Ds 2023:13
En registerlag för Inspektionen för socialförsäkringen
1. Sammanfattning
I promemorian föreslås en lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen (ISF). Lagen syftar till att ge ISF möjlighet att behandla personuppgifter när det är nödvändigt för att myndigheten ska kunna utföra sitt uppdrag på ett ändamålsenligt sätt samtidigt som behovet av skydd för enskildas personliga integritet tillgodoses.
Lagen ska komplettera Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och gälla vid behandling av personuppgifter i verksamhet vid ISF som avser systemtillsyn och effektivitetsgranskning. Personuppgifter ska få behandlas om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet samt för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Den föreslagna lagen innehåller flera olika skyddsåtgärder som avser att ge enskildas personliga integritet ett tillfredsställande skydd. För att tydligt avgränsa behandlingen av personuppgifter ska ISF som huvudregel behandla personuppgifter i projekt. Uppgifterna ska behandlas i det projekt som de samlats in för och får återanvändas i ett annat projekt endast om behandlingen är nödvändig för att ISF helt eller delvis ska kunna upprepa eller följa upp det ursprungliga projektet. Personuppgifter som direkt kan hänföras till den registrerade ska som huvudregel separeras från övriga personuppgifter. Endast vissa kategorier av känsliga personuppgifter ska få ligga till grund för sökningar i syfte att få fram ett urval av personer. Dessutom innehåller den föreslagna lagen bestämmelser om bl.a. personuppgiftsansvar, krav på den enskildes
Sammanfattning Ds 2023:13
medgivande vid viss personuppgiftsbehandling samt begränsningar av tillgången till personuppgifter.
Lagen föreslås träda i kraft den 1 januari 2025.
2. Författningsförslag
Förslag till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i verksamhet vid Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Förhållandet till annan dataskyddsreglering
2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Författningsförslag Ds 2023:13
Uppgifter om avlidna personer
3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:
1. denna lag och föreskrifter som har meddelats i anslutning till lagen,
2. EU:s dataskyddsförordning, och
3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.
Begränsning av rätten att göra invändningar
4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.
Personuppgiftsansvar
5 § Inspektionen för socialförsäkringen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.
Ändamål för behandling av personuppgifter
6 § Inspektionen för socialförsäkringen får behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet.
Inom ramen för sådana undersökningar får personuppgifter behandlas för att framställa statistik eller utföra forskning.
7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Ds 2023:13 Författningsförslag
Känsliga personuppgifter och uppgifter om lagöverträdelser
8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g eller 9.2 j i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.
9 § Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) måste etikprövas.
Sökbegränsningar
10 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexuella läggning om sökningen sker för ändamål enligt 6 §.
Behandling av personuppgifter i projekt
11 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar.
12 § Behandling av personuppgifter enligt 6 § ska ske i projekt.
Personuppgifter som samlas in för att behandlas i ett projekt får inte behandlas i ett annat projekt.
Personuppgifter får dock behandlas i ett annat projekt än det som uppgifterna samlats in i, om behandlingen är nödvändig för att Inspektionen för socialförsäkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.
Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Inspektionen för socialförsäkringens verksamhet behöver inte ske i projekt.
Författningsförslag Ds 2023:13
13 § Innan personuppgifter behandlas i ett projekt ska
Inspektionen för socialförsäkringen fastställa
1. syftet med projektet,
2. vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet, och
3. när projektet senast ska vara avslutat. Det fastställda syftet får inte ändras. Information om vad som har fastställts ska hållas tillgänglig på Inspektionen för socialförsäkringens webbplats.
Medgivande till behandling av personuppgifter
14 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.
Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Om ett medgivande återkallas, ska den behandling av personuppgifter som omfattas av det återkallade medgivandet upphöra. Behandlingen får dock fortsätta om Inspektionen för socialförsäkringen inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter.
Begränsning av möjligheterna att identifiera den registrerade
15 § Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.
Personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning.
Ds 2023:13 Författningsförslag
Tillgång till personuppgifter
16 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid
Inspektionen för socialförsäkringen.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. ___________
1. Denna lag träder i kraft den 1 januari 2025.
2. Bestämmelserna i 12–14 §§ ska inte tillämpas på projekt som har inletts före ikraftträdandet.
3. Inspektionen för socialförsäkringen
3.1. Myndighetens uppgifter
Inspektionen för socialförsäkringen (ISF) bildades 2009. Myndigheten har enligt förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen, här benämnd instruktionen, till uppgift att genom systemtillsyn och effektivitetsgranskning värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet.
Med systemtillsyn avses granskning av om tillsynsobjektets egna system för styrning och kontroll säkerställer en korrekt och enhetlig tillämpning av det regelverk som tillsynsobjektet ska tillämpa (1 § andra stycket instruktionen). Vid systemtillsyn granskar ISF tillsynsobjektens organisation, styrning och verksamhet och undersöker om det finns förutsättningar och metoder för en korrekt och rättssäker handläggning. Granskningen omfattar bl.a. styrdokument, handläggningsprocesser, informationssystem och system för uppföljning och kontroll. För att kunna avgöra om tillsynsobjektens verksamhet på systemnivå fungerar som avsett, analyseras ofta tillsynsobjektens handläggning i enskilda ärenden. ISF:s uppgifter omfattar dock inte tillsyn i enskilda ärenden.
Med effektivitetsgranskning avses granskning av om tillsynsobjektets verksamhet fungerar effektivt med utgångspunkt i det statliga åtagandet (1 § andra stycket instruktionen). I en effektivitetsgranskning undersöker ISF måluppfyllelse och administrativ effektivitet. Granskningar av måluppfyllelse görs ofta genom utvärdering av samhällseffekter – om socialförsäkringen ger avsedda effekter och om det uppstår oavsedda effekter för försäkrade personer och berörda verksamheter. Som en del i detta kan ISF granska utnyttjandet av socialförsäkringen. Även utnyttjandet av andra ersättningssystem i förhållande till socialförsäkringen kan
Inspektionen för socialförsäkringen Ds 2023:13
granskas. Det kan handla om att undersöka om en viss lagändring har orsakat förflyttningar mellan olika ersättningar eller ersättningssystem. Sådana granskningar görs ofta på ett mer övergripande plan, exempelvis genom att ISF undersöker om en reform har fått den genomslagskraft som varit tänkt eller om en viss lagstiftning är relevant och anpassad till samhällsutvecklingen.
I effektivitetsgranskningarna ingår också att utvärdera om verksamheterna inom socialförsäkringsområdet utförs i enlighet med de mål som regering och riksdag har ställt upp i styrande dokument. Dessutom granskas om myndigheternas egna system för mål- och resultatstyrning skapar rätt förutsättningar för att nå uppsatta mål.
Vidare gör ISF granskningar av om de resurser som tillförs de myndigheter som administrerar socialförsäkringen används på ett kostnadseffektivt sätt. Granskningarna av administrativ effektivitet kan handla om att mäta effektiviteten i handläggningen av olika förmåner. Sådana mätningar kan göras genom att kostnader för handläggningen relateras till prestationer. Prestationer mäts både genom produktionsvolym, t.ex. antalet beslut, och handläggningens kvalitet. I granskningar av administrativ effektivitet ingår även att analysera tillsynsobjektens förutsättningar för att upprätthålla en god effektivitet, t.ex. om ärendehanteringen och beslutsstödet är organiserat och utformat på ett ändamålsenligt sätt.
Regeringens styrning påverkar tillsynsobjektens förutsättningar att bedriva en rättssäker och effektiv verksamhet. ISF:s granskningar av tillsynsobjekten kan därför även omfatta regeringens styrning.
I 3 a § instruktionen (som träder i kraft den 1 juni 2023, SFS 2023:170) anges att ISF, i de fall det är nödvändigt, får bedriva den forskning som behövs för att myndigheten ska kunna fullgöra sina uppgifter enligt 1–3 §§. ISF kan således, under de nämnda förutsättningarna, använda forskning som metod för att utföra sin systemtillsyn eller effektivitetsgranskning.
ISF ska löpande redovisa resultatet av sin systemtillsyn och effektivitetsgranskning till regeringen (11 § instruktionen). Det sker normalt genom att myndigheten publicerar och lämnar över skriftliga rapporter till regeringen. Resultatredovisningar förekommer också i form av skrivelser till regeringen, olika typer av arbetsrapporter och vetenskapliga artiklar.
Ds 2023:13 Inspektionen för socialförsäkringen
ISF har inte någon normerande roll eller några sanktionsmöjligheter i förhållande till de granskade verksamheterna. Inte heller har myndigheten någon klagomålshantering eller möjlighet att ingripa i enskilda ärenden.
ISF är inte en statistikansvarig myndighet och ansvarar därmed inte för framställning av officiell statistik enligt lagen (2001:99) om den officiella statistiken.
3.2. Tillsyns- och granskningsområdet
ISF ska utöva systemtillsyn över och utföra effektivitetsgranskning av den verksamhet som bedrivs av Försäkringskassan, Pensionsmyndigheten i de delar som inte står under Finansinspektionens tillsyn och Skatteverket i de delar som avser beslut om pensionsgrundande inkomst (2 § instruktionen). Tillsynen och granskningen får också omfatta verksamheter som gränsar till socialförsäkringsområdet (3 § instruktionen). Det handlar primärt om hur andra trygghetssystem eller verksamheter påverkar socialförsäkringen, men granskningen kan även avse det omvända förhållandet – socialförsäkringens påverkan på andra system eller verksamheter. Verksamheter som gränsar till socialförsäkringsområdet kan vara hälso- och sjukvården, som utfärdar läkarintyg för sjukskrivning, eller tjänstepensionsföretag. En annan viktig verksamhet som gränsar till socialförsäkringen är Arbetsförmedlingens verksamhet för att stödja personer som får eller har fått ersättning från sjukförsäkringen och som behöver hjälp att få eller byta arbete. ISF har också behov av att kunna undersöka hur samspelet mellan socialförsäkringen och arbetslöshetsförsäkringen fungerar för de grupper som rör sig mellan dessa försäkringar. Kommuner tillhandahåller stöd som kan påverka behovet av stöd till personer med funktionsnedsättning från socialförsäkringen, framför allt i form av insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade och enligt socialtjänstlagen (2001:453). Kommuner tillhandahåller också stöd till pensionärer.
Därutöver får tillsynen och granskningen även omfatta samverkansinsatser med anknytning till socialförsäkringsområdet (3 § instruktionen). Sådana samverkansinsatser kan vara samverkan mellan Försäkringskassan och Arbetsförmedlingen eller
Inspektionen för socialförsäkringen Ds 2023:13
rehabiliteringsinsatser som finansieras av samordningsförbund. ISF:s tillsynsområde omfattar dock inte de delar som ingår i tillsynsområdet för Inspektionen för arbetslöshetsförsäkringen.
ISF gör även granskningar som inte avser en särskild verksamhet. När socialförsäkringsområdet granskas på ett mer övergripande plan, exempelvis om en viss reform har fått den genomslagskraft som varit avsedd, är det reformen som står i fokus och inte verksamheterna.
3.3. Samverkan med andra tillsynsmyndigheter
ISF ska i sin systemtillsyn och effektivitetsgranskning samverka med de tillsynsmyndigheter som kan komma att beröras av myndighetens tillsyns- eller granskningsverksamhet (4 § instruktionen). Socialförsäkringsområdet gränsar till flera andra verksamhetsområden, t.ex. hälso- och sjukvård och arbetsmarknad. Det kan därför vara aktuellt att samverka med bl.a. Socialstyrelsen, Inspektionen för vård och omsorg och Inspektionen för arbetslöshetsförsäkringen när förhållanden på socialförsäkringsområdet och angränsade områden granskas samtidigt.
3.4. Verksamheten bedrivs i projektform
Verksamheten vid ISF bedrivs normalt i projektform, oavsett om det handlar om egeninitierade granskningar eller genomförande av särskilda uppdrag från regeringen. Med projekt avses en planerad och avgränsad arbetsinsats som ska genomföras inom bestämda ramar. Arbetet bedrivs i enlighet med myndighetens projektvägledning.
Sådan verksamhet som avser omvärldsbevakning och planering av verksamheten bedrivs inte i projektform. Ett projekt aktualiseras först när myndigheten får ett regeringsuppdrag eller på egen hand har tagit fram en underlagspromemoria med en projektidé. För att ett projekt ska kunna inledas utformar en arbetsgrupp en projektplan som innehåller bl.a. syfte och frågeställningar, nyttan med projektet, jämställdhets- och barnrättsperspektiv, juridiska frågor, avgränsningar, hur projektet ska genomföras och metod, beskrivning av hur personuppgifter ska behandlas, bemanning,
Ds 2023:13 Inspektionen för socialförsäkringen
kvalitetssäkring och tidsplan. Projektplanen föredras för ledningsgruppen, varvid generaldirektören fattar beslut om att ett projekt ska startas. Därefter kan arbetet inledas och projektgruppen kan börja att samla in personuppgifter och göra de analyser som behövs för granskningen.
En projektgrupp består av en projektledare som leder arbetet i projektet och ett visst antal projektmedlemmar med olika kompetenser. En projektansvarig chef följer arbetet i projektet och ger stöd, t.ex. när det gäller praktiska frågor, vägval i projektet och frågor som rör kvaliteten. Den projektansvariga chefen säkrar tillsammans med en annan kvalitetssäkrande chef samt ledningsgruppen att rapporten uppfyller de krav ISF har på sina rapporter. Chefsjuristen har ett övergripande ansvar för den rättsliga kvaliteten i rapporten. Därutöver har projektgruppen stöd av särskilt utsedda kvalitetssäkrare när det gäller sakfrågor och metodfrågor samt av ISF:s dataskyddsombud när det gäller frågor som rör behandling av personuppgifter. Resultatet och slutsatserna från tillsyn och granskningar publiceras i rapporter och skrivelser.
3.5. Arbetsmetoder
3.5.1. Projekt
Inom ramen för ett projekt bedriver ISF ofta flera olika undersökningar. Undersökningarna genomförs i form av dokumentstudier och rättsutredningar, registerstudier, aktstudier samt intervju- och enkätstudier. Det förekommer att uppgifter bearbetas genom framställning av statistik och forskning. Olika metoder kan kombineras för att myndigheten ska kunna belysa en fråga ur flera perspektiv. Genom att kombinera kvalitativa metoder med kvantitativa metoder är det också möjligt att dra mer djupgående slutsatser.
Dokumentstudier
När ISF granskar tillsynsobjektens styrning genom att studera interna styrdokument och informationssystem görs det genom s.k. dokumentstudier. Sådan granskning kräver inte behandling av
Inspektionen för socialförsäkringen Ds 2023:13
personuppgifter i någon större omfattning. Om dokumenten innehåller personuppgifter, handlar det normalt bara om namn och kontaktuppgifter till medarbetare hos tillsynsobjekten.
Rättsutredningar
Genom rättsutredningar kartlägger ISF gällande rätt och praxis. Detta förutsätter att myndigheten tar del av domar och beslut inom det rättsområde som utreds. I många domar och beslut inom socialförsäkringsområdet förekommer personuppgifter om hälsa, som är s.k. känsliga personuppgifter (se avsnitt 6.7). ISF:s rättsutredningar kan således medföra behandling av känsliga personuppgifter.
Registerstudier
ISF utför ofta registerstudier, dvs. registerbaserade studier där myndigheten använder uppgifter från ett eller flera register som finns hos andra myndigheter eller andra organisationer. Till en sådan studie samlar myndigheten in uppgifter från såväl tillsynsobjekten som andra myndigheter och organisationer. Det kan handla om uppgifter om ansökta och beviljade förmåner och ersättningar, diagnos, yrke, kön, ålder, födelseland, inkomst, bostadsort, socialtjänstinsatser m.m. Registerstudier genomförs ofta med stora informationsmängder och kan användas för att följa individer under längre perioder. Själva studien kan utföras på kort tid av ett fåtal personer, förutsatt att nödvändiga uppgifter kan göras tillgängliga i elektronisk form.
I registerstudier behandlas endast sådana personuppgifter som inte direkt kan hänföras till den registrerade. Oftast skapas en kodnyckel av den myndighet som ISF begär registerdata från men ISF kan också ta fram en kodnyckel på egen hand. Genom kodnyckeln ersätts de registrerades personnummer, namn eller andra liknande beteckningar med ett löpnummer. ISF får på så vis endast del av personuppgifter kopplade till ett löpnummer. Den myndighet som skapat kodnyckeln förvarar den hos sig. Även om sådana personuppgifter som direkt kan hänföras till enskilda byts ut mot ett löpnummer finns det fortfarande en risk att det utifrån
Ds 2023:13 Inspektionen för socialförsäkringen
övriga uppgifter är möjligt att identifiera den registrerade, s.k. bakvägsidentifiering. Risken för att det genom bakvägsidentifiering går att identifiera den registrerade är beroende av uppgifternas omfattning och detaljnivå. I registerstudier behandlas ofta känsliga personuppgifter.
Aktstudier
Aktstudier utförs genom granskning av ärendeakter. Detta kan ske i syfte att t.ex. bedöma om handläggningen av rätten till en viss socialförsäkringsförmån är rättssäker. Avsikten är alltså inte att bedöma handläggningen i det enskilda ärendet. Aktstudier fångar ofta information av mer kvalitativ art, men kan även användas för att samla in kvantitativa uppgifter. Eftersom aktstudier ofta innefattar mer ingående bedömningar av processer och av kvaliteten i ärendehandläggningen är de mer resurskrävande än registerstudier.
ISF tar in ärendeakter i pappersformat och har i dagsläget inga möjligheter att hantera ärendeakter i elektronisk form. Myndigheternas digitala ärendeakter behöver därför skrivas ut och skickas med post till ISF, vilket kan vara en tidskrävande process. Även granskningen av ärendeakterna sker manuellt. Ett antal uppgifter ur de ärendeakter som granskas registreras dock i ett digitalt analys- och enkätverktyg. Varje ärendeakt får ett löpnummer som används när uppgifter ur akten registreras. Den uppgiftssamling som genereras vid en aktgranskning innehåller därmed ett urval av uppgifter från de granskade akterna. Det kan bl.a. röra sig om känsliga personuppgifter. Därutöver registreras uppgifter som inte direkt går att utläsa ur den granskade akten, t.ex. ISF:s bedömningar av olika aspekter på kvaliteten i handläggningen.
Uppgifter som registrerats vid en aktgranskning kan i vissa fall behöva kopplas samman med registeruppgifter. En sådan sammankoppling förutsätter att personnummer eller annan identitetsbeteckning används. En separat nyckel skapas därför i dessa fall mellan ärendeaktens löpnummer och den registrerades personnummer. När aktgranskningen är klar kan nyckeln användas för att inhämta kompletterande uppgifter.
Inspektionen för socialförsäkringen Ds 2023:13
Intervju- och enkätstudier
ISF genomför ofta intervjustudier och ibland även enkätstudier. Intervjuerna genomförs framför allt med tjänstemän hos tillsynsobjekten eller i enstaka fall med allmänheten. En intervjustudie kan ge en djupare bild av exempelvis handläggningsprocesserna hos en myndighet. Utskick av enkäter kan göras till en riktad målgrupp.
ISF gör oftast en ljudinspelning av intervjuer och transkriberar sedan dessa. ISF behandlar inspelningar av intervjuer som personuppgifter trots att det inte alltid går att koppla rösten till en fysisk person. Det förekommer sällan känsliga personuppgifter vid intervju- eller enkätstudier.
3.5.2. Omvärldsbevakning och planering av verksamheten
En viktig del av ISF:s arbete är att bevaka utvecklingen inom socialförsäkringsområdet. Det kan handla om att läsa domar och beslut, nyhetsbrev, artiklar, publicerade rapporter, litteratur och liknande. Det kan också handla om att hämta in styrdokument och liknande handlingar från de myndigheter som granskas och samla sådant material i ett e-bibliotek. ISF får vidare in synpunkter på socialförsäkringen från allmänheten. Genom omvärldsbevakning kan myndigheten identifiera egna förslag till projekt.
Innan ett projekt inleds har ISF behov av att kunna planera verksamheten. Det kan handla om att utvärdera om det finns underlag för en viss undersökning och ta ställning till om det är meningsfullt att inleda en tillsyn eller granskning. Genom kartläggningar av socialförsäkringen kan ISF bl.a göra översikter av hur vissa förmåner används eller hur ersättningsnivåer utvecklats över tid. Syftet med kartläggningar är att bidra till att identifiera områden eller frågor som kan komma att bli föremål för systemtillsyn eller effektivitetsgranskning.
I praktiken är omvärldsbevakning och planering av verksamheten en simultan process. Omvärldsbevakning kan ge upphov till planering och planering kan föranleda omvärldsbevakning. Sådan verksamhet bedrivs inte i projektform.
4. Gällande rätt
4.1. Europakonventionen
Enligt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, nedan Europakonventionen, har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rättighet annat än med stöd av lag och under förutsättning att det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
När det gäller kravet på lagreglering krävs bl.a. att den nationella författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar och de ska vara allmänt tillgängliga. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse som åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.
Europakonventionen gäller som lag i Sverige. Av regeringsformen, förkortad RF, framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen (2 kap. 19 §).
Gällande rätt Ds 2023:13
Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd mot godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17).
4.2. EU:s dataskyddsförordning
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, är direkt tillämplig i alla medlemsstater. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter, och att främja det fria flödet av personuppgifter inom unionen.
Det materiella tillämpningsområdet för EU:s dataskyddsförordning omfattar sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Vissa undantag från tillämpningsområdet görs dock. Exempelvis ska behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten inte omfattas av förordningens bestämmelser (artikel 2.2 a). EU:s dataskyddsförordning gäller inte heller för bl.a. sådan personuppgiftsbehandling som omfattas av tillämpningsområdet för Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet) (artikel 2.2 d).
För att en behandling av personuppgifter ska vara tillåten, krävs att någon av de rättsliga grunder som anges i artikel 6 i EU:s dataskyddsförordning är tillämplig. Av särskilt intresse för myndigheters verksamhet är artikel 6.1 c som gäller när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och artikel 6.1 e som gäller när behand-
Ds 2023:13 Gällande rätt
lingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Av artikel 5 framgår ett antal grundläggande principer som gäller för all behandling av personuppgifter. Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Personuppgifterna ska vara korrekta – alla rimliga åtgärder ska vidtas för att felaktiga uppgifter rättas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandlingen ska ske på ett säkert sätt och inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter, kan dock personuppgifter lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Personuppgifter som samlats in för ett visst ändamål får som huvudregel inte behandlas för något annat ändamål som är oförenligt med det ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering (artiklarna 5.1 b och 6.4).
Artiklarna 5 och 6 är grundläggande och kumulativa. Det innebär att någon av de rättsliga grunderna i artikel 6 måste vara tillämplig, samtidigt som samtliga principer i artikel 5 ska följas.
EU:s dataskyddsförordning både förutsätter och medger nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gäller särskilt sådan behandling som sker inom den offentliga sektorn. Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Bestämmelserna får innehålla specifika krav för behandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling.
Gällande rätt Ds 2023:13
Av artikel 6.3 framgår att den rättsliga grunden, vid behandling enligt artikel 6.1 c och e, ska fastställas i unionsrätten eller i nationell rätt. Syftet med behandlingen ska i sin tur fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i EU:s dataskyddsförordning, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjudna. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Från huvudregeln att dessa särskilda kategorier av personuppgifter inte får behandlas finns flera undantag angivna (artikel 9.2). Sådan behandling är bl.a. tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder måste ske under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs (artikel 10).
EU:s dataskyddsförordning föreskriver ett antal rättigheter för den registrerade och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rätt att få omfattande
Ds 2023:13 Gällande rätt
information från den personuppgiftsansvarige (artiklarna 12–14). Den registrerade kan också begära registerutdrag med information om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få felaktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artikel 16–18). Rätten till radering gäller dock inte för behandling som sker med stöd av grunderna i artikel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning). Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning (artikel 21). En ytterligare rättighet för den registrerade är att slippa bli föremål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22).
Vissa av de rättigheter och skyldigheter som föreskrivs i förordningen får begränsas i nationell rätt. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23.1, t.ex. en medlemsstats viktiga mål av generellt allmänt intresse.
Om EU:s dataskyddsförordning föreskriver att förtydliganden eller begränsningar av dess bestämmelser kan göras i medlemsstaternas nationella rätt kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8). Regeringen har gjort bedömningen att detta innebär att förordningen ger medlemsstaterna möjlighet att i lagar på nationell nivå föreskriva vissa anpassade bestämmelser (prop. 2017/18:105 s. 21–23). Principen om unionsrättens företräde innebär dock att bestämmelser i sådana författningar måste vara förenliga med EU:s dataskyddsförordning.
Gällande rätt Ds 2023:13
4.3. Regeringsformen
I regeringsformens målsättningsstadgande i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och värdighet. Vidare anges i dess fjärde stycke att det allmänna ska bl.a. värna den enskildes privatliv och familjeliv. Grundläggande bestämmelser till skydd för den personliga integriteten som gäller i förhållandet mellan enskilda och staten finns i 2 kap. RF. Av 2 kap. 6 § andra stycket RF följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.
4.4. Dataskyddslagen
Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, innehåller bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Inom ramen för det utrymme som EU:s dataskyddsförordning ger reglerar lagen bl.a. frågor om rättslig grund för behandling av personuppgifter, särskilda kategorier av personuppgifter (som i nationell lagstiftning benämns känsliga personuppgifter), tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är, på samma sätt som den tidigare personuppgiftslagen var, subsidiär i förhållande till annan lag eller förordning. Det gör det möjligt att även fortsättningsvis ha från dataskyddslagen avvikande bestämmelser i sektorsspecifika registerförfattningar.
5. Behovet av reglering
5.1. Behovet av en registerförfattning
Förslag: En lag om behandling av personuppgifter vid Inspek-
tionen för socialförsäkringen ska införas.
Skälen för förslaget
Behovet av en registerförfattning har utretts tidigare
Inspektionen för socialförsäkringen (ISF) inrättades 2009. Redan i samband med detta pekade Utredningen för inrättandet av Inspektionen för socialförsäkringen tillsammans med myndigheten på behovet av en särskild registerförfattning för ISF:s verksamhet (S2009/4622 och S2009/5373).
I januari 2011 presenterade en arbetsgrupp vid Socialdepartementet promemorian Behandling av personuppgifter vid Inspektionen för socialförsäkringen, m.m. (Ds 2011:4). Promemorian remissbehandlades och mottog viss kritik från remissinstanserna. Enligt bl.a. ISF skulle förslagen i promemorian riskera att försämra ISF:s möjligheter att genomföra myndighetens uppdrag. Förslagen i promemorian har inte lagts till grund för lagstiftning.
I augusti 2013 beslutade regeringen att tillsätta en särskild utredare som fick i uppdrag att på nytt analysera behovet av en särskild lagreglering för behandling av personuppgifter för tillsyns- och granskningsverksamheten vid ISF (dir. 2013:83 och 2014:89). I betänkandet Inbyggd integritet inom Inspektionen för socialförsäkringen (SOU 2014:67) föreslogs en ny registerförfattning. Enligt den föreslagna lagen skulle ISF få behandla känsliga personuppgifter under förutsättning att dessa lämnats i ett tillsyns-
Behovet av reglering Ds 2023:13
eller granskningsärende eller annars var nödvändiga för handläggningen av ett sådant ärende. En integritetsskyddsfunktion som skulle ha till uppgift att tekniskt och administrativt skydda enskildas personliga integritet och upprätthålla en lämplig säkerhetsnivå för de personuppgifter som behandlas föreslogs också inrättas vid ISF. Betänkandet remissbehandlades. Flera remissinstanser ansåg att förslagen innebar en rimlig avvägning mellan å ena sidan kravet på en effektiv tillsyns- och granskningsverksamhet hos ISF och å andra sidan enskildas behov av skydd för den personliga integriteten. Integritetsskyddsmyndigheten (dåvarande Datainspektionen) avstyrkte dock förslaget till ny registerlag och ifrågasatte bl.a. lämpligheten i att ISF skulle kunna välja att tillämpa den föreslagna lagen eller lagen (2003:460) om etikprövning av forskning som avser människor vid behandling av känsliga personuppgifter. Datainspektionen ansåg också att de skyddsåtgärder som är av central betydelse för integritetsskyddet måste framgå av lagen för att förslaget skulle uppfylla kraven enligt regeringsformen och att det inte var tillräckligt att reglera ett krav på en integritetsskyddsfunktion. Även Vetenskapsrådet avstyrkte förslaget och ansåg att behovet av skyddsåtgärder inte var tillgodosett med enbart en integritetsskyddsfunktion inom myndigheten. Förslagen i betänkandet har inte lagts till grund för lagstiftning.
Behovet av att behandla personuppgifter
ISF:s systemtillsyn och effektivitetsgranskningar aktualiserar många olika typer av undersökningar. Inom ramen för de olika undersökningarna är det ofta nödvändigt att behandla personuppgifter. För undersökningar av rättstillämpning krävs ofta behandling av uppgifter om enskildas personliga förutsättningar och de omständigheter som är aktuella i olika förmånsärenden. Undersökningar av handläggning förutsätter på motsvarande sätt uppgifter om hanteringen och förutsättningarna i olika individärenden. För att skapa kunskap om samband, exempelvis vilken eller vilka av flera faktorer som är avgörande för handläggningen av en viss fråga, kan det vara nödvändigt att följa tillämpningen av ett visst regelverk på ärendenivå. Personuppgifter är också relevanta vid kontroller av att tillsynsobjektens verksamhetsprocesser fungerar som de ska.
Ds 2023:13 Behovet av reglering
Utvärderingar av åtgärder och insatser inom socialförsäkringsområdet förutsätter information om deltagande och hur individerna påverkats av insatsen.
Demografiska och socioekonomiska uppgifter som beskriver individers egenskaper, t.ex. uppgifter om kön, ålder, födelseland, boende, civilstånd och familj används för att kunna undersöka skillnader mellan olika grupper och vad skillnaderna beror på. Som exempel kan det vid en effektutvärdering av en viss insats vara relevant att undersöka vad som hade hänt om insatsen inte hade införts. Det krävs då förståelse för de mekanismer som styr deltagandet i en insats, t.ex. hur hälsa och sociala omständigheter påverkar sannolikheten att en individ tar del av en insats. Detta är möjligt att undersöka genom att göra jämförelser med grupper med likartade förutsättningar. Det kan då vara relevant att behandla uppgifter om individers hälsa, sysselsättning, inkomster, yrke, bransch och utbildning.
Även effektutvärderingar och andra granskningar på ett mer övergripande plan förutsätter behandling av personuppgifter. För att det t.ex. ska vara möjligt att undersöka om förändringar inom socialförsäkringsområdet fått avsedda effekter eller göra analyser av hur ett förmånssystem fungerar, krävs uppgifter från individärenden. Detsamma gäller om ISF ska analysera hur olika förmånssystem samverkar med varandra på individnivå. Vid utvärderingar av åtgärder och insatser inom socialförsäkringsområdet används uppgifter om vilken insats en individ har deltagit i och hur individen påverkats av insatsen. Det kan också vara relevant att undersöka hur ekonomiska incitament påverkar flödet inom och mellan olika förmånssystem över tid, t.ex. mellan sjukförsäkringen och närliggande system. Att ISF har tillgång till personuppgifter är i många fall en förutsättning för att myndigheten ska kunna identifiera problem och förbättringsområden inom socialförsäkringsområdet och i gränssnitt mot andra områden.
ISF granskar också om regelverk och rättspraxis är tillräckligt vägledande. Det kan handla om att undersöka om lagstiftningen är relevant och anpassad efter samhällsutvecklingen och om tillsynsobjekten har förutsättningar för en korrekt och rättssäker handläggning. För att ISF ska kunna genomföra denna typ av granskningar måste det vara möjligt för myndigheten att söka efter
Behovet av reglering Ds 2023:13
praxis i olika rättsfallsdatabaser och hantera domar och beslut från domstolar och andra myndigheter.
ISF inhämtar personuppgifter från ärendeakter, databaser, register och andra uppgiftssamlingar hos såväl tillsynsobjekten som andra myndigheter och organisationer. Det krävs ofta stora mängder personuppgifter för att det ska vara möjligt att göra statistiskt säkerställda uttalanden. Ibland kan det röra sig om en stor population som exempelvis alla mellan 18–65 år eller alla som har fått en viss förmån och ibland räcker det med uppgifter om mindre kretsar. Vissa uppgifter kan vara sådana särskilda kategorier av (känsliga) personuppgifter som avses i artikel 9 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Det handlar framför allt om uppgifter om hälsa, t.ex. uppgifter om ansökta och beviljade sjukförmåner, diagnos, funktionsnedsättning, sjukdomshistorik och hälsotillstånd i övrigt. Myndigheten har även behov av att behandla andra känsliga personuppgifter, se avsnitt 6.7. Uppgifterna sammanställs, systematiseras och analyseras.
Försäkringskassan, Pensionsmyndigheten och Skatteverket ska på begäran lämna ISF de uppgifter som myndigheten behöver för sin systemtillsyn och effektivitetsgranskning (5 a § förordningen [2003:766] om behandling av personuppgifter inom socialförsäkringens administration och 7 b § förordningen [2001:588] om behandling av uppgifter i Skatteverkets beskattningsverksamhet). Uppgifter från Försäkringskassan, Pensionsmyndigheten och Skatteverket behövs även i stor utsträckning vid tillsyn och granskning av gränsytor och samverkansinsatser. För att kunna granska hur myndigheterna samverkar med varandra eller med andra aktörer med verksamheter som gränsar till socialförsäkringsområdet är det normalt nödvändigt att hämta in uppgifter från båda samverkansparterna.
Andra myndigheter lämnar uppgifter i den mån det kan ske utan hinder av sekretess. Merparten av de uppgifter som används i olika analyser begärs ut från Statistiska Centralbyrån (SCB), Arbetsförmedlingen och Socialstyrelsen men även från Inspektionen för arbetslöshetsförsäkringen (IAF) och Centrala studiestödsnämnden
Ds 2023:13 Behovet av reglering
(CSN). Från SCB hämtar ISF uppgifter om bl.a. yrke, utbildning, bransch och sektor men även bakgrundsvariabler som kön, ålder, födelseland, inkomst och bostadsort samt uppgifter om förmåner och ersättningar. Från Arbetsförmedlingen begärs främst uppgifter om inskrivningsperioder och olika insatser vid granskning av bl.a. rehabiliteringsinsatser och samspelet med arbetslöshetsförsäkringen. Socialstyrelsen kan lämna uppgifter om t.ex. socialtjänstinsatser, insatser enligt lagen om stöd och service till vissa funktionshindrade, vårdbesök, läkemedelsförbrukning och ekonomiskt bistånd. IAF kan tillhandahålla uppgifter om ersättningsperioder och utbetalningar av arbetslöshetsersättning. Från CSN kan ISF få uppgifter om studiehjälp och studiemedel.
Det förekommer också att ISF begär personuppgifter från andra myndigheter och organisationer som exempelvis Domstolsverket, Brottsförebyggande rådet (Brå), Kronofogdemyndigheten, Statens pensionsverk, Kriminalvården, Tandvårds- och läkemedelsförmånsverket (TLV), Skolverket, samordningsförbund, arbetslöshetskassor, Statens institutionsstyrelse och ibland även från privata aktörer.
ISF behöver inte alltid behandla personuppgifter för att utöva tillsyn och utföra granskningar. I dokumentstudier behandlas få personuppgifter och i vissa fall kan det vara tillräckligt att dra slutsatser utifrån statistik. I de flesta sammanhang behövs emellertid personuppgifter för att det ska vara möjligt att kontrollera uppgifterna och trygga relevanta och tillräckligt säkra resultat. Användning av enbart statistikuppgifter från de granskade myndigheterna kan göra granskningarna begränsade och orsaka bristande kvalitet eftersom helt avidentifierade uppgifter riskerar att ge otillräckliga svar på undersökningarnas frågeställningar och leda till att myndigheten missar väsentliga resultat.
I de allra flesta fall behöver de personuppgifter som ISF behandlar inte vara direkt hänförliga till enskilda. I registerstudier används kodade personuppgifter. Ärendeakter innehåller dock uppgifter om bl.a. namn och personnummer och även vid enkäter och intervjuer med enskilda är det oftast nödvändigt att behandla personuppgifter som direkt kan hänföras till den registrerade.
Behovet av reglering Ds 2023:13
En särskild reglering för personuppgiftsbehandling behövs
ISF:s behandling av personuppgifter i tillsyns- och granskningsverksamheten omfattas av bestämmelserna i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen. Detta generella regelverk ger ett visst skydd för de uppgifter som myndigheten behandlar men föreskriver inga anpassade skyddsåtgärder. Den stora mängden integritetskänsliga personuppgifter som ISF behandlar kräver ett mer anpassat skydd med bestämmelser som anger under vilka förutsättningar det är tillåtet att behandla personuppgifter i den aktuella verksamheten. För behandling av känsliga personuppgifter som är nödvändig för att utföra en uppgift av viktigt allmänt intresse kräver EU:s dataskyddsförordning också bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Även vid behandling av personuppgifter för statistik- och forskningsändamål krävs bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 j).
En etikprövning av Etikprövningsmyndigheten är en sådan i nationell rätt fastställd lämplig och särskild åtgärd som krävs enligt artikel 9.2 j i EU:s dataskyddsförordning vid behandling av känsliga personuppgifter för forskningsändamål (prop. 2017/18:298 s. 87 och 88). ISF har därför hittills bedrivit projekt som medför behandling av känsliga personuppgifter som forskningsprojekt. Alla projekt har dock inte tydliga forskningsinslag, t.ex. olika tillsynsprojekt. En registerförfattning med anpassade skyddsåtgärder skulle ge stöd för att bedriva sådana projekt utan ansökan om etikprövning, vilket skulle effektivisera myndighetens arbete och minska processtiden för en granskning. I en registerförfattning är det också möjligt att fastställa en ram för personuppgiftsbehandlingen genom att ange under vilka förutsättningar personuppgifter får behandlas och vilka skyddsåtgärder som ska gälla för personuppgiftsbehandlingen. Skyddsåtgärderna kan gälla oavsett om projektet bedrivs som ett forskningsprojekt eller inte utgör forskning, varvid ett mer förutsägbart och generellt gällande skydd för den personliga integriteten säkerställs.
Ds 2023:13 Behovet av reglering
Försäkringskassan, Pensionsmyndigheten och Skatteverket ska på begäran lämna de uppgifter till ISF som inspektionen behöver för sin systemtillsyn och effektivitetsgranskning. Behandling av personuppgifter hos såväl Försäkringskassan och Pensionsmyndigheten som Skatteverket omfattas av registerförfattningar som beaktar de särskilda behov och risker som finns i de olika myndigheternas verksamheter. Registerförfattningarna bidrar till att myndigheterna kan fullgöra sina uppgifter på ett effektivt och ändamålsenligt sätt samtidigt som de registrerades rättigheter och skyddet för den personliga integriteten säkerställs. Skyddet för personuppgifter bör som utgångspunkt inte vara mindre omfattande vid ISF än vad det är vid de myndigheter som lämnar uppgifter till ISF.
Behovet av skydd för personuppgifter kan bäst tillgodoses genom en särskild reglering för personuppgiftsbehandlingen vid ISF. Genom en sådan reglering är det möjligt att ta hänsyn till de särskilda behov som finns i myndighetens verksamhet samtidigt som ett starkt skydd för enskildas personliga integritet upprätthålls. En reglering skapar också tydlighet och transparens för såväl tillämpare som den registrerade och övrig allmänhet. En särskild författning som reglerar behandlingen av personuppgifter i ISF:s tillsyns- och granskningsverksamhet bör därför införas.
Särskilda bestämmelser är tillåtna enligt EU:s dataskyddsförordning
EU:s dataskyddsförordning är direkt tillämplig men förutsätter och tillåter nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gäller särskilt sådan behandling som sker inom den offentliga sektorn. Enligt artikel 6.2 får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c eller för en uppgift av allmänt intresse eller myndighetsutövning enligt 6.1 e. Detta får ske genom att medlemsstaterna närmare fastställer specifika krav för personuppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. I avsnitt 6.6.1 görs bedömningen att behandling av personuppgifter i ISF:s tillsyns- och
Behovet av reglering Ds 2023:13
granskningsverksamhet sker med stöd av den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Det är därför tillåtet att införa nationella bestämmelser som anpassar tillämpningen av dataskyddsförordningen.
Enligt artikel 6.3 i EU:s dataskyddsförordning ska den rättsliga grunden fastställas i unionsrätten eller i nationell rätt vid behandling enligt artikel 6.1 c eller e. Den rättsliga grunden kan innehålla särskilda bestämmelser avseende bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. I enlighet med skäl 8 i EU:s dataskyddsförordning kan medlemsstaterna dessutom under vissa förutsättningar, och i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella reglerna begripliga, införliva delar av förordningen i nationell rätt. Vissa rättigheter och skyldigheter enligt dataskyddsförordningen får enligt artikel 23 begränsas i den nationella rätten under förutsättning att det sker med respekt för de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle.
Dataskyddslagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Inom ramen för förordningens tillämpningsområde reglerar dataskyddslagen frågor om bl.a. rättslig grund för behandling av personuppgifter, behandling av känsliga personuppgifter, tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket gör det möjligt att ha avvikande bestämmelser i sektorsspecifika registerförfattningar.
Regleringen bör ske i lag
Som beskrivs i avsnitt 4.3 finns det i regeringsformen, förkortad RF, grundläggande bestämmelser till skydd för den personliga integriteten. Var och en är gentemot det allmänna skyddad mot
Ds 2023:13 Behovet av reglering
betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket RF). Begreppet enskildas personliga förhållanden har samma innebörd som i sekretesslagstiftningen och avser alltså bl.a. namn och andra identifikationsuppgifter, adress, familjeförhållanden, hälsa, fotografisk bild, uppgift om anställning och en persons ekonomi (prop. 2009/10:80 s. 177).
Vid bedömningen av om en åtgärd innebär kartläggning ska åtgärdens effekter snarare än det huvudsakliga syftet med åtgärden beaktas (prop. 2009/10:80 s. 180–182). Som framgår av avsnitt 3.5 behandlar ISF stora mängder uppgifter som rör enskildas personliga förhållanden inom sin tillsyns- och granskningsverksamhet. Uppgifterna kan avse enskilda i livets alla faser och röra både privatliv och arbetsliv. Det handlar om allt från olika demografiska och socioekonomiska uppgifter om ålder, kön, boende, civilstånd, yrke och utbildning till uppgifter om sysselsättning, löneinkomster, behov av ekonomiskt stöd och känsliga personuppgifter. Uppgifterna hämtas från flera olika myndigheter och organisationer och behandlingen berör både en stor del av Sveriges befolkning och människor i andra länder. Syftet är att skapa en bred bild av individerna för analysändamål. I dessa fall får behandlingen av personuppgifter anses innebära en kartläggning av enskildas personliga förhållanden enligt regeringsformen.
Vad som utgör ett betydande intrång avgörs utifrån bl.a. uppgifternas karaktär och omfattning samt ändamålet med behandlingen (prop. 2009/10:80 s. 183 och 184). Även om ISF:s verksamhet har ett kvalitetsfokus och myndigheten inte fattar beslut som får konsekvenser för enskilda, bör myndighetens personuppgiftsbehandling mot bakgrund av uppgifternas omfattning och dess integritetskänsliga karaktär till övervägande del anses kunna utgöra ett betydande intrång i den mening som avses i regeringsformen. Personuppgiftsbehandlingen bedöms därmed utgöra ett sådant betydande integritetsintrång som avses i 2 kap. 6 § andra stycket RF. Behandlingen sker i de flesta fall utan samtycke från den enskilde.
Skyddet för den personliga integriteten är inte absolut och kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning måste enligt 2 kap. 20 §
Behovet av reglering Ds 2023:13
RF göras genom lag. Integritetsskyddskommittén, som lämnade förslaget till grundlagsbestämmelsen i 2 kap. 6 § andra stycket RF, konstaterade att de från integritetsskyddssynpunkt viktigaste momenten i hanteringen handlar om hur uppgifter om enskilda får samlas in, ändamålet med behandlingen och i vilken utsträckning uppgifter på grund av uppgiftsskyldighet, som alltså bryter sekretess som gäller för uppgifterna, ska lämnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skäl (SOU 2008:3 s. 272). Sådana bestämmelser bör därmed meddelas i lag. Riksdagen och regeringen har tidigare också uttalat att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (prop. 1990/91:60 s. 58, bet. 1990/91:KU11 s. 11). Uttalandena har med åren kommit att tillämpas på såväl regleringen av regelrätta register som myndigheters behandling av personuppgifter i stort (prop. 1997/98:44 s. 41, bet. 1997/98:KU18 s. 43, prop. 1999/2000:39 s. 78 och prop. 2009/10:80 s. 183).
En särskild lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
Det finns ett behov av att särskilt reglera behandlingen av personuppgifter vid ISF. Regleringen bör fastställa en ram för personuppgiftsbehandlingen och innehålla anpassade skyddsåtgärder som ger ISF möjlighet att behandla känsliga personuppgifter i sin tillsyns- och granskningsverksamhet. Samtidigt ska regleringen säkerställa ett tillfredsställande skydd för den personliga integriteten. Regleringen bör ske i lag.
På socialförsäkringsområdet samlas gällande lagstiftning i socialförsäkringsbalken, förkortad SFB. I socialförsäkringsbalken finns bl.a. regleringen av Försäkringskassans och Pensionsmyndighetens behandling av personuppgifter. Om även bestämmelser om ISF:s behandling av personuppgifter fördes in i socialförsäkringsbalken skulle det ge en bra överblick över hanteringen av de personuppgifter som lämnas inom socialförsäkringsområdet. ISF granskar dock även andra myndigheter, bl.a. Skatteverket och Arbetsförmedlingen, vars personuppgiftsbehandling regleras i andra lagar. ISF är inte heller en del av socialförsäkringens administration (jfr 2 kap. 2 § SFB). Med hänsyn till detta och för att markera att ISF
Ds 2023:13 Behovet av reglering
är en fristående myndighet och inte en del av de verksamheter som myndigheten granskar, bör regleringen inte ingå i socialförsäkringsbalken utan införas i en särskild lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen.
6. En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
6.1. Lagens tillämpningsområde
Förslag: Lagen ska gälla vid behandling av personuppgifter i
verksamhet vid Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.
Lagen ska gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Skälen för förslaget
Lagen bör gälla i tillsyns- och granskningsverksamheten
Inspektionen för socialförsäkringens (ISF) ska enligt förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen, här benämnd instruktionen, genom systemtillsyn och effektivitetsgranskning värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet. Myndighetens uppgifter framgår av 1–4 §§ instruktionen och beskrivs i avsnitt 3. Den nya lagens tillämpningsområde bör omfatta personuppgiftsbehandling som utförs med anledning av dessa uppgifter. Lagen bör därmed vara tillämplig vid behandling av personuppgifter i verksamhet vid ISF som avser systemtillsyn och effektivitetsgranskning.
ISF behandlar också personuppgifter med anledning av myndighetsintern administration. Det handlar bl.a. om personal- och lokalfrågor, ekonomiadministration och hantering av inkomna skrivelser
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
från enskilda som inte rör tillsyns- och granskningsverksamheten. Behandling av personuppgifter i den administrativa verksamheten har inte någon närmare koppling till fullgörandet av de uppgifter som myndigheten ska utföra enligt sin instruktion. Inte heller skiljer den sig nämnvärt från den behandling som utförs av andra myndigheter eller enskilda företag. ISF:s behandling av personuppgifter inom den administrativa verksamheten bör därför inte omfattas av lagen. I stället bör den allmänna dataskyddsregleringen även fortsättningsvis tillämpas inom den verksamheten.
Lagen bör gälla automatiserad behandling och behandling i register
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Med register avses en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6). Tillämpningsområdet för den föreslagna lagen bör följa tillämpningsområdet för EU:s dataskyddsförordning och bör därför omfatta samma slags behandlingar.
I registerförfattningar har ofta uttrycket ”en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier” använts för att beteckna register. I registerförfattningar från senare år används dock uttrycket register utan att det definieras i lagen, se t.ex. vägtrafikdatalagen (2019:369), lagen (2019:663) om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter. Även i den föreslagna lagen bör därför uttrycket register användas. Uttrycket bör ha samma definition som i EU:s dataskyddsförordning och behöver inte definieras i lagen. Lagen bör
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
därmed gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Helt manuell behandling av personuppgifter som inte ingår eller kommer att ingå i ett register faller utanför den föreslagna lagens tillämpningsområde. Lagen kommer därmed inte att gälla vid t.ex. helt manuell granskning av ärendeakter. Däremot kommer en delvis automatiserad granskning av ärendeakter, när ISF registrerar löpnummer och ett urval av uppgifter från ärendeakterna i ett digitalt verktyg, att omfattas av lagens tillämpningsområde.
6.2. Förhållandet till annan dataskyddsreglering
Förslag: Lagen ska innehålla en upplysning om att den
kompletterar EU:s dataskyddsförordning.
I lagen ska också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen.
Skälen för förslaget: EU:s dataskyddsförordning är direkt tillämplig
i varje medlemsstat och har företräde framför nationell lagstiftning. Principen om unionsrättens företräde innebär att en bestämmelse i en registerförfattning får tillämpas endast om den är förenlig med EU:s dataskyddsförordning och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt (prop. 2017/18:105 s. 27). För att det ska bli tydligt för tillämparen hur de olika regleringarna förhåller sig till varandra, bör en bestämmelse med upplysning om att den föreslagna lagen kompletterar EU:s dataskyddsförordning tas in i lagen.
Hänvisningar till EU:s dataskyddsförordning i den föreslagna lagen bör vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i EU:s dataskyddsförordning får omedelbart genomslag.
Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, kompletterar EU:s dataskyddsförordning på en generell nivå. Dataskyddslagen är subsidiär och gäller om inget annat följer av en annan lag eller förordning (1 kap. 6 §). Registerförfattningar innehåller ofta en
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
upplysning om att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av den aktuella lagen (jfr prop. 2017/18:171 s. 73). Även denna lag bör av tydlighetsskäl innehålla en sådan upplysning.
Det lämnas inga förslag till bestämmelser med bemyndiganden om att meddela föreskrifter. Regeringen har dock möjlighet att, utan bemyndigande från riksdagen, meddela verkställighetsföreskrifter och föreskrifter som inte enligt grundlag ska meddelas av riksdagen (8 kap. 7 § regeringsformen, förkortad RF). Det kan alltså tillkomma föreskrifter i anslutning till den föreslagna lagen, även om lagen saknar särskilda bemyndiganden. Även sådana föreskrifter bör ha företräde framför dataskyddslagen och föreskrifter som har meddelats i anslutning till den, vilket bör framgå uttryckligen av den nya lagen.
6.3. Uppgifter om avlidna personer
Förslag: Vid behandling av uppgifter om avlidna personer ska
lagen och föreskrifter som har meddelats i anslutning till lagen, EU:s dataskyddsförordning, dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla i tillämpliga delar.
Skälen för förslaget: När uppgifter inhämtas från bl.a.
Försäkringskassan, Pensionsmyndigheten och Skatteverket i syfte att utgöra underlag vid tillsyn och granskningar, kan uppgifterna i viss utsträckning avse avlidna personer. Sådana uppgifter omfattas ofta av dataskyddsbestämmelser hos den utlämnande myndigheten. Flertalet bestämmelser i 114 kap. socialförsäkringsbalken, förkortad SFB, som reglerar behandling av personuppgifter i Försäkringskassans och Pensionsmyndighetens verksamheter, ska i tillämpliga delar gälla även uppgifter om avlidna personer (114 kap. 2 § tredje stycket SFB). Bestämmelserna i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet gäller också till stor del för uppgifter om avlidna personer (1 kap. 1 § andra stycket i båda lagarna). För att ett
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
utlämnande av uppgifter till ISF inte ska medföra ett försämrat skydd för uppgifterna, är det lämpligt att uppgifter om avlidna personer omfattas av dataskyddsbestämmelser även inom ISF:s tillsyns- och granskningsverksamhet. Eftersom ISF till övervägande del hanterar uppgifter som inte direkt kan hänföras till den registrerade, saknar myndigheten dessutom oftast möjlighet att särskilja sådana uppgifter som avser avlidna personer från övriga uppgifter. Den föreslagna lagen och eventuella föreskrifter som meddelats i anslutning till lagen bör därför gälla för samtliga individrelaterade uppgifter, inklusive uppgifter om avlidna personer.
För att få en enhetlig och heltäckande reglering bör även EU:s dataskyddsförordning, dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen gälla för uppgifter om avlidna. EU:s dataskyddsförordning är inte tillämplig på uppgifter om avlidna personer (skäl 27) och medlemsstaterna får alltså själva bestämma vad som ska gälla för sådana uppgifter, t.ex. att behandlingen ska omfattas av samma krav som gäller för personuppgifter enligt förordningen.
Regleringen bör endast gälla i tillämpliga delar för uppgifter om avlidna. Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt är inte tillämpliga på avlidna personer. Någon möjlighet för efterlevande eller andra att överta rättigheter som tillkom den avlidne när denne var i livet finns inte heller (jfr prop. 2019/20:106 s. 32). Det innebär exempelvis att bestämmelser om rätten till information, rätten till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till avlidna. Däremot gäller bl.a. ändamålsbestämmelser, krav för behandling av känsliga personuppgifter och de principer som följer av artikel 5 i EU:s dataskyddsförordning. Det bör inte krävas något ytterligare förtydligande av vilka bestämmelser som ska gälla för uppgifter om avlidna personer. Den lagtekniska lösningen är i linje med den som används i t.ex. lagen om Rättsmedicinalverkets behandling av personuppgifter och patientdatalagen (2008:355) där tillämpningsområdet utsträckts till att även omfatta personer som inte längre är i livet.
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
6.4. Begränsning av rätten att göra invändningar
Förslag: Rätten att göra invändningar enligt artikel 21.1 i EU:s
dataskyddsförordning ska inte gälla vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar ska dock gälla när personuppgifterna samlas in direkt från den enskilde.
Skälen för förslaget
Rätten att göra invändningar bör begränsas
Den registrerade har enligt EU:s dataskyddsförordning rätt att göra invändningar mot sådan behandling av personuppgifter avseende honom eller henne som grundar sig på att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 21.1). Rätten att invända mot behandlingen av personuppgifter är begränsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall har den registrerade bara rätt att göra invändningar om behandlingen inte är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). All forskning som ISF utför bedöms vara en uppgift av allmänt intresse (se avsnitt 6.7). Den registrerade har således inte rätt att göra invändningar beträffande sådan behandling av personuppgifter som föranleds av ISF:s forskning.
När den registrerade invänder mot behandling av personuppgifter måste den personuppgiftsansvarige kunna visa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen (artikel 21.1). Om det saknas berättigade skäl för behandlingen som väger tyngre, har den registrerade rätt att få personuppgifterna raderade (artikel 17.1 c).
De personuppgifter som ISF behandlar saknar ofta koppling till personnummer eller annan liknande identitetsbeteckning. När ISF inhämtar personuppgifter från andra myndigheter, kodar den utlämnande myndigheten i de flesta fall uppgifterna genom att
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
ersätta direkta personuppgifter med ett löpnummer. När så sker behåller den utlämnande myndigheten vanligtvis också kodnyckeln. För att hantera en invändning beträffande sådana uppgifter skulle ISF i praktiken vara tvungen att försöka härleda uppgifter som är kopplade till löpnummer till en enskild person. En sådan ordning skulle i sig kunna innebära en integritetskränkning och är i de flesta fall inte heller möjlig. Det finns inte heller någon skyldighet enligt EU:s dataskyddsförordning att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade i syfte att hantera en invändning (artikel 11).
Det förekommer att ISF har behov av uppgifter som kan hänföras till ett personnummer eller liknande identitetsbeteckning. Så är fallet när myndigheten hämtar in uppgifter från flera olika objekt och själv ombesörjer samkörningar. Även vid bl.a. aktstudier behandlas personuppgifter som direkt kan hänföras till den registrerade. Det är av stor betydelse att personuppgifter får behandlas i ISF:s verksamhet oberoende av den registrerades inställning. Underlag vid olika undersökningar bör väljas ut baserat på statistiska urvalsmetoder utan att invändningar från registrerade påverkar urvalet. ISF:s berättigade skäl att behandla personuppgifter för att kunna utföra sitt uppdrag väger således i regel tyngre än den registrerades intressen. Det kan under sådana omständigheter, i likhet med vad regeringen har konstaterat i fråga om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, inte anses motiverat att ISF i varje enskilt fall ska behöva påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen innan myndigheten kan fortsätta behandla personuppgifterna (prop. 2018/19:151 s. 17, prop. 2011/12:176 s. 22 och 23 och prop. 2017/18:112 s. 51 och 52).
Det är möjligt att i nationell rätt begränsa rätten att göra invändningar om begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa uppräknade intressen (artikel 23.1 i EU:s dataskyddsförordning). Dessa intressen innefattar bl.a. viktiga mål av generellt allmänt intresse, däribland folkhälsa och social trygghet (punkt e). ISF:s tillsyns- och granskningsverksamhet syftar till att värna rättssäkerheten och effektiviteten inom socialförsäkrings-
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
området, som är en del av det sociala trygghetssystemet. Regeringen har ansett att bedrivande av verksamhet inom bl.a. socialförsäkring och pensioner, inklusive den administration dessa verksamheter kräver, är ett sådant allmänt intresse som avses i artikel 23.1 e i EU:s dataskyddsförordning (prop. 2017/18:171 s. 189). Eftersom ISF:s verksamhet avser att säkerställa att socialförsäkringen fungerar på det sätt som är tänkt, får även myndighetens tillsyn och granskningar anses utgöra ett sådant allmänt intresse (jfr avsnitt 6.6.1). Som konstateras ovan väger ISF:s intresse av att behandla personuppgifter för att kunna utföra sitt uppdrag i regel tyngre än den registrerades intressen. ISF saknar också i de flesta fall möjlighet att tillgodose en invändning som avser personuppgifter som inte direkt kan hänföras till en registrerad. En begränsning av rätten att göra invändningar får därmed anses både nödvändig och proportionerlig i enlighet med artikel 23.1 e i EU:s dataskyddsförordning.
Vid en eventuell begränsning enligt artikel 23.1 ska det, när så är relevant, finnas vissa specifika bestämmelser avseende bl.a. ändamålen med behandlingen eller kategorierna av behandling och lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling (artikel 23.2 i EU:s dataskyddsförordning). Förslaget till ny lag omfattar bestämmelser om bl.a. ändamål med behandlingen och ett flertal olika skyddsåtgärder. Denna reglering anger en förhållandevis snäv ram för personuppgiftsbehandlingen och minimerar risken för kränkning av den registrerades rättigheter och friheter. Den får därmed anses uppfylla de krav som uppställs i artikel 23.2 i EU:s dataskyddsförordning.
Rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning bör sammanfattningsvis som huvudregel inte gälla vid sådan behandling av personuppgifter som är tillåten enligt den föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar bör inte begränsas när personuppgifter samlas in direkt från den enskilde
Vid behandling av personuppgifter som samlats in direkt från den enskilde, t.ex. genom enkät- eller intervjuförfaranden, väger skälen
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
för ett undantag från rätten att göra invändningar inte lika tungt som när uppgifterna har samlats in från någon annan. En enskild som väljer att delta i en studie och lämna sina uppgifter till myndigheten bör så långt som möjligt ges inflytande över uppgifterna. Sådana personuppgifter som samlas in från den enskilde själv är dessutom ofta direkt hänförliga till den registrerade. Det innebär att det i större utsträckning är praktiskt möjligt att tillgodose rätten att göra invändningar. Direkt hänförliga personuppgifter bör i den mån det är möjligt också omfattas av ett starkare skydd än andra uppgifter.
I avsnitt 6.13 föreslås att personuppgifter som samlas in direkt från den enskilde endast ska få behandlas om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen. Ett medgivande ska kunna återkallas, varvid den behandling som omfattas av det återkallade medgivandet ska upphöra. Samma skäl som gör sig gällande vid den bedömningen är relevanta här.
Rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning bör därför inte begränsas när det gäller sådana personuppgifter som samlas in direkt från den enskilde.
6.5. Personuppgiftsansvar
Förslag: Inspektionen för socialförsäkringen ska vara person-
uppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.
Skälen för förslaget: Uttrycket personuppgiftsansvarig är centralt
inom all dataskyddsreglering. Skyldigheten att se till att behandling av personuppgifter sker i enlighet med gällande bestämmelser åvilar den som är personuppgiftsansvarig och enskilda ska alltid kunna vända sig till den personuppgiftsansvarige för att göra sina rättigheter gällande. Den personuppgiftsansvarige ska exempelvis ansvara för och kunna visa att de grundläggande principerna i artikel 5.1 i EU:s dataskyddsförordning efterlevs (artikel 5.2). Därutöver ska den personuppgiftsansvarige bl.a. genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning (artikel 24.1) och för att säkerställa en lämplig säkerhetsnivå (artikel 32.1).
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
Av definitionen i artikel 4.7 i EU:s dataskyddsförordning framgår att med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen eller medlen för behandlingen bestäms i unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Det är alltså tillåtet att i nationell rätt ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter.
Registerförfattningar innehåller regelmässigt en reglering av vem som är personuppgiftsansvarig. När ISF behandlar personuppgifter inom ramen för sin tillsyns- och granskningsverksamhet, finns det oftast inga oklarheter i fråga om personuppgiftsansvaret. En bestämmelse om personuppgiftsansvar bidrar dock till tydlighet för både myndigheten och de registrerade. Det bör därför framgå av den nya lagen att ISF är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför inom lagens tillämpningsområde.
6.6. Ändamål för behandling av personuppgifter
6.6.1. Rättslig grund för behandlingen av personuppgifter
Bedömning: Den behandling av personuppgifter som
Inspektionen för socialförsäkringen behöver utföra med anledning av sitt uppdrag är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning.
Skälen för bedömningen: All behandling av personuppgifter måste
ha stöd i någon av de rättsliga grunder som anges i artikel 6.1 a–f i EU:s dataskyddsförordning. De rättsliga grunderna är i viss mån överlappande och flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling (prop. 2017/18:105 s. 46). Alla uppgifter som riksdagen eller regeringen har gett i uppdrag åt statliga myndigheter att utföra och sådan verksamhet som myndigheterna
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
bedriver inom ramen för sin befogenhet är i normalfallet sådana uppgifter av allmänt intresse som avses i artikel 6.1 e (prop. 2017/18:105 s. 56 och 57). De uppgifter som ISF utför till följd av uppgifter i myndighetens instruktion, regleringsbrev, specifika regeringsuppdrag och myndighetsförordningen (2007:515) är således generellt uppgifter av allmänt intresse.
Personuppgifter får också behandlas om det i enlighet med den rättsliga grunden i artikel 6.1 c i EU:s dataskyddsförordning är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Det kan handla om bl.a. en rättsligt reglerad skyldighet att lämna uppgifter eller att utföra uppdrag enligt myndighetens instruktion. I normalfallet torde dock myndigheters uppgifter och uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e i EU:s dataskyddsförordning, dvs. på grundval av att uppgiften eller uppdraget avser en uppgift av allmänt intresse (prop. 2017/18:105 s. 53 och 54).
En behandling enligt artikel 6.1 c eller e är bara tillåten om den också är nödvändig. Att behandlingen ska vara nödvändig innebär inte att det ska vara omöjligt att uppnå syftet med behandlingen utan att personuppgifter behandlas. Vanligtvis anses det nödvändigt att behandla personuppgifter elektroniskt eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (prop. 2017/18:105 s. 46 och 47 och EUdomstolens dom i målet Huber mot Tyskland C-524/06, EU:C:2008:724). Kravet på nödvändighet innebär dock att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (prop. 2017/18:232 s. 117). En bedömning av om nödvändighetskravet är uppfyllt måste göras inför varje behandling.
De grunder för behandlingen som avses i artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket i EU:s dataskyddsförordning). Med detta avses, enligt skäl 41 i EU:s dataskyddsförordning, inte att den rättsliga grunden nödvändigtvis måste fastställas i lag. Däremot måste grunden vara fastställd i laga ordning på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). I 2 kap. 2 § 1 dataskyddslagen finns en upplysningsbestämmelse som anger att personuppgifter får
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Av skäl 41 i EU:s dataskyddsförordning framgår vidare att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall utifrån behandlingens och verksamhetens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart (prop. 2017/18:105 s. 51).
ISF:s uppgifter regleras i instruktionen. Uppgifterna är således fastställda i förordning. För de särskilda uppdrag som regeringen ger myndigheten anges det dessutom mer specifikt i regleringsbrev eller separata regeringsbeslut vad en granskning ska omfatta. Myndighetens verksamhet omfattas också av allmän förvaltningsrättslig reglering, som förvaltningslagen (2017:900) och myndighetsförordningen. Den nu föreslagna lagen kommer dessutom att närmare fastställa den rättsliga grunden i den nationella rätten, bl.a. när det gäller de allmänna villkoren för behandling av personuppgifter, för vilka ändamål personuppgifter får behandlas och åtgärder för att tillförsäkra en laglig och rättvis behandling. Kravet på att grunden för de behandlingar som myndigheten behöver utföra ska vara rättsligt fastställd i enlighet med artikel 6.3 i EU:s dataskyddsförordning får därmed anses uppfyllas genom befintlig reglering och den lag som nu föreslås.
När ändamål anges i en registerförfattning måste syftet framgå redan av den rättsliga grunden när den handlar om rättsliga förpliktelser eller vara nödvändigt för att myndigheten ska kunna utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (jfr. artikel 6.3 andra stycket). De ändamål som anges i den föreslagna lagen måste alltså vara nödvändiga för att ISF ska kunna utföra sitt uppdrag. Detta krav får anses uppfyllt så länge ändamålen knyts till ISF:s uppgifter enligt instruktionen och det inte finns
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
någon diskrepans mellan ändamålen och de uppgifter som myndigheten förväntas utföra.
Slutligen ska den rättsliga grunden också uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Uppgifter av allmänt intresse som har fastställts i enlighet med svensk rätt uppfyller genomgående dessa krav (prop. 2017/18:105 s. 50). Kravet på proportionalitet kan också tillgodoses genom särskilt reglerade skyddsåtgärder (jfr avsnitt 7).
6.6.2. Primära ändamål
Förslag: Inspektionen för socialförsäkringen ska få behandla
personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet.
Lagen ska innehålla en upplysning om att ISF inom ramen för undersökningarna får behandla personuppgifter för att framställa statistik eller utföra forskning.
Skälen för förslaget
Ett fastställt ändamål är en grundläggande förutsättning för behandlingen
Ett fastställt ändamål är enligt EU:s dataskyddsförordning en grundläggande förutsättning för att personuppgifter ska få samlas in och i övrigt behandlas. Personuppgifter ska enligt artikel 5.1 b i EU:s dataskyddsförordning samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Denna princip kallas för principen om ändamålsbegränsning. Möjligheten att senare behandla personuppgifterna för andra ändamål är begränsad. Den registrerade skyddas därigenom mot oväntad och integritetskränkande behandling av de personuppgifter som har samlats in. I skäl 39 i EU:s dataskyddsförordning klargörs det att de specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Utifrån det fastställda ändamålet avgörs vilka personuppgifter som
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
får behandlas (artikel 5.1 c) och den registrerade har rätt att få information om ändamålet för behandlingen av personuppgifterna (artikel 13–15). Även lämplig säkerhetsnivå bestäms utifrån bl.a. behandlingens ändamål (artikel 32). Ändamålet fastställs av den personuppgiftsansvarige, i EU-rätt eller i nationell rätt (artiklarna 4.7, 6.2 och 6.3). Lagstiftning som begränsar tillämpningsområdet för de rättigheter och skyldigheter som följer av EU:s dataskyddsförordning, däribland rätten att invända mot behandling, ska innehålla specifika ändamålsbestämmelser när så är relevant (artikel 23.2 a).
Primära ändamål är sådana ändamål som avser myndigheters interna verksamhet. I registerförfattningar förekommer primära ändamål med varierande detaljeringsgrad. I vissa registerförfattningar är ändamålen utförligt uppräknade, t.ex. studiestödsdatalagen (2009:287), utlänningsdatalagen (2016:27) och kustbevakningsdatalagen (2019:429). I andra registerförfattningar är ändamålen brett formulerade och snarast knutna till myndighetens generella uppdrag och tillämpningsområdet för registerförfattningen, t.ex. lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, kriminalvårdsdatalagen (2018:1235) och lagen om Rättsmedicinalverkets behandling av personuppgifter. För att leva upp till kravet på särskilda, uttryckligt angivna och berättigade ändamål i EU:s dataskyddsförordning behöver myndigheten då normalt också formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet (prop. 2019/20:106 s. 39).
Undersökningar av förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet
ISF utövar systemtillsyn och utför effektivitetsgranskningar genom att undersöka olika förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet. I 7 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, anges att statistiksekretess gäller hos ISF när myndigheten genomför undersökningar av rättstillämpning, handläggning och administration inom socialförsäkringsområdet och inom verksamheter med direkt anknytning till socialförsäkringen, samt under-
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
sökningar om effekter av förändringar inom socialförsäkringsområdet och om utnyttjandet av socialförsäkringen. Det finns ingen definition av vad som utgör en undersökning enligt offentlighets- och sekretessförordningen. I Svenska Akademiens ordlista förklaras ordet undersöka som att noggrant studera eller utforska. Enligt Svensk ordbok betyder ordet undersökning noggrant studium av något. I normalt språkbruk kan en undersökning anses vara en aktivitet eller en process i syfte att erhålla kunskap. Bestämmelsen i 7 § OSF bör kunna ses som en konkretisering av myndighetens uppgifter enligt instruktionen. Uttrycket undersökning bör därmed användas för att beskriva myndighetens arbetsmetodik inom tillsyns- och granskningsverksamheten.
Undersökningarna medför behov av att samla in, systematisera, bearbeta och analysera stora mängder personuppgifter. Bedömningen av vilket urval av uppgifter som är nödvändigt att behandla görs mot bakgrund av ändamålet för den aktuella undersökningen. Det är således undersökningarna som är centrala för behandlingen av personuppgifter. Varje undersökning bör normalt ses som en behandling av personuppgifter, vilket innebär att ISF måste formulera preciserade ändamål för varje undersökning för att leva upp till kravet på särskilda, uttryckligt angivna och berättigade ändamål i artikel 5.1 b i EU:s dataskyddsförordning. Detta ska dokumenteras på ett sådant sätt att ISF kan visa att principen om ändamålsbegränsning efterlevs (artikel 5.2 i EU:s dataskyddsförordning). I dag sker dokumentationen, förutom i ett särskilt register för behandlingar (artikel 30 i EU:s dataskyddsförordning) genom de projektplaner, projektbeslut och beställningar av data som myndigheten tar fram för att genomföra regeringsuppdrag och egeninitierade uppdrag. Det är inte möjligt att i lag fastställa alla de olika ändamål som kan aktualiseras.
ISF utför i dagsläget sina granskningar i projektform och i den nya lagen föreslås att personuppgifter ska behandlas i projekt (avsnitt 6.11). Ett projekt kan omfatta flera olika undersökningar. Om syftet med ett projekt är att bedöma effekterna av en viss lagändring inom en socialförsäkringsförmån, skulle det inom ramen för det projektet exempelvis kunna utföras tre olika undersökningar. En undersökning skulle kunna vara en kartläggning av rättspraxis på området, en annan undersökning skulle kunna vara en aktstudie för att undersöka vilken vikt som har lagts vid det ändrade lagrekvisitet
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
i handläggningen medan en tredje undersökning skulle kunna vara en registerstudie för att undersöka förändringar över tid inom den aktuella socialförsäkringsförmånen. Eftersom en enskild undersökning kan vara en del av ett projekt, är det nödvändigt att bedöma behovet av undersökningen utifrån ett helhetsperspektiv. För att det ska vara möjligt att förstå ändamålet med den enskilda undersökningen och kunna bedöma behovet av behandlingen, föreslås i avsnitt 6.12 att ISF ska besluta om syftet med hela projektet innan projektet inleds. Ändamålet för den enskilda undersökningen ska kunna knytas till det övergripande syftet med det projekt inom vilket undersökningen görs. Eftersom ISF:s systemtillsyn och effektivitetsgranskningar täcker hela socialförsäkringsområdet och även verksamheter som gränsar till socialförsäkringsområdet och därför kan ha många olika inriktningar, är det inte heller möjligt att precisera olika syften för projekt i lag.
Utredningen om personuppgiftsbehandlingen vid ISF har tidigare lämnat förslag till en lag om behandling av personuppgifter vid ISF med en ändamålsbestämmelse som utformats mot bakgrund av hur myndighetens uppgifter anges i instruktionen samt konkretiseringen av uppgifterna i 7 § OSF (SOU 2014:67 s. 99–103). Personuppgifter får enligt det förslaget behandlas om det behövs för att fullgöra inspektionens uppdrag att vid sin systemtillsyn eller effektivitetsgranskning genomföra undersökningar av rättstillämpning, handläggning och administration inom socialförsäkringsområdet och inom verksamheter med direkt anknytning till socialförsäkringen, effekter av förändringar inom socialförsäkringsområdet, och nyttjandet av socialförsäkringen och av system som gränsar till socialförsäkringen. Som konstaterats består ett projekt dock ofta av flera olika typer av undersökningar. Teoretiskt sett skulle därmed samtliga ändamål kunna aktualiseras inom ramen för samma projekt. Ändamålen beskriver dessutom snarare vad som undersöks, t.ex. rättstillämpningen eller handläggningen, än syftet med behandlingen, dvs. varför ISF gör undersökningen. Det blir då svårare att knyta ihop de olika behandlingarna till ett gemensamt syfte och skapa en projektstruktur där det blir tydligt och transparent varför ISF samlar in och behandlar personuppgifter.
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
En annan teknik för att ange ändamål kan vara att ange olika delmoment i verksamheten som olika ändamål, t.ex. insamling, utvärdering respektive analys av personuppgifter. Även om de olika delmomenten i sig medför behandling av personuppgifter, är det inte möjligt att utifrån sådana ändamål ta ställning till nödvändighetsrekvisitet. Personuppgifterna samlas inte in för att samlas in, de samlas in för att användas som underlag i en viss undersökning. Ytterligare en teknik kan vara att ange olika typer av undersökningar, t.ex. dokumentstudier, rättsutredningar, registerstudier, aktstudier och intervju- och enkätstudier. Inte heller utifrån sådana ändamål är det dock möjligt att avgöra varför personuppgifter behöver behandlas och om behandlingen är nödvändig med hänsyn till ändamålet.
Det är viktigt att ISF kan utföra den tillsyn och de granskningar som följer av myndighetens uppdrag. En registerlag ska inte inskränka myndighetens möjligheter att utföra sitt uppdrag utan syftar till att skapa väl avvägda möjligheter att utföra uppdraget med beaktande av behovet av skydd för den personliga integriteten. De ändamål som anges i lagen bör därför spegla myndighetens behov av behandling av personuppgifter. ISF har ett brett uppdrag att utöva systemtillsyn och utföra effektivitetsgranskningar inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet. Trots bredden handlar uppdraget alltid om att analysera förhållanden som anknyter till administrationen och tillämpningen av socialförsäkringen. Ändamålet bör därför uttrycka behovet av att behandla personuppgifter för att utföra undersökningar av förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet. Ändamålet får på så sätt en rambetonad karaktär och föreslås därför kompletteras av ett krav på att ISF som huvudregel ska behandla personuppgifter i projekt, för vilka det ska beslutas om särskilda syften (avsnitt 6.11 och 6.12). Därutöver gäller kravet enligt EU:s dataskyddsförordning på att fastställa ändamål för varje enskild behandling. I och med det skapas flera nivåer av ändamål som i sista hand måste kunna motiveras utifrån myndighetens uppdrag.
Sammanfattningsvis bör ISF få behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet.
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
Statistik och forskning
I 3 a § instruktionen (som träder i kraft den 1 juni 2023, SFS 2023:170) anges att ISF, i de fall det är nödvändigt, får bedriva den forskning som behövs för att myndigheten ska kunna fullgöra sina uppgifter enligt 1–3 §§. I vissa projekt kan det således vara aktuellt att använda forskning som metod för att myndigheten ska kunna fullgöra sina uppgifter.
ISF har inte i uppgift att ta fram statistik men använder sig av statistiska metoder för insamling, bearbetning, redovisning och analys av data. Uppgifterna hämtas huvudsakligen från olika administrativa datakällor, bl.a. myndighetsregister. Tillsyn och granskningar syftar till att undersöka allmänna förhållanden och att analysera och följa upp viss verksamhet på ett generellt plan. Det förekommer alltså inte myndighetsutövning och inte heller någon annan handläggning eller beslutsfattande som rör enskilda personer eller organ. Resultatet av behandlingen av personuppgifter består inte heller av personuppgifter utan av avidentifierade och aggregerade personuppgifter. Stora delar av den analysverksamhet som ISF ägnar sig åt bör därmed kunna anses ske för statistiska ändamål (jfr prop. 1991/92:118 s. 12–14, prop. 2013/14:162 s. 8 och 11 och SOU 2018:52 s 140–142 och 253–256). Regeringen har också uttryckt att personuppgifter, med stöd av artikel 6.1 e i EU:s dataskyddsförordning, kan samlas in och i övrigt behandlas utan samtycke från de registrerade vid sådan statistikverksamhet som är nödvändig för att t.ex. en myndighet ska kunna utföra sitt fastställda uppdrag, även om statistik inte uttryckligen nämns i myndighetens uppdrag (prop. 2017/18:105 s. 122).
ISF behandlar personuppgifter för statistikändamål på motsvarande sätt som myndigheten använder forskning, dvs. som en metod i arbetet med systemtillsyn och effektivitetsgranskning. För att det ska bli tydligt att ISF får behandla personuppgifter för forsknings- och statistikändamål inom ramen för undersökningar av förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet, bör detta klargöras i lagen.
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
Samverkan med tillsynsmyndigheter
ISF ska enligt instruktionen i sin systemtillsyn och effektivitetsgranskning samverka med de tillsynsmyndigheter som kan komma att beröras av inspektionens tillsyns- eller granskningsverksamhet (4 §). ISF har hittills inte genomfört någon tillsyn eller granskning i samverkan med andra tillsynsmyndigheter. Om en tillsyn eller granskning skulle genomföras i sådan samverkan, skulle myndigheterna behöva förhålla sig till sina respektive uppdrag och behandla personuppgifter i den utsträckning det är nödvändigt med anledning av det egna uppdraget. Även vid eventuell samverkan skulle därför ISF:s behandling av personuppgifter i första hand ske för myndighetens egna primära ändamål, dvs. för att undersöka förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet. Om samverkan med andra tillsynsmyndigheter har angetts som en förutsättning för den aktuella granskningen bör det kunna anses vara nödvändigt att, utöver uppgifter i de granskade verksamheterna, behandla även kontaktuppgifter till tjänstemän på de samverkande myndigheterna för det primära ändamålet. Om den samverkande myndigheten har behov av uppgifter, kan uppgifterna lämnas ut i den mån det är förenligt med de sekundära ändamålen (se avsnitt 6.6.3) och gällande sekretesslagstiftning. Ett särskilt ändamål som avser samverkan med andra tillsynsmyndigheter bedöms därför inte behövas.
6.6.3. Sekundära ändamål
Förslag: Inspektionen för socialförsäkringen ska få behandla
sådana personuppgifter som behandlas för primära ändamål för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Skälen för förslaget: ISF lämnar endast i begränsad omfattning ut
personuppgifter från myndigheten. Exempelvis myndigheter eller forskare skulle dock kunna efterfråga uppgifter för statistik- eller forskningsändamål. När ISF lämnar ut personuppgifter från myndigheten sker en behandling av personuppgifter. Behandlingen måste, i likhet med all annan behandling, ha stöd i en rättslig grund
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
enligt artikel 6.1 i EU:s dataskyddsförordning. Det är framför allt aktuellt att lämna ut uppgifter med anledning av de rättsliga grunderna i artikel 6.1 c och e (rättslig förpliktelse respektive uppgift av allmänt intresse). Den rättsliga grunden enligt artikel 6.1 c och e ska vara fastställd (artikel 6.3 första stycket), vilket innebär att uppgiftslämnandet måste ske i överensstämmelse med lag eller förordning. ISF omfattas inte av någon sådan uttrycklig uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, men kan lämna ut uppgifter bl.a. i syfte att fullgöra serviceskyldigheten gentemot enskilda enligt förvaltningslagen eller skyldigheten enligt 6 kap. 5 § OSL för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (jfr prop. 2014/15:148 s. 41 och 42).
Syftet med behandlingen när personuppgifter lämnas ut kan förutsättas framgå av de bestämmelser som uppgiftslämnandet grundar sig på, alternativt vara nödvändigt för utlämnandet (artikel 6.3 andra stycket i EU:s dataskyddsförordning).
Vid uppgiftslämnande är den viktigaste frågan ur ett integritetsperspektiv om uppgifterna överhuvudtaget ska lämnas ut. Den frågan aktualiseras redan när den bestämmelse som fastställer en skyldighet eller tillåter ett utlämnande införs. Det får förutsättas att det då görs en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet. Den avvägningen säkerställer att den rättsliga grunden uppfyller ett mål av allmänt intresse och är proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i EU:s dataskyddsförordning). Avvägningen säkerställer också att den behandling av personuppgifter som utlämnandet innebär är proportionerlig i enlighet med regeringsformens krav (2 kap. 6, 20 och 21 §§ RF).
Ett utlämnande av personuppgifter som sker i överensstämmelse med lag eller förordning får alltså anses uppfylla kraven enligt artikel 6 i EU:s dataskyddsförordning. En ändamålsbestämmelse med detta innehåll får införas i nationell rätt (artikel 6.2 och 6.3). Det kan också konstateras att ISF redan i dag kan lämna ut personuppgifter när uppgiftslämnandet sker på grund av skyldigheter respektive medgivanden att lämna uppgifter. En sekundär
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
ändamålsbestämmelse som ger stöd för uppgiftslämnande som sker i överensstämmelse med lag eller förordning medför därmed inte någon utvidgning av myndighetens nuvarande möjligheter att elektroniskt lämna ut personuppgifter.
En sekundär ändamålsbestämmelse som förhåller sig till lag och förordning är också i linje med annan motsvarande lagstiftning, jfr. bl.a. 6 § lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, 7 § domstolsdatalagen (2015:728), 7 § lagen (2018:258) om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador och 8 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap.
ISF bör sammanfattningsvis få behandla sådana personuppgifter som behandlas för primära ändamål för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
6.6.4. Finalitetsprincipen
Bedömning: Det bör inte införas en bestämmelse som ger
uttryck för finalitetsprincipen.
Skälen för bedömningen: Enligt artikel 5.1 b i EU:s dataskydds-
förordning ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. I artikel 6.4 i EU:s dataskyddsförordning beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. Principen om att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål brukar kallas finalitetsprincipen.
I registerförfattningar finns ofta en bestämmelse som ger uttryck för finalitetsprincipen, se t.ex. 4 a § studiestödsdatalagen, 2 kap. 2 § lagen om Rättsmedicinalverkets behandling av personuppgifter och
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
9 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap. Finalitetsprincipen gäller dock oavsett om den uttrycks i svensk författning eller inte. Bestämmelser som ger uttryck för finalitetsprincipen har införts av tydlighetsskäl och avser främst att klargöra att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen (prop. 2018/19:151 s. 24, prop. 2019/20:106 s. 40 och prop. 2019/20:113 s. 23). I den föreslagna lagen föreslås det primära ändamålet vara så brett att det täcker ISF:s kärnuppdrag och därmed lagens hela tillämpningsområde. Som en följd av detta bör det inte finnas anledning att behandla personuppgifter för andra ändamål än de som anges i lagen. Det behöver därför inte förtydligas att finalitetsprincipen gäller i förhållande till ändamålsbestämmelsen i den föreslagna 6 §.
Det breda primära ändamålet i lagen avses att specificeras genom att ISF ska ange dels syftet med varje projekt, dels ändamålet med varje enskild undersökning. Av finalitetsprincipen följer inte bara att det är möjligt att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen utan också att det är möjligt att behandla personuppgifter för andra ändamål än de specificerade ändamål som ISF själv fastställer vid insamlingstillfället. I avsnitt 6.11 föreslås att personuppgifter ska få behandlas i ett annat projekt än det som de samlats in i om behandlingen är nödvändig för att kunna helt eller delvis upprepa eller följa upp projektet. Behandling i båda projekten sker med stöd av samma ändamålsbestämmelse i den föreslagna lagen, men eftersom ISF fastställer ändamål för varje enskild undersökning är en förutsättning för behandling i ett annat projekt trots detta att behandlingen också är förenlig med finalitetsprincipen. Finalitetsprincipens tillämpning riskerar därför att bli otydlig om det, i enlighet med utformningen i andra registerförfattningar, endast ges uttryck för den i förhållande till lagens ändamålsbestämmelser. Att i lagen återge finalitetsprincipen bedöms inte heller nödvändigt. För tillämparen finns det risk att det blir missvisande att endast återge vissa bestämmelser i EU:s dataskyddsförordning när även övriga bestämmelser i förordningen gäller. Det bör därför inte införas någon bestämmelse om finalitetsprincipens innebörd i lagen.
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
6.7. Behandling av känsliga personuppgifter
Förslag: Känsliga personuppgifter ska få behandlas med stöd av
artikel 9.2 g eller 9.2 j i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Skälen för förslaget
Särskilda kategorier av uppgifter är samma sak som känsliga personuppgifter
Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning benämns i artikel 9.1 i EU:s dataskyddsförordning som särskilda kategorier av uppgifter. I svensk rätt kallas uppgifterna känsliga personuppgifter (se t.ex. 3 kap. 1 § dataskyddslagen). I dataskyddslagen används det tidigare uttrycket känsliga personuppgifter eftersom det uttrycket är väl inarbetat, även på EU-nivå, och dessutom språkligt enklare att använda och förstå, inte minst i författningstext (prop. 2017/18:105 s. 75). Av samma skäl är uttrycket lämpligt att använda även i den lag som nu föreslås.
ISF har behov av att behandla känsliga personuppgifter om hälsa
Som konstateras i avsnitt 3 behöver ISF behandla stora mängder personuppgifter. För att undersöka olika förhållanden behöver personuppgifterna struktureras, bearbetas och analyseras. Många av dessa uppgifter är känsliga personuppgifter, framför allt uppgifter om hälsa. Uppgifter om hälsa definieras enligt EU:s dataskyddsförordning som personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus (artikel 4.15).
Omständigheten att någon har ansökt om, beviljats eller fått avslag på en ansökan om sjukförsäkringsförmåner avslöjar ofta något
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
om personens tidigare, nuvarande eller framtida hälsotillstånd. Sådana uppgifter kan därmed utgöra känsliga personuppgifter om hälsa. När ISF granskar förhållanden som rör sjukförsäkringsförmåner, behöver myndigheten ofta göra analyser som inkluderar uppgifter om individer som erhållit sådana förmåner. Redan av detta följer att ISF har ett stort behov av att behandla känsliga personuppgifter om hälsa.
Granskningarna kräver också analyser av andra uppgifter om hälsa, t.ex. diagnos. ISF har exempelvis på uppdrag av regeringen studerat i vad mån utformningen av regelverk och sjukförsäkringens administration har påverkat utvecklingen av sjukskrivningar med psykiatriska diagnoser samt i vilken utsträckning nuvarande system är anpassat till dagens situation (ISF rapport 2014:22). Uppgifter om personkretstillhörighet enligt 1 § lagen (1993:387) om stöd och service till vissa funktionshindrade behöver ingå i analyser när ISF undersöker förhållanden rörande assistansersättningen (se t.ex. ISF rapport 2015:9). Uppgifter om sjukdomshistorik kan vara relevanta i undersökningar av rehabiliteringsåtgärder och långa sjukfall. Uppgifter om vårdbesök och läkemedelsförbrukning visar bl.a. om det handlar om en svårt sjuk person eller inte. Sådana uppgifter kan användas för att analysera sannolikheten för att bli sjukskriven eller vilka som blir sjukskrivna efter vårdbesök. Uppgifter om vårdbesök kan även vara relevanta vid analyser av i vilken utsträckning väntetider i vården kan påverka hur mycket ersättning som betalas ut från Försäkringskassan.
Det har i många av ISF:s projekt bedömts nödvändigt för ändamålet att behandla känsliga personuppgifter. Vid en granskning av de reformerade stöden till personer med funktionsnedsättning (ISF:s rapport 2021:10) har ISF exempelvis i en registerstudie använt uppgifter om bl.a. utbetalningar av vårdbidrag och omvårdnadsbidrag, ersättningsnivåer och barnens diagnos. I en analys av vilken effekt avgiftsfri tandvård har på hur unga vuxna besöker tandvården (ISF:s rapport 2021:4) har ISF analyserat bl.a. uppgifter om tandvårdsbesök och mått på tandhälsa, i form av hur många intakta tänder en person har och hur många tänder personen har kvar. Ett annat exempel är en granskning av underutnyttjandet av den kollektivavtalade sjukförsäkringen (ISF:s rapport 2018:7), där ISF har använt bl.a. uppgifter om beviljad sjukpenning, sjukersättning och aktivitetsersättning, ersättningsperioder från avtalssjukför-
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
säkringen och ersättning för inkomstbortfall från arbetsskadeförsäkringen. Behandlingen av känsliga personuppgifter i de olika granskningarna bedöms ha varit nödvändig för att ISF ska kunna utföra sitt uppdrag.
ISF har behov av att behandla känsliga personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse eller en fysisk persons sexuella läggning
Regeringen konstaterade i kommittédirektiven till utredningen om inrättande av ISF att det är angeläget att rättssäkerheten och effektiviteten inom socialförsäkringsområdet fortlöpande blir föremål för objektiv granskning. Den enskilde ska ha samma rätt till förmåner oavsett var i landet han eller hon är bosatt, osakliga regionala skillnader ska inte förekomma, försäkringen ska fungera på samma sätt för alla försäkrade och ingen ska diskrimineras genom socialförsäkringens tillämpning (dir. 2007:24). Det har således redan initialt funnits en avsikt att ISF:s granskning ska omfatta likabehandlingsaspekter.
Bestämmelser som syftar till att garantera saklighet och opartiskhet inom den offentliga förvaltningen finns i såväl grundlag som vanlig lag. Enligt 1 kap. 9 § RF ska domstolar samt förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter i sin verksamhet beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet. I 5 § förvaltningslagen ges uttryck för den s.k. objektivitetsprincipen genom att det ställs krav på att myndigheten i sin verksamhet ska vara saklig och opartisk. Objektivitetsprincipen gäller all förvaltningsverksamhet, inklusive då det är fråga om faktiskt handlande och ren service (prop. 2016/17:180 s. 60). Vid ISF:s granskning av den verksamhet som bedrivs av de myndigheter som administrerar socialförsäkringen är kraven på likabehandling, saklighet och objektivitet således viktiga utgångspunkter. Brister i fråga om likabehandling kan få konsekvenser både ur ett effektivitets- och rättssäkerhetsperspektiv. När bristerna finns på systemnivå kan en felaktig handläggning i förlängningen påverka t.ex. integrationen eller kvinnors möjligheter att delta på arbetsmarknaden. Det kan också få konsekvenser för hur olika socialförsäkringsförmåner interagerar med varandra och vilken effekt de har.
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
En förutsättning för att ISF ska kunna granska om det förekommer brister ur ett likabehandlingsperspektiv är att myndigheten kan behandla personuppgifter som kan utgöra grund för en osaklig hantering. Det kan exempelvis röra sig om personuppgifter om kön, etniskt ursprung, religiös eller filosofisk övertygelse eller en fysisk persons sexuella läggning. Myndigheten kan t.ex. ha anledning att göra studier som jämför samkönade respektive olikkönade pars uttag av föräldrapenning. Det kan också finnas anledning att i en enkätstudie ställa frågor som handlar om kränkningar kopplade till sexuell läggning eller etnisk tillhörighet. Utöver känsliga personuppgifter om hälsa har ISF således behov av att behandla känsliga personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse eller en fysisk persons sexuella läggning .
Känsliga personuppgifter kan utgöra överskottsinformation
Även när syftet inte är att analysera känsliga personuppgifter, kan ISF:s behandling av personuppgifter omfatta känsliga personuppgifter. Det förekommer exempelvis att ISF jämför hanteringen av inrikes och utrikes födda. En isolerad uppgift om medborgarskap eller en uppgift om nationalitet eller ursprungsland avslöjar normalt inte etniskt ursprung (prop. 2001/02:144 s. 42), men kan göra det i vissa enskilda fall (prop. 2009/10:85 s. 325). En uppgift om modersmål kan också tillföra information som i kombination med andra uppgifter avslöjar etniskt ursprung. Uppgifter om modersmål kan vara nödvändiga att behandla i studier av om språkliga faktorer påverkar hanteringen av ett ärende. Oavsiktlig behandling av känsliga personuppgifter kan också inträffa när ISF gör kopplingar mellan familjemedlemmar. Sådana kopplingar kan avslöja bl.a. civilstånd, vilka personer som utgör en familj och vilka som har gemensamma barn. För- och efternamn på make, sambo eller partner kan utgöra känsliga personuppgifter enligt EU:s dataskyddsförordning om dessa indirekt avslöjar uppgifter om sexualliv eller sexuell läggning (EU-domstolens dom i målet OT mot Vyriausioji tarnybinės etikos komisija C-184/20, EU:C:2022:601).
Det är inte helt ovanligt att tillsynsobjekten behandlar flera olika personuppgifter i ett sammanhang, t.ex. i en inkommen eller upprättad handling eller i en ärendeakt. Som framgår av avsnitt 3.5
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
förekommer det att ISF granskar ärendeakter och separata journalanteckningar i sina undersökningar. Dessa akter och journalanteckningar begärs ut från tillsynsobjekten, oftast från Försäkringskassan, Pensionsmyndigheten och Arbetsförmedlingen. Eftersom det inte är möjligt att påverka vilka uppgifter en enskild lämnar till en myndighet, kan ärendeakterna innehålla alla kategorier av känsliga personuppgifter (jfr prop. 2002/03:135 s. 75). Det kan t.ex. finnas läkarintyg, som förutom uppgifter om hälsa innehåller uppgifter om både religiös övertygelse och testresultat som avslöjar genetiska uppgifter. Motsvarande gäller i viss mån också upprättade journalanteckningar. När ISF granskar ärendeakter och journalanteckningar finns det sällan behov av att analysera samtliga personuppgifter i akterna respektive journalanteckningarna. Oftast är det dock varken möjligt eller lämpligt för ISF att begära ut enbart de uppgifter som myndigheten behöver analysera. Det skulle i så fall innebära att den myndighet som är föremål för tillsyn måste gå igenom samtliga akter som ISF begär ut och maska uppgifter som inte ska lämnas ut. Det skulle innebära en ny omfattande arbetsuppgift för de myndigheter som omfattas av ISF:s tillsynsuppdrag som inte framstår som proportionerlig i förhållande till den integritetsrisk den avser att reducera. Om den myndighet som är föremål för tillsyn skulle gå igenom samtliga akter och ta bort känsliga personuppgifter som ISF inte har behov av, skulle det i sig dessutom innebära ett intrång i den personliga integriteten. En mer omfattande genomgång som inkluderar bedömningar av vilka uppgifter ISF har behov av, riskerar också att göra ISF beroende av den andra myndighetens egna urval av uppgifter. Det bör därför vara möjligt för andra myndigheter att lämna ut, och för ISF att ta emot, materialet i sin helhet.
När ISF använder sig av enkät- och intervjuförfaranden, kan svaren innehålla viss överskottsinformation i form av känsliga personuppgifter som inte efterfrågas i den aktuella granskningen. Myndigheten bör, i enlighet med principen om uppgiftsminimering i artikel 5.1 c i EU:s dataskyddsförordning vidta åtgärder för att i den mån det är möjligt förhindra att fler personuppgifter än vad som behövs för granskningen samlas in. Det kan handla om att lämna tydlig information om vilka uppgifter myndigheten är intresserad av och att i intervjusituationer leda bort samtalet från oväsentlig information. Det är dock inte möjligt för ISF att vid enkät- och
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
intervjuförfaranden helt förhindra behandling av personuppgifter som inte behöver analyseras inom ramen för det aktuella projektet.
Det finns fler exempel på situationer då ISF kan få in överskottsinformation som inte är relevant för en viss granskning, t.ex. när domar innehåller fler personuppgifter än de som myndigheten avser att analysera och när begärda handlingar omfattar annan information än den förväntade. Det som kännetecknar samtliga dessa situationer är att personuppgifter som ISF har behov av att analysera behandlas i nära anslutning till andra personuppgifter och att det inte är möjligt eller kan anses oproportionerligt att separera uppgifterna från varandra.
Behandling av känsliga personuppgifter för ett viktigt allmänt intresse
Det är som huvudregel förbjudet att behandla känsliga personuppgifter (artikel 9.1 i EU:s dataskyddsförordning). Förbudet kompletteras dock med ett antal undantag, som anger när behandling av känsliga personuppgifter trots allt är tillåten eller kan tillåtas (artikel 9.2). Några av undantagen är direkt tillämpliga medan andra kräver viss nationell reglering för att behandling av känsliga personuppgifter ska vara tillåten. Känsliga personuppgifter får enligt artikel 9.2 g i EU:s dataskyddsförordning bl.a. behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, under förutsättning att det sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Vad som är ett allmänt intresse respektive ett viktigt allmänt intresse är inte definierat i EU:s dataskyddsförordning. Uttryckets innebörd har inte heller utvecklats närmare av EU-domstolen. Regeringen har konstaterat att det är svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse men att det, när det gäller myndigheters behandling, måste anses utgöra ett viktigt allmänt intresse att svenska myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt (prop.
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
2017/18:105 s. 83). Den verksamhet som ISF bedriver inom ramen för sitt uppdrag har i avsnitt 6.6.1 bedömts utgöra sådana arbetsuppgifter av allmänt intresse som avses i artikel 6.1 e i EU:s dataskyddsförordning. Av samma skäl får myndighetens arbetsuppgifter också anses utgöra ett viktigt allmänt intresse enligt artikel 9.2 g i EU:s dataskyddsförordning.
I dataskyddslagen har det införts ett för myndigheter generellt undantag från förbudet mot att behandla känsliga personuppgifter. Känsliga personuppgifter får enligt 3 kap. 3 § första stycket dataskyddslagen behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
ISF kan i viss utsträckning behandla känsliga personuppgifter med stöd av dataskyddslagen. Det saknas dock stöd för den omfattande hanteringen av känsliga personuppgifter i myndighetens tillsyns- och granskningsverksamhet. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande från myndighetens sida som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Uttrycket handläggning innefattar alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det avslutas (prop. 2017/18:105 s. 87 och prop. 2016/17:180 s. 23–25 och 286). ISF:s tillsyns- och granskningsverksamhet har inslag av ärendehandläggning men den slutprodukt som tas fram är inte avsedd att ge faktiska verkningar för mottagaren. Myndighetens huvudsakliga syfte är att förse regeringen och myndigheter med kunskap för att kunna utveckla och förbättra socialförsäkringen. Därmed kan myndighetens verksamhet inte anses utgöra sådan verksamhet som har anknytning till ett särskilt ärende i den mening som avses i 3 kap. 3 § första stycket 2 dataskyddslagen. Behandlingen av personuppgifter inom tillsyns- och granskningsverksamheten kan inte heller ske med stöd av det undantag som avser behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet, eftersom 3 kap. 3 § första
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
stycket 3 dataskyddslagen inte är avsedd att tillämpas slentrianmässigt i den löpande verksamheten (prop. 2017/18:105 s. 194).
För att ISF ska kunna behandla känsliga personuppgifter i myndighetens tillsyns- och granskningsverksamhet, krävs således att en särskild bestämmelse om detta införs i den föreslagna lagen. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten innebär, i likhet med vad som gäller enligt artikel 6.3, att uppgiften av viktigt allmänt intresse ska ha stöd i rättsordningen (prop. 2017/18:105 s. 49–52 och s. 84). För ISF är kravet på en rättslig grund uppfyllt i fråga om behandlingar som sker för de ändamål som anges i lagen (se avsnitt 6.6.2 och 6.6.3). Kravet på att den rättsliga grunden ska vara förenlig med det väsentliga innehållet i rätten till dataskydd bedöms inte tillföra något utöver de krav som gäller enligt artikel 6 i EU:s dataskyddsförordning (prop. 2017/18:105 s. 84). Som framgår av avsnitt 7 bedöms kravet på proportionalitet vara uppfyllt. Lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen föreslås i avsnitt 6.10–6.15.
För att det ska vara tillåtet att behandla känsliga personuppgifter enligt artikel 9.2 g i EU:s dataskyddsförordning måste behandlingen vara nödvändig. Kravet på nödvändighet i artikel 9 innebär detsamma som kravet på nödvändighet i artikel 6 (prop. 2017/18:105 s. 75 och 76). Att behandlingen ska vara nödvändig innebär således inte att det måste vara omöjligt att utföra uppdraget om inte känsliga personuppgifter behandlas. Behandling av känsliga personuppgifter kan anses nödvändig om den medför effektivitetsvinster, även om arbetsuppgiften skulle kunna utföras utan att personuppgifter behandlas på visst sätt. När behandlingen av känsliga personuppgifter tillför relevant information till en undersökning och undersökningen inte kan utföras lika effektivt utan uppgifterna, får behandlingen anses nödvändig i den mening som avses i artikel 9.2 g i EU:s dataskyddsförordning. Även sådana uppgifter som egentligen utgör överskottsinformation i förhållande till vad myndigheten behöver analysera får anses nödvändiga att behandla, om uppgifter som är nödvändiga att analysera annars inte kan samlas in av myndigheten. Vad som är nödvändigt med hänsyn till ändamålet med behandlingen måste dock avgöras i varje enskilt fall. Vid prövningen av nödvändighetsrekvisitet ska de grundläggande principerna om uppgiftsminimering och lagringsminimering enligt
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
artikel 5.1 c och e i EU:s dataskyddsförordning säkerställa att fler uppgifter än nödvändigt inte samlas in.
En särskild reglering om behandlingen av känsliga personuppgifter säkerställer att ISF har stöd för den behandling av sådana uppgifter som kommer att vara nödvändig i myndighetens verksamhet. En sådan bestämmelse uppfyller dessutom kravet på reglering i lag vid sådant betydande intrång i den personliga integriteten som var och en gentemot det allmänna är skyddad mot enligt regeringsformen (jfr avsnitt 4.3). Enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning är det tillåtet att ha bestämmelser om när myndigheter får behandla personuppgifter i nationell rätt för att reglera behandling som grundar sig på en uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Det bör därför införas en bestämmelse i lagen som anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Behandling av känsliga personuppgifter för forskningsändamål
Känsliga personuppgifter får enligt artikel 9.2 j i EU:s dataskyddsförordning behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I likhet med vad som gäller vid behandling av personuppgifter för ett viktigt allmänt intresse ska behandlingen ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.
Uttrycket vetenskapliga eller historiska forskningsändamål är ett EU-rättsligt uttryck. Enligt skäl 159 i EU:s dataskyddsförordning
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
bör uttrycket vetenskapliga forskningsändamål i förordningen ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Den behandling av personuppgifter som aktualiseras vid forskning inom ramen för ISF:s granskningar får anses ske för sådana forskningsändamål som avses i artikel 9.2 j i EU:s dataskyddsförordning.
Forskning kan generellt presumeras vara av allmänt intresse (prop. 2017/18:298 s. 33). Från och med den 1 juni 2023 anges dessutom i myndighetens instruktion att ISF får, i de fall det är nödvändigt, bedriva den forskning som behövs för att myndigheten ska kunna fullgöra vissa uppgifter enligt instruktionen. Att uppgiften framgår av instruktionen innebär att uppgiften kan förutsättas vara av allmänt intresse (prop. 2017/18:105 s. 56 och 57). Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten innebär, i likhet med vad som gäller enligt artikel 6.3, att uppgiften av allmänt intresse ska ha stöd i rättsordningen (prop. 2017/18:105 s. 49–52 och s. 84). Det rättsliga stödet finns i instruktionen, som anger att ISF i begränsad utsträckning får forska om det behövs för att myndigheten ska kunna fullgöra vissa uppgifter enligt instruktionen, och i lagen (2003:460) om etikprövning av forskning som avser människor, här benämnd etikprövningslagen, som anger under vilka förutsättningar forskning får bedrivas. ISF kan därmed behandla personuppgifter för forskningsändamål utan att en särskild bestämmelse om detta införs i lagen. Eftersom lagen föreslås vara tillämplig även vid forskning, bör dock stödet för behandling av känsliga personuppgifter vid forskning uttryckas i lagen. Lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen finns i form av krav på etikprövning och föreslås därutöver i avsnitt 6.10–6.15. Det bör därmed införas en bestämmelse i lagen som anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
Behandling av känsliga personuppgifter för andra undantag än viktigt allmänt intresse och forskningsändamål
Som konstateras i avsnitt 6.6.2 kan ISF, trots att myndigheten inte är en statistikansvarig myndighet, samla in och behandla personuppgifter för statistiska ändamål med stöd av artikel 6.1 e i EU:s dataskyddsförordning (prop. 2017/18:105 s. 122). Känsliga personuppgifter får enligt 3 kap. 7 § dataskyddslagen behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Villkoret att samhällsintresset av statistikprojektet ska klart väga över risken för otillbörligt integritetsintrång utgör en sådan lämplig och särskild åtgärd som avses i artikel 9.2 j i EU:s dataskyddsförordning (prop. 2017/18:105 s. 124).
ISF kan, beroende på omständigheterna i det enskilda fallet, också behandla känsliga personuppgifter med stöd av andra undantag i artikel 9.2 i EU:s dataskyddsförordning. Om giltigt samtycke (artikel 4.11) kan inhämtas, kan artikel 9.2 a utgöra stöd för behandlingen. Enligt Socialdataskyddsutredningen kan samtycke i de flesta fall lämnas frivilligt till Myndigheten för vård- och omsorgsanalys (SOU 2018:52 s. 114–116, 129 och 130). Motsvarande bör kunna gälla för ISF. En prövning måste dock göras i varje enskilt fall. I ett fåtal situationer, främst vid behandling av känsliga personuppgifter som offentliggjorts i nyhetsartiklar eller dylikt, kan undantaget för offentliggjorda uppgifter i artikel 9.2 e i EU:s dataskyddsförordning tillämpas. I fråga om undantaget för bl.a. förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system i artikel 9.2 h i EU:s dataskyddsförordning har regeringen uttalat att uttrycket social omsorg omfattar uppgifter som utförs inom socialtjänsten, men att det i avsaknad av praxis är svårt att närmare avgränsa innebörden av uttrycken (prop. 2017/18:105 s. 93 och prop. 2017/18:171 s. 100). Enligt 3 kap. 5 § dataskyddslagen får känsliga personuppgifter behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen är nödvändig för bl.a. förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system och under förutsättning att kravet på
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning är uppfyllt. Kravet på tystnadsplikt är uppfyllt hos ISF när uppgifterna omfattas av sekretess enligt 24 kap. 8 § OSL och 7 § OSF.
ISF kan således under vissa förutsättningar behandla känsliga personuppgifter med stöd av andra undantag än viktigt allmänt intresse och forskningsändamål.
6.8. Etikprövning vid forskning
Förslag: Lagen ska innehålla en upplysning om att forskning som
innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.
Skälen för förslaget: Etikprövningslagen innehåller bestämmelser
om etikprövning av forskning som avser människor. Syftet med lagen är att skydda den enskilda människan och respekten för människovärdet vid forskning. Med forskning avses vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå (2 § etikprövningslagen).
Etikprövningslagen ska tillämpas på forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 §). Etikprövningsmyndigheten ska vid sin prövning göra en intresseavvägning där riskerna för den personliga integriteten vägs mot forskningens vetenskapliga värde (7–11 §§). Forskning får utföras bara om den godkänts vid en etikprövning och ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning (6 §).
En etikprövning enligt etikprövningslagen uppfyller enligt regeringen det krav som EU:s dataskyddsförordning ställer på en
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
objektiv bedömning av de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter (prop. 2017/18:298 s. 87 och 88). Etikprövning anses därmed vara en sådan i nationell rätt fastställd lämplig och särskild åtgärd som artikel 9.2 j i EU:s dataskyddsförordning kräver vid nödvändig behandling av känsliga personuppgifter för forskningsändamål.
Etikprövningsmyndigheten kan i samband med sitt godkännande ställa villkor för personuppgiftsbehandlingen i ett forskningsprojekt. För att skyddsnivån inte ska bli lägre när ISF behandlar personuppgifter i forskningsprojekt, bör dessa villkor gälla utöver de krav som ställs enligt den föreslagna lagen. Kraven enligt den föreslagna lagen bör således gälla oavsett vilka villkor Etikprövningsmyndigheten ställer så länge behandlingen sker inom lagens tillämpningsområde. Det innebär att ISF inte kan ansöka om etikprövning för forskning som omfattar andra känsliga personuppgifter än sådana uppgifter som får behandlas enligt den föreslagna lagen. Det måste således vara nödvändigt att behandla de känsliga personuppgifterna med hänsyn till det primära ändamålet enligt den föreslagna lagen. Lagens begränsningar avseende bl.a. sökningar måste också beaktas. Det finns därmed inte några andra skäl att göra en ansökan om etikprövning än för att kunna bedriva ett projekt som forskning.
För att det ska bli tydligt vad som gäller, bör det i lagen införas en bestämmelse som upplyser om ordningen med obligatorisk etikprövning när det är fråga om forskning, jfr 10 § andra stycket lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och 7 § andra stycket lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.
6.9. Behandling av personuppgifter som rör lagöverträdelser
Bedömning: Möjligheterna att behandla uppgifter som rör
lagöverträdelser bör inte begränsas.
Skälen för bedömningen: Enligt artikel 10 i EU:s dataskydds-
förordning får behandling av personuppgifter som rör fällande
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av en myndighet eller då sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet är direkt tillämplig och bör enligt regeringen i vart fall innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet (prop. 2017/18:105 s. 99). EU:s dataskyddsförordning innehåller alltså inga begränsande regler för behandling av personuppgifter om lagöverträdelser om den personuppgiftsansvarige är en myndighet. I linje med detta anges i 3 kap. 8 § första stycket dataskyddslagen att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter. Det krävs därmed inga särskilda ställningstaganden för myndigheters behandling av personuppgifter som avser lagöverträdelser utöver de ställningstaganden som allmänt ska göras i fråga om laglig grund. Personuppgifter om lagöverträdelser är dock av särskilt integritetskänslig karaktär och behandling av sådana uppgifter anses därför som särskilt riskfylld. Av det skälet är behandling av uppgifter om lagöverträdelser särskilt reglerad både i EU:s dataskyddsförordning och i många myndighetsspecifika registerförfattningar. Det bör därför övervägas om möjligheterna för ISF att behandla personuppgifter om lagöverträdelser bör begränsas genom den föreslagna lagen.
ISF har i viss utsträckning behov av att behandla personuppgifter om lagöverträdelser. Det kan exempelvis förekomma uppgifter om lagöverträdelser i ärendeakter från Försäkringskassan, bl.a. uppgifter om att den försäkrade är intagen i kriminalvårdsanstalt. I vissa granskningar inhämtas uppgifter om enskilda från Kriminalvården i syfte att användas som bakgrundsvariabler. Det kan också vara relevant att hämta in domar om bidragsbrott och uppgifter om polisanmälningar vid granskningar av Försäkringskassans och Pensionsmyndighetens arbete för att motverka fusk och felaktigheter. Eftersom inget av tillsynsobjekten har något brottsutredande uppdrag förekommer dock uppgifter om lagöverträdelser generellt sett i mycket begränsad omfattning i de granskade verksamheterna. Uppgifter om lagöverträdelser aktualiseras därmed
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
sällan inom ramen för ISF:s tillsyns- och granskningsverksamhet. Som en följd av detta kommer det i mycket begränsad utsträckning vara relevant och adekvat att behandla uppgifter om lagöverträdelser för den föreslagna lagens primära ändamål (artikel 5.1 c i EU:s dataskyddsförordning). I de fall det ändå bedöms relevant att behandla uppgifter om lagöverträdelser i en undersökning, måste ISF förhålla sig till övriga begränsningar som gäller för all behandling av personuppgifter enligt den föreslagna lagen (avsnitt 6.10–6.15). Exempelvis ska uppgifter som direkt kan hänföras till en person behandlas separat från övriga uppgifter. Uppgifter om lagöverträdelser omfattas också av absolut sekretess enligt 24 kap. 8 § OSL och 7 § OSF.
För behandling av uppgifter om lagöverträdelser i forskningsprojekt krävs en ansökan om etikprövning enligt lagen om etikprövning av forskning som avser människor. I avsnitt 6.8 lämnas förslag om en särskild bestämmelse i lagen som upplyser om att forskning som innefattar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas. I avsnitt 6.12 föreslås också att ISF, i samband med att syftet med ett projekt fastställs, ska fastställa vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet. Detta gäller även när projektet inte ska bedrivas som forskning.
Även om det inte föreslås någon specifik bestämmelse som begränsar behandling av personuppgifter om lagöverträdelser, säkerställs således ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder som föreslås i denna lag. Mot bakgrund av detta bedöms det inte vara ändamålsenligt att i den föreslagna lagen införa särskilda begränsningar av möjligheten att behandla personuppgifter om lagöverträdelser. För behandling av sådana uppgifter bör därmed samma begränsningar gälla som för behandling av andra personuppgifter som inte är känsliga personuppgifter.
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
6.10. Sökbegränsningar
Förslag: Sökningar ska inte få utföras i syfte att få fram ett urval
av personer grundat på känsliga personuppgifter.
Sökningar ska dock få utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en persons sexuella läggning om sökningen sker för primära ändamål.
Skälen för förslaget
Det bör som huvudregel vara förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. I sin verksamhet med att utöva systemtillsyn och utföra effektivitetsgranskningar inhämtar ISF stora mängder uppgifter i syfte att göra sammanställningar och analyser. Hantering av stora informationsmängder förutsätter möjlighet att söka, sammanställa och på annat sätt sortera personuppgifter utifrån olika premisser och uppgiftskategorier. Det handlar sällan om enkla sökningar utifrån fristående sökbegrepp utan snarare om att filtrera information utifrån olika variabler och göra sammanställningar för att se olika samband.
En sökning medför behandling av personuppgifter. De bestämmelser som anger under vilka förutsättningar personuppgifter får behandlas gäller därmed vid sökningar. Det innebär att sökningen måste ske för ett ändamål som har stöd i lagen och att sökningen måste vara nödvändig för ändamålet. De skyddsåtgärder som föreslås inom lagens tillämpningsområde kommer också att gälla, vilket innebär att det i de flesta fall inte kommer att vara tillåtet att utföra sökningar i mer än en granskning åt gången (avsnitt 6.11), att uppgifterna i de flesta fall inte kommer att kunna hänföras direkt till den registrerade (avsnitt 6.14) och att endast den som behöver tillgång till uppgifterna i sitt arbete kommer att ha möjlighet att göra sökningar (avsnitt 6.15).
Det finns i EU:s dataskyddsförordning inget förbud mot att använda personuppgifter vid sökning, men vid behandling av känsliga personuppgifter krävs lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Regeringen har bedömt att en sökbegränsning är en
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
sådan skyddsåtgärd som säkerställer den registrerades grundläggande rättigheter och intressen (prop. 2017/18:105 s. 90). En sökbegränsning utgör därför många gånger en förutsättning för att behandling av känsliga personuppgifter ska vara tillåten enligt EU:s dataskyddsförordning. Bestämmelser om skyddsåtgärder är tillåtna med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning när det gäller reglering av behandling som grundar sig på en rättslig förpliktelse eller arbetsuppgift av allmänt intresse enligt artikel 6.1 c och e i EU:s dataskyddsförordning.
Vid utformningen av en sökbegränsning måste en avvägning göras mellan å ena sidan intresset av effektivitet i en myndighets verksamhet och å andra sidan risken för integritetsintrång. Regler om begränsning av tillåtna sökbegrepp bör därför ta sikte på sådana sökningar som typiskt sett medför särskilda integritetsrisker. I nyare lagstiftning har sökbegränsningar därför utformats på så sätt att de utgår från syftet med sökningen. Enligt dataskyddslagen och brottsdatalagen (2018:1177) är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Motsvarande modell används i lagstiftning som tillkommit efter dataskyddslagen och brottsdatalagen, t.ex. 6 § kriminalvårdsdatalagen, 13 § kustbevakningsdatalagen, 17 kap. 7 § spellagen (2018:1138), 2 kap. 21 § vägtrafikdatalagen och 2 kap. 3 § och 3 kap. 4 § lagen om Rättsmedicinalverkets behandling av personuppgifter.
ISF:s behandling av känsliga personuppgifter bör, på samma sätt som gäller för andra myndigheter, omgärdas av sökbegränsningar. Den sökbegränsning som gäller enligt dataskyddslagen är inte tillämplig när känsliga personuppgifter behandlas med stöd av bestämmelser i annan författning och kommer därmed inte att vara tillämplig när behandling sker enligt den föreslagna lagen (prop. 2017/18:105 s. 91). Det bör därför införas en bestämmelse i den föreslagna lagen med innebörden att det som huvudregel ska vara förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
Tillåtna sökningar med hänsyn till myndighetens behov
Som skyddsåtgärd måste en bestämmelse om sökbegränsningar utformas på ett sådant sätt att den enskildes personliga integritet beaktas. Syftet är dock inte att omöjliggöra sådana sökningar som behövs för att myndighetens verksamhet ska kunna fungera. En sökbegränsning som utgår från syftet med sökningen hindrar inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, exempelvis för att ta fram verksamhetsstatistik eller för registervård (prop. 2017/18:105 s. 195). Därutöver måste myndighetens intresse av att kunna utföra sitt uppdrag vägas mot intresset av att skydda den enskildes integritet. Förbud att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter kan kompletteras med undantag som bedöms som berättigade utifrån verksamhetens behov, se t.ex. 6 § andra stycket kriminalvårdsdatalagen, 13 § andra stycket kustbevakningsdatalagen och 2 kap. 4 § respektive 3 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter.
I avsnitt 6.7 konstateras att ISF har behov av att inom ramen för sina undersökningar analysera känsliga personuppgifter om hälsa, etniskt ursprung, religiös eller filosofisk övertygelse eller en fysisk persons sexuella läggning. Analys av uppgifter förutsätter ofta att uppgifterna kan användas för urval. Det är särskilt fallet i s.k. registerstudier (se avsnitt 3.5), då samtliga registeruppgifter används som variabler. ISF kan t.ex. ha behov av att analysera om vissa yttre omständigheter kan påverka benägenheten att ansöka om en viss socialförsäkringsförmån. För en sådan analys kan det vara relevant att söka fram individer med en viss diagnos som har beviljats en viss socialförsäkringsförmån. Därefter kan ISF behöva lägga till variabler som exempelvis kommun, kön och bransch och på så sätt få mer information om individen. Utifrån denna sammantagna information är det möjligt att bedöma olika samband. Motsvarande gäller vid granskning utifrån sådana känsliga personuppgifter som kan utgöra grund för osaklig hantering. Då behöver den känsliga personuppgiften användas för att ett urval av personer ska kunna ligga till grund för undersökningen. För att ISF ska kunna utföra sitt uppdrag bör det därför vara tillåtet för myndigheten att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning.
ISF föreslås också få behandla andra känsliga personuppgifter om det är nödvändigt för ändamålet med behandlingen. Det kan handla om att andra känsliga personuppgifter än de som ISF avser att analysera finns i ärendeakter och andra handlingar som utgör underlag i en undersökning. Andra känsliga personuppgifter än de som ISF avser att analysera utgör dock överskottsinformation och är nödvändiga att behandla endast därför att de behandlas tillsammans med andra personuppgifter. Det innebär att det i de flesta fall endast kan anses nödvändigt att behandla sådana personuppgifter för insamling och lagring. Sökningar bör därför inte få utföras i syfte att få fram ett urval av personer grundat på andra känsliga personuppgifter än uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller sexuell läggning.
I avsnitt 6.6.3 konstateras att ISF endast i begränsad omfattning lämnar ut personuppgifter från myndigheten. Myndigheten bedöms därför inte ha behov av att kunna utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Sammanfattningsvis bör ISF alltså som huvudregel inte få utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökningar ska dock få utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en persons sexuella läggning om sökningen sker för den föreslagna lagens primära ändamål.
Det bör inte införas sökbegränsningar som avser uppgifter om lagöverträdelser i lagen
I avsnitt 6.9 anges skäl till att det inte bedöms vara ändamålsenligt att i den föreslagna lagen införa särskilda begränsningar av möjligheten att behandla personuppgifter om lagöverträdelser. Samma skäl talar för att det inte heller bör införas några särskilda begränsningar i fråga om möjligheterna att behandla uppgifter om lagöverträdelser vid sökningar. Behovet av att göra sökningar som utgår från uppgifter om lagöverträdelser bör generellt vara mycket begränsat. I
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
den mån det ändå förekommer är det inte möjligt att på förhand i lag på ett tydligt sätt avgränsa i vilka typer av undersökningar eller utvärderingar eller för vilka konkreta ändamål det finns sådana behov.
Även om det inte föreslås någon specifik sökbegränsning för uppgifter om lagöverträdelser säkerställs ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder i övrigt som föreslås i denna lag.
6.11. Behandling av personuppgifter i projekt
Förslag: Behandling av personuppgifter för primära ändamål ska
ske i projekt, utom när behandling av personuppgifter utförs för omvärldsbevakning eller planering av verksamheten. Med projekt ska avses en planerad arbetsinsats som genomförs inom bestämda ramar.
Personuppgifter som samlas in i ett projekt ska inte få behandlas i ett annat projekt. Personuppgifter ska dock få behandlas i ett annat projekt än det de samlats in i om behandlingen är nödvändig för att ISF helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.
Skälen för förslaget
Behandling av personuppgifter bör ske i projekt
I avsnitt 6.6.2 föreslås att ISF ska få behandla personuppgifter om det i myndighetens verksamhet med systemtillsyn och effektivitetsgranskning är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet. Systemtillsyn och effektivitetsgranskning medför ofta behov av att undersöka förhållanden utifrån flera olika vinklar. Det är därför inte ovanligt att ISF gör flera olika undersökningar inom ramen för en och samma granskning. En granskning kan exempelvis bestå av en aktstudie, en registerstudie och en intervjustudie. Det sammanhang som de olika undersökningarna
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
tillsammans bildar för ett gemensamt syfte bör ges en gemensam benämning.
Uttrycket projekt används i flera andra lagstiftningar. Enligt 6 § etikprövningslagen ska ett etikgodkännande avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. I förarbetena till etikprövningslagen konstateras att ett projekt oftast är avgränsat med avseende på den vetenskapliga frågeställningen, antalet forskningspersoner som ska delta, forskningsledningen, antalet forskare och annan personal som ska ingå i projektet, finansiering och budgetering osv. (prop. 2002/03:50 s. 195). I 15 § lagen (2001:99) om den officiella statistiken används uttrycken forskningsprojekt och statistikprojekt och i 3 kap. 7 § dataskyddslagen återkommer uttrycket statistikprojekt. Myndigheten för arbetsmiljökunskap får enligt 12 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap ha samlingar av personuppgifter om det är nödvändigt för ett särskilt projekt.
Ett projekt är enligt Svenska Akademiens ordlista ett planerat arbete av större omfattning. Enligt Svensk ordbok betyder ordet projekt idé och utkast för metod att uppnå visst (större) resultat. I Nationalencyklopedin anges ett projekt vara en idé eller plan för uppnåendet av ett visst resultat och ofta även arbetet med att genomföra planen inom vissa givna ramar, t.ex. i fråga om tid och ekonomi. Uttrycket projekt kan därmed användas för att tydligt avgränsa vilken behandling som är nödvändig för en viss granskning. Projektet som helhet måste, i likhet med de enskilda undersökningarna, bedrivas i syfte att fullgöra myndighetens uppdrag.
I avsnitt 6.12 föreslås att ISF ska fastställa vissa ramar för de projekt myndigheten bedriver. Ramarna avser projektets syfte, vilka känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom projektet och genomförandetiden för projektet. Det kan dock vara aktuellt att fastställa även andra ramar, t.ex. rörande metod och resursåtgång. Genom noggranna förberedelser och planeringsarbete kan lämpliga ramar utformas.
ISF:s projekt har en central betydelse för integritetsskyddet enligt den föreslagna lagen. Genom att knyta behandlingen av personuppgifter till olika projekt kan behandlingen avgränsas och därmed begränsas på olika sätt, bl.a. i fråga om återanvändning av personuppgifter, åtkomst till personuppgifter och tid. Det bör
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
därför förtydligas vad som avses med projekt i den nya lagen. Mot bakgrund av projektets avgränsande funktion och behovet av förberedelser bör ett projekt i den föreslagna lagens mening vara en planerad arbetsinsats som genomförs inom bestämda ramar.
Genom att varje projekt ges en tydlig målbild och ramar att förhålla sig till skapas goda förutsättningar för en väl avvägd behandling av personuppgifter. De olika undersökningar som kan aktualiseras inom ramen för projektet måste ha som ändamål att besvara frågeställningar som är relevanta för den gemensamma målbilden. För att säkerställa att behandlingen av personuppgifter begränsas på ett ändamålsenligt sätt, bör behandlingen därmed ske i projekt.
Personuppgifter bör som huvudregel behandlas i det projekt de samlats in i
En viktig förutsättning för att ISF ska kunna bedriva sin verksamhet är att myndigheten får del av uppgifter för bearbetning och analyser. ISF har uppgett att myndigheten inte har behov av en egen databas eller att uppdatera samlingar av personuppgifter på det sätt som sker hos Myndigheten för arbetsmiljökunskap och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) (jfr prop. 2018/19:151 s. 32 och prop. 2011/12:176 s. 40–43). Behovet av uppgifter kan i stället tillgodoses genom att myndigheten begär in de uppgifter som behövs i varje enskilt projekt. På så sätt säkerställs också att uppgifterna är aktuella och korrekta utan att ISF måste ombesörja eventuell uppdatering och komplettering av uppgifterna.
När stora mängder personuppgifter samlas in är det viktigt att behandlingen begränsas och är förutsägbar. Det bör därför som utgångspunkt endast vara tillåtet att behandla de insamlade personuppgifterna i det projekt som de samlats in i. På så sätt blir det tydligt både för vilket ändamål uppgifterna samlas in och hur länge uppgifterna kommer att behandlas (jfr avsnitt 6.16). Det begränsar också tillgången till personuppgifterna, både i fråga om antal personer och tid. Tillgång till personuppgifter som behandlas i ett projekt bör i huvudsak endast medges personer som arbetar i det aktuella projektet under den tid projektet pågår (avsnitt 6.15). Dessutom begränsas myndighetens möjlighet att söka och bearbeta
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
personuppgifter som finns i verksamheten till att avse sådana uppgifter som behandlas inom ramen för aktuellt projekt.
En begränsning av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begränsning av finalitetsprincipens tillämplighet. Begränsningen utgör en skyddsåtgärd som är tillåten att införa i den föreslagna lagen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning.
I vissa fall kan det vara relevant att upprepa eller följa upp ett tidigare genomfört projekt. Tidigare underlag kan då behövas som utgångspunkt för arbetet eller för jämförande studier. Det kan således finnas behov av att behandla personuppgifter som samlats in i det tidigare genomförda projektet. Eftersom personuppgifter som direkt kan hänföras till den registrerade ska separeras från övriga personuppgifter, är en eventuell återanvändning av uppgifter dock ofta avhängig tillgång till kodnyckel. I många fall har kodnyckeln skapats hos den myndighet som lämnat uppgifterna till ISF, t.ex. Försäkringskassan eller SCB. Dessa myndigheter gallrar nyckeln utifrån de regler som gäller för den egna myndigheten. När ISF skapar en kodnyckel, ska den raderas när det inte längre är tillåtet att bevara den enligt EU:s dataskyddsförordning (avsnitt 6.16). Även utan kodnyckel kan det dock vara värdefullt att jämföra registeruppgifter och tidigare resultat med uppgifter i en upprepande eller uppföljande granskning. Registeruppgifterna kan utgöra personuppgifter mot bakgrund av möjligheten att bakvägsidentifiera den registrerade.
Eftersom möjligheterna att koppla tidigare insamlade personuppgifter till nya uppgifter begränsas av både praktiska omständligheter och skyddsåtgärder, har personuppgifter sällan ett faktiskt användningsområde i ett annat projekt än det de samlats in i. Det får dock anses motiverat att myndigheten, i den mån det ändå kan konstateras ett behov, kan vidarebehandla personuppgifter om det är nödvändigt för att upprepa eller följa upp ett tidigare projekt eller del av projekt. Att i sådana situationer kräva att myndigheten på nytt ska inhämta personuppgifter som den redan har samlat in i ett annat projekt skulle vara ineffektivt och onödigt betungande för såväl ISF som uppgiftslämnande myndigheter och enskilda. Eftersom avsikten är att ta tidigare resultat vidare i en kompletterande granskning, bör ändamålen för behandlingarna oftast ligga relativt nära varandra. Vidarebehandlingen bör därmed i de flesta fall vara
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
förenlig med finalitetsprincipen (artikel 5.1 b i EU:s dataskyddsförordning).
När personuppgifter vidarebehandlas i ett nytt projekt blir samtliga skyddsåtgärder enligt den föreslagna lagen tillämpliga. Vidarebehandlade personuppgifter ska alltså behandlas på samma sätt som personuppgifter som samlas in från externa aktörer till ett projekt.
Sammantaget bör personuppgifter som samlats in i ett projekt som huvudregel inte få behandlas i ett annat projekt. Personuppgifter bör dock få behandlas i ett annat projekt än det de samlats in i om behandlingen är nödvändig för att ISF ska kunna helt eller delvis upprepa eller följa upp det tidigare projektet.
Undantag för omvärldsbevakning och planering av verksamheten
ISF utför omvärldsbevakning löpande och utan föregående planering eller förberedelse. Det kan handla om att myndighetens medarbetare läser domar, beslut, nyhetsbrev, artiklar, publicerade rapporter, litteratur och liknande. Sådant material kan också samlas i ett e-bibliotek. Syftet med omvärldsbevakning är att bevaka utvecklingen på de områden som ryms inom myndighetens uppdrag. Bevakningen är nödvändig för medarbetarnas kompetensutveckling och för att inhämta uppslag till nya granskningar. Myndigheten bör därför ha möjlighet att samla in och behandla sådant material löpande utan att det finns en koppling till ett specifikt projekt.
Planering av verksamheten äger rum innan myndigheten inleder ett projekt. Planeringen skapar förutsättningar för att arbete senare ska kunna ske i projektform. Det är därför inte möjligt att kräva att planering av verksamheten ska ske i projektform.
Behandling som undantas från projektkravet kommer även att undantas från övriga föreslagna skyddsåtgärder som är knutna till projektramen. Det medför en ökad risk för intrång i den personliga integriteten. Det kan dock sällan anses nödvändigt att behandla stora mängder personuppgifter för omvärldsbevakning och planering av verksamheten. Syftet med sådan verksamhet är att inhämta kunskap och att få uppslag till granskningar. Det handlar därför snarare om att göra stickprov än om att göra breda analyser. Enligt förslag i avsnitt 6.14 ska dessutom personuppgifter som kan hänföras direkt
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
till den registrerade som huvudregel separeras från övriga personuppgifter. Ofta bör det vara möjligt att använda avidentifierade uppgifter eller statistikuppgifter vid omvärldsbevakning och planering. Riskerna för den personliga integriteten bedöms därmed inte vara så omfattande att behandling av personuppgifter i dessa fall bör kopplas till ett projekt. Behandling av personuppgifter för omvärldsbevakning och planering av verksamheten bör sammantaget undantas från kravet på att all behandling av personuppgifter ska ske i projekt.
6.12. Fastställande av ramar för projekt
Förslag: Innan personuppgifter behandlas i ett projekt, ska
Inspektionen för socialförsäkringen fastställa syftet med projektet, vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som ska analyseras inom ramen för projektet och när projektet senast ska vara avslutat. Det fastställda syftet ska inte få ändras.
Information om vad som har fastställts ska hållas tillgänglig på ISF:s webbplats.
Skälen för förslaget
Projektets ramar bör fastställas
Behandling av personuppgifter i ett projekt bör ske inom vissa, på förhand angivna, ramar. För att dessa ramar ska bli tydliga, bör det i lagen införas ett formellt krav på att ISF ska fastställa vissa förutsättningar för varje projekt. Genom ett formaliserat förfarande säkerställs en tydlig dokumentation och risken för slentrianmässig behandling minskar. Dokumentationen kan också ge stöd för myndigheten vid bedömningen av om en konsekvensbedömning avseende dataskydd behöver upprättas (artikel 35.1 i EU:s dataskyddsförordning).
I första hand bör målbilden för projektet klargöras genom att syftet med projektet fastställs. Det är viktigt att målbilden är tydlig innan personuppgifter samlas in, eftersom även ändamål för behandlingen av personuppgifter ska fastställas och dessa ändamål
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
ska knytas till syftet med projektet. Syftet med projektet utgör den yttersta ramen för möjliga ändamål för behandlingen av personuppgifter i projektet. När syftet har fastställts bör det inte få ändras, eftersom syftet är helt avgörande för projektets avgränsning och de ramar som fastställs i övrigt. Om syftet skulle ändras, skulle det helt enkelt inte längre röra sig om samma projekt och då har förutsebarheten helt gått förlorad.
I samband med att syftet med ett projekt fastställs, bör myndigheten också, i likhet med vad som gäller vid en etikprövning av ett forskningsprojekt, redan från början avgöra om känsliga personuppgifter och uppgifter om lagöverträdelser behöver behandlas inom ramen för projektet (jfr 3 och 6 §§ lagen om etikprövning av forskning som avser människor). Om projektet ska avse en sjukförsäkringsförmån och det planeras en aktgranskning, är det t.ex. redan från början möjligt att förutse ett behov av behandling av känsliga personuppgifter om hälsa. Om projektet ska avse uttag av föräldrapenning och behandla aspekten samkönade par, bör det på motsvarande sätt vara möjligt att förutse behovet av behandling av känsliga personuppgifter om sexuell läggning. Redan i dag gör ISF en övergripande bedömning av vilka undersökningar som är nödvändiga att genomföra och vilka personuppgifter som är nödvändiga att behandla för ändamålet innan en projektplan beslutas. På så sätt anges en ram för behandlingen, vilket medför tydlighet och transparens.
Det är inte möjligt att helt förutse vilka personuppgifter som kan komma att behandlas inom ramen för en aktgranskning eller ett intervjuförfarande. Behandlingen kan även komma att omfatta känsliga personuppgifter som inte behöver analyseras av ISF men som behandlas tillsammans med sådana uppgifter som behöver analyseras (jfr avsnitt 6.7). När det inte är möjligt att på förhand avgöra om vissa känsliga personuppgifter kan komma att behandlas, bör det inte krävas att de ingår i den angivna ramen för projektet. Det bör därför endast vara sådana känsliga personuppgifter som ska analyseras inom ramen för projektet som behöver fastställas. Att uppgifterna ska analyseras bör innebära att myndigheten ska bearbeta, systematisera, strukturera och utifrån en analysmodell eller liknande använda uppgifterna i syfte att se samband, göra jämförelser och dra slutsatser.
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
Uttrycket personuppgifter om lagöverträdelser bör avse samma uppgifter som avses i etikprövningslagen, dvs. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Uppgifter om administrativa frihetsberövanden omfattas inte av någon särskild reglering enligt EU:s dataskyddsförordning (jfr artikel 10) men eftersom sådana uppgifter förutsätter en etikprövning är det viktigt att de utgör en del av den fastställa ramen för projektet.
Ytterligare en ram för behandlingen av personuppgifter i ett projekt är tidsaspekten. Behandling av personuppgifter som pågår under lång tid är mer känslig än behandling som relativt snart kan avslutas. För att behandling av personuppgifter inte ska dra ut onödigt långt i tid, bör ISF redan innan behandlingen påbörjas fastställa när projektet senast ska vara avslutat.
Projektets syfte, kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser samt tidsramarna för projektet bör ha fastställts innan personuppgifter behandlas i projektet. Utgångspunkten bör vara att det som fastställts när projektet inleds ska gälla under hela projektet, för att i möjligaste mån skapa förutsebarhet för den registrerade. Om förutsättningarna ändras under arbetets gång, bör myndigheten dock kunna fastställa fler kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras samt justera tidsramen. Syftet för projektet bör, i enlighet med vad som angetts ovan, inte få ändras efter att det fastställts.
Information om projekt bör publiceras på myndighetens webbplats
För att öka transparensen och ge registrerade, allmänheten, tillsynsmyndigheten och aktörer som lämnar uppgifter till ISF möjlighet att ta del av information om de behandlingar av personuppgifter som myndigheten företar, bör det införas en skyldighet för ISF att hålla information om myndighetens projekt tillgänglig. Redan i dag publicerar ISF information om pågående projekt på sin webbplats. Den informationen avser främst projektens syfte, bakgrunden till olika projekt samt tidsplan. Ur ett integritetsperspektiv är även information om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser relevant att ta del av. Eftersom myndig-
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
heten ska fastställa varje projekts syfte, vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som ska analyseras inom ramen för projektet samt tidsramarna för projektet, finns information om detta tillgänglig hos myndigheten. Informationen bör enkelt kunna sammanställas för publicering. Genom publiceringen görs informationen om myndighetens personuppgiftsbehandlingar enkelt tillgänglig för var och en. Med beaktande av att ISF behandlar stora mängder integritetskänsliga uppgifter är det viktigt att myndigheten är transparent i sin verksamhet. Det bör därför införas ett krav i lagen på att ISF på sin webbplats ska hålla information tillgänglig om alla projekt som myndigheten bedriver. Informationen ska omfatta fastställt syfte med projektet, vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som ska analyseras inom ramen för projektet, och när projektet senast ska vara avslutat. Skyldigheten att hålla information tillgänglig avser att komplettera skyldigheten att lämna information enligt artikel 13 och 14 i EU:s dataskyddsförordning men inte att ersätta den.
6.13. Medgivande till behandling av personuppgifter
Förslag: Om personuppgifter samlas in direkt från den enskilde,
ska de få behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.
Den registrerade ska ha rätt att när som helst återkalla ett lämnat medgivande. Den behandling av personuppgifter som omfattas av det återkallade medgivandet ska då upphöra. Behandlingen får dock fortsätta om Inspektionen för socialförsäkringen inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter.
Skälen för förslaget: Det förekommer att ISF samlar in uppgifter
till undersökningar genom intervju- och enkätförfaranden. Personuppgifter samlas då in direkt från den enskilde. Det ligger i sakens natur att samtycke i praktiken normalt är en förutsättning för insamling av uppgifter genom för deltagarna frivilliga enkäter eller intervjuer. ISF intervjuar dock ofta tjänstemän på bl.a. Försäkringskassan och Pensionsmyndigheten. Eftersom tjänstemännen svarar
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
på frågor från ISF på uppdrag av sin arbetsgivare, kan det ifrågasättas om de helt frivilligt lämnar uppgifter.
Samtycke bör inte utgöra en rättslig grund för ISF:s insamling av personuppgifter direkt från den enskilde. I likhet med övrig behandling av personuppgifter som ISF utför med anledning av sin tillsyns- och granskningsverksamhet bör behandlingen vara nödvändig för en uppgift av allmänt intresse (avsnitt 6.6.1). Ett samtycke kan dock utgöra en integritetshöjande åtgärd, vars syfte är att ge uppgiftslämnaren ökat inflytande över behandlingen av uppgifterna. Ett sådant samtycke kan användas även i ojämlika situationer, t.ex. när samtycket inhämtas från en enskild av en myndighet (jfr prop. 2017/18:171 s. 140). Genom att det ställs krav på samtycke, blir det tydligt för uppgiftslämnaren att denne kan välja om han eller hon vill lämna uppgifter till ISF. Detta gäller även när en tjänsteman på en myndighet lämnar uppgifter. Samtycke som integritetshöjande åtgärd används också ofta av Etikprövningsnämnden som en förutsättning för personuppgiftsbehandling i forskningsprojekt. Det är därför lämpligt att kräva samtycke när uppgifter samlas in direkt från den registrerade. Bestämmelser om integritetshöjande samtycke är sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i förordningen (prop. 2017/18:171 s. 141).
Samtycket bör vara uttryckligt, vilket bör ha motsvarande innebörd som i artikel 9.2 a i EU:s dataskyddsförordning. Kravet på att samtycket ska vara uttryckligt kan uppfyllas genom att samtycket t.ex. lämnas skriftligen, i ett elektroniskt formulär, i ett e-postmeddelande med en elektronisk underskrift eller i vissa fall muntligen (jfr EDPB riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1. antagna den 4 maj 2020, s. 21). För att den integritetshöjande åtgärden inte ska uppfattas som den rättsliga grunden för behandlingen av personuppgifter bör ordet medgivande användas i stället för ordet samtycke.
Ett medgivande bör kunna återkallas. Ett återkallat medgivande bör innebära att de personuppgifter som omfattas av det återkallade medgivandet inte längre får behandlas. Uppgiftslämnaren får således möjlighet att återkomma till ISF och begära att uppgifterna raderas.
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
Återkallandet bör dock inte påverka tillåtligheten av sådan behandling som skett innan medgivandet återkallades. Konsekvensen av att återkalla ett lämnat medgivande blir därmed densamma som när ett samtycke återkallas enligt artikel 7.3 i EU:s dataskyddsförordning. Det är endast sådana personuppgifter som omfattas av det återkallade medgivandet som inte längre får behandlas. Om medgivandet endast delvis återkallas, t.ex. om uppgiftslämnaren ångrar att han eller hon lämnat vissa uppgifter men kan tänka sig att ISF även fortsättningsvis behandlar övriga lämnade uppgifter, behöver ISF således inte upphöra med behandlingen av de övriga uppgifterna. På så sätt ges den registrerade ökad kontroll både över uppgiftslämnande och ISF:s fortsatta behandling.
I avsnitt 6.4 föreslås att rätten att göra invändningar ska gälla när personuppgifterna samlas in direkt från den registrerade. När rätten att göra invändningar tillämpas får det samma effekt som när ett medgivande återkallas, eftersom behandlingen av personuppgifter då ska upphöra. En invändning kan dock göras först när personuppgifter behandlas, medan ett medgivande ska lämnas redan innan behandlingen. En invändning leder inte heller alltid till att behandlingen av personuppgifter upphör. Om behandlingen sker för forskningsändamål eller om ISF:s skäl för behandlingen väger tyngre än den registrerades, kan behandlingen fortsätta trots invändning. Rätten att göra invändningar kan därför inte ersätta ett krav på medgivande och en möjlighet att återkalla medgivandet. Genom att krav på medgivande regleras separat från bestämmelsen om undantaget från rätten att göra invändningar minskar risken för att de olika bestämmelserna blandas ihop (jfr prop. 2017/18:112 s. 53).
I avsnitt 6.14 föreslås att ISF ska förvara personuppgifter som direkt kan hänföras till den registrerade separat från övriga personuppgifter. Redan i dag transkriberar myndigheten inspelade intervjuer och behåller i samband med detta inte kopplingen till individerna. Det innebär att det kan vara svårt att återfinna lämnade uppgifter om den registrerade återkallar sitt medgivande efter att en intervju transkriberats. Då bör ISF, i likhet med vad som gäller enligt artikel 11 i EU:s dataskyddsförordning, inte behöva behandla ytterligare information i syfte att identifiera den registrerade. Eftersom bestämmelserna i EU:s dataskyddsförordning inte gäller integritetshöjande åtgärder som införs i nationell rätt, bör detta uttryckas i lagen. Som en följd av att ISF inte behöver behandla ytterligare
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
information i syfte att identifiera den registrerade blir det i praktiken endast behandling av sådana uppgifter som kan hänföras till den registrerade som kommer att upphöra vid ett återkallat medgivande.
Sammanfattningsvis bör personuppgifter som samlas in direkt från den enskilde få behandlas endast om den enskilde har lämnat medgivande till behandlingen. Den registrerade bör när som helst kunna återkalla ett lämnat medgivande, varvid behandling av de personuppgifter som omfattas av det återkallade medgivandet bör upphöra. Fortsatt behandling bör dock vara tillåten om ISF inte utan att bevara, förvärva eller behandla ytterligare personuppgifter kan hänföra uppgifterna till den registrerade.
6.14. Begränsning av möjligheterna att identifiera den registrerade
Förslag: Personuppgifter som direkt kan hänföras till den
registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade ska dock få behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.
Personuppgifter som inte direkt kan hänföras till den registrerade ska få vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning.
Skälen för förslaget
Personuppgifter som direkt kan hänföras till den registrerade ska som huvudregel förvaras separat från övriga personuppgifter
Behandling av personuppgifter som direkt kan hänföras till den registrerade är förenad med större integritetsrisker än behandling av personuppgifter som endast genom kompletterande uppgifter kan kopplas till den registrerade. Genom pseudonymisering eller kryptering av personuppgifterna är det därmed möjligt att minska riskerna för de registrerade och bidra till att säkerställa en tillräcklig
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
skyddsnivå (skäl 28 och 83 i EU:s dataskyddsförordning). Både pseudonymisering och kryptering tillgodoser principen om uppgiftsminimering enligt artikel 5.1 c i EU:s dataskyddsförordning samt bidrar till att uppfylla principen om integritet och konfidentialitet enligt artikel 5.1 f. Pseudonymisering och kryptering nämns också i artikel 32.1 i EU:s dataskyddsförordning som sådana tekniska och organisatoriska åtgärder som ska säkerställa en lämplig säkerhetsnivå vid behandling av personuppgifter. Därutöver reducerar pseudonymisering och kryptering behandlingen av uppgifter om personnummer och samordningsnummer. Sådana uppgifter får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (artikel 87 i EU:s dataskyddsförordning och 3 kap. 10 § dataskyddslagen).
Pseudonymisering är enligt definitionen i EU:s dataskyddsförordning behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person (artikel 4.5). Definitionen ställer därmed krav på att all information som direkt kan identifiera en person ersätts med en pseudonym, t.ex. ett löpnummer. Utöver detta bör det krävas att annan information som kan användas för att indirekt identifiera personen hanteras så att detta inte längre är möjligt. ISF behandlar stora mängder personuppgifter i olika variabler. Variabler rörande exempelvis kön, bostadsort och diagnos kan alltså behöva tas bort, om de möjliggör bakvägsidentifiering.
EU:s dataskyddsförordning innehåller ingen definition av vad som ska anses utgöra kryptering. Med kryptering avses dock vanligtvis att genom användning av ett kodsystem eller ett chiffer kasta om bokstäver och siffror och därigenom göra en text oläslig. För att göra informationen läslig igen krävs dekryptering, som förutsätter tillgång till kodsystemet eller chiffret. Det är vanligt att känslig information krypteras när den skickas elektroniskt.
ISF har ett begränsat behov av att behandla personuppgifter som direkt kan hänföras till den registrerade. Uppgifter som namn,
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
personnummer och samordningsnummer har inte något värde i myndighetens analysarbete och bör så långt det är möjligt inte vara tillgängliga i klartext i det underlag som myndigheten baserar sina undersökningar på. Sammansättning av olika variabler är dock viktig i ISF:s granskningsarbete. Genom att utgå från flera olika variabler är det möjligt att undersöka hur olika grundförutsättningar påverkar exempelvis nyttjandet av socialförsäkringen. Eftersom det inte är möjligt att i förväg helt förutse om en kombination av variabler kan komma att medge bakvägsidentifiering kan det vara svårt för ISF att uppnå full pseudonymisering. Med hänsyn till att det saknas en legaldefinition av vad som ska anses utgöra kryptering och den föreslagna lagen bör hållas teknikneutral, bedöms det inte heller lämpligt att införa ett krav på kryptering av personuppgifter. Det finns dock inget som hindrar ISF från att använda pseudonymisering och kryptering i de fall myndigheten bedömer detta vara lämpligt. Det bör också vara möjligt att använda alternativa skyddsåtgärder som ger ett likartat skydd.
Som framgår av avsnitt 3 kan ISF, framför allt vid registerstudier, få löpnummerbaserade uppgifter från bl.a. Försäkringskassan och SCB. Kodnyckeln behålls hos den utlämnande myndigheten. Då behöver ISF över huvud taget inte hantera personuppgifter som direkt kan hänföras till den registrerade. Ett sådant tillvägagagångssätt är i linje med principen om uppgiftsminimering i EU:s dataskyddsförordning (artikel 5.1 c) och ISF bör därför använda sig av det när det är möjligt. Dessutom får personnummer och samordningsnummer enligt 3 kap. 10 § dataskyddslagen behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. ISF kan dock inte kräva att den utlämnande myndigheten ska ersätta direkta personuppgifter med löpnummer och hanteringen är därför beroende av den utlämnande myndighetens förmåga och bistånd. I vissa fall kan ISF också själv ha behov av att koppla ihop uppgifter från flera olika myndigheter och enskilda. Det kan då vara nödvändigt att hantera personnummer och samordningsnummer. Det är därför inte möjligt att kräva att ISF endast behandlar löpnummerbaserade uppgifter. För att i så stor utsträckning som möjligt förhindra behandling av personuppgifter som direkt kan hänföras till den registrerade, bör dock ISF separera
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
sådana personuppgifter från övriga personuppgifter. Detta kan ske genom olika tekniska och organisatoriska åtgärder.
Enligt förslaget i avsnitt 6.15 ska tillgången till personuppgifter begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Om ett projekt inte omfattar akt-, enkät- eller intervjustudier, torde medarbetarnas behov av att ha tillgång till direkta personuppgifter vara mycket litet. Genom att uppgifterna hålls separerade kan tillgången begränsas. Uppgifterna bör därför separeras så snart som möjligt när uppgifterna kommer in till myndigheten.
Om det med hänsyn till ändamålet med behandlingen av personuppgifter kan konstateras behov av att senare koppla de separerade uppgifterna till varandra, t.ex. för att samköra uppgifter som kommer från olika källor, bör detta vara möjligt. Personuppgifter som inte direkt kan hänföras till den registrerade bör därför få vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning. En sådan beteckning kan t.ex. vara ett löpnummer. Genom kompletterande uppgifter i form av en kodnyckel, som beskriver relationen mellan t.ex. personnummer och löpnummer, är det möjligt att koppla uppgifterna till varandra. Innan uppgifter som direkt kan hänföras till den registrerade separeras från övriga personuppgifter, bör myndigheten således koda uppgifterna och skapa en kodnyckel.
Det bör särskilt noteras att uppgifter som genom en kodnyckel kan hänföras till den registrerade är personuppgifter. Myndigheten bör således hålla kodnyckeln med direkt hänförliga personuppgifter skild från övriga personuppgifter. Tillgången till kodnyckeln begränsas genom förslaget i avsnitt 6.15.
Genom den föreslagna hanteringen skapas ett krav på en begränsad form av pseudonymisering och kryptering. Det finns en återstående risk för bakvägsidentifiering av individer i analysmaterial även om det inte innehåller direkt hänförliga personuppgifter, särskilt när stora mängder uppgifter behandlas i materialet. Det skulle t.ex. kunna vara fallet om uppgifter om en mycket ovanlig diagnos behandlas i kombination med uppgifter om kön, bostadsort och ålder. Risken för detta bedöms dock vara låg. Att personuppgifter som direkt kan hänföras till den registrerade förvaras separat borgar därför för ett gott skydd för personuppgifterna,
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
eftersom det avsevärt minskar möjligheterna att identifiera de registrerade.
Sammantaget bör det i lagen införas ett krav på att personuppgifter som direkt kan hänföras till den registrerade som huvudregel förvaras separat från övriga personuppgifter. Personuppgifter som inte direkt kan hänföras till den registrerade bör få vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning. Kravet utgör en sådan skyddsåtgärd som det enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning är tillåtet att införa i nationell lagstiftning.
Undantag vid oproportionerlig ansträngning eller om syftet motverkas
I vissa fall kan en separering av personuppgifter som direkt kan hänföras till den registrerade från övriga personuppgifter kraftigt försvåra eller i det närmaste omöjliggöra ISF:s arbete. Vid exempelvis aktstudier hämtar ISF in kompletta ärendeakter för granskning. Eftersom ärendeakter innehåller många direkta personuppgifter är det oundvikligt att ISF behandlar sådana personuppgifter. Att separera personuppgifter som direkt kan hänföras till den registrerade från övriga uppgifter när det rör sig om stora mängder ärendeakter, skulle i dagsläget medföra en mycket omfattande arbetsinsats eftersom det måste ske manuellt. Det skulle också förutsätta en noggrann genomgång av akterna, vilket i sig skulle utgöra en mycket integritetskänslig hantering. En sådan arbetsinsats kan, i synnerhet med hänsyn till den tveksamma vinsten ur integritetshänseende, inte anses proportionerlig.
I andra fall kan kravet på separering av uppgifter motverka syftet med behandlingen. Vid exempelvis intervju- och enkätstudier måste ISF i ett inledande skede hantera kontaktuppgifter till de registrerade för att bl.a. bestämma tid för intervju och för att kunna skicka ut enkäter. Det skulle också motverka syftet med behandlingen om uppgifter om namn inte skulle kunna hanteras i ebibliotek, källhänvisningar i myndighetens rapporter och liknande.
För att kravet på separering inte ska förhindra sitt eget syfte bör det således finnas möjlighet till undantag. Ett sådant undantag bör gälla om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen. Möjligheten
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
till undantag bör bedömas i förhållande till varje enskild behandling. Även om det bedöms medföra en oproportionerlig arbetsinsats att separera personuppgifter i ärendeakter bör exempelvis inte all behandling av personuppgifter som ingår i akter omfattas av undantaget. När personuppgifter som ingår i ärendeakter registreras in i särskilda analysverktyg, använder ISF redan i dag löpnummer i stället för direkta personuppgifter. I det fallet kan det således inte anses medföra en oproportionerlig arbetsinsats att separera personuppgifter som direkt kan hänföras till den registrerade från övriga personuppgifter. När granskningen är slutförd bör kopplingen till ärendeakten tas bort varvid resultatet från aktgranskningen kan baseras helt på löpnummer.
Sammanfattningsvis bör det införas ett undantag till den föreslagna huvudregeln om att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Undantaget bör ha innebörden att uppgifterna får behandlas tillsammans om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.
6.15. Begränsning av tillgången till personuppgifter
Förslag: Tillgången till personuppgifter ska begränsas till det som
var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Skälen för förslaget: Personuppgiftsansvariga är enligt EU:s
dataskyddsförordning skyldiga att vidta tekniska eller organisatoriska åtgärder för att säkerställa lämplig säkerhet för personuppgifterna, inbegripet bl.a. skydd mot obehörig eller otillåten behandling. I artikel 5.1 c uttrycks den grundläggande principen att personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering). Enligt artikel 24.1 ska den personuppgiftsansvarige, med beaktande av bl.a. behandlingens art, omfattning, ändamål och riskerna, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Enligt artikel 25.2 ska den personuppgiftsansvarige också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål för behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för dess lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer. Enligt artikel 32 i EU:s dataskyddsförordning har den personuppgiftsansvarige vidare en skyldighet att se till att en lämplig säkerhetsnivå för behandlingen av personuppgifter upprätthålls. Detta ska ske bl.a. genom lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvariges skyldigheter i detta avseende återfinns även i de allmänna principer för personuppgiftsbehandling som framgår av artikel 5.1 f. Det följer således av EU:s dataskyddsförordning att den personuppgiftsansvarige är skyldig att på olika sätt begränsa tillgången till personuppgifter. Mer specifika krav på att vidta åtgärder kan fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör (prop. 2017/18:171 s. 138).
ISF behandlar en stor mängd personuppgifter, varav många är känsliga personuppgifter eller i övrigt integritetskänsliga uppgifter. Vem som har rätt att ta del av uppgifterna och hur uppgifterna sprids är omständigheter som påverkar risken för intrång i den personliga integriteten. Det är därför viktigt att motverka spridning av uppgifterna. För att minska risken för obefogade intrång i den personliga integriteten vid ISF:s behandling av personuppgifter bör det därför införas en bestämmelse som begränsar den krets av personer som får ha tillgång till personuppgifter.
Tillgången till personuppgifter kan begränsas på olika sätt. Det kan handla om både tekniska och organisatoriska åtgärder. Vilka åtgärder som är lämpligast beror bl.a. på vilka tekniska möjligheter myndigheten har och hur myndighetens organisation ser ut. Nya it-system ger ofta ökade möjligheter att skräddarsy och begränsa olika roller i systemen. Ju mer information det finns i ett it-system, desto större krav ställs på behörighetstilldelningen och rutinerna för
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
behörighetsstyrning. Det framstår därför inte som ändamålsenligt att reglera vilka konkreta åtgärder som ska vidtas för att begränsa tillgången.
ISF behandlar personuppgifter för att kunna utföra sitt uppdrag att utöva systemtillsyn och utföra effektivitetsgranskning. I förlängningen utförs uppdraget av myndighetens medarbetare, som följaktligen behöver ha tillgång till personuppgifter för att kunna utföra sitt arbete. Den enskilde medarbetaren bör dock inte ha tillgång till fler personuppgifter än vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter.
I 1 kap. 11 § förslag till lag om behandling av personuppgifter vid Utbetalningsmyndigheten (prop. 2022/23:34), 2 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 7 § kriminalvårdsdatalagen anges att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Detta utgör en rimlig och naturlig avvägning mellan effektivitet och integritet. Samma begränsning bör gälla för ISF.
En behovsbaserad tillgång till personuppgifter förutsätter att myndigheten aktivt tar ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och att nödvändig behörighet tilldelas utifrån det. Det blir då tjänsteåliggandena och inte den faktiska möjligheten att ta del av uppgifter som anger den yttersta ramen för den egentliga behörigheten. I detta sammanhang är brottet dataintrång av betydelse. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling under vissa förutsättningar ska dömas för dataintrång till böter eller fängelse i högst två år (4 kap. 9 c § brottsbalken). Bestämmelsen förutsätter inte att den som olovligen berett sig tillgång till en upptagning haft något särskilt syfte med intrånget för att gärningen ska vara straffbar. Vad som beläggs med straff är alltså bl.a. själva intrånget i en upptagning. Avgörande för om någon anställd eller av annan anledning verksam inom myndigheten kan bedömas ha olovligen berett sig tillgång till uppgifter bör vara om det skett inom ramen för dennes behörighet, dvs. den rättsligt betingade rättigheten att ta del av uppgifter eller inte (jfr RH 2000:90). Detta förhållande talar för att tilldelningen av behörighet bör ske under sådana former att det otvetydigt kan konstateras dels vilken behörighet som tilldelats en person, dels att denne faktiskt tagit del av och förstått innebörden
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
av tilldelningen av behörigheten och de däri angivna ramarna för behörigheten.
Den personuppgiftsansvarige ska enligt artikel 24 och 32 i EU:s dataskyddsförordning bl.a. säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Myndigheter ska dessutom enligt myndighetsförordningen löpande följa upp sina verksamheter i syfte att se till att de bedrivs effektivt och lagenligt. Det kan därför hävdas att en skyldighet att regelbundet kontrollera och följa upp åtkomsten av personuppgifter redan följer av befintlig reglering. Med anledning av den stora mängden personuppgifter som ISF hanterar, bedöms det dock lämpligt att det i den föreslagna lagen uttryckligen anges att åtkomsten till personuppgifter regelbundet ska kontrolleras och följas upp. Liknande regleringar finns i andra registerförfattningar, t.ex. 1 kap. 11 § förslag till lag om behandling av personuppgifter vid Utbetalningsmyndigheten (prop. 2022/23:34) och 1 kap. 9 § andra stycket studiestödsdatalagen. Det bör vara upp till myndigheten att närmare bestämma formerna för kontrollen och uppföljningen men den bör exempelvis kunna ske genom uppföljning av loggar. Kontroll och uppföljning bör genomföras regelbundet, dvs. systematiskt och återkommande, och inte endast om myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit.
Sammanfattningsvis bör tillgången till personuppgifter vid ISF begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter bör kontrolleras och följas upp regelbundet.
6.16. Längsta tid som personuppgifter får behandlas
Bedömning: Det bör inte införas en bestämmelse om gallring
eller längsta tid för behandling av personuppgifter i lagen.
Skälen för bedömningen: Enligt artikel 5.1 e i EU:s dataskydds-
förordning får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under en längre period i den
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
mån uppgifterna enbart behandlas för arkivändamål av allmänt intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i EU:s dataskyddsförordning. Det gäller dock under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt EU:s dataskyddsförordning genomförs för att garantera den registrerades fri- och rättigheter.
I arkivlagen (1990:782) och arkivförordningen (1991:446) finns bestämmelser om bevarande av uppgifter hos myndigheter och vissa andra organ. Utgångspunkten i arkivlagen är att allmänna handlingar ska bevaras men under vissa förutsättningar får gallras. Vid gallring ska dock alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, och forskningens behov (10 § arkivlagen). Medan utgångspunkten i EU:s dataskyddsförordning är att uppgifter inte ska behandlas längre än det behövs för ändamålet, bygger alltså utgångspunkten i det arkivrättsliga regelverket på tanken att uppgifter ska bevaras. Gallring enligt det arkivrättsliga regelverket syftar till att begränsa arkivens omfattning, bl.a. för att öka deras tillgänglighet, medan lagringsminimering enligt det dataskyddsrättsliga regelverket syftar till att skydda enskildas personliga integritet.
Enligt dataskyddslagen ska EU:s dataskyddsförordning inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (1 kap. 7 §). Arkivlagstiftningen har således i fråga om allmänna handlingar företräde framför bestämmelser om bevarandetid i EU:s dataskyddsförordning. Fortsatt behandling för arkivändamål är tillåten i enlighet med artikel 5.1 e i EU:s dataskyddsförordning och kräver inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (skäl 50). Arkivlagens bestämmelser om gallring är dock subsidiära i förhållande till annan lagstiftning och tidigare har det ofta införts gallringsbestämmelser i myndighetsspecifika registerförfattningar. Sådana bestämmelser har motiverats av skäl som hänför sig till skydd för den personliga integriteten men har trots detta en arkivrättslig innebörd.
I förarbetena till brottsdatalagen bedömde regeringen att uttrycken bevarande och gallring enbart bör användas i den
Ds 2023:13 En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
betydelse de har i arkivlagstiftningen för att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter (prop. 2017/18:232 s. 164). Vid anpassningen av lagstiftning som kompletterar brottsdatalagen uttalade regeringen att regleringen bör ange den yttersta gränsen för hur länge personuppgifterna får behandlas när syftet med bestämmelserna är att skydda den personliga integriteten (prop. 2017/18:269 s. 120 och 121). Orden bevarande och gallring används därför inte i t.ex. brottsdatalagen eller lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, om inte arkivrättsliga regler avses.
Förändringen har delvis fått genomslag även i lagstiftning som kompletterar EU:s dataskyddsförordning. Bestämmelser om längsta tid finns i t.ex. 20 § lagen (2021:319) om Transportstyrelsens olycksdatabas, 7 kap. 8 § lagen (2021:890) om skydd för personer som rapporterar om missförhållanden och 4 kap. förslag till lag om behandling av personuppgifter vid Utbetalningsmyndigheten (prop. 2022/23:34).
Den nu föreslagna lagen avser behandling av personuppgifter. Syftet med samtliga begränsande bestämmelser är att skydda den personliga integriteten. Av samma skäl som regeringen tidigare valt att inte införa gallringsbestämmelser i lagar som kompletterar EU:s dataskyddsförordning bör det inte heller i den föreslagna lagen införas en bestämmelse om gallring.
Uttryckliga tidsgränser för när personuppgifter ska upphöra att behandlas kan göra det mer tydligt för såväl den registrerade som för den berörda myndigheten att överblicka hur länge personuppgifter får behandlas. I avsnitt 6.6.2 och 6.12 föreslås dock att lagens ändamål ska anges på en rambetonad nivå och att myndigheten själv ska fastställa syfte respektive ändamål för projekt och enskilda undersökningar. Det blir därför upp till myndigheten att konkretisera ändamålet för varje behandling inom ramen för det i lagen föreslagna ändamålet. Så länge ändamålet med behandlingen inte har konkretiserats, är det inte möjligt att avgöra hur länge det är nödvändigt att behandla personuppgifter med hänsyn till ändamålet. Detta måste avgöras från fall till fall med hänsyn till vilka uppgifter och vilket projekt det handlar om. Det kan därför inte anses ändamålsenligt att föreslå mer konkreta tidsgränser än sådana som bygger på principen om lagringminimering i artikel 5.1 e i EU:s dataskyddsförordning. Eftersom det följer direkt av EU:s
En lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen Ds 2023:13
dataskyddsförordning att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, saknas det också anledning att införa en sådan bestämmelse i lagen.
7. Samlad integritets- och proportionalitetsanalys
7.1. Krav på proportionalitet
Bedömning: Den personuppgiftsbehandling som möjliggörs av
den föreslagna lagen utgör en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt Europeiska unionens stadga om de grundläggande rättigheterna. Förslaget är förenligt med kravet på proportionalitet i EU:s dataskyddsförordning.
Skälen för bedömningen
Några utgångspunkter vid bedömningen av hur förslaget påverkar den personliga integriteten
I avsnitt 5 konstateras att den behandling av personuppgifter som Inspektionen för socialförsäkringen (ISF) behöver utföra, och som möjliggörs genom den föreslagna lagen, i vissa fall kan innebära ett betydande intrång i den enskildes personliga integritet. I flera av de tidigare avsnitten beskrivs hur de föreslagna bestämmelserna bedöms bidra till att skydda den personliga integriteten (se t.ex. avsnitt 6.10–6.16). Även de behov som ligger till grund för förslagen redovisas, inbegripet bl.a. en bedömning av att ISF utför en uppgift av allmänt intresse. Det kan i sammanhanget nämnas att inskränkningar i skyddet för den personliga integriteten tidigare har godtagits bl.a. när syftet har varit att ge analysmyndigheter möjlighet att behandla sådana personuppgifter som behövs i deras
Samlad integritets- och proportionalitetsanalys Ds 2023:13
verksamheter (se t.ex. prop. 2011/12:176 s. 62 och prop. 2018/19:151 s. 31).
I detta avsnitt ges en bredare och mer samlad bedömning avseende integritets- och proportionalitetsaspekter av lagförslaget i denna promemoria.
Respekten för individens självbestämmande och integritet är grundläggande i en demokrati. Någon enhetlig definition av begreppet personlig integritet finns inte. Regeringen har dock, i samband med den senaste utvidgningen av integritetsskyddet i regeringsformen, uttalat att en rimlig utgångspunkt för bedömningen av behovet av ett utökat skydd för den personliga integriteten är den enskildes intresse av att skydda information om sina personliga förhållanden (prop. 2009/10:80 s. 175). Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar (prop. 2005/06:173 s. 15). Även rådande samhällsvärderingar kan ha viss påverkan på vilken reglering och begränsning av behandlingen av personuppgifter som är nödvändig för att skydda den personliga integriteten (prop. 2022/23:34 s. 162).
Det behöver göras en proportionalitetsbedömning
I avsnitt 5 görs bedömningen att behandlingen av personuppgifter inom ISF:s tillsyns- och granskningsverksamhet utgör ett sådant betydande intrång i den personliga integriteten som omfattas av skyddet enligt 2 kap. 6 § andra stycket regeringsformen, förkortad RF. Skyddet för den personliga integriteten är inte absolut och kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En begränsning, som måste ske genom lag (2 kap. 20 § RF), får dock göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den (2 kap. 21 § RF). Vid en begränsning ska det därför göras en proportionalitetsbedömning där integritetsriskerna med
Ds 2023:13 Samlad integritets- och proportionalitetsanalys
personuppgiftsbehandlingen vägs mot de fördelar som behandlingen kan leda till. En behandling är bara tillåten om fördelarna med den står i rimlig proportion till nackdelarna. I detta ingår att bedöma om behandlingen av personuppgifterna är nödvändig utifrån det avsedda ändamålet med behandlingen och om det finns alternativ som är mindre integritetskänsliga.
Även EU:s dataskyddsförordning förutsätter en proportionalitetsbedömning vid behandling av personuppgifter. Den nationella rätt som fastställer grunden för personuppgiftsbehandlingen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i EU:s dataskyddsförordning). Behandling av känsliga personuppgifter är tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g i EU:s dataskyddsförordning).
Behandling av personuppgifter berör vidare rätten till respekt för privatlivet enligt artikel 8.1 i den europiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, här benämnd Europakonventionen. Enligt denna artikel har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen gäller som svensk lag (lagen [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Enligt 2 kap. 19 § RF får inte lag eller annan föreskrift meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Enligt artikel 8.2 i Europakonventionen får rätten till skydd för privatlivet inte inskränkas annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
I artiklarna 3, 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02), här benämnd EU:s rättighetsstadga slås det fast att var och en har rätt till fysisk och
Samlad integritets- och proportionalitetsanalys Ds 2023:13
mental integritet, respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer samt skydd av de personuppgifter som rör honom eller henne. Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen, men att bestämmelsen inte hindrar unionsrätten från att tillförsäkra ett mer långtgående skydd. I EU:s rättighetsstadga är utgångspunkten att en inskränkning av rättigheter och friheter enligt stadgan endast får göras i lag och måste vara förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stadgan. Begränsningar får med beaktande av proportionalitetsprincipen endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1).
För att det ska vara motiverat att införa de möjligheter till behandling av personuppgifter som föreslås måste alltså behovet av behandlingen väga tyngre än den enskildes intresse av skydd för den personliga integriteten. För att en proportionalitetsbedömning ska kunna göras behöver riskerna för intrång i den personliga integriteten kartläggas. Genom att införa skyddsåtgärder som begränsar den tillåtna behandlingen kan behovet av behandling balanseras mot intresset av integritetsskydd.
Omfattande behandling av personuppgifter från andra myndigheter medför risker
Inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet behandlas stora mängder personuppgifter. Det rör sig bl.a. om känsliga personuppgifter, framför allt om hälsa, men även om enskilda ekonomiska förutsättningar och levnadsomständigheter. Behandling av känsliga personuppgifter är förenad med särskilda integritetsrisker. Även behandling av andra personuppgifter kan medföra risker. Den föreslagna lagen ger vissa möjligheter till sammanställning och systematisering. När stora mängder personuppgifter samlas på ett sådant sätt att informationen enkelt kan sammanställas och systematiseras, ges möjlighet till kontroll över och kartläggning av individer. Även personuppgifter som normalt uppfattas som relativt harmlösa eller är av mindre
Ds 2023:13 Samlad integritets- och proportionalitetsanalys
känslig karaktär kan tillsammans skapa en integritetskänslig sammanställning av uppgifter om en person.
De personuppgifter som ISF behandlar kommer huvudsakligen från andra myndigheter och organisationer. Behandlingen av personuppgifter sker därmed för ett annat ändamål än det som de ursprungligen samlats in för. Det innebär i sig en integritetsrisk eftersom den registrerade inte alltid kan förväntas förutse behandlingen och därmed kan ha svårt att bedöma risker med behandlingen. Det kan också vara svårt för den registrerade att behålla kontrollen över sina uppgifter. När den enskilde uppsöker vård för att få ett intyg som krävs vid ansökan om sjukpenning, kan det exempelvis vara svårt att förutse att ISF kan komma att använda uppgiften om diagnos vid en granskning av Försäkringskassans verksamhet. När personuppgifter delas mellan flera myndigheter, får dessutom fler personuppgiftsansvariga och enskilda användare åtkomst till uppgifterna. En stor spridning av personuppgifter utgör i sig, särskilt när det rör sig om känsliga personuppgifter, en integritetsrisk. Ju fler personer som kan ta del av uppgifterna desto större blir riskerna för otillåten och kränkande hantering. Det finns också en risk att myndighetens personal eller användare av it-systemen kan ta del av mer information än vad de behöver för att kunna utföra sina arbetsuppgifter, vilket också ökar risken för otillåten behandling, obehörigt röjande och andra former av missbruk.
Behandling av personnummer och andra personuppgifter som direkt kan hänföras till den enskilde kan utgöra en integritetsrisk eftersom det möjliggör samkörning av uppgifter.
Grupper med behov av särskilt skydd
Särskilt stora risker finns för personer med skyddade personuppgifter och personer som i övrigt är utsatta för våld eller förtryck. Spridning av uppgifter när det gäller sådana personer kan få förödande konsekvenser. Barns personuppgifter förtjänar också särskilt skydd, eftersom barn kan vara mindre medvetna om risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter (skäl 38 i EU:s dataskydds-
Samlad integritets- och proportionalitetsanalys Ds 2023:13
förordning). Barns personuppgifter kan behandlas i undersökningar rörande t.ex. barnbidrag och föräldrapenning.
Även personer med vissa kognitiva funktionsnedsättningar, bl.a. psykiskt sjuka personer och äldre personer, anses särskilt sårbara (jfr Artikel 29-gruppens riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, 2017, s. 11 och 12). Eftersom ISF:s uppdrag avser hela socialförsäkringsområdet kan det, beroende på projekt, bli aktuellt att behandla uppgifter om sådana personer, t.ex. i undersökningar av utvecklingen av sjukskrivningar med psykiatriska diagnoser och undersökningar som avser pensioner.
Risk för personuppgiftsincidenter
Det finns risk för att myndigheten genom en personuppgiftsincident förlorar kontrollen över uppgifterna. Vid förlorad kontroll över uppgifterna skulle de kunna komma i utomståendes händer och användas för exempelvis negativ särbehandling, övervakning, kartläggning av enskildas personliga förhållanden eller för att utsätta de registrerade för fara eller kränkningar. Vid förlorad kontroll över uppgifterna skulle hälsouppgifter exempelvis kunna vidareförmedlas till någon som använder dem för att selektera bort personer med vissa hälsotillstånd i anställningsprocesser eller liknande. Uppgifter om etniskt ursprung skulle kunna vidareförmedlas till någon som har ett intresse av att kartlägga och förfölja ett visst lands medborgare eller en viss etnisk grupp. Likaså kan vissa ha ett intresse av att förfölja personer med en viss sexuell läggning eller en viss religiös övertygelse.
Risker vid intervjuer och enkäter
Vid insamling av vissa typer av personuppgifter direkt från den registrerade, t.ex. genom enkäter eller intervjuer, uppstår vissa särskilda risker. Av 2 kap. 2 § RF följer ett skydd för de s.k. negativa opinionsfriheterna, vilket bl.a. innebär att myndigheter aldrig får tvinga någon att ge till känna sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Det är frivilligt att lämna
Ds 2023:13 Samlad integritets- och proportionalitetsanalys
uppgifter till ISF, vilket myndigheten också är skyldig att informera om enligt artikel 13.1 e i EU:s dataskyddsförordning, men det finns ändå en risk för att enskilda kan uppleva insamlingen av vissa uppgifter som kränkande.
Skyddsåtgärder bedöms minska riskerna med behandlingen
Genom att införa olika skyddsåtgärder kan riskerna med behandlingen av personuppgifter begränsas. En grundläggande begränsning av all personuppgiftsbehandling är fastställande av ändamål för behandlingen. ISF föreslås få behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet. Det brett formulerade ändamålet i lagen föreslås konkretiseras dels genom att det ska fastställas ett syfte för projektet som personuppgifter behandlas inom, dels genom att ändamål ska fastställas för respektive undersökning i enlighet med EU:s dataskyddsförordnings krav.
Känsliga personuppgifter föreslås som utgångspunkt få behandlas om det är nödvändigt för ändamålet men sökningar får enligt förslaget inte utföras i syfte att få fram ett urval av personer grundat på andra känsliga personuppgifter än uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en persons sexuella läggning. För att det över huvud taget ska vara tillåtet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter krävs också att sökningen görs för ISF:s interna behov (primära ändamål). Sökbegränsningen säkerställer att endast sådana personuppgifter som myndigheten har behov av som underlag i sina undersökningar används för att sammanställa urval. Sådana personuppgifter som samlas in för att de behandlas tillsammans med sådana personuppgifter som ISF har behov av att analysera (avsnitt 6.7) kommer därmed inte att behandlas på annat sätt än genom insamling och lagring.
För att tydligt avgränsa behandlingen av personuppgifter föreslås att ISF som huvudregel ska behandla personuppgifter i projekt. Uppgifterna ska behandlas i det projekt som de samlats in för och återanvändas i ett annat projekt endast om behandlingen är nödvändig för att ISF ska kunna helt eller delvis upprepa eller följa
Samlad integritets- och proportionalitetsanalys Ds 2023:13
upp det ursprungliga projektet. På så sätt kan ändamålet med behandlingen av personuppgifter alltid härledas till syftet med ett visst projekt och behandlingen blir därmed överskådlig och begriplig. Projektets ramar i fråga om syfte, vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som behöver behandlas samt under vilken tidsperiod uppgifterna förväntas behandlas ska fastställas på förhand och offentliggöras. Detta borgar för väl genomarbetade projektplaner och en transparens och tydlighet gentemot de registrerade, allmänheten, tillsynsmyndigheten och andra intresserade. Omvärldsbevakning och planering av verksamheten förväntas medföra begränsad behandling av personuppgifter och föreslås av praktiska skäl undantas från kravet på projekt.
Personuppgifter som samlas in direkt från den registrerade föreslås få behandlas endast efter det att den registrerade lämnat sitt uttryckliga medgivande. Den registrerade ska ha rätt att när som helst återkalla ett lämnat medgivande, varvid behandling av personuppgifter som omfattas av det återkallade medgivandet ska upphöra. Detta ger den registrerade kontroll över de uppgifter som han eller hon lämnar till ISF och möjlighet att ångra sig även efter att uppgifterna lämnats. Eftersom myndigheten utövar systemtillsyn och utför granskningar på en övergripande nivå och inte har några maktbefogenheter gentemot enskilda eller någon påverkan på enskilda personers ärenden, torde registrerade som medverkar i en intervju- eller enkätundersökning eller på annat sätt lämnar uppgifter till myndigheten normalt inte befinna sig i någon beroendeställning till myndigheten. Medgivanden bör därmed som utgångspunkt kunna lämnas helt frivilligt. Personer som av olika skäl har nedsatt beslutsförmåga eller kognitiva funktionsnedsättningar kan dock inte alltid lämna ett uttryckligt medgivande. Även barn kan ha svårt att lämna ett uttryckligt medgivande, beroende på bl.a. barnets ålder och mognad och behandlingens art. Ett sådant medgivande utgör dock, som en integritetshöjande åtgärd, en förutsättning för personuppgiftsbehandling när uppgifter samlas in direkt från den enskilde, t.ex. vid enkät- eller intervjustudier. Det är myndighetens uppgift att se till att medgivandet lämnas frivilligt och informerat (se avsnitt 6.11), vilket bl.a. innebär att myndigheten måste anpassa sin information om behandlingen och om innebörden av ett medgivande utifrån den enskildes förutsättningar att ta till sig
Ds 2023:13 Samlad integritets- och proportionalitetsanalys
informationen. Därmed bedöms risken för att medgivanden som inte är frivilliga eller informerade som låg, även om den enskilde har nedsatt beslutsförmåga eller en kognitiv funktionsnedsättning.
Behandling av personuppgifter som direkt kan hänföras till den registrerade för med sig större integritetsrisker än behandling av personuppgifter som kan kopplas till den registrerade endast med hjälp av kompletterande uppgifter (kodnyckel). Att förhindra behandling av personuppgifter som direkt kan hänföras till den registrerade är således en effektiv skyddsåtgärd. Eftersom ISF till stor del men inte helt kan utföra sitt uppdrag utan behandling av personuppgifter som direkt kan hänföras till den registrerade är det inte möjligt att helt förbjuda sådan behandling. I stället föreslås att sådana personuppgifter som huvudregel ska separeras från övriga personuppgifter. Genom separeringen möjliggörs en begränsning av behandlingen, både när det gäller generell användning av uppgifterna och i fråga om åtkomst till uppgifterna och bevarande. Ofta kan en kodnyckel raderas innan övriga uppgifter upphör att behandlas.
Genom förslag om begränsad tillgång till personuppgifter säkerställs ett aktivt arbete med behörighetsstyrning. Endast den begränsade krets av medarbetare som arbetar i ett visst projekt bör normalt få ta del av de personuppgifter som behandlas i projektet. Om det finns kompletterande uppgifter som möjliggör identifiering, bör så få personer som möjligt tilldelas behörighet att ta del av dessa. Krav på att åtkomsten regelbundet ska kontrolleras och följas upp avser att skapa förutsättningar för tidig upptäckt av och möjlighet att förebygga missbruk av behörigheter, intrång och andra säkerhetsrisker.
ISF har tidigare bedrivit samtliga projekt som innefattar behandling av känsliga personuppgifter som forskningsprojekt. All behandling av känsliga personuppgifter har därmed föregåtts av en etikprövning, vilket har tillgodosett skydd för uppgifterna. De föreslagna skyddsåtgärderna bedöms ge ett minst lika gott skydd som en etikprövning. För forskningsprojekt föreslås dessutom att både registerlagen och kravet på etikprövning ska gälla, vilket innebär ett utökat skydd.
Samlad integritets- och proportionalitetsanalys Ds 2023:13
Den generella dataskyddsregleringen och sekretessbestämmelser ger skydd
Utöver de skyddsåtgärder som föreslås i den nu aktuella lagen gäller de krav som följer av den generella dataskyddsregleringen. Den personuppgiftsansvarige ska enligt artikel 24 i EU:s dataskyddsförordning vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen sker i enlighet med förordningen. Av 3 kap. 10 § dataskyddslagen följer att ISF måste se till att behandling av personnummer och samordningsnummer är klart motiverad.
Den sekretess som gäller för ISF:s undersökningar ger också ett gott skydd för uppgifterna. Sekretess gäller hos ISF avseende undersökningar av rättstillämpning, handläggning och administration inom socialförsäkringsområdet och inom verksamheter med direkt anknytning till socialförsäkringen, undersökningar om effekter av förändringar inom socialförsäkringsområdet och om utnyttjandet av socialförsäkringen för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde (24 kap. 8 § OSL och 7 § OSF). Sekretess gäller således som huvudregel för personuppgifter som behandlas i sådan verksamhet som omfattas av den föreslagna lagen. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (24 kap. 8 § tredje stycket OSL). Utöver statistiksekretessen gäller även tillsynssekretessen enligt 11 kap. 1 och 8 §§ OSL. Det samlade sekretesskyddet bedöms vara mycket starkt.
Behandlingen av personuppgifter bedöms vara proportionerlig
ISF har till uppgift att genom systemtillsyn och effektivitetsgranskning värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet och av verksamheter som gränsar till socialförsäkringsområdet. När myndigheten bildades bedömdes det finnas ett behov av en extern och oberoende myndighet, med såväl bred som djup sakkompetens, som utför systematisk och löpande
Ds 2023:13 Samlad integritets- och proportionalitetsanalys
granskning av socialförsäkringen. Skälen som angavs för detta var bl.a. behovet av ett ökat fokus på rättssäkerhet och enhetlig handläggning, bristande förmåga att upptäcka felaktiga utbetalningar, beslutens stora betydelse för enskildas grundläggande försörjningsvillkor, värdet av en extern granskning för att upprätthålla och stärka tilltron till socialförsäkringen och dess administration och avsaknaden av en aktör med ansvar för att följa upp och utvärdera olika samverkansinitiativ (SOU 2008:10 s. 31–41). Flertalet av dessa skäl är fortfarande relevanta och det är därför viktigt att ISF kan bedriva en kvalitativ tillsyns- och granskningsverksamhet.
Redan i samband med att ISF bildades konstaterades ett behov av att hantera uppgifter om bl.a. enskildas personliga och ekonomiska förhållande, dvs. personuppgifter (SOU 2008:10 s. 99 och 100 och två skrivelser från Utredningen för inrättandet av Inspektionen för socialförsäkringen, S2009/4622 och S2009/5373). Det har därefter skrivits en departementspromemoria med förslag till en särskild lagreglering för behandlingen av personuppgifter vid ISF (Ds 2011:4) och tillsatts en statlig utredning som konstaterat behov av och lämnat förslag om en ny lag om behandling av personuppgifter vid ISF (SOU 2014:67). I förhållande till såväl Försäkringskassan och Pensionsmyndigheten som Skatteverket har regeringen infört sekretessbrytande skyldigheter att lämna personuppgifter till ISF (5 a § förordningen [2003:766] om behandling av personuppgifter inom socialförsäkringens administration och 7 b § förordningen [2001:588] om behandling av uppgifter i Skatteverkets beskattningsverksamhet) och enligt 7 § OSF gäller statistiksekretess i undersökningar hos ISF för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Regeringen ger ofta ISF uppdrag som förutsätter behandling av uppgifter om individer. Exempel på detta under senare år är bl.a. ett uppdrag att kartlägga konsekvenser på individnivå av förändringar i sjukförsäkringen (S2021/07173). Ett annat exempel är ett uppdrag att granska och analysera hur Försäkringskassan tillämpar bestämmelsen om utredningsskyldighet i 110 kap. 13 § socialförsäkringsbalken vid handläggningen av ärenden gällande sjukpenning och aktivitetsersättning där ansökan om ersättning har avslagits (S2019/03411). Ytterligare ett exempel är ett uppdrag att utvärdera reformen om reformerade stöd till personer med funktionsnedsättning, vilket bl.a. omfattar en analys av reformens
Samlad integritets- och proportionalitetsanalys Ds 2023:13
effekter för berörda kvinnor respektive män vad gäller t.ex. ersättningsnivåer samt regelverkens tydlighet och transparens (S2020/08254). Sådana uppdrag ligger i linje med ISF:s uppgifter enligt instruktionen och motiveras av de behov som konstaterades som skäl för att bilda myndigheten.
Inom socialförsäkringsområdet behandlas stora mängder känsliga personuppgifter om hälsa. Inom många förmåner utgör uppgifter om allt från ansökningar, vårdbesök och läkarintyg till uppgifter om beslut och utbetalningar uppgifter om hälsa. Att ISF får möjlighet att behandla sådana uppgifter får anses vara en förutsättning för att myndigheten ska kunna granska socialförsäkringsområdet. Redan när ISF bildades tryckte regeringen dessutom på vikten av en objektiv granskning av rättssäkerheten och effektiviteten inom socialförsäkringsområdet och att ingen ska diskrimineras genom socialförsäkringens tillämpning (dir. 2007:24). Granskning av socialförsäkringens tillämpning utifrån vissa grunder för osaklig hantering förutsätter behandling av bl.a. känsliga personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexuella läggning.
ISF:s systemtillsyn och effektivitetsgranskningar syftar till att värna rättssäkerhet och effektivitet. ISF ska alltså inte följa verksamheten på individnivå och granska ärenden i det enskilda fallet. I stället handlar uppdraget om att göra övergripande analyser utifrån aggregerade data, även när inhämtningen av information sker genom aktgranskningar. För att sådana analyser ska vara möjliga, måste myndigheten behandla personuppgifter i stora volymer. Det är ur ett effektivitetsperspektiv inte möjligt – och inte heller befogat – att göra sådana analyser manuellt. För att myndigheten ska kunna utföra sitt uppdrag krävs således användning av digitala verktyg och en automatiserad behandling av personuppgifter. Det bedöms inte finnas alternativ som är mindre integritetskänsliga. Automatiserad behandling av personuppgifter får därmed anses vara nödvändig för att ISF ska kunna undersöka förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet.
Sammantaget kan konstateras att ISF har ett stort behov av att behandla personuppgifter. Uppgiften att värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet syftar till att leda till förbättringar som ska vara till gagn för både enskilda och samhället.
Ds 2023:13 Samlad integritets- och proportionalitetsanalys
Den nya reglering som nu föreslås syftar till att skapa en balans mellan ISF:s behov av ändamålsenliga och effektiva arbetsformer och ett starkt skydd för enskildas personliga integritet. Som redogjorts för ovan föreslås flertalet åtgärder för att minska risker med behandlingen och skydda den personliga integriteten. Föreslagna åtgärder bedöms kraftigt minska risken för integritetsintrång. Vid en avvägning mellan det allmänintresse som ligger till grund för ISF:s verksamhet och intresset av att upprätthålla skyddet för den personliga integriteten bedöms intrånget vara motiverat och proportionerligt. Därmed får fördelarna med att kunna behandla personuppgifter i verksamheten sammantaget anses överväga nackdelarna.
Myndigheten ska göra konsekvensbedömningar
Inspektionen för socialförsäkringen ska, när det är nödvändigt, göra en konsekvensbedömning avseende dataskyddet och en framställan om förhandssamråd till Integritetsskyddsmyndigheten (artiklarna 35 och 36 i EU:s dataskyddsförordning). De överväganden som redovisas här är alltså inte avsedda att utgöra en sådan konsekvensbedömning som ersätter kravet på en konsekvensbedömning avseende dataskydd enligt EU:s dataskyddsförordning. Det är ytterst upp till myndigheten att besluta om de närmare förutsättningarna för behandlingen av personuppgifter, t.ex. vad gäller vilken teknik och vilka säkerhetslösningar som ska användas.
8. Ikraftträdande- och övergångsbestämmelser
Förslag: Lagen ska träda i kraft den 1 januari 2025.
Bestämmelserna om behandling av personuppgifter i projekt och medgivande till behandling av personuppgifter ska inte tillämpas på projekt som har inletts före ikraftträdandet.
Skälen för förslaget: Den föreslagna lagen bör träda i kraft så snart
som möjligt för att tillgodose ISF:s behov av att behandla personuppgifter för att därigenom kunna utföra sitt uppdrag på ett ändamålsenligt sätt. Den 1 januari 2025 bedöms vara den tidigaste tidpunkten det kan ske.
ISF bedöms redan i dag uppfylla merparten av de krav som ställs i den föreslagna lagen. Vissa krav ska dock uppfyllas innan personuppgifter behandlas i projekt. Dessa krav kan inte förutsättas vara uppfyllda för projekt som har inletts innan lagen träder i kraft. På motsvarande sätt kan det inte förutsättas att den enskilde alltid har lämnat sitt uttryckliga medgivande till behandlingen när personuppgifter har samlats in direkt från den enskilde. För att ISF inte ska tvingas upphöra med pågående behandlingar i förtid, bör bestämmelserna om behandling av personuppgifter i projekt och medgivande till behandling av personuppgifter i 12–14 §§ inte tillämpas på projekt som har inletts före ikraftträdandet.
9. Konsekvenser
9.1. Ekonomiska konsekvenser
Inspektionen för socialförsäkringen (ISF) har hittills behandlat personuppgifter med stöd av den generella dataskyddslagstiftningen, vilket har medfört viss osäkerhet och otydlighet i fråga om vilket utrymme myndigheten har att samla in och bearbeta personuppgifter. Förslagen som lämnas i denna promemoria förtydligar de rättsliga krav som ISF har att förhålla sig till och ger därmed myndigheten bättre möjlighet att organisera sin verksamhet inom förutsägbara ramar. Samtidigt medger förslagen en tillräcklig flexibilitet för att ISF ska ha möjlighet att fortlöpande utveckla och anpassa sina it-system utan att det krävs författningsändringar. Sammantaget kan förslagen förväntas ge förutsättningar för en effektiv och digital informationshantering.
Förslagen kan förväntas leda till att myndigheten vidtar vissa förändringar i fråga om organisation och arbetssätt. Behovet av tekniska anpassningar för att uppfylla föreslagna krav på skyddsåtgärder bedöms dock vara begränsat. ISF arbetar redan i dag i projektform och hämtar huvudsakligen in löpnummerbaserade uppgifter. När personuppgifter samlas in direkt från den registrerade, inhämtas samtycke från den registrerade. Myndigheten tillämpar också behörighetsstyrning för åtkomst till personuppgifter. För att det ska vara möjligt att regelbundet kontrollera och följa upp åtkomsten till personuppgifter kan det krävas viss anpassning av myndighetens it-system och arbetssätt. Det finns dock redan i dag krav på intern styrning och kontroll vid myndigheter och på att personuppgiftsansvariga ska säkerställa och kunna visa att principerna om integritet och konfidentialitet uppfylls (4 § 4 myndighetsförordningen [2007:515] och artikel 5.1 f och 5.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den
Konsekvenser Ds 2023:13
27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning). Förslagen ställer inte heller några krav på hur kontrollen och uppföljningen ska utformas. Eventuella kostnader för sådana anpassningar som krävs med anledning av den föreslagna lagen bedöms därmed vara begränsade och rymmas inom befintliga anslag.
Det kan initialt komma att krävas viss utbildning för de medarbetare vid myndigheten som ska tillämpa de nya reglerna. Nya interna styrdokument kan också behöva tas fram och implementeras. Eventuella kostnader för utbildning och styrande dokument får dock anses ingå i myndighetens ordinarie uppgifter och bedöms rymmas inom befintliga anslag.
Förslagen kan underlätta den prövning som andra myndigheter måste göra innan de överlämnar underlag till ISF. I övrigt bedöms förslagen inte få några ekonomiska konsekvenser för andra statliga myndigheter, kommuner, regioner, företag eller andra enskilda.
Sammanfattningsvis bedöms förslagen inte medföra några kostnadsmässiga eller andra ekonomiska konsekvenser.
9.2. Konsekvenser för den personliga integriteten
Utgångspunkten för förslagen är att de ska utgöra en lämplig avvägning mellan skyddet för den enskildes personliga integritet och kravet på effektiv och ändamålsenlig tillsyns- och granskningsverksamhet hos ISF. Förslagen ger ISF rättsligt stöd för att behandla stora mängder personuppgifter, varav en del är känsliga personuppgifter, även när det innebär ett betydande intrång i den personliga integriteten. Genom föreslagna krav på skyddsåtgärder och befintlig reglering om sekretess säkerställs dock ett långsiktigt och hållbart integritetsskydd. De skyddsåtgärder som föreslås kommer att gälla vid sådan behandling av personuppgifter som myndigheten kan utföra redan i dag med stöd av den generella dataskyddslagstiftningen. För sådan behandling medför således förslagen ett bättre skydd för den personliga integriteten än vad som gäller i dag. Även för den ytterligare behandling som möjliggörs genom förslagen bedöms ett gott skydd för den personliga
Ds 2023:13 Konsekvenser
integriteten uppnås. Sammantaget bedöms förslagen tillgodose ISF:s behov av personuppgiftsbehandling samtidigt som hänsyn tas till behovet av ett starkt och likvärdigt integritetsskydd.
För en mer utförlig integritetsanalys hänvisas till avsnitt 7.
9.3. Övriga konsekvenser
Förslagen bedöms inte få några konsekvenser för den kommunala självstyrelsen. Förslagen bedöms inte heller få några konsekvenser för sysselsättning och offentlig service i olika delar av landet eller för små eller stora företag.
Förslagen skapar förutsättningar för tillsyn och granskning av arbetet med att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet. Det kan i sin tur leda till ökad kunskap om arbetet mot felaktiga utbetalningar och bidragsbrott, vilket i förlängningen kan bidra till att arbetet utvecklas. Brottsligheten och det brottsförebyggande arbetet förväntas i övrigt inte påverkas av förslagen.
Författningsförslagen är könsneutralt utformade och förväntas inte få några negativa konsekvenser för jämställdheten mellan kvinnor och män. Förslagen bedöms inte heller få några negativa konsekvenser för möjligheten att nå de integrationspolitiska målen. Med förslagen bedöms ISF få goda möjligheter att genomföra analyser på jämställdhets- och integrationsområdena, vilket bör ge goda förutsättningar för välgrundade beslut inom dessa politikområden med åtföljande positiva konsekvenser för integrationen och jämställdheten mellan kvinnor och män.
ISF kan i vissa fall behandla personuppgifter om barn. Enligt FN:s konvention om barnets rättigheter får barn inte utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende (artikel 16.1). I skäl 38 i EU:s dataskyddsförordning anges att barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. De begränsningar och skyddsåtgärder som föreslås gälla när ISF behandlar personuppgifter inom
Konsekvenser Ds 2023:13
ramen för den föreslagna lagen, i kombination med det skydd som följer av övrig dataskydds- och sekretessreglering, bedöms tillgodose barns behov av skydd mot integritetsintrång. Lagförslaget kan också bidra till en förbättrad tillsyn och granskning av sådana förhållanden inom socialförsäkringsområdet som berör barn.
Det föreslås inte någon reglering som går utöver vad som är tillåtet enligt EU:s dataskyddsförordning. I respektive avsnitt har det gjorts en bedömning av vilken nationell reglering som är möjlig att införa med beaktande av den direkt tillämpliga dataskyddsförordningen. Även i övrigt bedöms förslagen vara förenliga med EU-rätten.
10. Författningskommentar
Förslaget till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i verksamhet vid
Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitt 6.1.
Av första stycket framgår att lagen gäller vid behandling av personuppgifter i verksamhet som avser systemtillsyn och effektivitetsgranskning hos Inspektionen för socialförsäkringen (ISF). Definitioner av uttrycken behandling och personuppgifter finns i artikel 4 i EU:s dataskyddsförordning. Tillämpningsområdet motsvarar ISF:s uppdrag enligt 1–4 §§ förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen, här benämnd instruktionen. Behandling av personuppgifter i övrig verksamhet vid myndigheten, t.ex. ekonomi- och personaladministration, faller utanför lagens tillämpningsområde.
I andra stycket begränsas lagens tillämpningsområde till att avse helt eller delvis automatiserad behandling av personuppgifter och behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Av artikel 2.1 i EU:s dataskyddsförordning framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Ett register är enligt definitionen i
Författningskommentar Ds 2023:13
artikel 4.6 i EU:s dataskyddsförordning en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Den föreslagna lagens tillämpningsområde motsvarar således i denna del helt dataskyddsförordningens tillämpningsområde. Det innebär att manuell behandling av personuppgifter som inte ingår eller kommer att ingå i ett register faller utanför lagens tillämpningsområde. Exempelvis faller en helt manuell hantering av ärendeakter utanför lagens tillämpningsområde.
Förhållandet till annan dataskyddsreglering
2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU)
2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen anger lagens förhållande till annan dataskyddsreglering. Övervägandena finns i avsnitt 6.2.
Första stycket upplyser om att lagen innehåller bestämmelser som
kompletterar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig men förutsätter eller tillåter i vissa avseenden nationella bestämmelser som kompletterar förordningen. Hänvisningarna i lagen till EU:s dataskyddsförordning är dynamiska, dvs. de avser förordningen i dess vid varje tidpunkt gällande lydelse.
Av andra stycket framgår lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen. Dataskyddslagen, som kompletterar EU:s dataskyddsförordning på nationell generell nivå, är subsidiär i förhållande till denna lag. Bestämmelsen innebär att om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen, gäller dataskyddslagen.
Ds 2023:13 Författningskommentar
Uppgifter om avlidna personer
3 § Vid behandling av uppgifter om avlidna personer ska följande reglering
gälla i tillämpliga delar:
1. denna lag och föreskrifter som har meddelats i anslutning till lagen,
2. EU:s dataskyddsförordning, och
3. lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.
I paragrafen anges vilken reglering som gäller vid behandling av uppgifter om avlidna personer. Övervägandena finns i avsnitt 6.3.
EU:s dataskyddsförordning och dataskyddslagen gäller inte för uppgifter om avlidna personer. Genom bestämmelsen utvidgas således lagens tillämpningsområde i förhållande till EU:s dataskyddsförordning.
Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt är inte tillämpliga på avlidna personer. Någon möjlighet för efterlevande eller andra att överta rättigheter som tillkom den avlidne när denne var i livet finns inte heller. Det innebär exempelvis att bestämmelser om rätten att göra invändningar, rätten till information, rätten till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till avlidna. Däremot gäller bl.a. de krav för behandling av uppgifter och de principer som följer av artikel 5 i EU:s dataskyddsförordning.
En människa är död, dvs. avliden, när hjärnans samtliga funktioner totalt och oåterkalleligt har fallit bort (1 § lagen [1987:269] om kriterier för bestämmande av människans död).
Begränsning av rätten att göra invändningar
4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra
invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.
Författningskommentar Ds 2023:13
I paragrafen begränsas rätten att göra invändningar enligt EU:s dataskyddsförordning (artikel 21.1). Övervägandena finns i avsnitt 6.4.
Paragrafens första stycke är utformat som ett undantag från artikel 21.1 i EU:s dataskyddsförordning. Enligt artikel 21.1 har den registrerade rätt att när som helst invända mot myndigheters behandling av personuppgifter avseende honom eller henne som grundar sig på sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.1 e). Undantaget är en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i EU:s dataskyddsförordning.
Andra stycket innebär att artikel 21.1 i EU:s dataskydds-
förordning om rätten att göra invändningar gäller när uppgifterna samlas in direkt från den enskilde, exempelvis vid insamling av personuppgifter i intervju- eller enkätundersökningar.
Personuppgiftsansvar
5 § Inspektionen för socialförsäkringen är personuppgiftsansvarig för den
behandling av personuppgifter som myndigheten utför enligt denna lag.
Paragrafen reglerar ISF:s personuppgiftsansvar. Övervägandena finns i avsnitt 6.5.
I paragrafen pekas ISF ut som personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen. Utpekandet görs i enlighet med artikel 4.7 i EU:s dataskyddsförordning, där även definitionen av personuppgiftsansvarig finns.
Ändamål för behandling av personuppgifter
6 § Inspektionen för socialförsäkringen får behandla personuppgifter om det
är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet.
Inom ramen för sådana undersökningar får personuppgifter behandlas för att framställa statistik eller utföra forskning.
I paragrafen anges för vilka primära ändamål personuppgifter får behandlas inom lagens tillämpningsområde. Övervägandena finns i avsnitt 6.6.2.
Ds 2023:13 Författningskommentar
Av första stycket framgår att personuppgifter får behandlas om det är nödvändigt för att undersöka förhållanden inom socialförsäkringsområdet och verksamheter som gränsar till socialförsäkringsområdet. Ändamålet återspeglar myndighetens behov av att samla in, systematisera, bearbeta och analysera personuppgifter för att utföra sitt uppdrag enligt 1–4 §§ instruktionen. Ändamålet är brett formulerat och ISF måste därför normalt precisera ändamålet för varje undersökning för att leva upp till kravet på särskilda, uttryckligt angivna och berättigade ändamål i artikel 5.1 b i EU:s dataskyddsförordning. Ändamålet preciseras också genom det syfte som enligt 13 § ska fastställas för alla projekt. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig om den leder till effektivitetsvinster (prop. 2017/18:105 s. 189). Om behandlingen av personuppgifter tillför relevant information till en undersökning och undersökningen inte kan utföras lika effektivt utan uppgifterna, får behandlingen anses nödvändig. Även sådana uppgifter som visar sig utgöra överskottsinformation i förhållande till vad myndigheten behöver analysera får anses nödvändiga att behandla, om uppgifter som är nödvändiga att analysera annars inte kan samlas in av myndigheten. Exempelvis får det anses nödvändigt att behandla samtliga personuppgifter i en ärendeakt som samlats in för en aktstudie, även om samtliga personuppgifter inte behöver analyseras i studien. Det får också anses nödvändigt att behandla samtliga personuppgifter i ett enkätsvar, även i de fall samtliga personuppgifter inte är relevanta för ändamålet med enkäten. Vad som är nödvändigt med hänsyn till ändamålet med behandlingen måste dock avgöras i varje enskilt fall. Vid en sådan prövning ska de grundläggande principerna om uppgiftsminimering och lagringsminimering i artikel 5.1 c och e i EU:s dataskyddsförordning beaktas. Kravet på nödvändighet innebär att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (prop. 2017/18:232 s. 117).
I paragrafens andra stycke finns en upplysning om att det inom ramen för sådana undersökningar som avses i första stycket får behandlas personuppgifter för att framställa statistik eller utföra forskning. ISF har inget statistikuppdrag och får endast bedriva den forskning som är nödvändig för att myndigheten ska kunna fullgöra
Författningskommentar Ds 2023:13
sina uppgifter enligt 1–4 §§ instruktionen. Myndigheten får således inte behandla personuppgifter för statistik eller forskning som självständiga ändamål. Däremot får myndigheten ta fram statistik och utföra forskning som en del i den behandling som sker för de ändamål som anges i första stycket.
7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att
fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Paragrafen anger för vilka sekundära ändamål ISF får behandla personuppgifter inom lagens tillämpningsområde. Övervägandena finns i avsnitt 6.6.3.
Personuppgifter som behandlas för primära ändamål får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Med detta avses att uppgiftslämnandet sker med stöd av bestämmelser som påbjuder eller tillåter utlämnande. Det kan t.ex. röra sig om en uttrycklig uppgiftsskyldighet (10 kap. 28 § offentlighets- och sekretesslagen [2009:400], förkortad OSL) eller uppgiftslämnande som sker i syfte att fullgöra serviceskyldigheten gentemot enskilda enligt förvaltningslagen (2017:900) eller som följer av skyldigheten för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL).
Känsliga personuppgifter och uppgifter om lagöverträdelser
8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning
(känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g eller 9.2 j i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 g och j i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen. Övervägandena finns i avsnitt 6.7.
Känsliga personuppgifter är sådana särskilda kategorier av uppgifter som räknas upp i artikel 9.1 i EU:s dataskyddsförordning,
Ds 2023:13 Författningskommentar
dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Behandling av känsliga personuppgifter för de ändamål som anges i 6 och 7 §§ bedöms kunna ske för ett viktigt allmänt intresse och för vetenskapliga forskningsändamål i enlighet med artikel 9.2 g och j i EU:s dataskyddsförordning. Lagen innehåller bestämmelser om lämpliga och särskilda åtgärder (skyddsåtgärder) för att säkerställa den registrerades grundläggande rättigheter och intressen och även övriga krav enligt artikel 9.2 g och j bedöms vara uppfyllda. Känsliga personuppgifter får därmed behandlas under förutsättning att det är nödvändigt med hänsyn till ändamålet. Nödvändighetsrekvisitet har samma innebörd som i 6 § (jfr prop. 2017/18:105 s. 75 och 76). En bedömning av om kravet på nödvändighet är uppfyllt måste göras i varje enskilt fall.
9 § Av lagen ( 2003:460 ) om etikprövning av forskning som avser människor
följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) måste etikprövas.
Paragrafen upplyser om att viss forskning måste etikprövas enligt lagen (2003:460) om etikprövning av forskning som avser människor. Övervägandena finns i avsnitt 6.8.
Kravet på etikprövning gäller forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Uppräkningen av personuppgifter om lagöverträdelser motsvarar den som finns i 3 § 2 lagen om etikprövning av forskning som avser människor. Uttrycket uppgifter om lagöverträdelser har därmed getts en något bredare definition än den som finns i artikel 10 i EU:s dataskyddsförordning,
Författningskommentar Ds 2023:13
som inte omfattar friande domar i brottmål och administrativa frihetsberövanden (jfr prop. 2017/18:298 s. 99).
Sökbegränsningar
10 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat
på känsliga personuppgifter.
Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexuella läggning om sökningen sker för ändamål enligt 6 §.
Paragrafen reglerar sökbegränsningar. Övervägandena finns i avsnitt 6.10.
I första stycket anges att sökningar inte får utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Sökförbudet avser alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att ta fram verksamhetsstatistik eller för registervård (prop. 2017/18:105 s. 91).
Enligt andra stycket är det, som undantag till huvudregeln i första stycket, tillåtet att utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexuella läggning. För att undantaget ska vara tillämpligt gäller att sökningen ska ske för primära ändamål enligt 6 §. Det innebär också att sökningen måste vara nödvändig för ändamålet.
Behandling av personuppgifter i projekt
11 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs
inom bestämda ramar.
I paragrafen anges vad som avses med projekt i lagen. Övervägandena finns i avsnitt 6.11.
Ds 2023:13 Författningskommentar
Av paragrafen framgår att med projekt avses i lagen en planerad arbetsinsats som genomförs inom bestämda ramar. Att arbetsinsatsen ska vara planerad medför ett krav på att varje projekt ska föregås av vissa förberedelser. Förberedelserna bör omfatta att bestämma vilka ramar som ska gälla för projektet. Ramarna kan avse det som ska fastställas enligt 13 § men också andra förutsättningar, t.ex. när det gäller metod och resursåtgång.
12 § Behandling av personuppgifter enligt 6 § ska ske i projekt. Person-
uppgifter som samlas in för att behandlas i ett projekt får inte behandlas i ett annat projekt.
Personuppgifter får dock behandlas i ett annat projekt än det som uppgifterna samlats in i, om behandlingen är nödvändig för att Inspektionen för socialförsäkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.
Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Inspektionen för socialförsäkringens verksamhet behöver inte ske i projekt.
Paragrafen reglerar behandling av personuppgifter i projekt. Övervägandena finns i avsnitt 6.11.
I första stycket föreskrivs dels att all behandling av personuppgifter för primära ändamål ska ske i projekt, dels att personuppgifter som samlas in för att behandlas i ett projekt inte får behandlas i ett annat projekt. Vad som avses med projekt framgår av 11 §. Begränsningen av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begränsning av finalitetsprincipens (artikel 5.1 b i EU:s dataskyddsförordning) tillämplighet.
I andra stycket görs undantag från förbudet att behandla personuppgifter i ett annat projekt än det som uppgifterna samlats in i. Personuppgifter får, trots det som anges i första stycket, behandlas i ett annat projekt om behandlingen är nödvändig för att ISF helt eller delvis ska kunna upprepa eller följa upp ett tidigare projekt. Ett exempel på en uppföljning är att resultat som genereras inom ramen för ett projekt jämförs med resultat från ett tidigare projekt. Eftersom avsikten är att ta tidigare resultat vidare i en kompletterande granskning bör ändamålen för behandlingarna oftast ligga relativt nära varandra. Vidarebehandlingen får i dessa fall ske med stöd av finalitetsprincipen enligt artikel 5.1 b i EU:s dataskyddsförordning.
Författningskommentar Ds 2023:13
I tredje stycket görs undantag från kravet att behandla personuppgifter i projekt. Personuppgifter som behandlas för omvärldsbevakning eller planering av ISF:s verksamhet behöver inte behandlas i ett projekt och kan därmed också vidarebehandlas med stöd av finalitetsprincipen. Syftet med omvärldsbevakning och planering av verksamheten är att inhämta kunskap och att få uppslag till granskningar. Omvärldsbevakning sker löpande och utan föregående planering eller förberedelse. Det kan handla om att medarbetarna på myndigheten läser domar, beslut, nyhetsbrev, artiklar, publicerade rapporter, litteratur eller att sådant material samlas i ett e-bibliotek. Planering av verksamheten äger rum innan myndigheten inleder ett projekt och skapar förutsättningar för fortsatt arbete i projektform. Genom att behandling av personuppgifter för omvärldsbevakning och planering av verksamheten undantas från kravet på att all behandling av personuppgifter ska ske i projekt, undantas behandlingen också från övriga föreslagna skyddsåtgärder som är knutna till projektramen.
13 § Innan personuppgifter behandlas i ett projekt ska Inspektionen för
socialförsäkringen fastställa
1. syftet med projektet,
2. vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet, och
3. när projektet senast ska vara avslutat. Det fastställda syftet får inte ändras. Information om vad som har fastställts ska hållas tillgänglig på Inspektionen för socialförsäkringens webbplats.
I paragrafen regleras vissa ramar som ska fastställas för de projekt som personuppgifter ska behandlas i. Övervägandena finns i avsnitt 6.12.
I första stycket anges vilka ramar som ska fastställas innan personuppgifter behandlas. Först och främst ska syftet med projektet fastställas. Syftet anger målbilden för projektet och utgör den yttersta ramen för möjliga ändamål för behandlingen av personuppgifter i projektet. Därutöver ska de kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet fastställas. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Vad som avses med uppgifter om
Ds 2023:13 Författningskommentar
lagöverträdelser i denna lag framgår av 9 § som anknyter till den uppräkning av personuppgifter om lagöverträdelser som finns i 3 § 2 lagen om etikprövning av forskning som avser människor. Att uppgifterna ska analyseras innebär att myndigheten bearbetar, systematiserar, strukturerar och utifrån en analysmodell eller liknande använder uppgifterna i syfte att se samband, göra jämförelser och dra slutsatser. Slutligen ska även tidpunkt för när projektet senast ska vara avslutat fastställas. Bestämmelsen innebär att fastställandet ska ske innan personuppgifter behandlas, dvs. på förhand innan projektet inleds eller innan en tillåten ändring vidtas.
Enligt andra stycket får ett fastställt syfte inte ändras. Det innebär att ett projekt bör avslutas om syftet med projektet inte längre är relevant. Övriga ramar kan vid behov justeras medan projektet pågår.
Information om vad som har fastställts enligt första stycket ska enligt tredje stycket ska hållas tillgänglig på ISF:s webbplats. Kravet på att hålla information tillgänglig påverkar inte informationskraven enligt artiklarna 13 och 14 i EU:s dataskyddsförordning.
Medgivande till behandling av personuppgifter
14 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas
endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.
Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Om ett medgivande återkallas, ska den behandling av personuppgifter som omfattas av det återkallade medgivandet upphöra. Behandlingen får dock fortsätta om Inspektionen för socialförsäkringen inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter.
I paragrafen anges vad som gäller i fråga om medgivande och återkallelse av medgivande i vissa fall. Övervägandena finns i avsnitt 6.13.
Av första stycket framgår att det krävs ett uttryckligt medgivande från den enskilde om personuppgifter samlas in direkt från honom eller henne. Kravet på medgivande är en integritetshöjande åtgärd och inte ett sådant samtycke som kan utgöra rättslig grund för behandling av personuppgifter. Även personuppgifter som samlas in med stöd av bestämmelsen behandlas således med stöd av samma
Författningskommentar Ds 2023:13
rättsliga grund som övrig behandling, dvs. för att fullgöra en uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Med uttryckligt medgivande bör avses detsamma som ett uttryckligt samtycke enligt artikel 9.2 a i EU:s dataskyddsförordning, även om utrymmet för att bedöma medgivandet som frivilligt är större än när ett samtycke utgör den rättsliga grunden för behandlingen (se prop. 2021/22:177 s. 116). Kravet på uttrycklighet kan uppfyllas genom att medgivandet lämnas skriftligen, i ett elektroniskt formulär, ett epostmeddelande med en elektronisk underskrift eller i vissa fall muntligen (jfr EDPB riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1. antagna den 4 maj 2020, s. 21).
Enligt andra stycket har den registrerade rätt att när som helst återkalla ett lämnat medgivande. Medgivandet kan återkallas helt eller delvis. När ett medgivande återkallas, ska den behandling av personuppgifter som omfattas av det återkallade medgivandet upphöra. I likhet med vad som gäller enligt artikel 11 i EU:s dataskyddsförordning behöver ISF dock inte bevara, förvärva eller behandla ytterligare personuppgifter i syfte att kunna upphöra med behandlingen. Om uppgifterna inte kan hänföras till den registrerade, behöver ISF således inte upphöra med behandlingen. Återkallandet påverkar inte tillåtligheten av sådan behandling som skett innan medgivandet återkallades. Konsekvensen av att återkalla ett lämnat medgivande motsvarar därmed konsekvensen av ett återkallat samtycke enligt artikel 7.3 i EU:s dataskyddsförordning.
Begränsning av möjligheterna att identifiera den registrerade
15 § Personuppgifter som direkt kan hänföras till den registrerade ska
förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.
Personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning.
Paragrafen innehåller bestämmelser som begränsar möjligheterna att identifiera den registrerade. Övervägandena finns i avsnitt 6.14.
Ds 2023:13 Författningskommentar
I första stycket anges att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade är framför allt uppgifter om namn, personnummer och samordningsnummer. Sådana uppgifter ska således avskiljas från övriga personuppgifter för att motverka en direkt identifiering av den registrerade. Undantag från kravet på att uppgifterna ska förvaras separat kan dock göras om separeringen skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen. En ansträngning kan anses oproportionerlig när den är mycket omfattande, t.ex. medför manuell genomgång av stora mängder ärendeakter. Syftet med behandlingen kan anses motverkas när personuppgifter som direkt kan hänföras till den registrerade är centrala för behandlingen, t.ex. när uppgifterna behövs för att myndigheten ska kunna kontakta registrerade eller göra källhänvisningar.
Enligt andra stycket får personuppgifter som inte direkt kan hänföras till den registrerade vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning. Det innebär att personuppgifter i myndighetens analysmaterial kan vara försedda med löpnummer, som behåller kopplingen till den registrerade.
Tillgång till personuppgifter
16 § Tillgången till personuppgifter ska begränsas till det som var och en
behöver för att kunna fullgöra sina arbetsuppgifter vid Inspektionen för socialförsäkringen.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Paragrafen reglerar tillgången till personuppgifter hos ISF. Övervägandena finns i avsnitt 6.15.
Av första stycket framgår att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid ISF. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning. Myndigheten ska aktivt ta ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och tilldela den behörighet som behövs utifrån det. Tillgången kan
Författningskommentar Ds 2023:13
begränsas genom tekniska och organisatoriska åtgärder (jfr artikel 32 i EU:s dataskyddsförordning). Begränsningen avser tillgången till personuppgifter inom den verksamhet som omfattas av lagens tillämpningsområde.
Enligt andra stycket ska myndigheten regelbundet kontrollera och följa upp åtkomsten till personuppgifter. Det är upp till myndigheten att närmare bestämma formerna för kontrollen och uppföljningen. Den kan exempelvis ske genom uppföljning av loggar. Kontroll och uppföljning ska genomföras regelbundet, dvs. systematiskt och återkommande, och inte endast om myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit.
1. Denna lag träder i kraft den 1 januari 2025.
2. Bestämmelserna i 12–14 §§ ska inte tillämpas på projekt som har inletts före ikraftträdandet.
Ikraftträdande- och övergångsbestämmelser
Övervägandena finns i avsnitt 8.
Lagen träder enligt bestämmelsen i punkt 1 i kraft den 1 januari 2025.
Av punkt 2 framgår att bestämmelserna om behandling av personuppgifter i projekt enligt 12 och 13 §§ samt bestämmelsen om medgivande till behandling av personuppgifter enligt 14 § inte ska tillämpas på projekt som har inletts före ikraftträdandet. För sådana projekt ska dock övriga bestämmelser i lagen tillämpas.