Lag (2024:926) om behandling av personuppgifter vid Inspektionen för socialförsäkringen

Departement
Socialdepartementet
Utfärdad
2024-10-10
Ändring införd
SFS 2024:926
Ikraft
2025-01-01
Källa
Regeringskansliets rättsdatabaser
Senast hämtad
2025-02-01

Lagens tillämpningsområde

1 §  Denna lag gäller vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.

[S2]Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Prop. 2023/24:146: Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitt 7.1.

Av första stycket framgår att lagen gäller ...

Förhållandet till annan dataskyddsreglering

2 §  Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

[S2]Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Prop. 2023/24:146: Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som

har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till ...

Uppgifter om avlidna personer

3 §  Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:

  1. denna lag och föreskrifter som har meddelats i anslutning till lagen,
  2. EU:s dataskyddsförordning, och
  3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

Prop. 2023/24:146: 3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

I paragrafen anges vilken reglering som gäller vid behandling av uppgifter om avlidna personer. Övervägandena finns i avsnitt 7.3.

EU:s dataskyddsförordning och dataskyddslagen ...

Begränsning av rätten att göra invändningar

4 §  Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

[S2]Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.

Prop. 2023/24:146: Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.

I paragrafen begränsas rätten att göra invändningar enligt EU:s dataskyddsförordning (artikel 21.1). Övervägandena finns i avsnitt 7.4.

Paragrafens första ...

Personuppgiftsansvar

5 §  Inspektionen för socialförsäkringen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Prop. 2023/24:146: Paragrafen reglerar ISF:s personuppgiftsansvar. Övervägandena finns i avsnitt 7.5.

Paragrafen anger att ISF är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen. I artikel 4.7 i EU:s dataskyddsförordning finns definitionen av personuppgiftsansvarig.

Ändamål för behandling av personuppgifter

6 §  Inspektionen för socialförsäkringen får behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialför-säkringsområdet eller inom verksamheter som gränsar till socialförsäkringsområdet.

[S2]Inom ramen för sådana undersökningar får personuppgifter behandlas även för att framställa statistik eller utföra forskning.

Prop. 2023/24:146: Inom ramen för sådana undersökningar får personuppgifter behandlas även för att framställa statistik eller utföra forskning.

I paragrafen anges för vilka primära ändamål personuppgifter får behandlas inom lagens tillämpningsområde. Övervägandena finns i avsnitt 7.6.2.

Av första stycket framgår att personuppgifter får behandlas om det är nödvändigt för att undersöka förhållanden ...

7 §  Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Prop. 2023/24:146: Paragrafen anger för vilka sekundära ändamål ISF får behandla personuppgifter inom lagens tillämpningsområde. Övervägandena finns i avsnitt 7.6.3.

Personuppgifter som behandlas för primära ändamål får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Med detta avses att uppgiftslämnandet sker med stöd av bestämmelser som påbjuder eller tillåter ...

Känsliga personuppgifter och uppgifter om lagöverträdelser

8 §  Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g eller 9.2 j i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Prop. 2023/24:146: Paragrafen anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 g eller j i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen. Övervägandena finns i avsnitt 7.7.

Känsliga personuppgifter är sådana särskilda kategorier av uppgifter som räknas upp i artikel 9.1 i EU:s dataskyddsförordning, dvs. personuppgifter som avslöjar ras eller etniskt ...

9 §  Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) måste etikprövas.

Prop. 2023/24:146: Paragrafen upplyser om att viss forskning måste etikprövas enligt lagen (2003:460) om etikprövning av forskning som avser människor. Övervägandena finns i avsnitt 7.8.

Kravet på etikprövning gäller forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, ...

10 §  Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

[S2]Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning om sökningen sker för ändamål enligt 6 §.

Prop. 2023/24:146: Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning om sökningen sker för ändamål enligt 6 §.

Paragrafen reglerar sökbegränsningar. Övervägandena finns i avsnitt 7.10.

I första stycket anges att sökningar inte får utföras i syfte att få fram ...

Behandling av personuppgifter i projekt

11 §  Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar.

Prop. 2023/24:146: I paragrafen anges vad som avses med projekt i lagen. Övervägandena finns i avsnitt 7.11.

Av paragrafen framgår att med projekt avses i lagen en planerad arbetsinsats som genomförs inom bestämda ramar. Att arbetsinsatsen ska vara planerad medför ett krav på att varje projekt ska föregås av vissa förberedelser. Förberedelserna bör omfatta att bestämma vilka ramar som ska gälla för projektet. Ramarna ...

12 §  Behandling av personuppgifter enligt 6 § ska ske inom ramen för ett projekt. Personuppgifter som har samlats in för att behandlas inom ramen för ett projekt får inte behandlas i ett annat projekt.

[S2]Personuppgifter får dock behandlas inom ramen för ett annat projekt än det som uppgifterna samlats in för, om behandlingen är nödvändig för att Inspektionen för socialförsäkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.

[S3]Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Inspektionen för socialförsäkringens verksamhet behöver inte ske inom ramen för ett projekt.

Prop. 2023/24:146: Personuppgifter som har samlats in för att behandlas inom ramen för ett projekt får inte behandlas i ett annat projekt.

Personuppgifter får dock behandlas inom ramen för ett annat projekt än det som uppgifterna samlats in för, om behandlingen är nödvändig för att Inspektionen för socialförsäkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.

Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Inspektionen ...

13 §  Innan personuppgifter får behandlas inom ramen för ett projekt ska Inspektionen för socialförsäkringen fastställa

  1. syftet med projektet,
  2. vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras i projektet, och
  3. när projektet senast ska vara avslutat.

[S2]Det fastställda syftet får inte ändras.

[S3]Information om vad som har fastställts ska hållas tillgänglig på Inspektionen för socialförsäkringens webbplats.

Prop. 2023/24:146: 2. vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras i projektet, och

3. när projektet senast ska vara avslutat. Det fastställda syftet får inte ändras. Information om vad som har fastställts ska hållas tillgänglig på Inspektionen för socialförsäkringens webbplats.

I paragrafen regleras vissa ramar som ska fastställas för de projekt som personuppgifter ska behandlas i. Övervägandena finns i <a href="https://lagen.nu/prop/2023/24:146#S7-12" ...

Medgivande till behandling av personuppgifter

14 §  Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.

[S2]Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas.

[S3]Om ett medgivande återkallas får behandlingen av personuppgifter dock fortsätta om Inspektionen för socialförsäkringen inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering.

Prop. 2023/24:146: Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas.

Om ett medgivande återkallas får behandlingen av personuppgifter dock fortsätta om Inspektionen för socialförsäkringen inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i handlingar som har tagits om ...

Begränsning av möjligheterna att identifiera den registrerade

15 §  Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter, om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.

[S2]Det som sägs i första stycket hindrar inte att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.

Prop. 2023/24:146: Det som sägs i första stycket hindrar inte att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.

Paragrafen innehåller bestämmelser som begränsar möjligheterna att identifiera den registrerade. Övervägandena finns i avsnitt 7.14. Paragrafen utformas i huvudsak enligt Lagrådets ...

Tillgång till personuppgifter

16 §  Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Inspektionen för socialförsäkringen.

[S2]Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Prop. 2023/24:146: Paragrafen reglerar tillgången till personuppgifter hos ISF. Övervägandena finns i avsnitt 7.15.

Av första stycket framgår att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid ISF. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning eller uppdragstagare. ...

Ändringar och övergångsbestämmelser

Lag (2024:926) om behandling av personuppgifter vid Inspektionen för socialförsäkringen

Övergångsbestämmelse

  1. Denna lag träder i kraft den 1 januari 2025.
  2. Bestämmelserna i 12-14 §§ tillämpas inte på projekt som har inletts före ikraftträdandet.
Förarbeten
Rskr. 2024/25:11, Prop. 2023/24:146, Bet. 2024/25:SfU7
Ikraftträder
2025-01-01