård (prop. 2017/18:105 s. 195). Därutöver måste myndighetens intresse av att kunna utföra sitt uppdrag vägas mot intresset av att skydda den enskildes integritet. Förbud att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter kan kompletteras med undantag som bedöms som berättigade utifrån verksamhetens behov, se t.ex. 6 § andra stycket kriminalvårdsdatalagen, 13 § andra stycket kustbevakningsdatalagen, 2 kap. 4 § respektive 3 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 114 kap. 12 § andra stycket SFB.
I avsnitt 7.7 konstateras att ISF har behov av att inom ramen för sina undersökningar analysera känsliga personuppgifter om hälsa, etniskt ursprung, religiös eller filosofisk övertygelse och sexuell läggning. Analys av uppgifter förutsätter ofta att uppgifterna kan användas för urval. Det är särskilt fallet i s.k. registerstudier (se avsnitt 4.4), då samtliga registeruppgifter används som variabler. ISF kan t.ex. ha behov av att analysera om vissa yttre omständigheter kan påverka benägenheten att ansöka om en viss socialförsäkringsförmån. För en sådan analys kan det vara relevant att söka fram individer med en viss diagnos som har beviljats en viss socialförsäkringsförmån. Därefter kan ISF behöva lägga till variabler som exempelvis kommun, kön och bransch och på så sätt få mer information om individen. Utifrån denna sammantagna information är det möjligt att bedöma olika samband. Motsvarande gäller vid granskning utifrån sådana känsliga personuppgifter som kan utgöra grund för osaklig hantering. Då behöver den känsliga personuppgiften användas för att ett urval av personer ska kunna ligga till grund för undersökningen. För att ISF ska kunna utföra sitt uppdrag bör det därför vara tillåtet för myndigheten att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning.
ISF föreslås också få behandla andra känsliga personuppgifter om det är nödvändigt för ändamålet med behandlingen. Det kan handla om att andra känsliga personuppgifter än de som ISF avser att analysera finns i ärendeakter och andra handlingar som utgör underlag i en undersökning. Andra känsliga personuppgifter än de som ISF avser att analysera utgör dock överskottsinformation och är nödvändiga att behandla endast därför att de behandlas tillsammans med andra personuppgifter. Det innebär att det i de flesta fall endast kan anses nödvändigt att behandla sådana personuppgifter för insamling och lagring. Sökningar bör därför inte få utföras i syfte att få fram ett urval av personer grundat på andra känsliga personuppgifter än uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning.
Genom att i lagen ange vilka kategorier av känsliga personuppgifter som får läggas till grund för ett urval blir det tydligt vilka kategorier av personuppgifter som kan komma att behandlas inom ramen för ISF:s tillsyns- och granskningsverksamhet. Bestämmelsen bör därför utformas som ett undantag från huvudregeln om sökbegränsning och inte, så som Umeå universitet föreslår, som en uppräkning av de kategorier av känsliga personuppgifter som ISF inte får utföra sökningar på. En sådan ordning motsvarar dessutom utformningen av sökbegränsningar i andra nyare registerlagstiftningar. Enligt regeringen blir regleringen tydligare om undantaget anger tillåten behandling i stället för otillåten behandling.
I avsnitt 7.6.3 konstateras att ISF endast i begränsad omfattning lämnar ut personuppgifter från myndigheten. Myndigheten bedöms därför inte ha behov av att kunna utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Sammanfattningsvis anser regeringen att ISF som huvudregel inte ska få utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökningar ska dock få utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning om sökningen sker för den föreslagna lagens primära ändamål.
Det bör inte införas sökbegränsningar som avser uppgifter om lagöverträdelser i lagen
I avsnitt 7.9 anges skäl till att det inte bedöms vara ändamålsenligt att i den föreslagna lagen införa särskilda begränsningar av möjligheten att behandla personuppgifter om lagöverträdelser. Regeringen bedömer att samma skäl talar för att det inte heller bör införas några särskilda begränsningar i fråga om möjligheterna att behandla uppgifter om lagöverträdelser vid sökningar. Behovet av att göra sökningar som utgår från uppgifter om lagöverträdelser bör generellt vara mycket begränsat. I den mån det ändå förekommer är det inte möjligt att på förhand i lag på ett tydligt sätt avgränsa i vilka typer av undersökningar eller utvärderingar eller för vilka konkreta ändamål det finns sådana behov.
Även om det inte föreslås någon specifik sökbegränsning för uppgifter om lagöverträdelser säkerställs ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretesslagstiftning samt de begränsningar och skyddsåtgärder i övrigt som föreslås i lagen.
Behandling av personuppgifter i projekt
Regeringens förslag: Behandling av personuppgifter för primära ändamål ska ske inom ramen för ett projekt, utom när behandling av personuppgifter utförs för omvärldsbevakning eller planering av verksamheten. Med projekt ska avses en planerad arbetsinsats som genomförs inom bestämda ramar.
Personuppgifter som har samlats in inom ramen för ett projekt ska inte få behandlas i ett annat projekt. Personuppgifter ska dock få behandlas inom ramen för ett annat projekt än det de har samlats in för om behandlingen är nödvändig för att Inspektionen för socialförsäkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering anser att ISF:s arbete med omvärldsbevakning och planering bör beskrivas mer utförligt.
Skälen för regeringens förslag
Behandling av personuppgifter bör ske i projekt
I avsnitt 7.6.2 föreslås att ISF ska få behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. Systemtillsyn och effektivitetsgranskning medför ofta behov av att undersöka förhållanden utifrån flera olika vinklar. Det är därför inte ovanligt att ISF gör flera olika undersökningar inom ramen för en och samma granskning. En granskning kan exempelvis bestå av en aktstudie, en registerstudie och en intervjustudie. Det sammanhang som de olika undersökningarna tillsammans bildar för ett gemensamt syfte bör ges en gemensam benämning.
Uttrycket projekt används i flera andra lagstiftningar. Enligt 6 § etikprövningslagen ska ett etikgodkännande avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. I förarbetena till etikprövningslagen konstateras att ett projekt oftast är avgränsat med avseende på den vetenskapliga frågeställningen, antalet forskningspersoner som ska delta, forskningsledningen, antalet forskare och annan personal som ska ingå i projektet, finansiering och budgetering osv. (propositionen Etikprövning av forskning [prop. 2002/03:50 s. 195]). I 15 § lagen (2001:99) om den officiella statistiken används uttrycken forskningsprojekt och statistikprojekt och i 3 kap. 7 § dataskyddslagen finns också uttrycket statistikprojekt. Myndigheten för arbetsmiljökunskap får enligt 12 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap ha samlingar av personuppgifter om det är nödvändigt för ett särskilt projekt.
Ett projekt är enligt Svenska Akademiens ordlista ett planerat arbete av större omfattning. Enligt Svensk ordbok betyder ordet projekt idé och utkast för metod att uppnå visst (större) resultat. I Nationalencyklopedin anges ett projekt vara en idé eller plan för uppnåendet av ett visst resultat och ofta även arbetet med att genomföra planen inom vissa givna ramar, t.ex. i fråga om tid och ekonomi. Uttrycket projekt är enligt regeringen därmed lämpligt att använda för att tydligt avgränsa vilken behandling som är nödvändig för en viss granskning.
I avsnitt 7.12 föreslås att ISF ska fastställa vissa ramar för de projekt myndigheten bedriver. Ramarna avser projektets syfte, vilka känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom projektet och genomförandetiden för projektet. Det kan dock vara aktuellt att fastställa även andra ramar, t.ex. i fråga om metod och resursåtgång. Genom noggranna förberedelser och planeringsarbete kan lämpliga ramar utformas.
ISF:s projekt har en central betydelse för integritetsskyddet enligt den föreslagna lagen. Genom att knyta behandlingen av personuppgifter till olika projekt kan behandlingen avgränsas och därmed begränsas på olika sätt, bl.a. i fråga om återanvändning av personuppgifter, åtkomst till personuppgifter och tid. Det bör därför förtydligas vad som avses med projekt i den nya lagen. Mot bakgrund av projektets avgränsande funktion och behovet av förberedelser bör ett projekt i den föreslagna lagens mening vara en planerad arbetsinsats som genomförs inom bestämda ramar.
Genom att varje projekt ges en tydlig målbild och ramar att förhålla sig till skapas goda förutsättningar för en väl avvägd behandling av personuppgifter. De olika undersökningar som kan aktualiseras inom ramen för projektet måste ha som ändamål att besvara frågeställningar som är relevanta för den gemensamma målbilden. För att säkerställa att behandlingen av personuppgifter begränsas på ett ändamålsenligt sätt, bör behandlingen därmed ske i projekt.
Personuppgifter bör som huvudregel behandlas inom ramen för det projekt de samlats in för
En viktig förutsättning för att ISF ska kunna bedriva sin verksamhet är att myndigheten får del av uppgifter för bearbetning och analyser. ISF har uppgett att myndigheten inte har behov av någon egen databas eller att uppdatera samlingar av personuppgifter på det sätt som sker hos Myndigheten för arbetsmiljökunskap och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (jfr prop. 2018/19:151 s. 32 och prop. 2011/12:176 s. 40–43). Behovet av uppgifter kan i stället tillgodoses genom att myndigheten begär in de uppgifter som behövs i varje enskilt projekt. På så sätt säkerställs också att uppgifterna är aktuella och korrekta utan att ISF måste ombesörja eventuell uppdatering och komplettering av uppgifterna.
När stora mängder personuppgifter samlas in är det viktigt att behandlingen begränsas och är förutsägbar. Det bör därför som utgångspunkt endast vara tillåtet att behandla de insamlade personuppgifterna inom ramen för det projekt som de samlats in för. På så sätt blir det tydligt både för vilket ändamål uppgifterna samlas in och hur länge uppgifterna kommer att behandlas (jfr avsnitt 7.16). Det begränsar också tillgången till personuppgifterna, både i fråga om antal personer och tid. Tillgång till personuppgifter som behandlas i ett projekt bör i huvudsak endast ges till personer som arbetar i det aktuella projektet under den tid projektet pågår (avsnitt 7.15). Dessutom begränsas myndighetens möjlighet att söka och bearbeta personuppgifter som finns i verksamheten till att avse sådana uppgifter som behandlas inom ramen för aktuellt projekt.
En begränsning av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begränsning av finalitetsprincipens tillämplighet. Begränsningen utgör en skyddsåtgärd som är tillåten att införa med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning.
I vissa fall kan det vara relevant att upprepa eller följa upp ett tidigare genomfört projekt. Tidigare underlag kan då behövas som utgångspunkt för arbetet eller för jämförande studier. Det kan således finnas behov av att behandla personuppgifter som samlats in inom ramen för det tidigare genomförda projektet. Eftersom personuppgifter som direkt kan hänföras till den registrerade som huvudregel ska separeras från övriga personuppgifter, är en eventuell återanvändning av uppgifter dock ofta beroende av tillgång till kodnyckel. I många fall har kodnyckeln skapats hos den myndighet som lämnat uppgifterna till ISF, t.ex. Försäkringskassan eller Statistiska centralbyrån (SCB). Dessa myndigheter gallrar nyckeln utifrån de regler som gäller för den egna myndigheten. När ISF skapar en kodnyckel, ska den raderas när det inte längre är tillåtet att bevara den enligt EU:s dataskyddsförordning (avsnitt 7.16). Även utan kodnyckel kan det dock vara värdefullt att jämföra registeruppgifter och tidigare resultat med uppgifter i en upprepande eller uppföljande granskning. Registeruppgifterna kan utgöra personuppgifter mot bakgrund av möjligheten att bakvägsidentifiera den registrerade.
Eftersom möjligheterna att koppla tidigare insamlade personuppgifter till nya uppgifter begränsas av både praktiska omständigheter och skyddsåtgärder, har personuppgifter sällan ett faktiskt användningsområde i ett annat projekt än det de samlats in för. Det får dock anses motiverat att myndigheten, i den utsträckning det ändå kan konstateras ett behov, kan vidarebehandla personuppgifter om det är nödvändigt för att upprepa eller följa upp ett tidigare projekt eller del av projekt. Att i sådana situationer kräva att myndigheten på nytt ska inhämta personuppgifter som den redan har samlat in i ett annat projekt skulle vara ineffektivt och onödigt betungande för såväl ISF som uppgiftslämnande myndigheter och enskilda. Eftersom avsikten är att ta tidigare resultat vidare i en kompletterande granskning, bör ändamålen för behandlingarna ligga relativt nära varandra. Vidarebehandlingen bör därmed vara förenlig med finalitetsprincipen (artikel 5.1 b i EU:s dataskyddsförordning).
När personuppgifter vidarebehandlas i ett nytt projekt blir samtliga skyddsåtgärder enligt den föreslagna lagen tillämpliga. Vidarebehandlade personuppgifter ska alltså behandlas på samma sätt som personuppgifter som samlas in från externa aktörer till ett projekt.
Sammantaget anser regeringen att personuppgifter som samlats in inom ramen för ett projekt som huvudregel inte bör få behandlas i ett annat projekt. Personuppgifter bör dock få behandlas i ett annat projekt än det de har samlats in för om behandlingen är nödvändig för att ISF ska kunna helt eller delvis upprepa eller följa upp det tidigare projektet.
Undantag för omvärldsbevakning och planering av verksamheten
ISF utför omvärldsbevakning löpande och utan föregående planering eller förberedelse. Det kan handla om att myndighetens medarbetare läser domar, beslut, nyhetsbrev, artiklar, rapporter, litteratur och liknande. Sådant material kan också samlas i ett e-bibliotek. Syftet med omvärldsbevakning är att bevaka utvecklingen på de områden som ryms inom myndighetens uppdrag. Bevakningen är nödvändig för medarbetarnas kompetensutveckling och för att inhämta uppslag till nya granskningar. Myndigheten bör därför ha möjlighet att samla in och behandla sådant material löpande utan att det finns en koppling till ett specifikt projekt.
Planering av verksamheten äger rum innan myndigheten inleder ett projekt. Planeringen skapar förutsättningar för att arbete senare ska kunna ske i projektform. Det är därför inte möjligt att kräva att planering av verksamheten ska ske i projektform.
Viss del av den omvärldsbevakning och planering som ISF utför kommer inte att omfattas av lagens tillämpningsområde. Det gäller t.ex. när avidentifierad statistik används i stället för personuppgifter eller när omvärldsbevakning utförs genom att papperstidningar och annat tryckt material läses.
Behandling som undantas från projektkravet kommer även att undantas från övriga föreslagna skyddsåtgärder som är knutna till projektramen. Det medför en ökad risk för intrång i den personliga integriteten. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering efterfrågar med anledning av detta en mer utförlig beskrivning av omfattning och karaktär i fråga om ISF:s arbete med omvärldsbevakning och planering av verksamheten. Regeringen vill framhålla att syftet med omvärldsbevakningen och planeringen av verksamheten är att ISF ska kunna inhämta kunskap och att få uppslag till granskningar. Det rör sig därför snarare om att göra stickprov än om att göra breda analyser. Därmed är det sällan nödvändigt för ISF att behandla några stora mängder personuppgifter för dessa ändamål. Enligt förslaget i avsnitt 7.14 ska dessutom personuppgifter som kan hänföras direkt till den registrerade som huvudregel separeras från övriga personuppgifter. Ofta bör det vara möjligt att använda avidentifierade uppgifter eller statistikuppgifter vid omvärldsbevakning och planering. Riskerna för den personliga integriteten bedöms heller inte vara så omfattande att behandling av personuppgifter i dessa fall bör kopplas till ett projekt.
Regeringen bedömer sammantaget att behandling av personuppgifter för omvärldsbevakning och planering av verksamheten bör undantas från kravet på att all behandling av personuppgifter ska ske inom ramen för ett projekt.
Fastställande av ramar för projekt
Regeringens förslag: Innan personuppgifter får behandlas inom ramen för ett projekt, ska Inspektionen för socialförsäkringen fastställa syftet med projektet, vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som ska analyseras i projektet och när projektet senast ska vara avslutat. Det fastställda syftet ska inte få ändras.
Information om vad som har fastställts ska hållas tillgänglig på myndighetens webbplats.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering föreslår att personuppgifter som direkt kan hänföras till den registrerade ska ingå i de ramar som ska fastställas för ett projekt så att behandling av identitetsangivna personuppgifter tydliggörs.
Skälen för regeringens förslag
Projektets ramar bör fastställas
Behandling av personuppgifter i ett projekt bör ske inom vissa, på förhand angivna, ramar. För att dessa ramar ska bli tydliga, bör det i lagen införas ett formellt krav på att ISF ska fastställa vissa förutsättningar för varje projekt. Genom ett formaliserat förfarande säkerställs en tydlig dokumentation och risken för slentrianmässig behandling minskar. Dokumentationen kan också ge stöd för myndigheten vid bedömningen av om en konsekvensbedömning avseende dataskydd behöver upprättas (artikel 35.1 i EU:s dataskyddsförordning).
I första hand bör målbilden för projektet klargöras genom att syftet med projektet fastställs. Det är viktigt att målbilden är tydlig innan personuppgifter samlas in, eftersom även ändamål för behandlingen av personuppgifter ska fastställas och dessa ändamål ska knytas till syftet med projektet. Syftet med projektet utgör den yttersta ramen för möjliga ändamål för behandlingen av personuppgifter i projektet. När syftet har fastställts bör det inte få ändras, eftersom syftet är helt avgörande för projektets avgränsning och de ramar som fastställs i övrigt. Om syftet skulle ändras, skulle det inte längre röra sig om samma projekt och då har förutsebarheten gått förlorad.
I samband med att syftet med ett projekt fastställs, bör myndigheten också, i likhet med vad som gäller vid en etikprövning av ett forskningsprojekt, redan från början avgöra om känsliga personuppgifter och uppgifter om lagöverträdelser behöver behandlas inom ramen för projektet (jfr 3 och 6 §§ lagen om etikprövning av forskning som avser människor). Om projektet ska avse en sjukförsäkringsförmån och det planeras en aktgranskning, är det redan från början möjligt att förutse ett behov av behandling av känsliga personuppgifter om hälsa. Om projektet ska avse uttag av föräldrapenning och behandla aspekten samkönade par, bör det på motsvarande sätt vara möjligt att förutse behovet av behandling av känsliga personuppgifter om sexuell läggning. Redan i dag gör ISF en övergripande bedömning av vilka undersökningar som är nödvändiga att genomföra och vilka personuppgifter som är nödvändiga att behandla för ändamålet innan en projektplan beslutas. På så sätt anges en ram för behandlingen, vilket medför tydlighet och transparens.
Det är inte möjligt att helt förutse vilka personuppgifter som kan komma att behandlas inom ramen för en aktgranskning eller ett intervjuförfarande. Behandlingen kan även komma att omfatta känsliga personuppgifter som inte behöver analyseras av ISF men som behandlas tillsammans med sådana uppgifter som behöver analyseras (jfr avsnitt 7.7). När det inte är möjligt att på förhand avgöra om vissa känsliga personuppgifter kan komma att behandlas, bör det inte krävas att de ingår i den angivna ramen för projektet. Det bör därför endast vara sådana känsliga personuppgifter som ska analyseras inom ramen för projektet som behöver fastställas. Att uppgifterna ska analyseras innebär att myndigheten ska bearbeta, systematisera, strukturera och utifrån en analysmodell eller liknande använda uppgifterna i syfte att se samband, göra jämförelser och dra slutsatser.
Uttrycket personuppgifter om lagöverträdelser bör avse samma uppgifter som avses i etikprövningslagen, dvs. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Uppgifter om administrativa frihetsberövanden omfattas inte av någon särskild reglering enligt EU:s dataskyddsförordning (jfr artikel 10) men eftersom sådana uppgifter förutsätter en etikprövning är det viktigt att de utgör en del av den fastställa ramen för projektet.
Institutet för arbetsmarknads- och utbildningspolitisk utvärdering föreslår att ISF, på motsvarande sätt som föreslås gälla för behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser, även ska fastställa behovet av behandling av personuppgifter som direkt kan hänföras till den registrerade innan ett projekt inleds. Regeringen anser att personuppgifter som direkt kan hänföras till den registrerade kräver ett särskilt skydd. Eftersom behovet av sådana personuppgifter ofta är beroende av i vilken utsträckning ISF kan få löpnummerbaserade uppgifter från andra myndigheter, bl.a. Försäkringskassan och SCB, kan det dock vara svårt att fastslå behovet på ett så tidigt stadium. Personuppgifter som direkt kan hänföras till den registrerade skyddas dessutom av ett särskilt krav på att sådana uppgifter som huvudregel ska separeras från övriga personuppgifter (avsnitt 7.14). Mot bakgrund av detta anser regeringen att det inte bör införas ett krav på att ISF ska fastställa behovet av personuppgifter som direkt kan hänföras till den registrerade redan när projektets ramar fastslås.
En annan ram för behandlingen av personuppgifter i ett projekt är tidsaspekten. Behandling av personuppgifter som pågår under lång tid är mer känslig än behandling som relativt snart kan avslutas. För att behandling av personuppgifter inte ska dra ut onödigt långt i tid, bör ISF redan innan behandlingen påbörjas fastställa när projektet senast ska vara avslutat.
Regeringen anser att projektets syfte, kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser samt tidsramarna för projektet bör ha fastställts innan personuppgifter behandlas i projektet. Utgångspunkten bör vara att det som fastställts när projektet inleds ska gälla under hela projektet, för att i möjligaste mån skapa förutsebarhet för den registrerade. Om förutsättningarna ändras under arbetets gång, bör myndigheten dock kunna fastställa fler och ändrade kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras samt justera tidsramen. Syftet för projektet bör, i enlighet med vad som angetts ovan, inte få ändras efter att det fastställts.
Information om projekt bör publiceras på myndighetens webbplats
Eftersom ISF hanterar stora mängder integritetskänsliga uppgifter är det viktigt att myndigheten är transparent med hur uppgifterna används. För att ge registrerade, allmänheten, tillsynsmyndigheten och aktörer som lämnar uppgifter till ISF möjlighet att ta del av information om de behandlingar av personuppgifter som myndigheten utför, bör det införas en skyldighet för ISF att informera om myndighetens projekt. Eftersom myndigheten ska fastställa varje projekts syfte, vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som ska analyseras inom ramen för projektet samt tidsramarna för projektet, finns information om detta tillgänglig hos myndigheten. Informationen bör enkelt kunna sammanställas för publicering.
Redan i dag publicerar ISF information om pågående projekt på sin webbplats. Den informationen avser främst projektens syfte, bakgrunden till olika projekt samt tidsplaner. Ur ett integritetsperspektiv är även information om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser relevant att ta del av. Det bör enligt regeringen därför införas ett krav i lagen på att ISF på sin webbplats ska hålla information tillgänglig om alla projekt som myndigheten bedriver. Informationen ska omfatta fastställt syfte med projektet, vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som ska analyseras inom ramen för projektet, och när projektet senast ska vara avslutat. Skyldigheten att hålla information tillgänglig avser att komplettera skyldigheten att lämna information enligt artikel 13 och 14 i EU:s dataskyddsförordning men inte att ersätta den.
Medgivande till behandling av personuppgifter
Regeringens förslag: Om personuppgifter samlas in direkt från den enskilde, ska de få behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen. Den registrerade ska ha rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas.
Om ett medgivande återkallas ska behandlingen dock få fortsätta om Inspektionen för socialförsäkringen inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen ska också få fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering.
Promemorians förslag överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås endast att behandling av personuppgifter som omfattas av ett återkallat medgivande ska upphöra.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. ISF anser att det finns behov av att förtydliga att medgivande kan lämnas genom ett s.k. konkludent handlande när intervjuer med myndighetspersonal dokumenteras genom inspelning. Myndigheten för delaktighet framhåller vikten av att ett funktionshinderperspektiv beaktas när nya bestämmelser om samtycke tas fram. Riksarkivet anser att det bör framgå av bestämmelsen att personuppgifterna ska raderas om ett medgivande återkallas samt att undantag bör gälla för arkiverade personuppgifter i avslutade projekt. Sveriges advokatsamfund anser att uttrycket samtycke bör användas i stället för uttrycket medgivande.
Skälen för regeringens förslag
Det bör i vissa fall krävas medgivande från den enskilde
Det förekommer att ISF samlar in uppgifter till undersökningar genom intervju- och enkätförfaranden. Personuppgifter samlas då in direkt från den enskilde. Det ligger i sakens natur att samtycke i praktiken normalt är en förutsättning för insamling av uppgifter genom för deltagarna frivilliga enkäter eller intervjuer. ISF intervjuar dock tjänstemän på bl.a. Försäkringskassan och Pensionsmyndigheten. Eftersom tjänstemännen svarar på frågor från ISF på uppdrag av sin arbetsgivare, kan det ifrågasättas om de helt frivilligt lämnar uppgifter.
Samtycke bör inte utgöra en rättslig grund för ISF:s insamling av personuppgifter direkt från den enskilde. I likhet med övrig behandling av personuppgifter som ISF utför med anledning av sin tillsyns- och granskningsverksamhet bör behandlingen vara nödvändig för en uppgift av allmänt intresse (avsnitt 7.6.1). Ett samtycke kan dock även utgöra en integritetshöjande åtgärd, vars syfte är att ge uppgiftslämnaren ökat inflytande över behandlingen av personuppgifterna. Ett sådant samtycke kan användas också i ojämlika situationer, t.ex. när samtycket inhämtas från en enskild av en myndighet (jfr prop. 2017/18:171 s. 140). Bestämmelser om integritetshöjande samtycke är sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i förordningen (prop. 2017/18:171 s. 141).
Genom att det ställs krav på samtycke, blir det tydligt för uppgiftslämnaren att han eller hon kan välja att lämna uppgifter eller inte. Detta gäller även när en tjänsteman på en myndighet lämnar uppgifter. Samtycke som integritetshöjande åtgärd används också ofta av Etikprövningsmyndigheten som en förutsättning för personuppgiftsbehandling i forskningsprojekt. Det är därför lämpligt att kräva samtycke när uppgifter samlas in direkt från den registrerade. För att den integritetshöjande åtgärden inte ska uppfattas som den rättsliga grunden för behandlingen av personuppgifter anser regeringen, till skillnad från Sveriges advokatsamfund, att uttrycket medgivande bör användas i lagen i stället för samtycke.
Medgivandet bör vara uttryckligt, vilket bör ha motsvarande innebörd som uttryckligt samtycke i artikel 9.2 a i EU:s dataskyddsförordning. Kravet på att samtycket ska vara uttryckligt kan uppfyllas genom att samtycket t.ex. lämnas skriftligen, i ett elektroniskt formulär, i ett epostmeddelande med en elektronisk underskrift eller i vissa fall muntligen (jfr Europeiska dataskyddsstyrelsens [EDPB] riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1, antagna den 4 maj 2020, s. 21). Regeringen bedömer att integritetsskyddet påverkas negativt om medgivanden, på det sätt som ISF förespråkar, tillåts lämnas genom s.k. konkludent handlande. Enligt regeringen bör det varken medföra ett integritetsintrång eller en omotiverat stor administrativ börda för ISF om ett medgivande samlas in i anslutning till en inspelad intervju.
Regeringen föreslår därmed att om uppgifterna samlas in direkt från den enskilde ska personuppgifter få behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.
Ett lämnat medgivande bör få återkallas
Syftet med ett medgivande är att den enskilde själv ska få möjlighet att påverka behandlingen av personuppgifter. För att den enskildes inflytande över behandlingen av personuppgifter inte ska upphöra efter det att behandlingen påbörjats, bör ett medgivande också kunna återkallas. Om den enskilde ångrar ett lämnat medgivande bör han eller hon således kunna kontakta ISF och meddela detta. ISF bör då inte längre få behandla de personuppgifter som omfattas av det återkallade medgivandet. Eftersom även radering utgör behandling av personuppgifter bör det, i enlighet med vad Riksarkivet framför, förtydligas i lagtexten att personuppgifterna ska raderas (jfr avsnitt 7.16).
Det är endast sådana personuppgifter som omfattas av det återkallade medgivandet som bör få raderas. Om medgivandet endast delvis återkallas, t.ex. om uppgiftslämnaren ångrar att han eller hon lämnat vissa uppgifter men kan tänka sig att ISF även fortsättningsvis behandlar övriga lämnade uppgifter, behöver ISF således inte radera de övriga uppgifterna. På så sätt ges den registrerade ökad kontroll både över uppgiftslämnande och ISF:s fortsatta behandling.
Ett återkallande av ett medgivande bör inte påverka tillåtligheten av sådan behandling som skett innan medgivandet återkallades. Konsekvensen av att återkalla ett lämnat medgivande blir därmed densamma som när ett samtycke återkallas enligt artiklarna 7.3 och 17.1 b i EU:s dataskyddsförordning.
I avsnitt 7.14 föreslås att ISF ska förvara personuppgifter som direkt kan hänföras till den registrerade separat från övriga personuppgifter. Redan i dag transkriberar myndigheten inspelade intervjuer med tjänstemän och behåller i samband med detta inte kopplingen till individerna. Om den registrerade återkallar sitt medgivande efter att en intervju som innehåller personuppgifter transkriberats, kan det i vissa fall vara svårt att återfinna vilka uppgifter som den registrerade har lämnat. Då bör ISF, i likhet med vad som gäller enligt artikel 11 i EU:s dataskyddsförordning, inte behöva behandla ytterligare information i syfte att identifiera den registrerade. Eftersom bestämmelserna i EU:s dataskyddsförordning inte gäller integritetshöjande åtgärder som införs i nationell rätt, bör detta uttryckas i lagen. För att tillgodose intresset av att bevara allmänna handlingar, bör personuppgifter som finns i handlingar som har tagits om hand för arkivering, i enlighet med vad Riksarkivet framför, inte heller raderas. Som en följd av att ISF inte behöver behandla ytterligare information i syfte att identifiera den registrerade blir det därmed i praktiken endast sådana uppgifter som kan hänföras till den registrerade och som behandlas inom ramen för pågående projekt som kommer att raderas vid ett återkallat medgivande.
I avsnitt 7.4 föreslås att rätten att göra invändningar ska gälla när personuppgifter samlas in direkt från den registrerade. När rätten att göra invändningar tillämpas får det samma effekt som när ett medgivande återkallas, eftersom behandlingen av personuppgifter då ska upphöra. En invändning kan dock göras först när personuppgifter behandlas, medan ett medgivande ska lämnas redan innan behandlingen. En invändning leder inte heller alltid till att behandlingen av personuppgifter upphör. Om behandlingen sker för forskningsändamål eller om ISF:s skäl för behandlingen väger tyngre än den registrerades, kan behandlingen fortsätta trots invändning. Rätten att göra invändningar kan därför inte ersätta ett krav på medgivande och en möjlighet att återkalla medgivandet. Genom att krav på medgivande regleras separat från bestämmelsen om undantaget från rätten att göra invändningar minskar risken för att de olika bestämmelserna blandas ihop (jfr prop. 2017/18:112 s. 53).
Sammanfattningsvis anser regeringen att den registrerade när som helst bör kunna återkalla ett lämnat medgivande, varvid de personuppgifter som omfattas av det återkallade medgivandet ska raderas. Personuppgifterna bör dock få fortsätta att behandlas om ISF har arkiverat uppgifterna eller om ISF i övrigt inte utan att bevara, förvärva eller behandla ytterligare personuppgifter kan hänföra uppgifterna till den registrerade.
Information vid medgivande
Myndigheten för delaktighet framhåller vikten av ett funktionshinderperspektiv när bestämmelser om samtycke tas fram. Regeringen instämmer i att det är viktigt att beakta den enskildes förmåga att ta tillvara sina rättigheter. För att den enskilde ska kunna ta ställning till ett medgivande krävs framför allt information om behandlingen av personuppgifter. Den personuppgiftsansvarige är enligt artikel 13 i EU:s dataskyddsförordning skyldig att tillhandahålla information när personuppgifter samlas in direkt från den registrerade. Informationen ska enligt artikel 12.1 i EU:s dataskyddsförordning tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Det är ISF:s uppgift att se till att medgivandet lämnas frivilligt och informerat, vilket bl.a. innebär att myndigheten måste anpassa sin information om behandlingen och om innebörden av ett medgivande utifrån den enskildes förutsättningar att ta till sig informationen. I förordningen (2001:526) om de statliga myndigheternas ansvar för genomförande av funktionshinderspolitiken regleras dessutom en generell skyldighet för myndigheter under regeringen att verka för att bl.a. information är tillgänglig för personer med funktionsnedsättning. Regeringen bedömer att det inte krävs någon reglering i den nya lagen som särskilt gäller personer med funktionsnedsättning.
Begränsning av möjligheterna att identifiera den registrerade
Regeringens förslag: Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Sådana personuppgifter ska dock få behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.
Kravet på att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter ska dock inte hindra att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Vetenskapsrådet anser att uttrycket pseudonymisering bör användas i lagen.
Skälen för regeringens förslag
Pseudonymisering och kryptering kan öka skyddsnivån
Behandling av personuppgifter som direkt kan hänföras till den registrerade är förenad med större integritetsrisker än behandling av personuppgifter som endast genom kompletterande uppgifter kan kopplas till den registrerade. Genom pseudonymisering eller kryptering av personuppgifterna är det därmed möjligt att minska riskerna för de registrerade och bidra till att säkerställa en tillräcklig skyddsnivå (skäl 28 och 83 i EU:s dataskyddsförordning). Både pseudonymisering och kryptering tillgodoser principen om uppgiftsminimering enligt artikel 5.1 c i EU:s dataskyddsförordning samt bidrar till att uppfylla principen om integritet och konfidentialitet enligt artikel 5.1 f. Pseudonymisering och kryptering nämns också i artikel 32.1 i EU:s dataskyddsförordning som sådana tekniska och organisatoriska åtgärder som ska säkerställa en lämplig säkerhetsnivå vid behandling av personuppgifter. Därutöver minskar behovet av att behandla uppgifter om personnummer och samordningsnummer när pseudonymisering och kryptering används. Sådana uppgifter får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (artikel 87 i EU:s dataskyddsförordning och 3 kap. 10 § dataskyddslagen).
Pseudonymisering är enligt definitionen i artikel 4.5 i EU:s dataskyddsförordning behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. Av definitionen följer alltså krav på att all information som direkt kan identifiera en person ersätts med en pseudonym, t.ex. ett löpnummer. Utöver detta bör det krävas att annan information som kan användas för att indirekt identifiera personen hanteras så att detta inte längre är möjligt. ISF behandlar stora mängder personuppgifter i olika variabler. Variabler som kön, bostadsort och diagnos kan alltså behöva tas bort, om de möjliggör bakvägsidentifiering.
EU:s dataskyddsförordning innehåller ingen definition av vad som ska anses utgöra kryptering. Med kryptering avses dock vanligtvis att genom användning av ett kodsystem eller ett chiffer kasta om bokstäver och siffror och därigenom göra en text oläslig. För att göra informationen läslig igen krävs dekryptering, som förutsätter tillgång till kodsystemet eller chiffret. Det är vanligt att känslig information krypteras när den skickas elektroniskt.
Personuppgifter som direkt kan hänföras till den registrerade bör separeras från övriga personuppgifter
ISF har ett begränsat behov av att behandla personuppgifter som direkt kan hänföras till den registrerade. Uppgifter som namn, personnummer och samordningsnummer har inte något värde i myndighetens analysarbete och bör så långt det är möjligt inte vara tillgängliga i klartext i det underlag som myndigheten baserar sina undersökningar på. Det är dock viktigt att kunna sätta samman olika variabler i ISF:s granskningsarbete. Genom att utgå från flera olika variabler är det möjligt att undersöka hur olika grundförutsättningar påverkar exempelvis nyttjandet av socialförsäkringen. Eftersom det inte är möjligt att i förväg helt förutse om en kombination av variabler kan komma att medge bakvägsidentifiering kan det vara svårt för ISF att uppnå full pseudonymisering. Regeringen bedömer att det därför inte är lämpligt att, som Vetenskapsrådet föreslår, använda uttrycket pseudonymisering i lagen. Med hänsyn till att det saknas en legaldefinition av vad som ska anses utgöra kryptering och att den föreslagna lagen bör hållas teknikneutral, bedöms det inte heller lämpligt att införa ett krav på kryptering av personuppgifter. Det finns dock inget som hindrar ISF från att använda pseudonymisering och kryptering i de fall myndigheten bedömer detta vara lämpligt. Det bör också vara möjligt att använda alternativa skyddsåtgärder som ger ett likartat skydd.
Som framgår av avsnitt 4 kan ISF, framför allt vid registerstudier, få löpnummerbaserade uppgifter från bl.a. Försäkringskassan och SCB. Kodnyckeln behålls hos den utlämnande myndigheten. Då behöver ISF över huvud taget inte hantera personuppgifter som direkt kan hänföras till den registrerade. Ett sådant tillvägagagångssätt är i linje med principen om uppgiftsminimering i EU:s dataskyddsförordning (artikel 5.1 c) och ISF bör därför använda sig av det när det är möjligt. Dessutom får personnummer och samordningsnummer enligt 3 kap. 10 § dataskyddslagen behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. ISF kan dock inte kräva att den utlämnande myndigheten ska ersätta personuppgifter som direkt kan hänföras till den registrerade med löpnummer, och hanteringen är därför beroende av den utlämnande myndighetens förmåga och bistånd. I vissa fall kan ISF också själv ha behov av att koppla ihop uppgifter från flera olika myndigheter och enskilda. Det kan då vara nödvändigt att hantera personnummer och samordningsnummer. Det är därför inte möjligt att kräva att ISF endast behandlar löpnummerbaserade uppgifter. För att i så stor utsträckning som möjligt förhindra behandling av personuppgifter som direkt kan hänföras till den registrerade, bör dock ISF separera sådana personuppgifter från övriga personuppgifter. Detta kan ske genom olika tekniska och organisatoriska åtgärder.
Enligt förslaget i avsnitt 7.15 ska tillgången till personuppgifter begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Om ett projekt inte omfattar akt-, enkät- eller intervjustudier, torde medarbetarnas behov av att ha tillgång till personuppgifter som direkt kan hänföras till den registrerade vara mycket litet. Genom att uppgifterna hålls separerade kan tillgången begränsas. Uppgifterna bör därför separeras så snart som möjligt när uppgifterna kommer in till myndigheten.
Det bör vara möjligt att använda en kodnyckel
Regeringen anser att det bör vara möjligt att i ett senare skede koppla de separerade personuppgifterna till varandra, t.ex. för att samköra uppgifter som kommer från olika källor, om det med hänsyn till ändamålet med behandlingen av uppgifterna kan konstateras ett behov av det. Personuppgifter som inte direkt kan hänföras till den registrerade bör därför få vara försedda med en beteckning som kan kopplas till den enskilde. En sådan beteckning kan t.ex. vara ett löpnummer. Genom kompletterande uppgifter i form av en kodnyckel, som beskriver relationen mellan t.ex. personnummer och löpnummer, är det möjligt att koppla uppgifterna till varandra. Innan uppgifter som direkt kan hänföras till den registrerade separeras från övriga personuppgifter, bör myndigheten således få koda uppgifterna och skapa en kodnyckel.
Användningen av löpnummer eller andra beteckningar utgör, genom att löpnumret kan kopplas till en viss person, således ett undantag från huvudregeln om att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Enligt Lagrådet framstår denna innebörd inte som helt klar i den föreslagna 15 §. Regeringen anser i likhet med Lagrådet att bestämmelsen bör förtydligas och föreslår därför att 15 § i huvudsak utformas enligt Lagrådets förslag. Regeringen bedömer dock att det av bestämmelsen bör framgå att det är till personnummer eller motsvarande identitetsbeteckning som en beteckning kan kopplas. Regeringen föreslår därför ett sådant tillägg till Lagrådets förslag. Det bör särskilt noteras att en kodnyckel består av personuppgifter som direkt kan hänföras till den registrerade. Myndigheten bör således hålla kodnyckeln med direkt hänförliga personuppgifter skild från övriga personuppgifter. Tillgången till kodnyckeln begränsas genom förslaget i avsnitt 7.15.
En begränsad form av pseudonymisering och kryptering
Genom den föreslagna hanteringen skapas ett krav på en begränsad form av pseudonymisering och kryptering. Det finns en återstående risk för bakvägsidentifiering av individer i analysmaterial även om det inte innehåller direkt hänförliga personuppgifter, särskilt när stora mängder uppgifter behandlas i materialet. Det skulle t.ex. kunna vara fallet om uppgifter om en mycket ovanlig diagnos behandlas i kombination med uppgifter om kön, bostadsort och ålder. Risken för detta bedöms dock vara låg. Att personuppgifter som direkt kan hänföras till den registrerade förvaras separat borgar därför för ett gott skydd för personuppgifterna, eftersom det avsevärt minskar möjligheterna att identifiera de registrerade.
Sammantaget föreslår regeringen att det i lagen införs ett krav på att personuppgifter som direkt kan hänföras till den registrerade som huvudregel ska förvaras separat från övriga personuppgifter. Personuppgifter som inte direkt kan hänföras till den registrerade bör få vara försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning. Kravet utgör en sådan skyddsåtgärd som det enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning är tillåtet att införa i nationell lagstiftning.
Undantag från separering vid oproportionerlig ansträngning eller om syftet motverkas
I vissa fall kan en separering av personuppgifter som direkt kan hänföras till den registrerade från övriga personuppgifter kraftigt försvåra eller i det närmaste omöjliggöra ISF:s arbete. Vid exempelvis aktstudier hämtar ISF in kompletta ärendeakter för granskning. Eftersom ärendeakter innehåller många personuppgifter som direkt kan hänföras till den registrerade är det oundvikligt att ISF behandlar sådana personuppgifter. Att separera personuppgifter som direkt kan hänföras till den registrerade från övriga uppgifter när det rör sig om stora mängder ärendeakter, skulle i dagsläget medföra en mycket omfattande arbetsinsats eftersom det måste ske manuellt. Det skulle också förutsätta en noggrann genomgång av akterna, vilket i sig skulle utgöra en mycket integritetskänslig hantering. En sådan arbetsinsats kan, i synnerhet med hänsyn till den tveksamma vinsten ur integritetshänseende, inte anses proportionerlig i förhållande till det integritetsskydd den medför.
I andra fall kan kravet på separering av uppgifter motverka syftet med behandlingen. Vid exempelvis intervju- och enkätstudier måste ISF i ett inledande skede hantera kontaktuppgifter till de registrerade för att bl.a. bestämma tid för intervju och för att kunna skicka ut enkäter. Det skulle också motverka syftet med behandlingen om uppgifter om namn inte skulle kunna hanteras i e-bibliotek, källhänvisningar i myndighetens rapporter och liknande.
För att kravet på separering inte ska förhindra sitt egna syfte bör det således finnas möjlighet till undantag. Ett sådant undantag bör gälla om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen. Vid bedömningen av om huruvida ansträngningen är proportionerlig eller inte bör ansträngningen vägas mot det integritetsskydd som en separering skulle medföra.
Möjligheten till undantag bör bedömas i förhållande till varje enskild behandling. Även om det bedöms medföra en oproportionerlig arbetsinsats att separera personuppgifter i ärendeakter bör exempelvis inte all behandling av personuppgifter som ingår i akter omfattas av undantaget. När personuppgifter som ingår i ärendeakter registreras i särskilda analysverktyg, använder ISF redan i dag löpnummer i stället för personuppgifter som direkt kan hänföras till den registrerade. I det fallet kan det således inte anses medföra en oproportionerlig ansträngning att separera personuppgifter som direkt kan hänföras till den registrerade från övriga personuppgifter. När granskningen är slutförd bör kopplingen till ärendeakten tas bort varvid resultatet från aktgranskningen kan baseras helt på löpnummer.
Det bör enligt regeringen således införas ett undantag till den föreslagna huvudregeln om att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Undantaget bör ha innebörden att uppgifterna får behandlas tillsammans om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.
Begränsning av tillgången till personuppgifter
Regeringens förslag: Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.
Skälen för regeringens förslag
Krav på tekniska och organisatoriska åtgärder följer av EU:s dataskyddsförordning
Den som är personuppgiftsansvarig är enligt EU:s dataskyddsförordning skyldig att vidta tekniska eller organisatoriska åtgärder för att säkerställa lämplig säkerhet för personuppgifterna, inbegripet bl.a. skydd mot obehörig eller otillåten behandling. I artikel 5.1 c uttrycks den grundläggande principen att personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering). Enligt artikel 24.1 ska den personuppgiftsansvarige, med beaktande av bl.a. behandlingens art, omfattning, ändamål och riskerna, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Enligt artikel 25.2 ska den personuppgiftsansvarige också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål för behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för lagringen av dem och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i normalfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer. Enligt artikel 32 i EU:s dataskyddsförordning har den personuppgiftsansvarige vidare en skyldighet att se till att en lämplig säkerhetsnivå för behandlingen av personuppgifter upprätthålls. Detta ska ske bl.a. genom lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvariges skyldigheter i detta avseende återfinns även i de allmänna principer för personuppgiftsbehandling som framgår av artikel 5.1 f.
Det följer således direkt av EU:s dataskyddsförordning att den personuppgiftsansvarige är skyldig att på olika sätt begränsa tillgången till personuppgifter. Mer specifika krav på att vidta åtgärder kan fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör (jfr prop. 2017/18:171 s. 138).
Tillgången till personuppgifter bör begränsas
ISF behandlar en stor mängd personuppgifter, varav många är känsliga personuppgifter eller i övrigt integritetskänsliga uppgifter. Vem som har rätt att ta del av uppgifterna och hur uppgifterna sprids är omständigheter som påverkar risken för intrång i den personliga integriteten. Det är därför viktigt att motverka spridning av uppgifterna. För att minska risken för obefogade intrång i den personliga integriteten vid ISF:s behandling av personuppgifter bör det därför införas en bestämmelse som begränsar den krets av personer som får ha tillgång till personuppgifter.
Tillgången till personuppgifter kan begränsas på olika sätt. Det kan handla om både tekniska och organisatoriska åtgärder. Vilka åtgärder som är lämpligast beror bl.a. på vilka tekniska möjligheter myndigheten har och hur myndighetens organisation ser ut. Nya it-system ger ofta ökade möjligheter att skräddarsy och begränsa olika roller i systemen. Ju mer information det finns i ett it-system, desto större krav ställs på behörighetstilldelningen och rutinerna för behörighetsstyrning. Det framstår därför inte som ändamålsenligt att reglera vilka konkreta åtgärder som ska vidtas för att begränsa tillgången.
ISF behandlar personuppgifter för att kunna utföra sitt uppdrag att utöva systemtillsyn och utföra effektivitetsgranskning. I förlängningen utförs uppdraget av myndighetens medarbetare, som följaktligen behöver ha tillgång till personuppgifter för att kunna utföra sitt arbete. Den enskilde medarbetaren bör dock inte ha tillgång till fler personuppgifter än vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter.
I bl.a. 1 kap. 11 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten, 2 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 114 kap. 13 § SFB anges att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Detta får anses vara en rimlig och naturlig avvägning mellan effektivitet och integritet. Regeringen bedömer att samma begränsning bör gälla för ISF.
En behovsbaserad tillgång till personuppgifter förutsätter att myndigheten aktivt tar ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och att nödvändig behörighet tilldelas utifrån det. Det blir då tjänsteåliggandena och inte den faktiska möjligheten att ta del av uppgifter som anger den yttersta ramen för den egentliga behörigheten. Tilldelningen av behörighet bör ske under sådana former att det otvetydigt kan konstateras dels vilken behörighet som tilldelats en person, dels att denne faktiskt tagit del av och förstått innebörden av tilldelningen av behörigheten och de angivna ramarna för behörigheten.
Åtkomsten bör kontrolleras och följas upp
Den personuppgiftsansvarige ska enligt artikel 24 och 32 i EU:s dataskyddsförordning bl.a. säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Myndigheter ska dessutom enligt myndighetsförordningen löpande följa upp sina verksamheter i syfte att se till att de bedrivs effektivt och lagenligt. Det kan därför hävdas att en skyldighet att regelbundet kontrollera och följa upp åtkomsten av personuppgifter redan följer av befintlig reglering.
Med anledning av den stora mängden personuppgifter som ISF hanterar, anser regeringen att det är lämpligt att det i den föreslagna lagen uttryckligen anges att åtkomsten till personuppgifter regelbundet ska kontrolleras och följas upp. Liknande regleringar finns i andra registerförfattningar, t.ex. 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten, 1 kap. 9 § andra stycket studiestödsdatalagen och 114 kap. 13 § andra stycket SFB. Det bör vara upp till myndigheten att närmare bestämma formerna för kontrollen och uppföljningen men den bör exempelvis kunna ske genom uppföljning av loggar. Kontroll och uppföljning bör genomföras regelbundet, dvs. systematiskt och återkommande, och inte endast om myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit.
Längsta tid som personuppgifter får behandlas
Regeringens bedömning: Det bör inte införas en bestämmelse om gallring eller längsta tid för behandling av personuppgifter i lagen.
Promemorians bedömning överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser instämmer i bedömningen eller har inget att invända mot den. Enligt Pensionsmyndigheten bör det införas en generell bestämmelse om längsta tid för behandling av personuppgifter i lagen.
Skälen för regeringens bedömning: Enligt artikel 5.1 e i EU:s dataskyddsförordning får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under en längre period i den mån uppgifterna enbart behandlas för arkivändamål av allmänt intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i EU:s dataskyddsförordning. Det förutsätter dock att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt EU:s dataskyddsförordning genomförs för att garantera den registrerades fri- och rättigheter.
I arkivlagen (1990:782) och arkivförordningen (1991:446) finns bestämmelser om bevarande av uppgifter hos myndigheter och vissa andra organ. Utgångspunkten i arkivlagen är att allmänna handlingar ska bevaras men under vissa förutsättningar får gallras. Vid gallring ska det dock alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, samt forskningens behov (10 § arkivlagen). Medan utgångspunkten i EU:s dataskyddsförordning är att uppgifter inte ska behandlas längre än det behövs för ändamålet, bygger alltså utgångspunkten i det arkivrättsliga regelverket på tanken att uppgifter ska bevaras. Gallring enligt det arkivrättsliga regelverket syftar till att begränsa arkivens omfattning, bl.a. för att öka deras tillgänglighet, medan lagringsminimering enligt det dataskyddsrättsliga regelverket syftar till att skydda enskildas personliga integritet.
Enligt dataskyddslagen ska EU:s dataskyddsförordning inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (1 kap. 7 §). Arkivlagstiftningen har således i fråga om allmänna handlingar företräde framför bestämmelser om bevarandetid i EU:s dataskyddsförordning. Fortsatt behandling för arkivändamål är tillåten i enlighet med artikel 5.1 e i EU:s dataskyddsförordning och kräver inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (skäl 50). Arkivlagens bestämmelser om gallring är dock subsidiära i förhållande till annan lagstiftning, och tidigare har det ofta införts gallringsbestämmelser i myndighetsspecifika registerförfattningar. Sådana bestämmelser har motiverats av skäl som hänför sig till skydd för den personliga integriteten men har trots detta en arkivrättslig innebörd.
Regeringen har bedömt att uttrycken bevarande och gallring enbart bör användas i den betydelse de har i arkivlagstiftningen för att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter (prop. 2017/18:232 s. 164). Vid anpassningen av lagstiftning som kompletterar brottsdatalagen uttalade regeringen att regleringen bör ange den yttersta gränsen för hur länge personuppgifterna får behandlas när syftet med bestämmelserna är att skydda den personliga integriteten (propositionen Brottsdatalag – kompletterande lagstiftning [prop. 2017/18:269 s. 120 och 121]). Orden bevarande och gallring används därför inte i t.ex. brottsdatalagen eller lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, om inte arkivrättsliga regler avses.
Förändringen har delvis fått genomslag även i lagstiftning som kompletterar EU:s dataskyddsförordning. Bestämmelser om längsta tid för behandling av personuppgifter finns i t.ex. 20 § lagen (2021:319) om Transportstyrelsens olycksdatabas, 7 kap. 8 § lagen (2021:890) om skydd för personer som rapporterar om missförhållanden och 4 kap. lagen om behandling av personuppgifter vid Utbetalningsmyndigheten.
Den nu föreslagna lagen avser behandling av personuppgifter. Syftet med samtliga begränsande bestämmelser är att skydda den personliga integriteten. Av samma skäl som regeringen tidigare valt att inte införa gallringsbestämmelser i lagar som kompletterar EU:s dataskyddsförordning bör det inte heller i den föreslagna lagen införas en bestämmelse om gallring.
Uttryckliga tidsgränser för när personuppgifter ska upphöra att behandlas kan göra det mer tydligt för såväl den registrerade som den berörda myndigheten att överblicka hur länge personuppgifter får behandlas. I avsnitt 7.6.2 och 7.12 föreslås dock att lagens ändamål ska anges på en rambetonad nivå och att myndigheten själv ska fastställa syfte respektive ändamål för projekt och enskilda undersökningar. Det blir därför upp till myndigheten att konkretisera ändamålet för varje behandling inom ramen för det i lagen föreslagna ändamålet. Så länge ändamålet med behandlingen inte har konkretiserats, är det inte möjligt att avgöra hur länge det är nödvändigt att behandla personuppgifter med hänsyn till ändamålet. Detta måste avgöras från fall till fall med hänsyn till vilka uppgifter och vilket projekt det handlar om. Det kan därför inte anses ändamålsenligt att föreslå mer konkreta tidsgränser än sådana som bygger på principen om lagringsminimering i artikel 5.1 e i EU:s dataskyddsförordning. Eftersom det följer direkt av EU:s dataskyddsförordning att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen anser regeringen att det också saknas anledning att, så som Pensionsmyndigheten föreslår, införa en sådan bestämmelse i lagen.
Samlad integritets- och proportionalitetsanalys
Krav på proportionalitet
Regeringens bedömning: Den personuppgiftsbehandling som möjliggörs av den föreslagna lagen utgör en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt Europeiska unionens stadga om de grundläggande rättigheterna. Förslaget är förenligt med kravet på proportionalitet i EU:s dataskyddsförordning.
Promemorians bedömning överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser, bl.a. Integritetsskyddsmyndigheten och Riksdagens ombudsmän, instämmer i bedömningen eller har inget att invända mot den. Myndigheten för delaktighet framhåller att det finns risk för icke informerade medgivanden från enskilda med nedsatt beslutsförmåga eller kognitiv funktionsnedsättning. Vetenskapsrådet anser att effekten av kravet på medgivande förtas om personuppgifterna till övervägande del inhämtas från andra källor. Sveriges advokatsamfund efterfrågar en analys av säkerhetsfrågor och lyfter fram risken för att personuppgifter, till följd av otydliga begränsningar, kommer att behandlas i konflikt med grundlagsskyddet i 2 kap. 6 § regeringsformen.
Skälen för regeringens bedömning
Några utgångspunkter vid bedömningen av hur förslaget påverkar den personliga integriteten
I avsnitt 6 konstateras att den behandling av personuppgifter som Inspektionen för socialförsäkringen (ISF) behöver utföra, och som möjliggörs genom den föreslagna lagen, i vissa fall kan innebära ett betydande intrång i den enskildes personliga integritet. I flera av de tidigare avsnitten beskrivs hur de föreslagna bestämmelserna bedöms bidra till att skydda den personliga integriteten (se t.ex. avsnitt 7.10–7.15). Även de behov som ligger till grund för förslagen redovisas, inbegripet bl.a. en bedömning av att ISF utför en uppgift av allmänt intresse. Det kan i sammanhanget nämnas att inskränkningar i skyddet för den personliga integriteten tidigare har godtagits bl.a. när syftet har varit att ge analysmyndigheter möjlighet att behandla sådana personuppgifter som behövs i deras verksamheter (se t.ex. propositionen Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering [prop. 2011/12:176 s. 62] och propositionen Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap [prop. 2018/19:151 s. 31]).
I detta avsnitt ges en bredare och mer samlad bedömning av integritets- och proportionalitetsaspekter av lagförslaget.
Respekten för individens självbestämmande och integritet är grundläggande i en demokrati. Någon enhetlig definition av begreppet personlig integritet finns inte. Regeringen har dock i propositionen En reformerad grundlag, med anledning av utvidgningen av integritetsskyddet i regeringsformen, uttalat att en rimlig utgångspunkt för bedömningen av behovet av ett utökat skydd för den personliga integriteten är den enskildes intresse av att skydda information om sina personliga förhållanden (prop. 2009/10:80 s. 175). Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna används samt mängden uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar (propositionen Översyn av personuppgiftslagen [prop. 2005/06:173 s. 15]). Även rådande samhällsvärderingar kan ha viss påverkan på vilken reglering och begränsning av behandlingen av personuppgifter som är nödvändig för att skydda den personliga integriteten (propositionen Utbetalningsmyndigheten [prop. 2022/23:34 s. 162]).
Det behöver göras en proportionalitetsbedömning
I avsnitt 6 görs bedömningen att behandlingen av personuppgifter inom ISF:s tillsyns- och granskningsverksamhet utgör ett sådant betydande intrång i den personliga integriteten som omfattas av skyddet enligt 2 kap. 6 § andra stycket regeringsformen, förkortad RF. Skyddet för den personliga integriteten är inte absolut och kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En begränsning, som måste ske genom lag (2 kap. 20 § RF), får dock göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den (2 kap. 21 § RF). Vid en begränsning ska det därför göras en proportionalitetsbedömning där integritetsriskerna med personuppgiftsbehandlingen vägs mot de fördelar som behandlingen kan leda till. En behandling är bara tillåten om fördelarna med den står i rimlig proportion till nackdelarna. I detta ingår att bedöma om behandlingen av personuppgifterna är nödvändig utifrån det avsedda ändamålet med behandlingen och om det finns alternativ som är mindre integritetskänsliga.
Även EU:s dataskyddsförordning förutsätter en proportionalitetsbedömning vid behandling av personuppgifter. Den nationella rätt som fastställer grunden för personuppgiftsbehandlingen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i EU:s dataskyddsförordning). Behandling av känsliga personuppgifter är tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g i EU:s dataskyddsförordning).
Behandling av personuppgifter berör vidare rätten till respekt för privatlivet enligt artikel 8.1 i den europiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, här benämnd Europakonventionen. Enligt denna artikel har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen gäller som svensk lag (lagen [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Enligt 2 kap. 19 § RF får inte lag eller annan föreskrift meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Enligt artikel 8.2 i Europakonventionen får rätten till skydd för privatlivet inte inskränkas annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
I artiklarna 3, 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02), här benämnd EU:s rättighetsstadga, slås det fast att var och en har rätt till fysisk och mental integritet, respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer samt skydd av de personuppgifter som rör honom eller henne. Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen, men att bestämmelsen inte hindrar unionsrätten från att tillförsäkra ett mer långtgående skydd. I EU:s rättighetsstadga är utgångspunkten att en inskränkning av rättigheter och friheter enligt stadgan endast får göras i lag och måste vara förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stadgan. Begränsningar får med beaktande av proportionalitetsprincipen endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1).
För att det ska vara motiverat att införa de möjligheter till behandling av personuppgifter som föreslås måste alltså behovet av behandlingen väga tyngre än den enskildes intresse av skydd för den personliga integriteten. För att en proportionalitetsbedömning ska kunna göras behöver riskerna för intrång i den personliga integriteten kartläggas. Genom att införa skyddsåtgärder som begränsar den tillåtna behandlingen kan behovet av behandling balanseras mot intresset av integritetsskydd.
Omfattande behandling av personuppgifter från andra myndigheter medför risker
Inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet behandlas stora mängder personuppgifter. Det rör sig bl.a. om känsliga personuppgifter, framför allt om hälsa, men även om enskildas ekonomiska förutsättningar och levnadsomständigheter. Behandling av känsliga personuppgifter är förenad med särskilda integritetsrisker. Även behandling av andra personuppgifter kan medföra risker. Den föreslagna lagen ger vissa möjligheter till sammanställning och systematisering. När stora mängder personuppgifter samlas på ett sådant sätt att informationen enkelt kan sammanställas och systematiseras, ges möjlighet till kontroll över och kartläggning av individer. Även personuppgifter som normalt uppfattas som relativt harmlösa eller är av mindre känslig karaktär kan tillsammans skapa en integritetskänslig sammanställning av uppgifter om en person.
De personuppgifter som ISF behandlar kommer huvudsakligen från andra myndigheter och organisationer. Behandlingen av personuppgifter sker därmed för ett annat ändamål än det som de ursprungligen samlades in för. Det innebär i sig en integritetsrisk eftersom den registrerade inte alltid kan förväntas förutse behandlingen och därmed kan ha svårt att bedöma risker med behandlingen. Det kan också vara svårt för den registrerade att behålla kontrollen över sina uppgifter. När den enskilde uppsöker vård för att få ett intyg som krävs vid ansökan om sjukpenning, kan det exempelvis vara svårt att förutse att ISF kan komma att använda uppgiften om diagnos vid en granskning av Försäkringskassans verksamhet. När personuppgifter delas mellan flera myndigheter, får dessutom fler personuppgiftsansvariga och enskilda användare åtkomst till uppgifterna. En stor spridning av personuppgifter utgör i sig, särskilt när det rör sig om känsliga personuppgifter, en integritetsrisk. Ju fler personer som kan ta del av uppgifterna desto större blir riskerna för otillåten och kränkande hantering. Det finns också en risk att myndighetens personal eller användare av itsystemen kan ta del av mer information än vad de behöver för att kunna utföra sina arbetsuppgifter, vilket också ökar risken för otillåten behandling, obehörigt röjande och andra former av missbruk.
Behandling av personnummer och andra personuppgifter som direkt kan hänföras till den enskilde kan utgöra en integritetsrisk eftersom det möjliggör samkörning av uppgifter.
Grupper med behov av särskilt skydd
Det finns särskilt stora risker för personer med skyddade personuppgifter och personer som i övrigt är utsatta för våld eller förtryck. Spridning av uppgifter när det gäller sådana personer kan få förödande konsekvenser. Barns personuppgifter förtjänar också särskilt skydd, eftersom barn kan vara mindre medvetna om risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter (skäl 38 i EU:s dataskyddsförordning). Barns personuppgifter kan behandlas i undersökningar som rör t.ex. barnbidrag och föräldrapenning.
Även personer med vissa kognitiva funktionsnedsättningar, bl.a. psykiskt sjuka personer och äldre personer, anses särskilt sårbara (jfr Artikel 29-gruppens riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, 2017, s. 11 och 12). Eftersom ISF:s uppdrag avser hela socialförsäkringsområdet kan det, beroende på projekt, bli aktuellt att behandla uppgifter om sådana personer, t.ex. i undersökningar av utvecklingen av sjukskrivningar med psykiatriska diagnoser och undersökningar som avser pensioner.
Risk för personuppgiftsincidenter
Det finns risk för att myndigheten genom en personuppgiftsincident förlorar kontrollen över uppgifterna. Vid förlorad kontroll över uppgifterna skulle de kunna komma i utomståendes händer och användas för exempelvis negativ särbehandling, övervakning, kartläggning av enskildas personliga förhållanden eller för att utsätta de registrerade för fara eller kränkningar. Vid förlorad kontroll över uppgifterna skulle hälsouppgifter exempelvis kunna vidareförmedlas till någon som använder dem för att selektera bort personer med vissa hälsotillstånd i anställningsprocesser eller liknande. Uppgifter om etniskt ursprung skulle kunna vidareförmedlas till någon som har ett intresse av att kartlägga och förfölja ett visst lands medborgare eller en viss etnisk grupp. Likaså kan vissa ha ett intresse av att förfölja personer med en viss sexuell läggning eller en viss religiös övertygelse.
Risker vid intervjuer och enkäter
Vid insamling av vissa typer av personuppgifter direkt från den registrerade, t.ex. genom enkäter eller intervjuer, uppstår vissa särskilda risker. Av 2 kap. 2 § RF följer ett skydd för de s.k. negativa opinionsfriheterna, vilket bl.a. innebär att myndigheter aldrig får tvinga någon att ge till känna sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Det är frivilligt att lämna uppgifter till ISF, vilket myndigheten också är skyldig att informera om enligt artikel 13.1 e i EU:s dataskyddsförordning, men det finns ändå en risk för att enskilda kan uppleva insamlingen av vissa uppgifter som kränkande.
Skyddsåtgärder minskar riskerna med behandlingen
Riskerna med behandlingen av personuppgifter kan begränsas genom olika skyddsåtgärder. En grundläggande begränsning av all personuppgiftsbehandling är fastställande av ändamål för behandlingen. ISF föreslås få behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. Det brett formulerade ändamålet i lagen föreslås konkretiseras dels genom att det ska fastställas ett syfte för projektet som personuppgifter behandlas inom, dels genom att ändamål ska fastställas för respektive undersökning i enlighet med EU:s dataskyddsförordnings krav.
Känsliga personuppgifter föreslås som utgångspunkt få behandlas om det är nödvändigt för ändamålet men sökningar får enligt förslaget inte utföras i syfte att få fram ett urval av personer grundat på andra känsliga personuppgifter än uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning. För att det över huvud taget ska vara tillåtet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter krävs också att sökningen görs för ISF:s interna behov (primära ändamål). Sökbegränsningen säkerställer att endast sådana personuppgifter som myndigheten har behov av som underlag i sina undersökningar används för att sammanställa urval. Sådana personuppgifter som samlas in för att de behandlas tillsammans med sådana personuppgifter som ISF har behov av att analysera (avsnitt 7.7) kommer därmed inte att behandlas på annat sätt än genom insamling och lagring.
För att tydligt avgränsa behandlingen av personuppgifter föreslås att ISF som huvudregel ska behandla personuppgifter i projekt. Uppgifterna ska behandlas i det projekt som de samlats in för och får återanvändas i ett annat projekt endast om behandlingen är nödvändig för att ISF ska kunna helt eller delvis upprepa eller följa upp det ursprungliga projektet. På så sätt kan ändamålet med behandlingen av personuppgifter alltid härledas till syftet med ett visst projekt och behandlingen blir därmed överskådlig och begriplig. Projektets ramar i fråga om syfte, vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som behöver behandlas samt under vilken tidsperiod uppgifterna förväntas behandlas ska fastställas på förhand och offentliggöras. Detta borgar för väl genomarbetade projektplaner och en transparens och tydlighet gentemot de registrerade, allmänheten, tillsynsmyndigheten och andra intresserade. Omvärldsbevakning och planering av verksamheten förväntas medföra begränsad behandling av personuppgifter och föreslås av praktiska skäl undantas från kravet på behandling i projekt.
Personuppgifter som samlas in direkt från den registrerade föreslås få behandlas endast efter det att den registrerade lämnat sitt uttryckliga medgivande. Den registrerade ska ha rätt att när som helst återkalla ett lämnat medgivande, varvid behandling av personuppgifter som omfattas av det återkallade medgivandet ska raderas. Detta ger den registrerade kontroll över de uppgifter som han eller hon lämnar till ISF och möjlighet att ångra sig även efter det att uppgifterna lämnats. Eftersom myndigheten utövar systemtillsyn och utför granskningar på en övergripande nivå och inte har någon påverkan på enskilda personers ärenden, torde registrerade som medverkar i en intervju- eller enkätundersökning eller på annat sätt lämnar uppgifter till myndigheten normalt inte befinna sig i någon beroendeställning till myndigheten. Medgivanden bör därmed som utgångspunkt kunna lämnas helt frivilligt. Personer som av olika skäl har nedsatt beslutsförmåga eller kognitiva funktionsnedsättningar kan dock inte alltid lämna ett uttryckligt medgivande. Även barn kan ha svårt att lämna ett uttryckligt medgivande, beroende på bl.a. barnets ålder och mognad och behandlingens art. Ett sådant medgivande utgör dock, som en integritetshöjande åtgärd, en förutsättning för personuppgiftsbehandling när uppgifter samlas in direkt från den enskilde, t.ex. vid enkät- eller intervjustudier. Det är myndighetens uppgift att se till att medgivandet lämnas frivilligt och informerat (se avsnitt 7.13), vilket bl.a. innebär att myndigheten måste anpassa sin information om behandlingen och om innebörden av ett medgivande utifrån den enskildes förutsättningar att ta till sig informationen. Mot bakgrund av detta bedömer regeringen, till skillnad från Myndigheten för delaktighet, att risken är låg att ett medgivande inte är frivilligt eller informerat, även om den enskilde har nedsatt beslutsförmåga eller en kognitiv funktionsnedsättning. Trots att personuppgifter, som Vetenskapsrådet påpekar, även hämtas från andra källor, medför skyddsåtgärden sammantaget ett gott skydd i de fall de inhämtas direkt från den registrerade.
Behandling av personuppgifter som direkt kan hänföras till den registrerade för med sig större integritetsrisker än behandling av personuppgifter som kan kopplas till den registrerade endast med hjälp av kompletterande uppgifter (kodnyckel). Att förhindra behandling av personuppgifter som direkt kan hänföras till den registrerade är således en effektiv skyddsåtgärd. Eftersom ISF till stor del men inte helt kan utföra sitt uppdrag utan behandling av personuppgifter som direkt kan hänföras till den registrerade är det inte möjligt att helt förbjuda sådan behandling. I stället föreslås att sådana personuppgifter som huvudregel ska separeras från övriga personuppgifter. Genom separeringen möjliggörs en begränsning av behandlingen, både när det gäller generell användning av uppgifterna och i fråga om åtkomst till uppgifterna och bevarande. Ofta kan en kodnyckel raderas innan övriga uppgifter upphör att behandlas.
Genom förslag om begränsad tillgång till personuppgifter säkerställs ett aktivt arbete med behörighetsstyrning. Endast den begränsade krets av medarbetare som arbetar i ett visst projekt bör normalt få ta del av de personuppgifter som behandlas i projektet. Om det finns kompletterande uppgifter som möjliggör identifiering, bör så få personer som möjligt tilldelas behörighet att ta del av dessa. Ett krav på att åtkomsten regelbundet ska kontrolleras och följas upp avser att skapa förutsättningar för tidig upptäckt av och möjlighet att förebygga missbruk av behörigheter, intrång och andra säkerhetsrisker.
ISF har tidigare bedrivit projekt som innefattar behandling av känsliga personuppgifter som forskningsprojekt. All behandling av känsliga personuppgifter har därmed föregåtts av en etikprövning, vilket har tillgodosett skydd för uppgifterna. De föreslagna skyddsåtgärderna bedöms ge ett minst lika gott skydd som en etikprövning. För forskningsprojekt föreslås dessutom att både registerlagen och kravet på etikprövning ska gälla, vilket innebär ett utökat skydd.
Den generella dataskyddsregleringen och sekretessbestämmelser ger skydd
Utöver de skyddsåtgärder som följer av den föreslagna lagen gäller de krav som följer av den generella dataskyddsregleringen. Av 3 kap. 10 § dataskyddslagen följer exempelvis att ISF måste se till att behandling av personnummer och samordningsnummer är klart motiverad. I övrigt ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen sker i enlighet med EU:s dataskyddsförordning. Sveriges advokatsamfund efterfrågar en analys av vilka särskilda säkerhetsåtgärder som ISF kan behöva vidta. Regeringen vill framhålla att ISF har ett ansvar för att vidta tillräckliga säkerhetsåtgärder utöver de skyddsåtgärder som följer av den föreslagna lagen. En bedömning av behovet av åtgärder ska göras utifrån bl.a. behandlingens art, omfattning, sammanhang och ändamål samt föreliggande risker (artiklarna 24 och 32 i EU:s dataskyddsförordning).
Den sekretess som gäller för ISF:s undersökningar ger också ett gott skydd för personuppgifterna. Sekretess gäller hos ISF avseende undersökningar av rättstillämpning, handläggning och administration inom socialförsäkringsområdet och inom verksamheter med direkt anknytning till socialförsäkringen, undersökningar om effekter av förändringar inom socialförsäkringsområdet och om utnyttjandet av socialförsäkringen för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde (24 kap. 8 § andra stycket OSL och 7 § OSF). Sekretess gäller således som huvudregel för personuppgifter som behandlas i sådan verksamhet som omfattas av den föreslagna lagen. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (24 kap. 8 § tredje stycket OSL). Utöver statistiksekretessen gäller även tillsynssekretessen enligt 11 kap. 1 § OSL. Det samlade sekretesskyddet bedöms vara mycket starkt.
Behandlingen av personuppgifter bedöms vara proportionerlig
ISF har till uppgift att genom systemtillsyn och effektivitetsgranskning värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. När myndigheten bildades bedömdes det finnas ett behov av en extern och oberoende myndighet, med såväl bred som djup sakkompetens, som utför systematisk och löpande granskning av socialförsäkringen. Skälen som angavs för detta var bl.a. behovet av ett ökat fokus på rättssäkerhet och enhetlig handläggning, bristande förmåga att upptäcka felaktiga utbetalningar, beslutens stora betydelse för enskildas grundläggande försörjningsvillkor, värdet av en extern granskning för att upprätthålla och stärka tilltron till socialförsäkringen och dess administration och avsaknaden av en aktör med ansvar för att följa upp och utvärdera olika samverkansinitiativ (SOU 2008:10 s. 31–41). Flertalet av dessa skäl är fortfarande relevanta och det är därför viktigt att ISF kan bedriva en kvalitativ tillsyns- och granskningsverksamhet.
Redan i samband med att ISF bildades konstaterades ett behov av att hantera uppgifter om bl.a. enskildas personliga och ekonomiska förhållanden, dvs. personuppgifter (SOU 2008:10 s. 99 och 100 och två skrivelser från Utredningen för inrättandet av Inspektionen för socialförsäkringen, S2009/4622 och S2009/5373). Det har därefter tagits fram en departementspromemoria med förslag till en särskild lagreglering för behandlingen av personuppgifter vid ISF (Ds 2011:4) och tillsatts en statlig utredning som konstaterat behov av och lämnat förslag om en ny lag om behandling av personuppgifter vid ISF (SOU 2014:67). I förhållande till såväl Försäkringskassan och Pensionsmyndigheten som Skatteverket har regeringen infört sekretessbrytande skyldigheter att lämna personuppgifter till ISF (4 § förordningen [1980:995] om skyldighet för Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra myndigheter och 7 b § förordningen [2001:588] om behandling av uppgifter i Skatteverkets beskattningsverksamhet). Enligt 7 § OSF gäller dessutom statistiksekretess i undersökningar hos ISF för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Regeringen ger ofta ISF uppdrag som förutsätter behandling av uppgifter om individer. Exempel på detta under senare år är bl.a. ett uppdrag att kartlägga konsekvenser på individnivå av förändringar i sjukförsäkringen (S2021/07173). Ett annat exempel är ett uppdrag att granska och analysera hur Försäkringskassan tillämpar bestämmelsen om utredningsskyldighet i 110 kap. 13 § socialförsäkringsbalken vid handläggningen av ärenden som gäller sjukpenning och aktivitetsersättning där ansökan om ersättning har avslagits (S2019/03411). Ytterligare ett exempel är ett uppdrag att utvärdera reformen om reformerade stöd till personer med funktionsnedsättning, vilket bl.a. omfattar en analys av reformens effekter för berörda kvinnor respektive män vad gäller t.ex. ersättningsnivåer samt regelverkens tydlighet och transparens (S2020/08254). Sådana uppdrag ligger i linje med ISF:s uppgifter enligt instruktionen och motiveras av de behov som angavs som skäl för att bilda myndigheten.
Inom socialförsäkringsområdet behandlas stora mängder känsliga personuppgifter om hälsa. Inom många förmåner utgör uppgifter om allt från ansökningar, vårdbesök och läkarintyg till uppgifter om beslut och utbetalningar uppgifter om hälsa. Att ISF får möjlighet att behandla sådana uppgifter får anses vara en förutsättning för att myndigheten ska kunna granska socialförsäkringsområdet. Redan när ISF bildades lyfte regeringen fram vikten av en objektiv granskning av rättssäkerheten och effektiviteten inom socialförsäkringsområdet och att ingen ska diskrimineras genom socialförsäkringens tillämpning (dir. 2007:24). Granskning av socialförsäkringens tillämpning utifrån vissa grunder för osaklig hantering förutsätter behandling av bl.a. känsliga personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa och sexuell läggning.
ISF:s systemtillsyn och effektivitetsgranskningar syftar till att värna rättssäkerhet och effektivitet. ISF ska alltså inte följa verksamheten på individnivå och granska ärenden i det enskilda fallet. I stället handlar uppdraget om att göra övergripande analyser utifrån aggregerade data, även när inhämtningen av information sker genom aktgranskningar. För att sådana analyser ska vara möjliga, måste myndigheten behandla personuppgifter i stora volymer. Det är ur ett effektivitetsperspektiv inte möjligt – och inte heller befogat – att göra sådana analyser manuellt. För att myndigheten ska kunna utföra sitt uppdrag krävs således användning av digitala verktyg och en automatiserad behandling av personuppgifter. Det bedöms inte finnas några alternativ som är mindre integritetskänsliga. Automatiserad behandling av personuppgifter får därmed anses vara nödvändig för att ISF ska kunna undersöka förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet.
Sammantaget kan det konstateras att ISF har ett stort behov av att behandla personuppgifter. Uppgiften att värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet syftar till att leda till förbättringar som ska vara till nytta för både enskilda och samhället. Den nya reglering som nu föreslås syftar till att skapa en balans mellan ISF:s behov av ändamålsenliga och effektiva arbetsformer och ett starkt skydd för enskildas personliga integritet. Till skillnad från Sveriges advokatsamfund, anser regeringen att de föreslagna begränsningarna i lagen inte är otydliga. Som redogjorts för ovan föreslås ett flertal åtgärder för att minska risker med behandlingen och skydda den personliga integriteten. Föreslagna åtgärder bedöms kraftigt minska risken för integritetsintrång. Det kan också noteras att Integritetsskyddsmyndigheten anser att det i promemorian gjorts en gedigen integritetsanalys och tillstyrker förslaget om en registerlag. Vid en avvägning mellan det allmänintresse som ligger till grund för ISF:s verksamhet och intresset av att upprätthålla skyddet för den personliga integriteten får intrånget anses vara motiverat och proportionerligt. Sammantagna överväger fördelarna med att kunna behandla personuppgifter i verksamheten nackdelarna. Därmed bedömer regeringen att den personuppgiftsbehandling som möjliggörs av den föreslagna lagen utgör en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt Europeiska unionens stadga om de grundläggande rättigheterna. Regeringen bedömer också att förslaget är förenligt med kravet på proportionalitet i EU:s dataskyddsförordning.
ISF ska göra konsekvensbedömningar
Inspektionen för socialförsäkringen ska, när det är nödvändigt, göra en konsekvensbedömning avseende dataskyddet och en framställan om förhandssamråd till Integritetsskyddsmyndigheten (artiklarna 35 och 36 i EU:s dataskyddsförordning). De överväganden som redovisas här är alltså inte avsedda att utgöra en sådan konsekvensbedömning som ersätter kravet på en konsekvensbedömning avseende dataskydd enligt EU:s dataskyddsförordning. Det är ytterst upp till myndigheten att besluta om de närmare förutsättningarna för behandlingen av personuppgifter, t.ex. när det gäller vilken teknik och vilka säkerhetslösningar som ska användas.
Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Lagen ska träda i kraft den 1 januari 2025.
Bestämmelserna om behandling av personuppgifter i projekt och medgivande till behandling av personuppgifter ska inte tillämpas på projekt som har inletts före ikraftträdandet.
Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.
Skälen för regeringens förslag: Den föreslagna lagen bör träda i kraft så snart som möjligt för att tillgodose ISF:s behov av att behandla personuppgifter för att därigenom kunna utföra sitt uppdrag på ett ändamålsenligt sätt. Den 1 januari 2025 bedöms vara den tidigaste tidpunkten det kan ske.
ISF bedöms redan i dag uppfylla merparten av de krav som ställs i den föreslagna lagen. Vissa krav ska dock uppfyllas innan personuppgifter behandlas i projekt. Dessa krav kan inte förutsättas vara uppfyllda för projekt som har inletts innan lagen träder i kraft. På motsvarande sätt kan det inte förutsättas att den enskilde alltid har lämnat sitt uttryckliga medgivande till behandlingen när personuppgifter har samlats in direkt från den enskilde. För att ISF inte ska tvingas upphöra med pågående behandlingar i förtid, bör bestämmelserna om behandling av personuppgifter i projekt och medgivande till behandling av personuppgifter i 12–14 §§ inte tillämpas på projekt som har inletts före ikraftträdandet.
Konsekvenser
Ekonomiska konsekvenser
Inspektionen för socialförsäkringen (ISF) har hittills behandlat personuppgifter med stöd av den generella dataskyddslagstiftningen, vilket har medfört viss osäkerhet och otydlighet i fråga om vilket utrymme myndigheten har att samla in och bearbeta personuppgifter. Förslagen som lämnas i denna proposition förtydligar de rättsliga krav som ISF har att förhålla sig till och ger därmed myndigheten bättre möjlighet att organisera sin verksamhet inom förutsägbara ramar. Samtidigt medger förslagen en tillräcklig flexibilitet för att ISF ska ha möjlighet att fortlöpande utveckla och anpassa sina it-system utan att det krävs författningsändringar. Sammantaget kan förslagen förväntas ge förutsättningar för en effektiv och digital informationshantering.
Förslagen kan förväntas leda till att myndigheten vidtar vissa förändringar i fråga om organisation och arbetssätt. Behovet av tekniska anpassningar för att uppfylla föreslagna krav på skyddsåtgärder bedöms dock vara begränsat. ISF arbetar redan i dag i projektform och hämtar huvudsakligen in löpnummerbaserade uppgifter. När personuppgifter samlas in direkt från den registrerade, inhämtas samtycke från den registrerade. Myndigheten tillämpar också behörighetsstyrning för åtkomst till personuppgifter. För att det ska vara möjligt att regelbundet kontrollera och följa upp åtkomsten till personuppgifter kan det krävas viss anpassning av myndighetens it-system och arbetssätt. Det finns dock redan i dag krav på intern styrning och kontroll vid myndigheter och på att personuppgiftsansvariga ska säkerställa och kunna visa att principerna om integritet och konfidentialitet uppfylls (4 § 4 myndighetsförordningen [2007:515] och artikel 5.1 f och 5.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning). Förslagen ställer inte heller några krav på hur kontrollen och uppföljningen ska utformas. Eventuella kostnader för sådana anpassningar som krävs med anledning av den föreslagna lagen bedöms därmed vara begränsade och rymmas inom befintliga anslag.
Det kan initialt komma att krävas viss utbildning för de medarbetare vid myndigheten som ska tillämpa de nya reglerna. Nya interna styrdokument kan också behöva tas fram och implementeras. Eventuella kostnader för utbildning och styrande dokument får dock anses ingå i myndighetens ordinarie uppgifter och bedöms rymmas inom befintliga anslag.
Förslagen kan underlätta den prövning som andra myndigheter måste göra innan de överlämnar underlag till ISF. I övrigt bedöms förslagen inte få några ekonomiska konsekvenser för andra statliga myndigheter, kommuner, regioner, företag eller andra enskilda.
Regeringen bedömer sammanfattningsvis att förslagen inte medför några kostnadsmässiga eller andra ekonomiska konsekvenser.
Konsekvenser för den personliga integriteten
Utgångspunkten för förslagen är att de ska utgöra en lämplig avvägning mellan skyddet för den enskildes personliga integritet och kravet på effektiv och ändamålsenlig tillsyns- och granskningsverksamhet hos ISF. Förslagen ger ISF rättsligt stöd för att behandla stora mängder personuppgifter, varav en del är känsliga personuppgifter, även när det innebär ett betydande intrång i den personliga integriteten. Genom föreslagna krav på skyddsåtgärder och befintlig reglering om sekretess säkerställs dock ett långsiktigt och hållbart integritetsskydd. De skyddsåtgärder som föreslås kommer att gälla vid sådan behandling av personuppgifter som myndigheten kan utföra redan i dag med stöd av den generella dataskyddslagstiftningen. För sådan behandling medför således förslagen ett bättre skydd för den personliga integriteten än vad som gäller i dag. Även för den ytterligare behandling som möjliggörs genom förslagen bedöms ett gott skydd för den personliga integriteten uppnås. Sammantaget bedömer regeringen att förslagen tillgodoser ISF:s behov av personuppgiftsbehandling samtidigt som hänsyn tas till behovet av ett starkt och likvärdigt integritetsskydd.
För en mer utförlig integritetsanalys hänvisas till avsnitt 8.
Övriga konsekvenser
Förslagen bedöms inte få några konsekvenser för den kommunala självstyrelsen. Förslagen bedöms inte heller få några konsekvenser för sysselsättning och offentlig service i olika delar av landet eller för små eller stora företag.
Förslagen skapar förutsättningar för tillsyn och granskning av arbetet med att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. Det kan i sin tur leda till ökad kunskap om arbetet mot felaktiga utbetalningar och bidragsbrott, vilket i förlängningen kan bidra till att arbetet utvecklas. Brottsligheten och det brottsförebyggande arbetet förväntas i övrigt inte påverkas av förslagen.
Författningsförslagen är könsneutralt utformade och förväntas inte få några negativa konsekvenser för jämställdheten mellan kvinnor och män. Förslagen bedöms inte heller få några negativa konsekvenser för möjligheten att nå de integrationspolitiska målen. Med förslagen bedöms ISF få goda möjligheter att genomföra analyser på jämställdhets- och integrationsområdena, vilket bör ge goda förutsättningar för välgrundade beslut inom dessa politikområden med åtföljande positiva konsekvenser för integrationen och jämställdheten mellan kvinnor och män.
ISF kan i vissa fall behandla personuppgifter om barn. Enligt FN:s konvention om barnets rättigheter får barn inte utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende (artikel 16.1). Vid alla åtgärder som rör barn, vare sig de vidtas av offentliga eller privata sociala välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ, ska i första hand beaktas vad som bedöms vara barnets bästa (artikel 3.1). I skäl 38 i EU:s dataskyddsförordning anges att barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Regeringen bedömer att de begränsningar och skyddsåtgärder som föreslås gälla när ISF behandlar personuppgifter inom ramen för den föreslagna lagen, i kombination med det skydd som följer av övrig dataskydds- och sekretessreglering, tillgodoser barns behov av skydd mot integritetsintrång. Lagförslaget kan också bidra till en förbättrad tillsyn och granskning av sådana förhållanden inom socialförsäkringsområdet som berör barn.
Det föreslås inte någon reglering som går utöver vad som är tillåtet enligt EU:s dataskyddsförordning. I respektive avsnitt har det gjorts en bedömning av vilken nationell reglering som är möjlig att införa med beaktande av EU:s dataskyddsförordning som är direkt tillämplig i medlemsstaterna. Även i övrigt bedöms förslagen vara förenliga med EU-rätten.
Författningskommentar
Förslaget till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitt 7.1.
Av första stycket framgår att lagen gäller vid behandling av personuppgifter i sådan verksamhet som avser systemtillsyn och effektivitetsgranskning hos Inspektionen för socialförsäkringen (ISF). Definitioner av uttrycken behandling och personuppgifter finns i artikel 4 i EU:s dataskyddsförordning. Tillämpningsområdet motsvarar ISF:s uppdrag enligt 1–4 §§ förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen, här benämnd instruktionen. Behandling av personuppgifter i övrig verksamhet vid myndigheten, t.ex. ekonomi- och personaladministration, faller utanför lagens tillämpningsområde.
I andra stycket begränsas lagens tillämpningsområde till att avse helt eller delvis automatiserad behandling av personuppgifter och behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Av artikel 2.1 i EU:s dataskyddsförordning framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Ett register är enligt definitionen i artikel 4.6 i EU:s dataskyddsförordning en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Den föreslagna lagens tillämpningsområde motsvarar således i denna del helt dataskyddsförordningens tillämpningsområde. Det innebär att manuell behandling av personuppgifter som inte ingår eller kommer att ingå i ett register faller utanför lagens tillämpningsområde. Exempelvis faller en helt manuell hantering av ärendeakter utanför lagens tillämpningsområde.
Förhållandet till annan dataskyddsreglering
2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen anger lagens förhållande till annan dataskyddsreglering. Övervägandena finns i avsnitt 7.2.
Första stycket upplyser om att lagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig men förutsätter och tillåter i vissa avseenden nationella bestämmelser som kompletterar förordningen.
Av andra stycket framgår lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen. Dataskyddslagen, som kompletterar EU:s dataskyddsförordning på nationell generell nivå, är subsidiär i förhållande till denna lag. Bestämmelsen innebär att om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen, gäller dataskyddslagen.
Uppgifter om avlidna personer
3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:
1. denna lag och föreskrifter som har meddelats i anslutning till lagen,
2. EU:s dataskyddsförordning, och
3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.
I paragrafen anges vilken reglering som gäller vid behandling av uppgifter om avlidna personer. Övervägandena finns i avsnitt 7.3.
EU:s dataskyddsförordning och dataskyddslagen gäller inte för uppgifter om avlidna personer. Genom bestämmelsen utvidgas således lagens tillämpningsområde i förhållande till EU:s dataskyddsförordning.
Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt är inte tillämpliga på avlidna personer. Någon möjlighet för efterlevande eller andra att överta rättigheter som tillkom den avlidne när denne var i livet finns inte heller. Det innebär exempelvis att bestämmelser om rätten att göra invändningar, rätten till information, rätten till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till avlidna. Däremot gäller bl.a. de krav för behandling av uppgifter och de principer som följer av artikel 5 i EU:s dataskyddsförordning.
En människa är död, dvs. avliden, när hjärnans samtliga funktioner totalt och oåterkalleligt har fallit bort (1 § lagen [1987:269] om kriterier för bestämmande av människans död).
Begränsning av rätten att göra invändningar
4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.
I paragrafen begränsas rätten att göra invändningar enligt EU:s dataskyddsförordning (artikel 21.1). Övervägandena finns i avsnitt 7.4.
Paragrafens första stycke är utformat som ett undantag från artikel 21.1 i EU:s dataskyddsförordning. Av artikel 21.1 följer att den registrerade har rätt att när som helst invända mot myndigheters behandling av personuppgifter avseende honom eller henne som grundar sig på sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.1 e). Undantaget är en sådan begränsning i den nationella rätten av den registrerades rättigheter som är tillåten enligt artikel 23 i EU:s dataskyddsförordning. Hänvisningen till EU:s dataskyddsförordning är dynamisk, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse.
Andra stycket innebär att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller när uppgifterna samlas in direkt från den enskilde, exempelvis vid insamling av personuppgifter i intervju- eller enkätundersökningar.
Personuppgiftsansvar
5 § Inspektionen för socialförsäkringen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.
Paragrafen reglerar ISF:s personuppgiftsansvar. Övervägandena finns i avsnitt 7.5.
Paragrafen anger att ISF är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen. I artikel 4.7 i EU:s dataskyddsförordning finns definitionen av personuppgiftsansvarig.
Ändamål för behandling av personuppgifter
6 § Inspektionen för socialförsäkringen får behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet eller inom verksamheter som gränsar till socialförsäkringsområdet.
Inom ramen för sådana undersökningar får personuppgifter behandlas även för att framställa statistik eller utföra forskning.
I paragrafen anges för vilka primära ändamål personuppgifter får behandlas inom lagens tillämpningsområde. Övervägandena finns i avsnitt 7.6.2.
Av första stycket framgår att personuppgifter får behandlas om det är nödvändigt för att undersöka förhållanden inom socialförsäkringsområdet eller inom verksamheter som gränsar till socialförsäkringsområdet. Ändamålet återspeglar myndighetens behov av att samla in, systematisera, bearbeta och analysera personuppgifter för att utföra sitt uppdrag enligt 1–4 §§ instruktionen. Ändamålet är brett formulerat och ISF måste därför normalt precisera ändamålet för varje undersökning för att leva upp till kravet på särskilda, uttryckligt angivna och berättigade ändamål i artikel 5.1 b i EU:s dataskyddsförordning. Ändamålet preciseras också genom det syfte som enligt 13 § ska fastställas för alla projekt. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Regeringen har i propositionen Ny dataskyddslag uttalat att behandlingen kan anses nödvändig om den leder till effektivitetsvinster (prop. 2017/18:105 s. 189). Om behandlingen av personuppgifter tillför relevant information till en undersökning och undersökningen inte kan utföras lika effektivt utan uppgifterna, får behandlingen anses nödvändig. Även sådana uppgifter som visar sig utgöra överskottsinformation i förhållande till vad myndigheten behöver analysera får anses nödvändiga att behandla, om uppgifter som är nödvändiga att analysera annars inte kan samlas in av myndigheten. Exempelvis får det anses nödvändigt att behandla samtliga personuppgifter i en ärendeakt som samlats in för en aktstudie, även om samtliga personuppgifter inte behöver analyseras i studien. Det får också anses nödvändigt att behandla samtliga personuppgifter i ett enkätsvar, även i de fall samtliga personuppgifter inte är relevanta för ändamålet med enkäten. Vad som är nödvändigt med hänsyn till ändamålet med behandlingen måste dock avgöras i varje enskilt fall. Vid en sådan prövning ska de grundläggande principerna om uppgiftsminimering och lagringsminimering i artikel 5.1 c och e i EU:s dataskyddsförordning beaktas. Kravet på nödvändighet innebär att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (prop. 2017/18:232 s. 117).
I paragrafens andra stycke finns en upplysning om att personuppgifter även får behandlas för att framställa statistik eller utföra forskning inom ramen för en sådan undersökning som avses i första stycket. ISF har inget statistikuppdrag och får endast bedriva den forskning som är nödvändig för att myndigheten ska kunna fullgöra sina uppgifter enligt 1–4 §§ instruktionen. Myndigheten får således inte behandla personuppgifter för statistik eller forskning som självständiga ändamål. Däremot får myndigheten ta fram statistik och utföra forskning som en del i den behandling som sker för de ändamål som anges i första stycket.
7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Paragrafen anger för vilka sekundära ändamål ISF får behandla personuppgifter inom lagens tillämpningsområde. Övervägandena finns i avsnitt 7.6.3.
Personuppgifter som behandlas för primära ändamål får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Med detta avses att uppgiftslämnandet sker med stöd av bestämmelser som påbjuder eller tillåter utlämnande. Det kan t.ex. röra sig om en uttrycklig uppgiftsskyldighet (10 kap. 28 § offentlighets- och sekretesslagen [2009:400], förkortad OSL) eller uppgiftslämnande som sker i syfte att fullgöra serviceskyldigheten gentemot enskilda enligt förvaltningslagen (2017:900) eller som följer av skyldigheten för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL).
Känsliga personuppgifter och uppgifter om lagöverträdelser
8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g eller 9.2 j i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 g eller j i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen. Övervägandena finns i avsnitt 7.7.
Känsliga personuppgifter är sådana särskilda kategorier av uppgifter som räknas upp i artikel 9.1 i EU:s dataskyddsförordning, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Hänvisningen till EU:s dataskyddsförordning är dynamisk, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse.
Behandling av känsliga personuppgifter för de ändamål som anges i 6 och 7 §§ sker för ett viktigt allmänt intresse och för vetenskapliga forskningsändamål i enlighet med artikel 9.2 g och j i EU:s dataskyddsförordning. Känsliga personuppgifter får därmed behandlas under förutsättning att det är nödvändigt med hänsyn till ändamålet med behandlingen. Med uttrycket ändamålet med behandlingen avses behandling som utförs både med stöd av den primära och den sekundära ändamålsbestämmelsen. Nödvändighetsrekvisitet har samma innebörd som i 6 § (jfr prop. 2017/18:105 s. 75 och 76). En bedömning av om kravet på nödvändighet är uppfyllt måste göras i varje enskilt fall. Av 2 § andra stycket följer att denna lag har företräde framför lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. I den lagen saknas dock bestämmelser om forskning.
9 § Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) måste etikprövas.
Paragrafen upplyser om att viss forskning måste etikprövas enligt lagen (2003:460) om etikprövning av forskning som avser människor. Övervägandena finns i avsnitt 7.8.
Kravet på etikprövning gäller forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 § lagen om etikprövning av forskning som avser människor).
Uttrycket uppgifter om lagöverträdelser har getts en något bredare innebörd än den som finns i artikel 10 i EU:s dataskyddsförordning, som inte omfattar friande domar i brottmål och administrativa frihetsberövanden (jfr prop. 2017/18:298 s. 99).
10 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning om sökningen sker för ändamål enligt 6 §.
Paragrafen reglerar sökbegränsningar. Övervägandena finns i avsnitt 7.10.
I första stycket anges att sökningar inte får utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Sökförbudet avser alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att ta fram verksamhetsstatistik eller för registervård (jfr prop. 2017/18:105 s. 195).
Enligt andra stycket är det, som undantag från huvudregeln i första stycket, tillåtet att utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning. För att undantaget ska vara tillämpligt gäller att sökningen ska ske för primära ändamål enligt 6 §. Det innebär också att sökningen måste vara nödvändig för ändamålet.
Behandling av personuppgifter i projekt
11 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar.
I paragrafen anges vad som avses med projekt i lagen. Övervägandena finns i avsnitt 7.11.
Av paragrafen framgår att med projekt avses i lagen en planerad arbetsinsats som genomförs inom bestämda ramar. Att arbetsinsatsen ska vara planerad medför ett krav på att varje projekt ska föregås av vissa förberedelser. Förberedelserna bör omfatta att bestämma vilka ramar som ska gälla för projektet. Ramarna kan avse det som ska fastställas enligt 13 § men också andra förutsättningar, t.ex. när det gäller metod och resursåtgång.
12 § Behandling av personuppgifter enligt 6 § ska ske inom ramen för ett projekt. Personuppgifter som har samlats in för att behandlas inom ramen för ett projekt får inte behandlas i ett annat projekt.
Personuppgifter får dock behandlas inom ramen för ett annat projekt än det som uppgifterna samlats in för, om behandlingen är nödvändig för att Inspektionen för socialförsäkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.
Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Inspektionen för socialförsäkringens verksamhet behöver inte ske inom ramen för ett projekt.
Paragrafen reglerar behandling av personuppgifter i projekt. Övervägandena finns i avsnitt 7.11.
I första stycket föreskrivs dels att all behandling av personuppgifter för primära ändamål ska ske inom ramen för ett projekt, dels att personuppgifter som har samlats in för att behandlas i ett projekt inte får behandlas i ett annat projekt. Vad som avses med projekt framgår av 11 §. Begränsningen av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begränsning av finalitetsprincipens tillämplighet (artikel 5.1 b i EU:s dataskyddsförordning).
I andra stycket görs undantag från förbudet att behandla personuppgifter i ett annat projekt än det som uppgifterna samlats in för. Personuppgifter får, trots det som anges i första stycket, behandlas inom ramen för ett annat projekt om behandlingen är nödvändig för att ISF helt eller delvis ska kunna upprepa eller följa upp ett tidigare projekt. Ett exempel på en uppföljning är att resultat som genereras inom ramen för ett projekt jämförs med resultat från ett tidigare projekt. Eftersom avsikten är att ta tidigare resultat vidare i en kompletterande granskning bör ändamålen för behandlingarna oftast ligga relativt nära varandra. Vidarebehandlingen får i dessa fall ske med stöd av finalitetsprincipen enligt artikel 5.1 b i EU:s dataskyddsförordning.
I tredje stycket görs undantag från kravet att behandla personuppgifter inom ramen för ett projekt. Personuppgifter som behandlas för omvärldsbevakning eller planering av ISF:s verksamhet behöver inte behandlas inom ramen för ett projekt och kan därmed också vidarebehandlas med stöd av finalitetsprincipen. Syftet med omvärldsbevakning och planering av verksamheten är att inhämta kunskap och att få uppslag till granskningar. Omvärldsbevakning sker löpande och utan föregående planering eller förberedelse. Det kan handla om att medarbetarna på myndigheten läser domar, beslut, nyhetsbrev, artiklar, rapporter, litteratur eller att sådant material samlas i ett ebibliotek. Planering av verksamheten äger rum innan myndigheten inleder ett projekt och skapar förutsättningar för fortsatt arbete i projektform. Genom att behandling av personuppgifter för omvärldsbevakning och planering av verksamheten undantas från kravet på behandling i projekt, undantas behandlingen också från övriga föreslagna skyddsåtgärder som är knutna till projektramen.
13 § Innan personuppgifter får behandlas inom ramen för ett projekt ska Inspektionen för socialförsäkringen fastställa
1. syftet med projektet,
2. vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras i projektet, och
3. när projektet senast ska vara avslutat.
Det fastställda syftet får inte ändras.
Information om vad som har fastställts ska hållas tillgänglig på Inspektionen för socialförsäkringens webbplats.
I paragrafen regleras vissa ramar som ska fastställas för de projekt som personuppgifter ska behandlas i. Övervägandena finns i avsnitt 7.12.
I första stycket anges vilka ramar som ska fastställas innan personuppgifter behandlas. Först och främst ska syftet med projektet fastställas. Syftet anger målbilden för projektet och utgör den yttersta ramen för möjliga ändamål för behandlingen av personuppgifter i projektet. Därutöver ska de kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras i projektet fastställas. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Vad som avses med uppgifter om lagöverträdelser i denna lag framgår av 9 § som anknyter till den uppräkning av personuppgifter om lagöverträdelser som finns i 3 § 2 lagen om etikprövning av forskning som avser människor. Med analysera uppgifterna avses att myndigheten bearbetar, systematiserar, strukturerar och utifrån en analysmodell eller liknande använder uppgifterna i syfte att se samband, göra jämförelser och dra slutsatser. Slutligen ska även tidpunkten för när projektet senast ska vara avslutat fastställas.
Projektramarna ska fastställas innan personuppgifter behandlas, dvs. innan projektet inleds eller innan en tillåten ändring vidtas.
Enligt andra stycket får ett fastställt syfte inte ändras. Det innebär att ett projekt bör avslutas om syftet med projektet inte längre är relevant. Övriga ramar kan vid behov justeras medan projektet pågår.
Information om vad som har fastställts ska enligt tredje stycket hållas tillgänglig på ISF:s webbplats. Kravet på att hålla information tillgänglig påverkar inte informationskraven enligt artiklarna 13 och 14 i EU:s dataskyddsförordning.
Medgivande till behandling av personuppgifter
14 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.
Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas.
Om ett medgivande återkallas får behandlingen av personuppgifter dock fortsätta om Inspektionen för socialförsäkringen inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering.
I paragrafen anges vad som gäller i fråga om medgivande och återkallelse av medgivande i vissa fall. Övervägandena finns i avsnitt 7.13.
Av första stycket framgår att det krävs ett uttryckligt medgivande från den enskilde om personuppgifter samlas in direkt från honom eller henne. Kravet på medgivande är en integritetshöjande åtgärd och inte ett sådant samtycke som kan utgöra rättslig grund för behandling av personuppgifter. Även personuppgifter som samlas in med stöd av bestämmelsen behandlas således med stöd av samma rättsliga grund som övrig behandling, dvs. för att fullgöra en uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Med uttryckligt medgivande bör avses detsamma som ett uttryckligt samtycke enligt artikel 9.2 a i EU:s dataskyddsförordning, även om utrymmet för att bedöma medgivandet som frivilligt är större än när ett samtycke utgör den rättsliga grunden för behandlingen (se prop. 2021/22:177 s. 116). Kravet på uttrycklighet kan uppfyllas genom att medgivandet lämnas skriftligen, i ett elektroniskt formulär, ett epostmeddelande med en elektronisk underskrift eller i vissa fall muntligen (jfr Europeiska dataskyddsstyrelsens [EDPB] riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1. antagna den 4 maj 2020, s. 21).
Enligt andra stycket har den registrerade rätt att när som helst återkalla ett lämnat medgivande. Medgivandet kan återkallas helt eller delvis. När ett medgivande återkallas, ska de personuppgifter som omfattas av det återkallade medgivandet raderas.
Enligt tredje stycket får behandlingen fortsätta, trots att ett medgivande har återkallats, om myndigheten inte kan hänföra uppgifterna till den registrerade. I likhet med vad som gäller enligt artikel 11 i EU:s dataskyddsförordning, behöver ISF inte bevara, förvärva eller behandla ytterligare personuppgifter i syfte att identifiera rätt uppgifter för att kunna radera dem. Om uppgifterna inte kan hänföras till den registrerade behöver ISF således inte upphöra med behandlingen. Återkallandet påverkar inte tillåtligheten av sådan behandling som skett innan medgivandet återkallades. Konsekvensen av att återkalla ett lämnat medgivande motsvarar därmed konsekvensen av ett återkallat samtycke enligt artiklarna 7.3 och 17.1 b i EU:s dataskyddsförordning.
Behandlingen av personuppgifter får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering. Det innebär att personuppgifter som finns i arkiverade ärenden inte ska raderas.
Begränsning av möjligheterna att identifiera den registrerade
15 § Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter, om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.
Det som sägs i första stycket hindrar inte att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.
Paragrafen innehåller bestämmelser som begränsar möjligheterna att identifiera den registrerade. Övervägandena finns i avsnitt 7.14. Paragrafen utformas i huvudsak enligt Lagrådets förslag.
I första stycket anges att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade är framför allt uppgifter om namn, personnummer och samordningsnummer. Sådana uppgifter ska således avskiljas från övriga personuppgifter för att motverka en direkt identifiering av den registrerade. Undantag från kravet på att uppgifterna ska förvaras separat kan dock göras om separeringen skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen. Vid bedömningen av om huruvida ansträngningen är proportionerlig eller inte ska ansträngningen vägas mot det integritetsskydd som en separering skulle medföra. En ansträngning kan anses oproportionerlig när den är mycket omfattande, t.ex. medför manuell genomgång av stora mängder ärendeakter. Syftet med behandlingen kan anses motverkas när personuppgifter som direkt kan hänföras till den registrerade är centrala för behandlingen, t.ex. när uppgifterna behövs för att myndigheten ska kunna kontakta registrerade eller göra källhänvisningar.
Enligt andra stycket får personuppgifter som inte direkt kan hänföras till den registrerade, utan hinder av vad som sägs i första stycket, vara försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning. Det innebär att personuppgifter i myndighetens analysmaterial kan vara försedda med löpnummer, som behåller kopplingen till den registrerade.
Tillgång till personuppgifter
16 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Inspektionen för socialförsäkringen.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Paragrafen reglerar tillgången till personuppgifter hos ISF. Övervägandena finns i avsnitt 7.15.
Av första stycket framgår att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid ISF. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning eller uppdragstagare. Myndigheten ska aktivt ta ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och tilldela den behörighet som behövs utifrån det. Tillgången kan begränsas genom tekniska och organisatoriska åtgärder (jfr artikel 32 i EU:s dataskyddsförordning). Begränsningen avser tillgången till personuppgifter inom den verksamhet som omfattas av lagens tillämpningsområde.
Enligt andra stycket ska myndigheten regelbundet kontrollera och följa upp åtkomsten till personuppgifter. Det är upp till myndigheten att närmare bestämma formerna för kontrollen och uppföljningen. Den kan exempelvis ske genom uppföljning av loggar. Kontroll och uppföljning ska genomföras regelbundet, dvs. systematiskt och återkommande, och inte endast om myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit.
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 1 januari 2025.
2. Bestämmelserna i 12–14 §§ tillämpas inte på projekt som har inletts före ikraftträdandet.
Övervägandena finns i avsnitt 9.
Lagen träder enligt punkt 1 i kraft den 1 januari 2025.
Av punkt 2 framgår att bestämmelserna om behandling av personuppgifter i projekt enligt 12 och 13 §§ samt bestämmelsen om medgivande till behandling av personuppgifter enligt 14 § inte ska tillämpas på projekt som har inletts före ikraftträdandet. För sådana projekt ska dock övriga bestämmelser i lagen tillämpas.
Sammanfattning av promemorian En registerlag för Inspektionen för socialförsäkringen
I promemorian föreslås en lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen (ISF). Lagen syftar till att ge ISF möjlighet att behandla personuppgifter när det är nödvändigt för att myndigheten ska kunna utföra sitt uppdrag på ett ändamålsenligt sätt samtidigt som behovet av skydd för enskildas personliga integritet tillgodoses.
Lagen ska komplettera Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och gälla vid behandling av personuppgifter i verksamhet vid ISF som avser systemtillsyn och effektivitetsgranskning. Personuppgifter ska få behandlas om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet samt för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Den föreslagna lagen innehåller flera olika skyddsåtgärder som avser att ge enskildas personliga integritet ett tillfredsställande skydd. För att tydligt avgränsa behandlingen av personuppgifter ska ISF som huvudregel behandla personuppgifter i projekt. Uppgifterna ska behandlas i det projekt som de samlats in för och får återanvändas i ett annat projekt endast om behandlingen är nödvändig för att ISF helt eller delvis ska kunna upprepa eller följa upp det ursprungliga projektet. Personuppgifter som direkt kan hänföras till den registrerade ska som huvudregel separeras från övriga personuppgifter. Endast vissa kategorier av känsliga personuppgifter ska få ligga till grund för sökningar i syfte att få fram ett urval av personer. Dessutom innehåller den föreslagna lagen bestämmelser om bl.a. personuppgiftsansvar, krav på den enskildes medgivande vid viss personuppgiftsbehandling samt begränsningar av tillgången till personuppgifter.
Lagen föreslås träda i kraft den 1 januari 2025.
Promemorians lagförslag
Förslag till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i verksamhet vid Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Förhållandet till annan dataskyddsreglering
2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Uppgifter om avlidna personer
3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:
1. denna lag och föreskrifter som har meddelats i anslutning till lagen,
2. EU:s dataskyddsförordning, och
3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.
Begränsning av rätten att göra invändningar
4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.
Personuppgiftsansvar
5 § Inspektionen för socialförsäkringen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.
Ändamål för behandling av personuppgifter
6 § Inspektionen för socialförsäkringen får behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet.
Inom ramen för sådana undersökningar får personuppgifter behandlas för att framställa statistik eller utföra forskning.
7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Känsliga personuppgifter och uppgifter om lagöverträdelser
8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g eller 9.2 j i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.
9 § Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) måste etikprövas.
Sökbegränsningar
10 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexuella läggning om sökningen sker för ändamål enligt 6 §.
Behandling av personuppgifter i projekt
11 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar.
12 § Behandling av personuppgifter enligt 6 § ska ske i projekt. Personuppgifter som samlas in för att behandlas i ett projekt får inte behandlas i ett annat projekt.
Personuppgifter får dock behandlas i ett annat projekt än det som uppgifterna samlats in i, om behandlingen är nödvändig för att Inspektionen för socialförsäkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.
Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Inspektionen för socialförsäkringens verksamhet behöver inte ske i projekt.
13 § Innan personuppgifter behandlas i ett projekt ska Inspektionen för socialförsäkringen fastställa
1. syftet med projektet,
2. vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet, och
3. när projektet senast ska vara avslutat.
Det fastställda syftet får inte ändras.
Information om vad som har fastställts ska hållas tillgänglig på Inspektionen för socialförsäkringens webbplats.
Medgivande till behandling av personuppgifter
14 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.
Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Om ett medgivande återkallas, ska den behandling av personuppgifter som omfattas av det återkallade medgivandet upphöra. Behandlingen får dock fortsätta om Inspektionen för socialförsäkringen inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter.
Begränsning av möjligheterna att identifiera den registrerade
15 § Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.
Personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning.
Tillgång till personuppgifter
16 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Inspektionen för socialförsäkringen.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
1. Denna lag träder i kraft den 1 januari 2025.
2. Bestämmelserna i 12–14 §§ ska inte tillämpas på projekt som har inletts före ikraftträdandet.
Förteckning över remissinstanserna
Efter remiss har yttranden kommit in från Arbetsförmedlingen, Arbetsgivarverket, Arbetsmiljöverket, Barnombudsmannen, Brottsförebyggande rådet, Centrala studiestödsnämnden, Domstolsverket, E-hälsomyndigheten, Etikprövningsmyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Försäkringskassan, Förvaltningsrätten i Göteborg, Göteborgs universitet, Inspektionen för arbetslöshetsförsäkringen, Inspektionen för socialförsäkringen, Inspektionen för vård och omsorg, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Integritetsskyddsmyndigheten, Justitiekanslern, Jämställdhetsmyndigheten, Kammarrätten i Jönköping, Karolinska institutet, Kriminalvården, Kronofogdemyndigheten, Myndigheten för arbetsmiljökunskap, Myndigheten för delaktighet, Myndigheten för vård- och omsorgsanalys, Pensionsmyndigheten, Riksarkivet, Riksdagens ombudsmän, Skatteverket, Socialstyrelsen, Statens institutionsstyrelse, Statens tjänstepensionsverk, Statistiska centralbyrån, Statskontoret, Stockholms universitet, Svenska ILO-kommittén, Sveriges advokatsamfund, Sveriges a-kassor, Tandvård- och läkemedelsförmånsverket, Umeå universitet och Vetenskapsrådet.
Följande remissinstanser har inte svarat eller angett att de avstår från att lämna några synpunkter. Diskrimineringsombudsmannen, Funktionsrätt Sverige, Institutet för framtidsstudier, Karlstads universitet, Landsorganisationen i Sverige, Pensionärernas riksorganisation, Riksrevisionen, Sveriges akademikers centralorganisation, Skolverket, Tjänstemännens centralorganisation och Vårdföretagarna.
Lagrådsremissens lagförslag
Förslag till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Förhållandet till annan dataskyddsreglering
2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Uppgifter om avlidna personer
3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:
1. denna lag och föreskrifter som har meddelats i anslutning till lagen,
2. EU:s dataskyddsförordning, och
3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.
Begränsning av rätten att göra invändningar
4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.
Personuppgiftsansvar
5 § Inspektionen för socialförsäkringen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.
Ändamål för behandling av personuppgifter
6 § Inspektionen för socialförsäkringen får behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet.
Personuppgifter får även behandlas för att framställa statistik eller utföra forskning inom ramen för sådana undersökningar.
7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Känsliga personuppgifter och uppgifter om lagöverträdelser
8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g eller 9.2 j i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.
9 § Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) måste etikprövas.
10 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning om sökningen sker för ändamål enligt 6 §.
Behandling av personuppgifter i projekt
11 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar.
12 § Behandling av personuppgifter enligt 6 § ska ske i projekt. Personuppgifter som samlas in för att behandlas i ett projekt får inte behandlas i ett annat projekt.
Personuppgifter får dock behandlas i ett annat projekt än det som uppgifterna samlats in för, om behandlingen är nödvändig för att Inspektionen för socialförsäkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.
Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Inspektionen för socialförsäkringens verksamhet behöver inte ske i projekt.
13 § Innan personuppgifter behandlas i ett projekt ska Inspektionen för socialförsäkringen fastställa
1. syftet med projektet,
2. vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet, och
3. när projektet senast ska vara avslutat.
Det fastställda syftet får inte ändras.
Information om vad som har fastställts ska hållas tillgänglig på Inspektionen för socialförsäkringens webbplats.
Medgivande till behandling av personuppgifter
14 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.
Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas.
Om ett medgivande återkallas får behandlingen av personuppgifter dock fortsätta om Inspektionen för socialförsäkringen inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering.
Begränsning av möjligheterna att identifiera den registrerade
15 § Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter, om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.
Personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.
Tillgång till personuppgifter
16 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Inspektionen för socialförsäkringen.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
1. Denna lag träder i kraft den 1 januari 2025.
2. Bestämmelserna i 12–14 §§ tillämpas inte på projekt som har inletts före ikraftträdandet.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2024-04-12
Närvarande: F.d. justitierådet Sten Andersson samt justitieråden Ulrik von Essen och Cecilia Renfors
En registerlag för Inspektionen för socialförsäkringen
Enligt en lagrådsremiss den 4 april 2024 har regeringen (Socialdepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen.
Förslaget har inför Lagrådet föredragits av kanslirådet Jenny Gaudio, biträdd av ämnessakkunniga Hélène Runsten.
Förslaget föranleder följande yttrande.
Enligt 15 § första stycket i lagförslaget ska personuppgifter som direkt kan hänföras till den registrerade förvaras separat från övriga personuppgifter och får därmed, som huvudregel, inte förvaras tillsammans med övriga personuppgifter. I paragrafens andra stycke sägs att personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.
Innebörden i paragrafen framstår inte som helt klar och ger närmast intryck av att de båda styckena handlar om två helt olika saker, trots att så inte synes vara fallet.
Såvitt Lagrådet förstår avser det första stycket att uttrycka att personuppgifter som kan hänföras direkt till en enskild, såsom namn, personnummer och liknande identitetsbeteckningar, som huvudregel inte får förvaras tillsammans med övriga personuppgifter. Vid analysen av exempelvis uppgifter om en sjukdomsdiagnos ska det alltså inte vara möjligt att direkt utläsa vem eller vilka diagnosen hänför sig till. Bestämmelsen i andra stycket synes vara avsedd att medge att det trots första stycket får förekomma en koppling mellan det ena och det andra slaget av personuppgifter på så vis att exempelvis en uppgift om en persons sjukdomsdiagnos får vara försedd med löpnummer eller liknande som gör det möjligt att när så krävs knyta uppgiften till en viss person.
Enligt Lagrådets mening skulle innebörden bli tydligare om andra stycket formulerades enligt följande.
Det som sägs i första stycket hindrar inte att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till den registrerade.
Lagrådet lämnar i övrigt förslaget utan erinran.
Socialdepartementet
Utdrag ur protokoll vid regeringssammanträde den 23 maj 2024
Närvarande: statsminister Kristersson, ordförande, och statsråden Busch, Billström, Svantesson, Ankarberg Johansson, Edholm, J Pehrson, Waltersson Grönvall, Strömmer, Roswall, Forssmed, Tenje, Slottner, Wykman, Malmer Stenergard, Kullgren, Pourmokhtari
Föredragande: statsrådet Tenje
Regeringen beslutar proposition En registerlag för Inspektionen för socialförsäkringen