Regeringskansliets rättsdatabaser

1 kap. Allmänna bestämmelser Lagens innehåll 1 § Denna lag innehåller bestämmelser om Utbetalningsmyndighetens behandling av personuppgifter. Lagens tillämpningsområde 2 § Denna lag tillämpas vid behandlingen av personuppgifter vid Utbetalningsmyndigheten i dess verksamhet med att administrera systemet med transaktionskonto och att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelserna i 6-8, 10 och 11 §§ samt 2-4 kap. gäller även vid behandling av uppgifter om avlidna. Förhållandet till annan reglering 3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar 4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 5 § Utbetalningsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag. Ändamål 6 § Utbetalningsmyndigheten får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter att 1. administrera ett system med transaktionskonto, och 2. förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen i första stycket. 7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 8 § Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för. Känsliga personuppgifter 9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning (fällande domar i brottmål och lagöverträdelser som innefattar brott). Förbudet omfattar inte sökningar i syfte att få fram ett urval grundat på sådan uppgift om hälsa som hänför sig till en förmån eller ett stöd. Det omfattar inte heller sökningar i en viss handling. Tillgång till personuppgifter 11 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 12 § Personuppgifter får lämnas ut elektroniskt, dock inte genom direktåtkomst. 2 kap. Transaktionskontoregistret 1 § För att administrera systemet med transaktionskonto ska det finnas en uppgiftssamling, benämnd transaktionskontoregistret. 2 § I transaktionskontoregistret får sådana uppgifter behandlas som behövs för att administrera systemet med transaktionskonto. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas i registret. 3 kap. Uppgiftssamlingen för dataanalyser och urval 1 § För att göra dataanalyser och urval, i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, ska det vid Utbetalningsmyndigheten finnas en uppgiftssamling, benämnd uppgiftssamlingen för dataanalyser och urval. 2 § Endast de personuppgifter som behövs för att göra dataanalyser och urval får behandlas i uppgiftssamlingen. Personuppgifterna som behandlas för att göra dataanalyser och urval får inte behandlas någon annanstans än i uppgiftssamlingen. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas i uppgiftssamlingen. 3 § Sökning och annan behandling i uppgiftssamlingen för dataanalyser och urval ska genomföras med respekt för enskildas personliga integritet. 4 § Metoder för att ta fram urval och de sökbegrepp som används vid sökningar i uppgiftssamlingen ska dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand. Utbetalningsmyndigheten ska regelbundet följa upp de sökningar som har gjorts i uppgiftssamlingen. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen, dock som längst den tid som följer av 2 och 3 §§. Uppgifter i transaktionskontoregistret 2 § Personuppgifter som behandlas i transaktionskontoregistret får inte behandlas längre än tio år efter utgången av det år då betalningsuppdraget för den utbetalning som uppgifterna hänför sig till registrerades. Uppgifter för fördjupad granskning 3 § Personuppgifter som behandlas vid en fördjupad granskning enligt lagen (2023:455) om Utbetalningsmyndighetens granskning av utbetalningar får inte behandlas längre än två år efter utgången av det år då den fördjupade granskningen avslutades. Rätt att meddela föreskrifter och beslut 4 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som avses i 1-3 §§ får behandlas under viss tid eller att sådana uppgifter får fortsätta att behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. 5 § Den myndighet som regeringen bestämmer får också i det enskilda fallet besluta om sådan behandling som avses i 4 §.