Lag (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten

Departement
Finansdepartementet
Utfärdad
2023-06-22
Ändring införd
SFS 2023:457
Ikraft
2024-01-01
Källa
Regeringskansliets rättsdatabaser
Senast hämtad
2023-06-29

1 kap. Allmänna bestämmelser

Lagens innehåll

[K1]1 §  Denna lag innehåller bestämmelser om Utbetalningsmyndighetens behandling av personuppgifter.

Lagens tillämpningsområde

[K1]2 §  Denna lag tillämpas vid behandlingen av personuppgifter vid Utbetalningsmyndigheten i dess verksamhet med att administrera systemet med transaktionskonto och att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen.

[S2]Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

[S3]Bestämmelserna i 6-8, 10 och 11 §§ samt 2-4 kap. gäller även vid behandling av uppgifter om avlidna.

Förhållandet till annan reglering

[K1]3 §  Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

[S2]Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Prop. 2022/23:34: I paragrafen anges lagens förhållande till annan reglering.

Rätten att göra invändningar

[K1]4 §  Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgiftsansvar

[K1]5 §  Utbetalningsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Prop. 2022/23:34: Paragrafen reglerar Utbetalningsmyndighetens personuppgiftsansvar. Övervägandena finns i avsnitt 9.3.4.

Ändamål

[K1]6 §  Utbetalningsmyndigheten får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter att

  1. administrera ett system med transaktionskonto, och
  2. förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen.

[S2]Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen i första stycket.

[K1]7 §  Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Prop. 2022/23:34: Paragrafen innehåller en s.k. sekundär ändamålsbestämmelse om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen. Övervägandena finns i avsnitt 9.4.2.

[K1]8 §  Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för.

Prop. 2022/23:34: Paragrafen innehåller en bestämmelse om finalitetsprincipen i dataskyddsförordningen. Övervägandena finns i avsnitt 9.4.3.

Känsliga personuppgifter

[K1]9 §  Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Sökbegränsningar

[K1]10 §  Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning (fällande domar i brottmål och lagöverträdelser som innefattar brott).

[S2]Förbudet omfattar inte sökningar i syfte att få fram ett urval grundat på sådan uppgift om hälsa som hänför sig till en förmån eller ett stöd. Det omfattar inte heller sökningar i en viss handling.

Prop. 2022/23:34: I första stycket finns ett förbud mot vissa sökningar. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller sådana personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott. Vad som avses med känsliga personuppgifter framgår av kommentaren till 9 §. Genom bestämmelsen förbjuds sökningar som ...

Tillgång till personuppgifter

[K1]11 §  Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.

[S2]Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Prop. 2022/23:34: Paragrafen reglerar den interna tillgången till personuppgifter i Utbetalningsmyndighetens verksamhet. Övervägandena finns i avsnitt 9.6.2.

Elektroniskt utlämnande av personuppgifter

[K1]12 §  Personuppgifter får lämnas ut elektroniskt, dock inte genom direktåtkomst.

Prop. 2022/23:34: Paragrafen reglerar förutsättningarna för elektroniskt uppgiftslämnande. Överväganden finns i avsnitt 9.7.2.

2 kap. Transaktionskontoregistret

[K2]1 §  För att administrera systemet med transaktionskonto ska det finnas en uppgiftssamling, benämnd transaktionskontoregistret.

[K2]2 §  I transaktionskontoregistret får sådana uppgifter behandlas som behövs för att administrera systemet med transaktionskonto.

[S2]Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas i registret.

3 kap. Uppgiftssamlingen för dataanalyser och urval

[K3]1 §  För att göra dataanalyser och urval, i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, ska det vid Utbetalningsmyndigheten finnas en uppgiftssamling, benämnd uppgiftssamlingen för dataanalyser och urval.

[K3]2 §  Endast de personuppgifter som behövs för att göra dataanalyser och urval får behandlas i uppgiftssamlingen. Personuppgifterna som behandlas för att göra dataanalyser och urval får inte behandlas någon annanstans än i uppgiftssamlingen.

[S2]Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas i uppgiftssamlingen.

[K3]3 §  Sökning och annan behandling i uppgiftssamlingen för dataanalyser och urval ska genomföras med respekt för enskildas personliga integritet.

[K3]4 §  Metoder för att ta fram urval och de sökbegrepp som används vid sökningar i uppgiftssamlingen ska dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand. Utbetalningsmyndigheten ska regelbundet följa upp de sökningar som har gjorts i uppgiftssamlingen.

Allmän bestämmelse

[K4]1 §  Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen, dock som längst den tid som följer av 2 och 3 §§.

Prop. 2022/23:34: Paragrafen innehåller en huvudregel om längsta tid för behandling av personuppgifter vid Utbetalningsmyndigheten. Övervägandena finns i avsnitt 9.9.1.

Uppgifter i transaktionskontoregistret

[K4]2 §  Personuppgifter som behandlas i transaktionskontoregistret får inte behandlas längre än tio år efter utgången av det år då betalningsuppdraget för den utbetalning som uppgifterna hänför sig till registrerades.

Prop. 2022/23:34: Paragrafen innehåller en särskild bestämmelse om tidsfrist för behandling av personuppgifter som behandlas i transaktionskontoregistret. Övervägandena finns i avsnitt 9.9.2.

Uppgifter för fördjupad granskning

[K4]3 §  Personuppgifter som behandlas vid en fördjupad granskning enligt lagen (2023:455) om Utbetalningsmyndighetens granskning av utbetalningar får inte behandlas längre än två år efter utgången av det år då den fördjupade granskningen avslutades.

Prop. 2022/23:34: Paragrafen innehåller en särskild bestämmelse om längsta tid för behandling av personuppgifter som behandlas vid en fördjupad granskning enligt lagen om Utbetalningsmyndighetens granskning av utbetalningar. Övervägandena finns i avsnitt 9.9.3.

Rätt att meddela föreskrifter och beslut

[K4]4 §  Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som avses i 1-3 §§ får behandlas under viss tid eller att sådana uppgifter får fortsätta att behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Prop. 2022/23:34: Paragrafen innehåller en upplysningsbestämmelse om rätten att meddela föreskrifter. Övervägandena finns i avsnitt 9.9.4.

[K4]5 §  Den myndighet som regeringen bestämmer får också i det enskilda fallet besluta om sådan behandling som avses i 4 §.

Prop. 2022/23:34: Paragrafen innehåller bestämmelser om rätten att fatta beslut om tidsfrister för behandling av personuppgifter eller behandling för vissa särskilda ändamål. Övervägandena finns i avsnitt 9.9.4.

Ändringar

Lag (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten

Förarbeten
Rskr. 2022/23:266, Prop. 2022/23:34, Bet. 2022/23:FiU35
Ikraftträder
2024-01-01