Prop. 2000/01:69

En begränsad översyn av socialförsäkringsregisterlagen

Prop. 2000/01:69

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 15 mars 2001

Lena Hjelm-Wallén

Ingela Thalén

(Socialdepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag till ändring i socialförsäkringsregisterlagen (1997:934), SofrL.

Förslaget utgör en begränsad översyn av lagen i syfte att anpassa den till den generellt tillämpliga personuppgiftslagen (1998:204), PUL. Bl.a. föreslås att tillämpningsområdet anpassas till PUL såtillvida att SofrL även skall gälla viss manuell hantering. Vidare förelås en anpassning när det gäller vilka personuppgifter som anses särskilt integritetskänsliga, varvid samma regler som föreslås gälla för särskilt integritetskänsliga uppgifter föreslås gälla också i fråga om sådana uppgifter om brott och frihetsberövanden m.m. som avses i 21 § PUL. Förslaget innebär också en anpassning till PUL vad gäller den personuppgiftsansvariges ansvar för rättelse m.m., skadestånd, information till den enskilde och överklagande i vissa fall. Vissa begrepp som definieras i PUL föreslås samtidigt få motsvarande betydelse i SofrL.

Lagändringarna föreslås träda i kraft den 1 oktober 2001.

1. Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till lag om ändring i socialförsäkringsregisterlagen (1997:934).

2. Förslag till lag om ändring i socialförsäkringsregisterlagen (1997:934)

Härigenom föreskrivs i fråga om socialförsäkringsregisterlagen (1997:934)

dels att rubrikerna närmast före 3, 4 och 21 §§ skall utgå,

dels att 1, 7, 12, 13, 17, 18, 20 och 21 §§ samt rubrikerna närmast före 13, 17 och 20 §§ skall ha följande lydelse,

dels att i lagen skall införas två nya paragrafer, 21 a och 21 b §§ samt närmast före 21 a och 21 b §§ nya rubriker av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

1

Denna lag gäller personregister för sådan verksamhet i fråga om socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen ankommer på de allmänna försäkringskassorna, Premiepensionsmyndigheten eller Riksförsäkringsverket (socialförsäkringsregister).

Med personregister förstås detsamma som i datalagen (1973:289).

Med personregister förstås register, förteckning eller andra anteckningar som förs helt eller delvis automatiserat och som innehåller uppgifter som direkt eller indirekt kan hänföras till en fysisk person. Med personregister förstås också strukturerade samlingar av uppgifter som inte förs automatiserat men som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som innehåller uppgifter som direkt eller indirekt kan hänföras till en fysisk person.

De benämningar som i övrigt används i denna lag har samma betydelse som i personuppgiftslagen (1998:204) .

7 § 2

Som särskilda ärendeuppgifter får inte registreras sådana uppgifter som avses i 4 § datalagen (1973:289) eller som utgör omdöme eller annan värderande upplysning om den registrerade.

Som särskilda ärendeuppgifter får inte registreras sådana uppgifter som avses i 13 och 21 §§personuppgiftslagen (1998:204).

Utan hinder av första stycket får följande uppgifter registreras:

1 Senaste lydelse 1998:687. 2 Senaste lydelse 2000:1408.

1. förekomsten av ansökan eller anmälan i ärenden som omfattas av 1 § första stycket,

2. tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden som omfattas av 1 § första stycket,

3. grad av nedsatt arbetsförmåga,

4. förekomsten av intyg och utlåtande av läkare eller annan intygsgivare,

5. förekomsten av rehabiliteringsutredning eller annan utredning i rehabiliteringsärende samt av fastställd rehabiliteringsplan,

6. arten av och tidpunkter för föreslagna, planerade och vidtagna rehabiliteringsåtgärder,

7. förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 14 § tredje stycket och 17 § tredje stycket lagen (1993:737) om bostadsbidrag,

8. att vårdnadshavare är förordnad särskilt enligt föräldrabalken ,

9. om den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad,

10. om den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

11. om den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (1980:620) eller vistas eller bor på annat liknande sätt,

12. om fråga om återbetalningsskyldighet har uppkommit och i sådant fall kravåtgärder, exekutiva åtgärder, utmätningsbelopp, utmätningsfria belopp och beslut om skuldsanering enligt skuldsaneringslagen (1994:334),

13. vilken personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade som den bilstödsberättigade hör till,

14. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,

15. att en förälder på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

16. att den registrerade får aktivitetsstöd enligt 5 § tredje stycket förordningen (1996:1100)

8. om den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad,

9. om den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

10. om den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (1980:620) eller vistas eller bor på annat liknande sätt,

11. om fråga om återbetalningsskyldighet har uppkommit,

12 . vilken personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade som den bilstödsberättigade hör till,

13. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,

14. att en förälder på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

15. att den registrerade får aktivitetsstöd enligt 5 § tredje stycket förordningen (1996:1100)

om aktivitetsstöd,

17. att den registrerade har rätt till ersättning enligt 16–22 §§ förordningen (1996:1100) om aktivitetsstöd,

18. bevakningsanledning, samt 19. anledningen till att ett ärende avslutats.

om aktivitetsstöd,

16. att den registrerade har rätt till ersättning enligt 16–22 §§ förordningen om aktivitetsstöd,

17. bevakningsanledning, samt 18. anledningen till att ett ärende avslutats.

I socialförsäkringsregister som förs för handläggning av ärenden om ersättning för tandvård enligt 2 kap. 3 § lagen (1962:381) om allmän försäkring och förordningen (1998:1337) om tandvårdstaxa får dessutom, i fråga om vårdgivare, registreras uppgift om namn på praktik. I sådana register får vidare registreras uppgift om

1. förekomsten av begäran om förhandsprövning enligt förordningen om tandvårdstaxa samt kod för behandlingsförslag som begäran avser,

2. kod för behandling som avses i förordningen om tandvårdstaxa,

3. att den registrerade har rätt till ersättning enligt 9, 13 eller 14 § förordningen om tandvårdstaxa,

4. förhållanden som anges i 15 § andra stycket förordningen om tandvårdstaxa,

5. förekomsten av remiss, remitterande vårdgivares namn och namnet på den vårdgivare till vilken remiss har skett, samt

6. patientavgift och tandvårdsersättning.

12 §

3

Socialförsäkringsregister får genom sambearbetning tillföras

1. uppgifter från andra socialförsäkringsregister, och

2. uppgifter som lämnas till en allmän försäkringskassa, Premiepensionsmyndigheten eller Riksförsäkringsverket med stöd av en särskild bestämmelse i lag eller förordning om lämnande av uppgifter.

Av föreskrifter i lag eller förordning eller av beslut av Datainspektionen kan följa att socialförsäkringsregister genom sambearbetning får tillföras uppgifter utöver vad som anges i första stycket.

Av föreskrifter i lag eller förordning kan följa att socialförsäkringsregister genom sambearbetning får tillföras uppgifter utöver vad som anges i första stycket.

Registeransvar Personuppgiftsansvar

13 § 4

Registeransvariga för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna är verket samt varje försäkringskassa när det gäller behandling av uppgifter hos den försäk-

Personuppgiftsansvariga för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna är verket samt varje försäkringskassa när det gäller behandling av uppgifter hos den

3 Senaste lydelse 1998:687. 4 Senaste lydelse 1998:687.

ringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är försäkringskassan registeransvarig. Premiepensionsmyndigheten är registeransvarig för socialförsäkringsregister som förs särskilt för myndigheten. Riksförsäkringsverket är registeransvarigt för socialförsäkringsregister som förs särskilt för verket.

försäkringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är försäkringskassan personuppgiftsansvarig. Premiepensionsmyndigheten är personuppgiftsansvarig för socialförsäkringsregister som förs särskilt för myndigheten. Riksförsäkringsverket är personuppgiftsansvarigt för socialförsäkringsregister som förs särskilt för verket.

Utlämnande av uppgifter på medium för automatisk data-

behandling

Utlämnande av uppgifter på medium för automatiserad be-

handling

17 §

Uppgifter i socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas på medium för automatisk databehandling. I övrigt får uppgifter lämnas ut på medium för automatisk databehandling endast om sådant utlämningssätt följer av lag eller förordning eller beslut av Datainspektionen eller om uppgiften skall användas för forskning eller framställning av statistik.

Uppgifter i socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas på medium för automatiserad behandling. I övrigt får uppgifter lämnas ut på medium för automatiserad behandling endast om sådant utlämningssätt följer av lag eller förordning eller om uppgiften skall användas för forskning eller framställning av statistik.

18 §

Uppgifter i socialförsäkringsregister får användas som sökbegrepp endast om det behövs för

1. tillämpning av lag eller förordning eller särskilt beslut av regeringen,

2. rättelse,

3. tillsyn, uppföljning eller utvärdering, eller

4. urval för forskning eller framställning av statistik. Uppgifter som avses i 7 § andra stycket 9 och 10 får användas som sökbegrepp endast för rättelse och bara om felet inte kan rättas på annat sätt.

Uppgifter som avses i 7 § andra stycket 8 och 9 får användas som sökbegrepp endast för rättelse och bara om felet inte kan rättas på annat sätt.

I fråga om handlingar som avses i 11 § får endast ärendebeteckning och beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet regeringen bestämmer får föreskriva ytterligare begränsningar av användningen av uppgifter som sökbegrepp.

Registerutdrag Information

20 §

Registerutdrag beträffande register som förs gemensamt för

Riksförsäkringsverket och de allmänna försäkringskassorna skall lämnas av försäkringskassan.

Uppgifter i sådana handlingar som avses i 11 § behöver inte tas med i registerutdrag enligt 10 § datalagen (1973:289). Av utdraget skall dock framgå vilka handlingar avseende den registrerade som finns i registret.

Vid tillämpningen av denna lag gäller bestämmelserna i 23 och 2527 §§personuppgiftslagen (1998:204) om information till den registrerade om inte annat följer av andra stycket. Beträffande register som förs gemensamt för

Riksförsäkringsverket och de allmänna försäkringskassorna skall informationen lämnas av försäkringskassan.

Uppgifter i sådana handlingar som avses i 11 § behöver inte tas med i information enligt 26 § personuppgiftslagen. Av informationen skall dock framgå vilka handlingar avseende den registrerade som finns i registret. Om den enskilde begär det och anger vilken handling som avses skall emellertid, om inte annat följer av bestämmelser om sekretess, information lämnas även om uppgifter i sådana handlingar som avses i 11 §. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.

21 §

Den som är registeransvarig för ett socialförsäkringsregister skall se till att den som är eller avses bli registrerad på lämpligt sätt får information om registret.

Den som är personuppgiftsansvarig för ett socialförsäkringsregister skall se till att den som är eller avses bli registrerad på lämpligt sätt får information om registret.

Informationen skall innehålla en beskrivning av de uppgifter som registret får innehålla samt upplysning om

1. ändamålen med registret,

2. de sekretess- och säkerhetsbestämmelser som gäller för registret,

3. rätten att få registerutdrag och rättelse enligt datalagen (1973:289), samt

3. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),

4. rätten till rättelse enligt personuppgiftslagen och 21 a § denna

4. de begränsningar i fråga om direkt åtkomst, utlämnande av uppgifter på medium för automatisk databehandling, sökbegrepp och bevarande av uppgifter som gäller för registret.

lag, samt

5. de begränsningar i fråga om direkt åtkomst, utlämnande av uppgifter på medium för automatiserad behandling, sökbegrepp och bevarande av uppgifter som gäller för registret.

Rättelse och skadestånd

21 a §

Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller anslutande författningar.

Överklagande

21 b §

En myndighets beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

1. Denna lag träder i kraft den 1 oktober 2001.

2. Beträffande personregister som avses i 1 § andra stycket andra meningen skall, i fråga om sådan manuell behandling som avses i punkt 3 i övergångsbestämmelserna till personuppgiftslagen (1998:204), bestämmelserna i 7–11 §§ denna lag inte börja tillämpas förrän den 1 oktober 2007.

3. Bestämmelserna om skadestånd i 21 a § skall inte tillämpas om den omständighet som åberopas till grund för ersättningsanspråket har inträffat före lagens ikraftträdande.

4. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.

3. Ärendet och dess beredning

I socialförsäkringsregisterlagen (1997:934), SofrL, särregleras automatiserad behandling av personuppgifter inom socialförsäkringens administration. Lagen gäller personregister för sådan verksamhet i fråga om socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag, förordning eller särskilt beslut av regeringen ankommer på de allmänna försäkringskassorna, Premiepensionsmyndigheten eller Riksförsäkringsverket (socialförsäkringsregister).

När SofrL infördes gällde ännu datalagen (1973:289). SofrL är således uppbyggd mot bakgrund av bestämmelserna i datalagen och innehåller även hänvisningar till denna lag. Datalagen har numera ersatts av personuppgiftslagen (1998:204), PUL. Enligt övergångsbestämmelserna till PUL skall datalagen gälla övergångsvis för behandling av personuppgifter som utförs för ett visst bestämt ändamål om behandlingen påbörjats före PUL:s ikraftträdande den 24 oktober 1998. Efter den sista september 2001 upphör emellertid denna övergångsvisa reglering att gälla.

I departementspromemorian En begränsad översyn av socialförsäkringsregisterlagen (1997:934) föreslås en begränsad anpassning av SofrL med anledning av bl.a. datalagens övergångsvisa upphörande.

Departementspromemorian har remissbehandlats. I bilaga 1 finns en förteckning över remissinstanserna. En remissammanställning finns tillgänglig hos Socialdepartementet (dnr 2000/4545/SF).

Det av regeringen nu framlagda förslaget till lag om ändring i SofrL utgör endast en begränsad översyn av lagen i syfte att bättre anpassa denna till PUL. Regeringen har emellertid för avsikt att under våren 2001 påbörja en översyn av registerlagstiftningen inom socialförsäkringens administration i ett vidare perspektiv.

Lagrådet

Regeringen beslutade den 8 februari 2001 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5.

Lagrådet lämnade förslaget utan erinran.

4. Bakgrund och utgångspunkter

4.1. Äldre registerlagstiftning

Socialförsäkringsregisterlagen (1997:934), SofrL, föregicks av två andra lagar, lagen (1993:747) om sjukförsäkringsregister hos de allmänna försäkringskassorna, SjfrL och lagen (1994:1517) om socialförsäkringsregister, 1994 års SofrL. Därtill fanns förordningar med närmare reglering av sjukförsäkringsregister hos försäkringskassorna som utfärdats med stöd av 1994 års SofrL, samt en fristående förordning om bostadstilläggsregister. Vissa register inom socialförsäkringens administration

fördes också med stöd av tillstånd enligt den då gällande datalagen (1973:289).

Lagen ( 1993:747 ) om sjukförsäkringsregister hos de allmänna försäkringskassorna

Lagen trädde i kraft den 1 juli 1993. I lagen föreskrevs att varje lokalkontor inom en allmän försäkringskassa med stöd av automatisk databehandling fick föra ett sjukförsäkringsregister för sitt verksamhetsområde. Lagen reglerade också försäkringskassans rätt att föra register över sjömän.

Registren fick användas för handläggning och förberedande åtgärder inför handläggning av i lagen angivna ärendeslag. Registren fick också användas för försäkringskassornas och Riksförsäkringsverkets (RFV) tillsyn, uppföljning och utvärdering av ärendehanteringen samt för statistiska ändamål.

I SjfrL angavs i princip uttömmande vilka integritetskänsliga uppgifter som fick registreras. Den s.k. terminalåtkomsten reglerades på så sätt att endast de lokalkontor inom en allmän försäkringskassa som förde registret fick ha tillgång till registret via sina terminaler. Lagen begränsade även möjligheterna att på medium för automatisk databehandling lämna ut uppgifter från registren. Möjligheterna att söka information om integritetskänsliga uppgifter i registren var också begränsade. SjfrL innehöll vidare regler om gallring och de allmänna försäkringskassornas informationsansvar till de registrerade. Informationen skulle omfatta ändamålet med registret och de regler som på olika sätt skyddade den enskilde.

Lagen (1994:1517) om socialförsäkringsregister 1994 års SofrL trädde i kraft den 1 juli 1995. Lagen reglerade de register hos RFV och de allmänna försäkringskassorna som fördes med stöd av automatisk databehandling för handläggning av ärenden om socialförsäkringsförmåner och andra förmåner. 1994 års SofrL var i princip tillämplig på det område inom socialförsäkringen som inte omfattades av SjfrL.

Lagen innehöll grundläggande generella bestämmelser för registerhantering inom socialförsäkringens administration och omfattade registerändamål, registerinnehåll, sambearbetning, registeransvar, terminalåtkomst, utlämnande av uppgifter på medium för automatisk databehandling, sökbegrepp, gallring samt information.

Ett socialförsäkringsregister fick enligt 1994 års SofrL användas för handläggning och förberedande åtgärder i ärenden om socialförsäkringsförmåner och andra förmåner som enligt lag eller förordning ankom på de allmänna försäkringskassorna eller RFV. Socialförsäkringsregister fick också användas för vissa utbetalningar, återbetalningar och inbetalningar som avsågs i SjfrL.

Identitets- och folkbokföringsuppgifter beträffande en person fick registreras. Vidare fick registreras uppgifter om sådana ekonomiska och personliga förhållanden som hade betydelse för rätten till och utbetalning av förmåner. Detsamma gällde vid förberedande åtgärder inför handläggning av ett ärende.

Känsliga personuppgifter fick som huvudregel inte registreras. I lagen angavs dock uttryckligen när undantag från förbudet fick göras.

4.2. Socialförsäkringsregisterlagen (1997:934)

Att ha två registerlagar som inte var kongruenta medförde negativa konsekvenser i flera hänseenden. Bl.a. uppstod gränsdragningsproblem och pedagogiska problem med att föra ut kunskaper om gällande reglering. Stora skillnader i behörigheten att besluta om registrens förande var ett annat problem. Mot bakgrund av det anförda infördes den nu gällande socialförsäkringsregisterlagen (1997:934), SofrL. Lagen trädde i kraft den 1 januari 1998 och ersatte då både SjfrL och 1994 års SofrL.

1997 års SofrL är en speciallag om personregister tillämplig i verksamheten hos de allmänna försäkringskassorna, Premiepensionsmyndigheten (PPM) och Riksförsäkringsverket (RFV). I lagen anges de grundläggande bestämmelser som har ansetts behövliga ur integritetsskyddssynpunkt.

Socialförsäkringsregister får enligt SofrL användas för handläggning och förberedande åtgärder avseende ärenden om förmåner och ersättningar som de allmänna försäkringskassorna, RFV eller PPM har att sköta enligt lag, förordning eller särskilt beslut av regeringen. Registren får vidare användas för uppföljning, utvärdering och tillsyn samt statistikframställning i nämnda verksamhet. Slutligen får registren användas av Statens pensionsverk och det organ som administrerar personalpensioner gemensamt för kommunerna och landstingen för viss handläggning av ärenden om utbetalning och samordning av förmåner. Regeringen, eller den myndighet regeringen bestämt, får föreskriva i vilken omfattning detta får ske.

Ett socialförsäkringsregister får innehålla uppgifter om en person som förekommer i ett ärende som omfattas av lagen. En förutsättning för att personuppgifter skall få registreras är dock att uppgifterna är av betydelse för handläggningen av ärendet.

Ärendeuppgifterna indelas i allmänna och särskilda uppgifter. Allmänna ärendeuppgifter är identifierings- och adressuppgifter samt uppgifter om kön, civilstånd, medborgarskap och födelseort. Särskilda ärendeuppgifter är personliga och ekonomiska uppgifter som är av betydelse för handläggning av ett ärende.

En grundläggande princip i SofrL är att särskilda ärendeuppgifter som kan betraktas som känsliga personuppgifter inte får registreras. I vissa särskilt angivna fall medges dock undantag. De känsliga personuppgifterna utgörs dels av uppgifter som utgör omdöme eller annan värderande upplysning om den registrerade, dels vissa i 4 § datalagen närmare angivna uppgifter. Dessa uppgifter och de uppgifter som, trots att de är känsliga personuppgifter, ändå får registreras behandlas närmare under avsnitt 5.3.

Socialförsäkringsregister kan under vissa förutsättningar genom s.k. sambearbetning tillföras personuppgifter. Tillförande av uppgifter genom sambearbetning får enligt SofrL ske dels från andra socialförsäkringsregister, dels när det gäller uppgifter som lämnats till en allmän försäkringskassa, PPM eller RFV med stöd av en särskild bestämmelse i lag

eller förordning. Uppgifter kan även tillföras ett socialförsäkringsregister genom att så föreskrivits i lag eller förordning eller efter beslut av Datainspektionen. En förutsättning för att uppgifter ska få tillföras ett socialförsäkringsregister är dock att de tillförda uppgifterna ryms inom såväl det tillåtna registerinnehållet som registerändamålet. Bestämmelserna om sambearbetning är således underordnade bestämmelserna om registerändamål och registerinnehåll.

Registeransvaret enligt SofrL överensstämmer med tidigare reglering i SjfrL och 1994 års SofrL. Frågan behandlas närmare i avsnitt 5.2.

Socialförsäkringsregister är i princip direktåtkomliga för den för vilken registret förs. För ärendehandläggning och förberedande åtgärder kan, om det behövs för i lagen angivna ändamål, även PPM, en allmän försäkringskassa eller RFV ha direkt åtkomst till register som förs för annan eller andra än dem själva.

I fråga om automatiserat utlämnande av personuppgifter från socialförsäkringsregister gäller att utlämnande som har stöd i särskild bestämmelse i lag eller förordning får ske genom automatiserat utlämnande. I övrigt gäller att uppgifter i ett socialförsäkringsregister får utlämnas på dylikt sätt endast om ett sådant utlämningssätt följer av lag, förordning eller beslut av Datainspektionen eller om uppgiften skall användas för forsknings- eller statistikändamål.

Bestämmelserna om sökbegrepp i SofrL överensstämmer i huvudsak med bestämmelserna i 1994 års SofrL. Det innebär att särskilda restriktioner gäller för användning av integritetskänsliga uppgifter som sökbegrepp. För de s.k. elektroniska akterna, som reglerades först i nu gällande SofrL, får endast ärendebeteckning och beteckning på handlingen användas som sökbegrepp.

Gallringfristerna i SofrL motsvarar också till stora delar vad som gällde enligt 1994 års SofrL. Sålunda gäller för närvarande en tioårig gallringsfrist för flertalet uppgifter som finns i registren. För handlingar i elektroniska akter gäller en treårig gallringstid räknat från det år under vilket ärendet avslutats. Undantag från dessa gallringstider kan i vissa fall föreskrivas för ett urval av uppgifter för forskningsändamål.

Enligt SofrL ansvarar försäkringskassan för utlämnande av registerutdrag som begärs med stöd av 10 § datalagen vad gäller de register som förs gemensamt för RFV och de allmänna försäkringskassorna. Ett undantag från skyldigheten att lämna registerutdrag görs för uppgifter i elektroniska akter. Det skall dock av registerutdraget framgå vilka handlingar avseende den registrerade som finns i en sådan akt.

SofrL innehåller slutligen också bestämmelser om information till den som är eller avses bli registrerad i ett socialförsäkringsregister. Reglerna motsvarar vad som reglerades därom i SjfrL och i 1994 års SofrL.

Hänvisningar till S4-2

4.3. Datalagen (1973:289), dataskyddsdirektivet och personuppgiftslagen (1998:204)

När socialförsäkringsregisterlagen (1997:934), SofrL, infördes gällde som inledningsvis nämnts fortfarande datalagen (1973:289). Ett stort antal hänvisningar görs därför i SofrL till datalagen. Den 24 oktober 1998 upphörde datalagen att gälla och i stället trädde personuppgifts-

lagen (1998:204), PUL, i kraft. Datalagen gäller dock övergångsvis fram till och med den 30 september 2001 för bl.a. behandling av personuppgifter som påbörjats före den 24 oktober 1998.

Datalagen (1973:289)

Datalagen innehöll grundläggande regler om inrättande och förande av personregister med hjälp av automatisk databehandling. Syftet med lagen var att skydda den enskilde mot otillbörligt integritetsintrång. Med personregister avsågs i datalagen ett register, förteckning eller andra anteckningar som fördes med hjälp av automatisk databehandling och som innehöll personuppgift som kan hänföras till den som avses med uppgiften.

Datalagen var uppbyggd så att den som skulle inrätta och föra ett personregister måste ha en licens utfärdad av Datainspektionen, som var tillsynsmyndighet enligt lagen. För vissa register krävdes också ett särskilt tillstånd av Datainspektionen. Detta gällde bl.a. de register som innehöll känsliga personuppgifter, omdömen eller annan värderande upplysning om den registrerade.

Register inrättade efter beslut av riksdagen eller regeringen var undantagna från kravet på tillståndsplikt. Undantagna var också personregister som en enskild person inrättade eller förde uteslutande för personligt bruk samt några andra register utan direkt betydelse i detta sammanhang.

Personregister skulle föras så att otillbörligt intrång i den registrerades personliga integritet inte uppkom. Den registeransvarige var skyldig att se till att s.k. ”god registersed” iakttogs vid förandet av personregistret. Förutom de övergripande kraven på licens, ”god registersed” och i vissa fall särskilt tillstånd för förande av dataregister, fanns också särskilda bestämmelser som var avsedda att garantera att personuppgifterna skulle vara riktiga och fullständiga. Dessa bestämmelser reglerade bl.a. rättelser och kompletteringar av oriktiga eller missvisande uppgifter.

Den enskildes rätt till insyn i ett personregister reglerades genom möjligheten att skriftligen begära ett s.k. registerutdrag, som lämnades högst en gång per år. Ett sådant utdrag skulle innehålla de personuppgifter som fanns om den enskilde i registret eller upplysning om att sådan uppgift inte fanns registrerad.

Någon direkt gallringstid för personuppgifter gavs inte i datalagen. Personuppgift skulle i stället utgå ur registret när uppgiften inte längre behövdes med hänsyn till registerändamålet. Detta gällde emellertid bara om det inte föreskrivits att uppgiften skulle bevaras.

Dataskyddsdirektivet

År 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

EG-direktivet gäller för behandling av personuppgifter som helt eller delvis företas på automatisk väg oavsett om uppgifterna ingår i ett register eller inte samt även viss manuell hantering av personuppgifter.

Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater. Staterna skall därmed inte kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.

EG-direktivet ger dock medlemsstaterna viss möjlighet att – inom direktivets ramar – närmare precisera villkoren för när behandling av personuppgifter är tillåtet.

Utanför EG-direktivets tillämpningsområde faller behandling av personuppgifter inom områden som inte omfattas av gemenskapsrätten, bl.a. allmän säkerhet, statens säkerhet och statens verksamhet på straffrättens område. Direktivet gäller heller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur. Från EG-direktivets materiella regler undantas också behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål.

Enligt artikel 8.1 i EG-direktivet skall medlemsstaterna förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Vissa undantag gäller dock från förbudet att registrera sådana känsliga personuppgifter (se avsnitt 5.3).

Personuppgiftslagen (1998:204)

Personuppgiftslagen (1998:204), PUL, ersatte den 24 oktober 1998 datalagen (1973:289). Genom den nya lagen genomförs EG-direktivet.

Med personuppgift avses i PUL all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Behandling av personuppgifter omfattar varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte. Sådan behandling är tillåten dels om den enskilde samtyckt, dels i vissa andra närmare angivna fall. Ett sådant fall är när behandlingen sker i samband med myndighetsutövning. För behandling av känsliga personuppgifter gäller särskilda regler. Se vidare avsnitt 5.3.

PUL är generellt tillämplig, teknikoberoende och hänför sig när det gäller automatiserad behandling av personuppgifter inte till registerbegreppet. Lagen riktar sig i stället direkt till den personuppgiftsansvarige med vissa grundläggande krav på behandling av personuppgifter. Se nedan avsnitt 5.2.

Enligt PUL skall den personuppgiftsansvarige självmant lämna information om behandlingen av personuppgifter till den registrerade. När denna information skall ges är beroende av varifrån uppgifterna samlats in – från den registrerade själv eller från någon annan källa – och om uppgifterna är avsedda att lämnas ut till tredje man. Information till den enskilde skall också ges efter ansökan av denne. Se vidare avsnitt 5.4.

Rättelse skall ske av personuppgifter som inte har behandlats i enlighet med PUL, eller föreskrifter som utfärdats med stöd av lagen, om den registrerade begär det. Rättelse enligt PUL kan innebära såväl rättelse som blockering eller utplånande av uppgift. Den personuppgiftsansvarige är som huvudregel också skyldig att underrätta tredje man, till vilken uppgifterna har lämnats ut, om rättelsen, om den registrerade begär det eller om mer betydande skada eller olägenhet skulle kunna undvikas genom en underrättelse. Undantag från skyldigheten att underrätta tredje man medges bl.a. om det skulle innebära en oproportionerligt stor arbetsinsats.

Om en registrerad har drabbats av skada eller kränkning av den personliga integriteten på grund av att personuppgifter behandlats i strid med PUL skall den personuppgiftsansvarige ersätta den registrerade härför. Rätten till ekonomisk kompensation för olaglig behandling gäller ersättning för såväl kränkning som för person-, sak- och förmögenhetsskada. Att skadestånd kan utges för behandling i strid med PUL innebär också att ersättning kan utges om behandlingen står i strid med kravet på god sed vid behandling av personuppgifter. Ersättningsskyldigheten kan i skälig omfattning jämkas om den personuppgiftsansvarige visar att felet inte berodde på denne.

PUL innehåller också straffbestämmelser för den som på olika sätt handlar eller underlåter att handla i överensstämmelse med lagen.

Hänvisningar till S4-3

4.4. Författningsreglering avseende myndighetsregister

Utöver vad som nu redovisats finns en omfattande författningsreglering avseende automatiserad behandling av personuppgifter som utförs av myndigheter.

I den utsträckning ett personregister tidigare var reglerat i annan författning än datalagen gällde att det registret var undantaget Datainspektionens tillståndsprövning och föreskriftsrätt.

Personuppgiftslagen (1998:204), PUL, gör inget undantag för behandling av personuppgifter som utförs av en myndighet, utan gäller generellt. I förarbetena till PUL uttalas emellertid att det inom den offentliga sektorn förekommer stora mängder känsliga personuppgifter och uppgifter som har inhämtats med stöd av straffsanktionerad uppgiftsplikt, varför lagen inte rimligen kan ersätta de många preciserade och viktiga regler som finns i befintliga registerförfattningar. Vidare konstateras att det – inom offentlig verksamhet – är särskilt viktigt med ett starkt integritetsskydd för behandling av uppgifter och att det traditionella svenska systemet med särregler i särskilda författningar är att föredra framför generella undantag från PUL ( prop. 1997/98:44 s 41).

4.5. En begränsad översyn av socialförsäkringsregisterlagen (1997:934)

När socialförsäkringsregisterlagen (1997:934), SofrL, infördes gällde ännu datalagen (1973:289). SofrL är således uppbyggd mot bakgrund av bestämmelserna i datalagen och innehåller även hänvisningar till denna

lag. Datalagen har numera ersatts av personuppgiftslagen (1998:204), PUL. Enligt övergångsbestämmelserna till PUL skall datalagen gälla övergångsvis för behandling av personuppgifter som utförs för ett visst bestämt ändamål om behandlingen påbörjats före PUL:s ikraftträdande den 24 oktober 1998. Efter den 30 september 2001 upphör emellertid denna övergångsvisa reglering att gälla.

När datalagen upphör att gälla även övergångsvis behöver SofrL ändras i syfte att anpassa lagen till PUL. Den generellt tillämpliga PUL föranleder också behov av vissa andra förändringar i SofrL.

SofrL har i nuvarande utformning ett mer begränsat tillämpningsområde än PUL. Bestämmelserna i PUL behandlar inte bara register som förs helt eller delvis med hjälp av automatisk databehandling utan i huvudsak all behandling av personuppgifter som helt eller delvis är automatiserad och även viss manuell hantering av sådana uppgifter. Enligt regeringens mening bör SofrL nu anpassas till PUL såtillvida att lagen även skall gälla viss manuell hantering av personuppgifter.

Vissa begrepp som definieras i PUL bör vidare få motsvarande betydelse i SofrL.

Regeringen anser även att bestämmelserna i PUL, om den personuppgiftsansvariges ansvar för rättelse m.m. och skadeståndsansvar mot den registrerade för skada och kränkning av den personliga integriteten bör gälla även när personuppgifter behandlats i strid med de mer preciserade reglerna i SofrL.

När det gäller vilka uppgifter som får registreras föreslår regeringen emellertid ingen ändring i SofrL:s systematik. Även fortsättningsvis skall alltså vissa allmänna ärendeuppgifter och sådana särskilda ärendeuppgifter som har betydelse för handläggning av ärenden om socialförsäkringsförmåner m.m, och som inte är särskilt integritetskänsliga, få registreras.

När det gäller de särskilt integritetskänsliga uppgifterna bör emellertid en anpassning ske av vilka uppgifter som avses därmed till vad som gäller enligt PUL. Samma regler som gäller för särskilt integritetskänsliga uppgifter bör gälla också i fråga om sådana uppgifter om brott och frihetsberövanden m.m som avses i 21 § PUL. En anpassning bör också göras av den s.k. undantagskatalogen i SofrL, som anger i vilken utsträckning särskilt integritetskänsliga uppgifter får registreras.

I fråga om uppgiftslämnande till enskild när information samlas in föreslås ingen särreglering. Detta innebär att den personuppgiftsansvarige i enlighet med PUL:s bestämmelse är skyldig att informera den enskilde om avsedd behandling av personuppgifter när dessa samlas in från den enskilde själv. I övrigt krävs ingen ytterligare information vid insamlandet av personuppgifter än vad som följer av dagens regler i SofrL.

Information skall enligt PUL också lämnas till den enskilde efter ansökan av denne. Regeringen anser dock att sådan information – i likhet med vad som för närvarande gäller i fråga om registerutdrag enligt 10 § datalagen – inte behöver innehålla personuppgifter i sådana handlingar som avses i 11 § SofrL, dvs. i s.k. elektroniska akter. Av informationen skall dock framgå vilka handlingar som finns beträffande den registrerade. Vidare skall information om uppgifter i sådana handlingar lämnas om den enskilde därefter, eller i samband med den första ansökan, preciserar vilken eller vilka handlingar som han eller hon vill ha information om.

Regeringen föreslår för närvarande ingen förändring vad gäller registerbegreppet. Den begränsade anpassning av SofrL som nu är i fråga har inte gett utrymme för samtliga de överväganden som krävs för att antingen helt frångå ett samlingsbegrepp eller för att till viss del byta ut det nuvarande registerbegreppet.

Som tidigare anförts är regeringen emellertid medveten om behovet av en mer övergripande översyn av registerlagstiftningen inom socialförsäkringens administration. Under arbetet med detta förslag har också framkommit synpunkter och önskemål från företrädare för bl.a. Riksförsäkringsverket (RFV) och Premiepensionsmyndigheten (PPM) om andra tänkbara förändringar i SofrL. Detta gäller bl.a. frågor om utökad användning av internet, elektroniska signaturer, elektronisk kommunikation i övrigt samt automatiserat utlämnande till annan än den enskilde. För närvarande pågår ett omfattande utvecklingsarbete för modernisering av IT-stödet för RFV och de allmänna försäkringskassorna, bl.a. redovisat i RFV:s Rapport om regelöversyn inför IT-baserade ärendehanteringssystem m.m, (Dnr 10066/1999) jämte RFV:s Kommentarer och förtydliganden till denna rapport. Enligt regeringens mening bör dessa frågor lämpligen behandlas mer utförligt i ett sammanhang. Regeringen avser därför att under våren 2001 påbörja en sådan mer utvidgad översyn.

Hänvisningar till S4-5

  • Prop. 2000/01:69: Avsnitt 5.1

5. Den materiella regleringen

5.1. Lagens tillämpningsområde

Regeringens förslag:Socialförsäkringsregisterlagens (1997:934) tillämpningsområde utsträcks och kommer att omfatta personregister som förs helt eller delvis automatiserat liksom vissa manuella register.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanser har lämnat förslaget i huvudsak utan erinran. Datainspektionen och Riksförsäkringsverket (RFV) anser emellertid att det kan ifrågasättas om det finns tillräckliga skäl att avvika från personuppgiftslagen (1998:204), PUL:s, tillämpningsområde på sådant sätt att även uppgifter hänförliga till avlidna skall omfattas av SofrL:s tillämpningsområde. RFV har vidare påpekat att

SofrL i föreslagen lydelse inte omfattar de uppgifter som är avsedda att ingå i ett register, varför PUL:s bestämmelser i stället gäller i dessa fall. Verket har härvid menat att lagstiftningen skulle bli tydligare om allt reglerades på ett och samma ställe.

Skälen för regeringens förslag:Socialförsäkringsregisterlagen (1997:934) SofrL gäller för personregister för sådan verksamhet i fråga om socialförsäkringsförmåner m.m. som hanteras av de allmänna försäkringskassorna, RFV eller Premiepensionsmyndigheten (PPM).

Med personregister förstås detsamma som i datalagen (1973:289), nämligen register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften.

SofrL gäller alltså i nuvarande lydelse endast behandling av uppgifter med hjälp av automatiserad behandling. PUL däremot omfattar även viss manuell hantering av personuppgifter. I 5 § första stycket PUL föreskrivs inledningsvis att lagen gäller behandling av personuppgifter som är helt eller delvis automatiserad. Av andra stycket i samma paragraf framgår vidare att PUL även gäller för annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Bestämmelsen i 5 § PUL grundas i sin tur på artikel 3 i dataskyddsdirektivet, som anger att utöver behandling av personuppgifter som helt eller delvis företas på automatisk väg, gäller direktivet annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Med register avses i direktivet varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

Begreppet register används emellertid inte i PUL, bl.a. därför att det i en sammansatt och komplex datormiljö blivit allt svårare att skilja ett register från ett annat. Avsikten är dock inte att PUL:s bestämmelser skall ha ett mer vidsträckt tillämpningsområde än EG-direktivet. I förarbetena till PUL anges också, att det är först när en stor mängd personuppgifter på papper har strukturerats på något sätt som det går att hitta bland uppgifterna på ett enkelt sätt och att det är först då som egentliga integritetsrisker med behandlingen uppkommer (jfr prop. 1997/98:44 s. 39 ff.).

Om SofrL:s tillämpningsområde inte ändras kommer behandling av personuppgifter i register inom socialförsäkringens administration alltjämt att följa två olika lagar – SofrL vad avser automatisk databehandling och PUL vad gäller viss annan hantering. Regeringen anser detta vara mindre lämpligt. SofrL:s tillämpningsområde bör därför anpassas till vad som gäller enligt PUL och således avse dels behandling av personuppgifter i register som förs helt eller delvis automatiserat, dels viss manuell hantering av sådana uppgifter. Som RFV påpekat kommer dock alltjämt automatiserad behandling av personuppgifter som inte ingår i ett personregister att falla utanför SofrL:s tillämpningsområde. Detta gäller då också t.ex. behandling av personuppgifter som är avsedda att ingå i ett sådant register. I dessa fall blir i stället PUL:s allmänna bestämmelser om behandling av personuppgifter tillämpliga, då PUL gäller för all automatiserad behandling av personuppgifter oavsett om behandlingen sker i registerform eller i löpande text. Begränsningen i SofrL är en följd av att SofrL:s nuvarande konstruktion är sådan att lagens tillämpningsområde är begränsat till att gälla behandling av personuppgifter i registerform. Någon ändring härvidlag föreslås inte här. Frågan om SofrL:s tillämpningsområde kommer dock att närmare ses över vid en utvidgad översyn av lagen (se avsnitt 4.5).

I ett avseende bör dock SofrL:s tillämpningsområde vara vidare än PUL:s. Detta gäller uppgifter som kan hänföras till avlidna. SofrL har allt sedan lagens tillkomst gällt även för sådana uppgifter. Skälet till detta är att det inom socialförsäkringens administration förekommer en stor mängd personliga uppgifter som är hänförliga till avlidna. Enligt rege-

ringens mening finns ingen anledning att nu frångå denna högre skyddsnivå.

5.2. Registeransvar

Regeringens förslag: Begreppen registeransvar och registeransvarig i socialförsäkringsregisterlagen (1997:934), SofrL, ändras till personuppgiftsansvar och personuppgiftsansvarig. Även andra begrepp och rubriker i SofrL anpassas till vad som gäller enligt personuppgiftslagen (1998:289), PUL.

Vad som föreskrivs i PUL om skyldighet för en personuppgiftsansvarig att rätta, blockera och utplåna uppgifter, att underrätta tredje man till vilken uppgifterna har lämnats ut, samt om skadestånd skall gälla även när personuppgifter har behandlats i strid med SofrL.

Myndigheters beslut om information som skall lämnas enligt 26 § PUL och om rättelse skall kunna överklagas hos allmän förvaltningsdomstol.

Promemorians förslag överensstämmer delvis med regeringens. Dock har i förslaget paragraferna om rättelse och skadestånd lagts samman till en paragraf, för att bättre överensstämma med annan registerlagstiftning.

Vidare har lagts till en bestämmelse som ger den enskilde möjlighet att överklaga en myndighets beslut om rättelse och om information som skall lämnas enligt 26 § PUL.

Remissinstanserna: Remissinstanserna tillstyrker eller har inte något att erinra mot förslaget.

Skälen för regeringens förslag: De bestämmelser i socialförsäkringsregisterlagen (1997:934), SofrL, datalagen (1973:289) och personuppgiftslagen (1998:289), PUL, som åsyftar ett skydd för den personliga integriteten förutsätter att någon ansvarar för behandlingen av de uppgifter lagregleringen avser.

I SofrL och datalagen används begreppet registeransvarig. Med registeransvarig avses den för vars verksamhet personregister förs, om han förfogar över registret.

Registeransvaret enligt SofrL åvilar olika juridiska personer beroende på för vem ett register förs. Registeransvarig för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket (RFV) och de allmänna försäkringskassorna är RFV. Varje försäkringskassa är dessutom registeransvarig för sådant register när det gäller behandling av uppgifter hos den försäkringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är den försäkringskassan registeransvarig. I fråga om socialförsäkringsregister som förs särskilt för Premiepensionsmyndigheten (PPM) är myndigheten registeransvarig. RFV är registeransvarigt för socialförsäkringsregister som förs särskilt för verket.

I PUL används i stället begreppet personuppgiftsansvarig. Med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Det ansvar en registeransvarig har enligt datalagen och SofrL överensstämmer i stort med det ansvar en personuppgiftsansvarig har enligt PUL. De skillnader som finns är huvudsakligen av redaktionell art, av mindre betydelse eller sådant som det möjligen kan anses ha varit underförstått att den som enligt den tidigare regleringen var registeransvarig skulle ansvara för.

Olika begrepp för i princip samma sak inom regleringar avseende behandlingen av personuppgifter underlättar knappast för dem som skall tillämpa lagstiftningen eller för andra som vill ta del av denna. Det saknas därför enligt regeringens uppfattning skäl att bibehålla begreppet registeransvar i SofrL. Begreppet registeransvar bör således ersättas med begreppet personuppgiftsansvar. SofrL bör även i övrigt anpassas så att de begrepp och rubriker som används i lagen ges samma betydelse som enligt PUL.

Enligt PUL har en personuppgiftsansvarig också ett ansvar för att personuppgifterna som behandlas är riktiga och för att bl.a. rätta, blockera och utplåna uppgifter samt underrätta tredje man, till vilken uppgifterna har lämnats ut, om personuppgifter är oriktiga eller har behandlats i strid med PUL. Den personuppgiftsansvarige är enligt PUL också skadeståndsansvarig mot den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Vad som nu sagts om rättelse m.m. och skadestånd bör enligt regeringens mening gälla även när personuppgifter behandlas i strid med de mer preciserade reglerna i SofrL. Vidare bör beslut av myndigheter, med undantag för beslut av rent administrativ eller intern karaktär, som direkt berör enskilda kunna överklagas. Det gäller bl.a. beslut att avslå en ansökan om information om pågående behandling och beslut att avslå en begäran om rättelse. Besluten bör överklagas till allmän förvaltningsdomstol och det bör krävas prövningstillstånd för överklagande till kammarrätten.

Hänvisningar till S5-2

  • Prop. 2000/01:69: Avsnitt 4.2, 4.3

5.3. Känsliga personuppgifter m.m.

Regeringens förslag: Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller sexualliv (känsliga personuppgifter) skall inte få behandlas i ett socialförsäkringsregister. Detsamma skall gälla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Vissa i lagen närmare angivna undantag, framför allt vad gäller hälsa, skall dock gälla. Vidare skall även i fortsättningen bara sådana särskilda ärendeuppgifter som har betydelse för handläggning av ärenden om socialförsäkringsförmåner m.m. få registreras.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Kammarrätten i Jönköping framhåller att behandling av känsliga personuppgifter som inte sker i register eller i elektroniska akter inte regleras i lagförslaget, varför PUL:s allmänna bestämmelser i stället blir tillämpliga. Enligt kammarrättens mening blir

kontrasten till SofrL:s detaljerade reglering stor och väcker farhågor.

Riksförsäkringsverket (RFV) avstyrker förslaget och anser att dataskyddsdirektivet och PUL ger stöd för en registerreglering som inte detaljreglerar vilka personuppgifter (känsliga eller icke känsliga) som skall få registreras. RFV menar att socialförsäkringens administration bör få registrera de uppgifter som behövs för att kunna handlägga de olika förmånerna och bidragen, varvid de materiella reglerna för de olika ärendeslagen kommer att styra vilken information som lagras i registren. Övriga remissinstanser har inte haft något att erinra mot förslaget eller har avstått från att yttra sig.

Skälen för regeringens förslag: En central fråga vid lagstiftning om behandling av personuppgifter är hänsynen till den enskildes personliga integritet. Av stor betydelse är därvid vilka personuppgifter som får registreras, liksom naturligtvis åtkomsten till dessa uppgifter.

Enligt 2 kap. 3 § andra stycket regeringsformen skall varje medborgare, i den utsträckning som närmare anges i lag, skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatiserad behandling. I lagstiftning avseende register som förs med hjälp av automatiserad behandling har också i stor utsträckning föreskrivits begränsningar både vad gäller vilka uppgifter rörande en person som får registreras och beträffande åtkomsten till dessa uppgifter.

Som tidigare nämnts innehöll datalagen (1973:289) allmänna bestämmelser om inrättande och förande av personregister. I socialförsäkringsregisterlagen (1997:943), SofrL, hänvisas till datalagen även när det gäller registrering av särskilda ärendeuppgifter. Vissa förändringar i SofrL beträffande registrering av känsliga personuppgifter m.m. är därför nödvändiga med anledning av att datalagen den 30 september 2001 upphör att gälla även övergångsvis.

Datalagen (1973:289)

I fråga om vilka uppgifter om en person som fick registreras föreskrevs i 4 och 6 §§datalagen vissa begränsningar.

Bestämmelserna i 4 § första stycket avsåg uppgifter rörande brott och olika former av tvångsingripanden, närmare bestämt uppgifter om att någon misstänkts eller dömts för brott, avtjänat straff eller undergått annan påföljd för brott, eller varit föremål för tvångsingripande enligt närmare angivna lagar.

Rätten att registrera någon eller några av dessa uppgifter begränsades genom att det, förutom det allmänna kravet på licens utfärdat av Datainspektionen, också krävdes ett särskilt tillstånd för inrättande och förande av personregister som innehöll någon eller några av dessa uppgifter. Sådant tillstånd fick meddelas annan än myndighet som enligt lag eller annan författning hade att föra förteckning över sådana uppgifter endast om det förelåg synnerliga skäl.

I 4 § andra stycketdatalagen begränsades möjligheten för annan än myndighet som enligt lag eller annan författning hade att föra förteckning över uppgifter om någons sjukdom, hälsotillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen (1989:529).

Enligt 4 § tredje stycket gällde en generell begränsning med krav på särskilda skäl för tillstånd att inrätta och föra register som innehöll uppgifter om någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt.

Slutligen föreskrevs i 6 § andra stycket att Datainspektionen, vid bedömande av om det behövdes särskilda föreskrifter för ett register för att förebygga risk för otillbörligt intrång i personlig integritet, särskilt skulle beakta om registret innehöll uppgifter som utgjorde omdöme eller annan värderande upplysning.

Socialförsäkringsregisterlagen (1997:934)

I socialförsäkringsregisterlagen (1997:934), SofrL, har valts tekniken att ange vilka uppgifter som får registreras på ett så klart sätt som möjligt. Eftersom det är fråga om en mycket stor mängd uppgifter har en fullständig uppräkning emellertid varken varit möjlig eller önskvärd.

När det gäller vilka personer som får registreras anges i 5 § SofrL att ett socialförsäkringsregister får innehålla uppgifter om en person om denne förekommer i ett ärende som det ankommer på de allmänna försäkringskassorna, RFV eller Premiepensionsmyndigheten (PPM) att handlägga eller, när det är fråga om förberedande åtgärder för handläggning, som kan förekomma i ett sådant ärende. En förutsättning är dock att uppgifter om personen har betydelse för handläggningen av ärendet.

De uppgifter som får registreras enligt SofrL delas upp i allmänna och särskilda ärendeuppgifter. Med allmänna ärendeuppgifter avses identifierings- och adressuppgifter samt uppgifter om kön, civilstånd, medborgarskap och födelseort. Särskilda ärendeuppgifter är uppgifter om sådana ekonomiska och personliga förhållanden som har betydelse för handläggning av socialförsäkringsärenden.

Integritetskänsliga uppgifter får enligt SofrL i princip inte registreras. Med integritetskänsliga uppgifter avses sådana särskilda ärendeuppgifter som avses i 4 § datalagen eller uppgifter som utgör omdöme eller annan värderande upplysning om den registrerade. SofrL medger dock genom undantag att vissa i lagen närmare angivna uppgifter får registreras även om de skulle vara integritetskänsliga. Dessa undantag är i huvudsak hänförliga till förhållanden som rör enskildas hälsa och räknas upp i 7 § andra och tredje styckena samt i 9 § i SofrL. Uppgifter som registreras med stöd av bestämmelserna i 7 § andra eller tredje stycket SofrL skall enligt 8 § SofrL anges så kortfattat som möjligt.

Regleringen om vilka uppgifter som ett socialförsäkringsregister får innehålla är avsedd att vara i princip heltäckande. I SofrL har emellertid föreskrivits att regeringen ytterligare får begränsa innehållet i ett socialförsäkringsregister. Om det behövs för angelägna uppföljningsändamål får regeringen också föreskriva att uppgifter om sjukdomsdiagnos i begränsad omfattning får registreras i vissa närmare angivna socialförsäkringsregister.

Bestämmelserna om vilka integritetskänsliga uppgifter som får registreras i ett socialförsäkringsregister gäller enligt 11 § SofrL inte för s.k. elektroniska akter. I en sådan akt kan samlas all den information som behövs för handläggningen av ett ärende. Akten skapas genom att inkomna handlingar läses eller scannas in i ett datorbaserat system eller

genom att handläggaren gör tjänsteanteckningar eller skriver promemorior direkt i systemet. Syftet bakom särbestämmelserna för elektronisk akthantering är att uppnå en rationell, rättssäker och effektiv handläggning med stöd av automatiserad behandling. Elektroniska akter får således innehålla alla handlingar som har kommit in i eller framställts i ett visst ärende. En förutsättning för att integritetskänsliga uppgifter i sådana handlingar skall få registreras är emellertid att de har lämnats i ärendet eller att de behövs för handläggningen av ärendet. I stället för att reglera vilka integritetskänsliga uppgifter som får registreras i elektroniska akter har föreskrivits begränsningar vad gäller sökbegrepp, gallringstid och direkt åtkomst. Som sökbegrepp får användas endast ärendebeteckning och beteckning på handling. I lagen föreskrivs också en kortare gallringsfrist för handlingar i elektroniska akter. Sådana handlingar skall gallras ut senast tre år efter utgången av det år under vilket ärendet har avslutats. För övriga uppgifter som registrerats med stöd av SofrL gäller en gallringstid om tio år från registrering, såvida inte uppgifterna fortfarande kan antas ha betydelse för handläggning av ett socialförsäkringsärende. Slutligen är också möjligheten till direkt åtkomst begränsad vad avser elektroniska akter.

Dataskyddsdirektivet och personuppgiftslagen (1998:204)

Enligt artikel 8.1 i dataskyddsdirektivet skall medlemsstaterna förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

Vissa undantag gäller dock från förbudet att behandla sådana känsliga personuppgifter bl.a. efter den enskildes uttryckliga samtycke, vid nödvändig behandling inom arbetsrätten, för ideella föreningars medlemsregister och för administration inom hälso- och sjukvård. Känsliga personuppgifter får även behandlas om det är nödvändigt exempelvis för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Vidare får regeringen eller den myndighet regeringen bestämmer i fråga om automatiserad behandling, meddela föreskrifter om ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse.

Personuppgiftslagen (1998:204), PUL, genomför som tidigare nämnts EG-direktivet. Enligt 13 § PUL är det således i princip förbjudet att behandla känsliga personuppgifter. PUL:s definition av känsliga personuppgifter överensstämmer också med de uppgifter som enligt artikel 8.1 i direktivet inte får behandlas annat än i närmare angivna undantagssituationer.

Enligt regeringens bedömning bör inte heller den reglering som ges i SofrL om en allmän begränsning vad avser registrering av känsliga personuppgifter avvika från dataskyddsdirektivet och PUL. Den hänvisning som nu görs till 4 § datalagen bör därför ersättas med en hänvisning till bestämmelsen om känsliga personuppgifter i 13 § PUL.

Liksom när det gäller PUL kommer därmed vissa uppgifter som det tidigare gällt begränsningar för i 7 § SofrL att falla utanför den nya regleringen. Den allmänna begränsningen i SofrL om att särskilda ärendeuppgifter, till vilka känsliga personuppgifter hör, bara får registreras om de har betydelse för handläggning av ärenden om socialförsäkringsför-

måner m.m. som det ankommer på de allmänna försäkringskassorna, RFV eller PPM att hantera bör emellertid även fortsättningsvis gälla. Detta kommer även framöver att begränsa möjligheterna att registrera uppgifter som nu kommer att falla utanför regleringen om känsliga personuppgifter.

Uppgifter om lagöverträdelser m.m. definieras inte som känsliga personuppgifter i 13 § PUL. Sådana uppgifter är dock otvivelaktigt också av känslig natur och får enligt artikel 8.5 i dataskyddsdirektivet och 21 § PUL normalt bara behandlas av myndigheter. Även uppgifter om lagöverträdelser m.m. bör därför omfattas av de särskilda begränsningarna i SofrL och alltså i detta sammanhang likställas med känsliga personuppgifter.

I 16 § PUL medges – under rubriken Nödvändig behandling – i vissa angivna fall undantag från förbudet att behandla känsliga personuppgifter. Det skulle i och för sig vara möjligt att anpassa SofrL härtill genom att föreskriva att uppgifter som avses i 13 och 21 §§ PUL får registreras i socialförsäkringsregister endast om det är nödvändigt för att anspråk på socialförsäkringsförmåner m.m. skall kunna fastställas. Alternativt skulle bestämmelsen i 6 § tredje stycket SofrL om att särskilda ärendeuppgifter får registreras endast om de har betydelse för handläggning av ärenden om socialförsäkringsförmåner m.m. kunna skärpas och anpassas till 16 § PUL samtidigt som de uttryckliga undantagen från förbudet togs bort. Nu nämnda alternativ skulle emellertid inte, enligt regeringens mening, lika tydligt som den nuvarande regleringen ange i vilka situationer känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får registreras. Även om uppräkningen i SofrL, om vilka sådana uppgifter som får registreras och när det får ske, kan synas otymplig måste det ändå anses vara av värde för den enskilde att regleringen är tydlig. Noteras bör härvid även att det alltjämt ges möjlighet att i vissa fall registrera uppgifter om fråga om återbetalningsskyldighet har uppkommit (p. 11). Detta har sin förklaring i att grunden för den enskildes återbetalningsskyldighet kan vara att denne har lämnat oriktiga uppgifter eller orsakat att felaktiga uppgifter lämnats, vilket i sin tur kan innefatta ett brottsligt förfarande (jfr. prop. 1996/97:155 s. 49).

RFV har för sin del förespråkat en ordning som inte detaljreglerar vilka uppgifter som skall få registreras. Verket menar att socialförsäkringens administration bör få registrera de uppgifter som behövs för att kunna handlägga olika förmåner och bidrag, varvid de materiella reglerna för de olika ärendeslagen skall få styra vilken information som lagras i registren. Också regeringen ser möjligheten att i framtiden ha en annan ordning än den nuvarande. Ett sådant förslag kräver emellertid en utförlig analys av varje del av socialförsäkringsverksamheten, något som den begränsade översyn som nu är i fråga inte gett utrymme för. Regeringen har dock, som inledningsvis anförts, för avsikt att inom kort närmare se över behandlingen av personuppgifter inom socialförsäkringens administration. Någon annan ändring i undantagen från förbudet att registrera känsliga personuppgifter och uppgifter om lagöverträdelser m.m. än som föranleds av skillnaderna mellan vad som ansetts vara känsligt enligt datalagen och vad som definieras som känsliga personuppgifter enligt dataskyddsdirektivet och PUL föreslås därför inte inom ramen för denna översyn. Som Kammarrätten i Jönköping har framhållit kommer

behandling av känsliga personuppgifter som inte sker i register eller i elektroniska akter inte att regleras i lagförslaget. I dessa fall blir i stället PUL:s allmänna bestämmelser tillämpliga. Regeringen konstaterar att detta är en effekt av SofrL:s nuvarande lagkonstruktion. Aktuellt område är emellertid begränsat och effekten motverkas dessutom avsevärt av att SofrL:s tillämpningsområde nu utsträcks till att omfatta även viss manuell hantering (jfr avsnitt 5.1).

5.4. Uppgiftslämnande till enskild

Regeringens förslag: Uppgifter i s.k. elektroniska akter behöver inte tas med i information enligt 26 § personuppgiftslagen (1998:204),

PUL. Av informationen skall dock framgå vilka sådana handlingar som finns avseende den registrerade. Vidare skall – om inte annat följer av bestämmelser om sekretess mot den enskilde själv – information om uppgifter i sådana handlingar lämnas om den enskilde begär det och anger vilken handling ansökan avser. I sistnämnda fall skall informationen lämnas ut utan hinder av begränsningen i PUL om att information bara behöver lämnas en gång per kalenderår. Information om varje sådan handling skall dock lämnas gratis högst en gång per kalenderår.

Promemorians förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Datainspektionen har påpekat att de uppgifter som den personuppgiftsansvarige är skyldig att informera om enligt 21 § socialförsäkringsregisterlagen, (1997:934), SofrL, inte fullt ut överensstämmer med regleringen i 25 § personuppgiftslagen (1998:204), PUL, vilket innebär att den personuppgiftsansvarige i denna situation har två olika författningar att tillämpa för att uppfylla sin informationsplikt. Enligt Datainspektionens uppfattning bör bestämmelserna i SofrL utformas på annat sätt för att det tydligare skall framgå vilken information den personuppgiftsansvarige är skyldig att lämna självmant. Remissinstanserna i övrigt tillstyrker eller har inget annat att erinra mot förslaget.

Skälen för regeringens förslag: Bestämmelserna i 23–27 §§ PUL innehåller ett antal bestämmelser om information till den registrerade.

Viss sådan information skall lämnas självmant medan annan information endast skall lämnas på begäran.

Enligt 23 § PUL skall, om uppgifter om en person samlas in från personen själv, den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna. Denna bestämmelse kommer, om ingen särreglering görs, att gälla även för socialförsäkringsregister. Skäl till sådan särreglering synes inte föreligga, varför något undantag från nämnda uppgiftsskyldighet inte föreslås.

I 24 § första stycket PUL regleras de situationer då personuppgifterna har samlats in från någon annan källa än den registrerade. Den personuppgiftsansvarige skall i dessa fall självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Om uppgifterna är avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången. Av paragra-

fens andra stycke följer emellertid att information enligt första stycket inte behöver lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.

I SofrL finns sedan tidigare såväl regler om registrering och utlämning som regler om den personuppgiftsansvariges ansvar för information till den registrerade. Detta innebär därför att information utan att ansökan därom har gjorts om behandling av personuppgifter som omfattas av särregleringen i SofrL – till följd av undantagsbestämmelsen i 24 § andra stycket PUL – endast behöver lämnas när informationen samlats in från den enskilde själv (alltså bara enligt 23 § PUL).

Beträffande informationens innehåll anges i 25 § PUL att den information som skall lämnas självmant till den registrerade skall omfatta uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen och all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen. Som exempel anges information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till.

I 21 § SofrL ges en särreglering avseende den personuppgiftsansvariges ansvar för information till den som är eller avses bli registrerad. I bestämmelsen uppställs krav på att den personuppgiftsansvarige skall se till att den enskilde på lämpligt sätt får information om registret. Informationen skall vidare innehålla en beskrivning av de uppgifter som registret får innehålla samt upplysning om ändamålet med registret, de sekretess- och säkerhetsbestämmelser som gäller för registret, rätten att få registerutdrag och rättelse samt de begränsningar i fråga om direkt åtkomst, automatiserat utlämnande, sökbegrepp och bevarande av uppgifter som gäller för registret.

Som Datainspektionen påpekat kommer – eftersom 21 § SofrL inte fullt ut överensstämmer med 25 § PUL – den personuppgiftsansvarige således att ha två författningar att tillämpa för att uppfylla sin informationsplikt. Detta är en följd av SofrL:s nuvarande utformning och en av de frågor som enligt regeringens mening ytterligare bör övervägas vid en mer genomgripande översyn av SofrL.

I 26 § PUL finns föreskrifter om information som skall lämnas efter ansökan. Sådan ansökan skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Informationen skall ge besked om huruvida personuppgifter som rör den sökande behandlas eller inte behandlas. Om sådana uppgifter behandlas skall skriftlig information lämnas om vilka uppgifter om den sökande som behandlas, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

Informationen skall lämnas gratis en gång per kalenderår och normalt inom en månad från ansökan. Om det finns särskilda skäl för det, t.ex. att personuppgifterna är krypterade, att sökmöjligheterna är begränsade eller att personuppgifterna är uppdelade på olika register, får informationen lämnas senare, dock senast inom fyra månader från ansökan.

Information behöver emellertid inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller

som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man, om uppgifterna har behandlats under längre tid än ett år eller om de behandlas enbart för historiska, statistiska eller vetenskapliga ändamål. Med löpande text avses härvid information som inte har strukturerats så att sökning av personuppgifter underlättas. Med text som inte har fått sin slutliga utformning avses koncept, utkast och liknande. Text som är avsedd att tid efter annan ändras eller kompletteras och aldrig kommer att få någon slutlig utformning omfattas således inte. Med text som utgör minnesanteckning avses promemorior och liknande som har tillkommit bara för att bereda något slags ärende. Med behandling för historiska, statistiska eller vetenskapliga ändamål avses detsamma som enligt artikel 6 i EG-direktivet. Huvudfallet är här att ett utkast eller en minnesanteckning har tagits om hand för arkivering (jfr prop. 1997/98:44 s 132 ff.). Sparas sådana handläggningshjälpmedel som minnesanteckningar och liknande sedan ärendet avgjorts eller annars slutbehandlats, bör den registrerade få ta del av uppgifterna på motsvarande sätt som allmänheten har rätt att ta del av uppgifter i myndigheters minnesanteckningar och liknande som tagits om hand för arkivering (jfr prop. 1997/98:44 s 84).

Regleringen i PUL innebär att den som en personuppgift rör har rätt att få information enligt PUL i vidare utsträckning än vad som följer av tryckfrihetsförordningen. Rätten enligt tryckfrihetsförordningen att få ta del av uppgifter rör ju allmänna handlingar vilket inte är en förutsättning enligt PUL. Allmänt gäller dock att informationsskyldigheten enligt PUL, både vad avser den information som skall ges självmant och den som skall ges efter ansökan, viker för sekretess. Om sekretess gäller för uppgiften i förhållande till den enskilde själv, föreligger alltså ingen informationsskyldighet enligt PUL.

När det gäller vilken information som måste lämnas den enskilde kan inte, enligt förarbetena till PUL, anses krävas att en personuppgiftsansvarig ordnar sina uppgiftssamlingar på ett sådant sätt att det är möjligt att söka fram alla uppgifter om en registrerad som behandlas. Ett införande eller tillåtande av sådana sök- och sammanställningsmöjligheter, som inte behövs av något annat skäl, skulle i själva verket kunna hota den personliga integriteten eftersom det då skulle bli enkelt att kartlägga en person. Skulle det t.ex., som är fallet i SofrL, finnas begränsningar i sökmöjligheterna, kan det inte krävas annat än att den personuppgiftsansvarige utnyttjar de sök- och sammanställningsmöjligheter som denne faktiskt och rättsligt har tillgång till (jfr prop. 1997/98:44 s 82 ff.).

Problemet med stora mängder information berördes även i Datalagskommitténs betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39) bl.a. vad gäller arkivmyndigheters skyldighet att lämna information avseende hos myndigheten bevarade handlingar. Det konstateras härvid att det inte kan begäras att en sådan myndighet lämnar information om alla personuppgifter som finns hos myndigheten då det skulle ta orimligt lång tid att ta fram informationen. Kommittén föreslog i stället att den enskilde närmare skulle precisera vilken information denne önskade, i enlighet med vad som anses gälla vid begäran om utlämnande av allmänna handlingar. Sådana föreskrifter skulle enligt kommittén lämnas av regeringen efter bemyndigande i lag att meddela

föreskrifter om vad en ansökan skall innehålla. I PUL finns också ett sådant bemyndigande och frågan har, vad avser automatiserad behandling av personuppgifter, delegerats vidare till Datainspektionen.

De nu nämnda föreskrifterna i PUL och därtill hörande reglering bör i huvudsak gälla även socialförsäkringsregister. För sådana handlingar som avses i 11 § SofrL – s.k. elektroniska akter – gäller dock i dag den begränsningen i förhållande till registerutdrag enligt datalagen, att uppgifter i sådana handlingar inte behöver tas med i utdraget. Däremot skall av utdraget framgå vilka handlingar avseende den registrerade som finns i registret. Det är tveksamt om sådana begränsningar fortsättningsvis är möjliga att göra mot bakgrund av vad som föreskrivs i EG-direktivet. Vidare har ju en person normalt, med stöd av offentlighetsprincipen, rätt att få del av uppgifter även i sådana handlingar. Detta gäller visserligen endast om uppgiften finns i en allmän handling och inte sekretess utgör hinder för utlämnandet. Samtidigt skulle en helt obegränsad skyldighet att lämna ut uppgifter avseende handlingar i elektroniska akter innebära en klart ökad arbetsbelastning för socialförsäkringens administration och att stora mängder information skulle lämnas ut som den enskilde kanske egentligen inte är intresserad av. Till viss del rör det ju sig om handlingar som den enskilde själv tillställt myndigheten eller som redan expedierats till honom inom ramen för handläggningen av ett ärende.

En rimlig lösning, som påminner om den som Datalagskommittén föreslog för arkivmyndigheter, är enligt regeringens mening, att information enligt 26 § PUL, vad gäller handlingar i elektroniska akter som avses i 11 § SofrL, begränsas på samma sätt som för närvarande gäller registerutdrag enligt datalagen, men att den enskilde ges möjlighet att få information även om uppgifter som behandlas i sådana handlingar om han eller hon särskilt anger det. Regeringen har även nyligen förordat en liknande lösning när det gäller behandling av personuppgifter inom skatt, tull och exekution (jfr prop. 2000/01:33 s. 104 ff).

Eftersom en enskild normalt inte vet vilka handlingar som finns i ett sådant register bör ettårsbegränsningen, avseende rätten att gratis få information som finns i 26 § PUL, emellertid gälla för varje handling för sig. Den enskilde kan då först lämna en allmän ansökan om information enligt 26 § PUL och därefter, när han eller hon fått vetskap om vilka handlingar som finns i registret som omfattas av 11 § SofrL, ansöka och få information om de handlingar han eller hon då närmare anger. Detta innebär naturligtvis inte att den enskilde inte redan från början kan ange att ansökan även avser samtliga handlingar som avses i 11 § SofrL.

Den enskilde ges på detta sätt en rätt till information som är mer utsträckt än enligt tryckfrihetsförordningen eftersom ingen begränsning görs till allmänna handlingar och det kan inte heller anses strida mot EGdirektivet. De allmänna begränsningarna i PUL om personuppgifter i löpande text och minnesanteckningar m.m. samt de begränsningar som följer av sekretess mot den enskilde bör naturligtvis gälla även i detta avseende.

Det bör i detta sammanhang noteras att en allmän begränsning som också rör handlingar som avses i 11 § SofrL följer av de begränsade sökmöjligheterna i fråga om sådana handlingar. Som sökbegrepp får i fråga om sådana handlingar bara användas ärendebeteckning och beteckning på handling. Det torde därför inte vara möjligt att få fram uppgifter

om en person som finns i andra akter än som avser henne eller honom själv.

6. Ikraftträdande och kostnader m.m.

Socialförsäkringsregisterlagen (1997:934), SofrL, är uppbyggd mot bakgrund av datalagen (1973:289). Datalagen gäller övergångsvis fram till den 1 oktober 2001. Den nya lagen om ändring i SofrL är i huvudsak föranledd av att den övergångsvisa regleringen upphör att gälla. Mot bakgrund härav föreslås ändringarna i SofrL träda i kraft den 1 oktober 2001. Vissa övergångsbestämmelser behövs. Dessa behandlas i författningskommentaren i anslutning till de paragrafer de berör.

De föreslagna ändringarna i SofrL är i huvudsak lagtekniska och medför inget direkt merarbete för socialförsäkringens administration. RFV har dock menat att de ökade kraven på information till de registrerade kommer att innebära ökade kostnader. Regeringen instämmer i att det kan finnas en viss sådan risk. Emellertid är det endast den utvidgade skyldigheten att lämna uppgifter på begäran av den enskilde som kan tänkas medföra en viss ökad arbetsbelastning. Det är i nuläget svårt att göra någon mer exakt bedömning av omfattningen på denna ökade arbetsbelastning. Med hänsyn till den tämligen omfattande rätt till erhållande av uppgifter som en enskild har redan enligt nuvarande lagreglering, och även med hänsyn till offentlighetsprincipen, bör detta merarbete enligt regeringens uppskattning emellertid bli ringa. Några ökade kostnader av betydelse torde förslagen därför inte komma att föranleda.

SofrL behandlar endast bestämmelser om registrering m.m. i register inom socialförsäkringens administration. Som sådan får lagstiftningen anses vara könsneutral.

7. Författningskommentar

1 § Denna lag gäller personregister för sådan verksamhet i fråga om socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen ankommer på de allmänna försäkringskassorna, Premiepensionsmyndigheten eller Riksförsäkringsverket (socialförsäkringsregister).

Med personregister förstås register, förteckning eller andra anteckningar som förs helt eller delvis automatiserat och som innehåller uppgifter som direkt eller indirekt kan hänföras till en fysisk person.

Med personregister förstås också strukturerade samlingar av uppgifter som inte förs automatiserat men som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som innehåller uppgifter som direkt eller indirekt kan hänföras till en fysisk person.

De benämningar som i övrigt används i denna lag har samma betydelse som i personuppgiftslagen (1998:204) .

Personuppgiftslagen (1998:204), PUL, innehåller de generella regler som följer av dataskyddsdirektivet i fråga om vilka krav som allmänt ställs vid behandling av personuppgifter. I socialförsäkringsregisterlagen

(1997:934), SofrL, särregleras behandling av personuppgifter i personregister inom socialförsäkringens administration. PUL är emellertid alltjämt tillämplig i samtliga de situationer som inte är uttryckligen särreglerade i SofrL.

I datalagen (1973:289) fanns liksom i PUL ett antal definitioner. Bl.a. definierades i datalagen begreppet personregister. Någon sådan definition finns emellertid inte i PUL. Som tidigare anförts kan det ifrågasättas om registerbegreppet borde behållas men något förslag i den delen lämnas inte nu. I stället införs datalagens definition av personregister i första meningen i andra stycket i denna paragraf. Emellertid används begreppet "fysisk person" i stället för datalagens "den som avses med uppgiften" för att bättre överensstämma med PUL:s terminologi. Härmed avses liksom tidigare även avlidna (se avsnitt 5.1). Orden "som förs med hjälp av automatisk databehandling” ersätts vidare med ”som förs helt eller delvis automatiserat”, även detta för att bättre korrespondera med de begrepp som används i PUL. Betydelsen av nämnda begrepp berörs närmare i förarbetena till nämnda lag (jfr prop. 1997/98:44 sid. 240 ff.).

Andra stycket innehåller också en utvidgning av tillämpningsområdet för SofrL. Detta gäller sådana manuella register som regleringen i PUL avser och som här anges i andra meningen. I andra punkten i övergångsbestämmelserna föreskrivs dock att bestämmelserna i SofrL som rör känsliga personuppgifter och uppgifter om frihetsberövanden m.m. i vissa fall skall tillämpas i fråga om manuella register först från och med den 1 oktober 2007.

Vad gäller andra begrepp som definieras i PUL – som personuppgift, personuppgiftsansvarig m.m. – skall dessa, när de används i denna lag ha motsvarande betydelse som enligt PUL. Detta framgår av tredje stycket.

7 § Som särskilda ärendeuppgifter får inte registreras sådana uppgifter som avses i 13 och 21 §§personuppgiftslagen (1998:204).

Utan hinder av första stycket får följande uppgifter registreras:

1. förekomsten av ansökan eller anmälan i ärenden som omfattas av 1 § första stycket,

2. tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden som omfattas av 1 § första stycket,

3. grad av nedsatt arbetsförmåga,

4. förekomsten av intyg och utlåtande av läkare eller annan intygsgivare,

5. förekomsten av rehabiliteringsutredning eller annan utredning i rehabiliteringsärende samt av fastställd rehabiliteringsplan,

6. arten av och tidpunkter för föreslagna, planerade och vidtagna rehabiliteringsåtgärder,

7. förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 14 § tredje stycket och 17 § tredje stycket lagen (1993:737) om bostadsbidrag,

8. om den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad,

9. om den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

10. om den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (1980:620) eller vistas eller bor på annat liknande sätt,

11. om fråga om återbetalningsskyldighet har uppkommit, 12. vilken personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade som den bilstödsberättigade hör till,

13. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,

14. att en förälder på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

15. att den registrerade får aktivitetsstöd enligt 5 § tredje stycket förordningen (1996:1100) om aktivitetsstöd,

16. att den registrerade har rätt till ersättning enligt 16–22 §§ förordningen om aktivitetsstöd,

17. bevakningsanledning, samt 18. anledningen till att ett ärende avslutats.

I socialförsäkringsregister som förs för handläggning av ärenden om ersättning för tandvård enligt 2 kap. 3 § lagen (1962:381) om allmän försäkring och förordningen (1998:1337) om tandvårdstaxa får dessutom, i fråga om vårdgivare, registreras uppgift om namn på praktik. I sådana register får vidare registreras uppgift om

1. förekomsten av begäran om förhandsprövning enligt förordningen om tandvårdstaxa samt kod för behandlingsförslag som begäran avser,

2. kod för behandling som avses i förordningen om tandvårdstaxa,

3. att den registrerade har rätt till ersättning enligt 9, 13 eller 14 § förordningen om tandvårdstaxa,

4. förhållanden som anges i 15 § andra stycket förordningen om tandvårdstaxa,

5. förekomsten av remiss, remitterande vårdgivares namn och namnet på den vårdgivare till vilken remiss har skett, samt

6. patientavgift och tandvårdsersättning.

Denna paragraf behandlar vilka s.k. känsliga personuppgifter som ett socialförsäkringsregister får innehålla.

I 6 § SofrL anges att socialförsäkringsregister får innehålla dels allmänna ärendeuppgifter, dels särskilda ärendeuppgifter. Med allmänna ärendeuppgifter avses identifierings- och adressuppgifter samt uppgifter om kön, civilstånd, medborgarskap och födelseort. Särskilda ärendeuppgifter är uppgifter om sådana ekonomiska och personliga förhållanden som har betydelse för handläggning av ärenden om socialförsäkringsförmåner och liknande.

Som allmän begränsning gäller alltså i SofrL att en personuppgift bara får registreras om den har betydelse för handläggning av ett ärende. För s.k. känsliga personuppgifter föreskrivs dock i första stycket i denna paragraf att sådana uppgifter inte får registreras medan det i andra och tredje styckena medges vissa undantag från detta förbud. Vissa andra undantag finns i 9–11 §§.

I datalagen användes inte begreppet känsliga personuppgifter men i 4 § räknades upp ett antal förhållanden som endast i undantagsfall fick registreras av andra än myndigheter. I 13 § PUL anges att det är förbjudet att behandla vissa känsliga personuppgifter och i 21 § PUL att vissa uppgifter om frihetsberövanden m.m. normalt inte får behandlas av andra än myndigheter.

I första stycket i förevarande paragraf ändras hänvisningen till 4 § datalagen därför till 13 och 21 §§ PUL. Hänvisningen innebär att uppgifter som avses i sistnämnda paragrafer inte får registreras, i annat fall än när lagen medger undantag härifrån.

Hänvisningen till 13 och 21 §§ PUL medför också att ett par av de undantag som anges i nuvarande andra stycket utgår eftersom något förbud att registrera dessa uppgifter inte följer av 13 eller 21 § PUL. Det gäller dels uppgift om att en vårdnadshavare är särskilt förordnad och dels vissa uppgifter om återbetalningsskyldighet. Dessa uppgifter är inte sådana som avses i 13 och 21 §§ PUL. Dock bör det undantag som

innebär att uppgift om att fråga om återbetalningsskyldighet har uppkommit får registreras kvarstå, eftersom anledningen till återbetalningsskyldigheten kan innefatta ett brottsligt förfarande (se närmare avsnitt 5.3).

Övriga undantag från förbudet att registrera s.k. känsliga personuppgifter är huvudsakligen hänförliga till uppgifter som kan hänföras till enskildas hälsa eller till sådana uppgifter om frihetsberövanden m.m. som avses i 21 § PUL. De kan därmed komma att bli tillämpliga även framdeles.

12 § Socialförsäkringsregister får genom sambearbetning tillföras

1. uppgifter från andra socialförsäkringsregister, och

2. uppgifter som lämnas till en allmän försäkringskassa, Premiepensionsmyndigheten eller Riksförsäkringsverket med stöd av en särskild bestämmelse i lag eller förordning om lämnande av uppgifter.

Av föreskrifter i lag eller förordning kan följa att socialförsäkringsregister genom sambearbetning får tillföras uppgifter utöver vad som anges i första stycket.

I paragrafen regleras när uppgifter genom sambearbetning får tillföras socialförsäkringsregister. Datalagens tillståndsbestämmelser har gett Datainspektionen en möjlighet att besluta om att personuppgifter får inhämtas från något annat personregister. En hänvisning till sådana beslut har därför funnits i andra stycket. Någon motsvarande tillståndsbestämmelse finns inte i personuppgiftslagen. Hänvisningen till Datainspektionens beslut har därför tagits bort.

Personuppgiftsansvar

13 § Personuppgiftsansvariga för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna är verket samt varje försäkringskassa när det gäller behandling av uppgifter hos den försäkringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är försäkringskassan personuppgiftsansvarig. Premiepensionsmyndigheten är personuppgiftsansvarig för socialförsäkringsregister som förs särskilt för myndigheten. Riksförsäkringsverket är personuppgiftsansvarigt för socialförsäkringsregister som förs särskilt för verket.

Datalagen innehöll bestämmelser om registeransvarig, vilka i stor utsträckning motsvarade vad som i PUL föreskrivs om personuppgiftsansvarig. I förevarande paragraf har begreppet registeransvarig ersatts med begreppet personuppgiftsansvarig. Även rubriken närmast före paragrafen har ändrats på motsvarande sätt.

Utlämnande av uppgifter på medium för automatiserad behandling

17 § Uppgifter i socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas på medium för automatiserad behandling. I övrigt får uppgifter lämnas ut på medium för automatiserad behandling endast om sådant utlämningssätt följer av lag eller förordning eller om uppgiften skall användas för forskning eller framställning av statistik.

I PUL används inte begreppet automatisk databehandling utan i stället uttrycket automatiserad behandling. Denna paragraf har anpassats härtill på så sätt att medium för automatisk databehandling tagits bort och ersatts med medium för automatiserad behandling. Rubriken närmast före denna paragraf har ändrats i överensstämmelse härmed. Liksom när det gäller 12 § har här hänvisningen till beslut av Datainspektionen tagits bort. Inte heller när det gäller utlämningssätt kommer Datainspektionen att fatta några beslut enligt personuppgiftslagen.

18 § Uppgifter i socialförsäkringsregister får användas som sökbegrepp endast om det behövs för

1. tillämpning av lag eller förordning eller särskilt beslut av regeringen,

2. rättelse,

3. tillsyn, uppföljning eller utvärdering, eller

4. urval för forskning eller framställning av statistik. Uppgifter som avses i 7 § andra stycket 8 och 9 får användas som sökbegrepp endast för rättelse och bara om felet inte kan rättas på annat sätt.

I fråga om handlingar som avses i 11 § får endast ärendebeteckning och beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet regeringen bestämmer får föreskriva ytterligare begränsningar av användningen av uppgifter som sökbegrepp.

Ändringen i andra stycket är endast redaktionell och följer av ändringarna i 7 § andra stycket.

Information

20 § Vid tillämpningen av denna lag gäller bestämmelserna i 23 och 2527 §§personuppgiftslagen (1998:204) om information till den registrerade om inte annat följer av andra stycket. Beträffande register som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna skall informationen lämnas av försäkringskassan.

Uppgifter i sådana handlingar som avses i 11 § behöver inte tas med i information enligt 26 § personuppgiftslagen. Av informationen skall dock framgå vilka handlingar avseende den registrerade som finns i registret. Om den enskilde begär det och anger vilken handling som avses skall emellertid, om inte annat följer av bestämmelser om sekretess, information lämnas även om uppgifter i sådana handlingar som avses i 11 §. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.

Bestämmelserna i PUL gäller även beträffande behandling som avses i SofrL, utom såvitt avser avlidna personer, om inga särskilda bestämmelser finns i denna lag. Eftersom både 20 och 21 §§ SofrL innehåller bestämmelser om information till enskilda har i första stycket tydliggjorts att även 23 och 25–27 §§ PUL gäller, med de undantag som anges i andra stycket. I första stycket har vidare ”registerutdrag” som tidigare åsyftade registerutdrag enligt 10 § datalagen ändrats till ”information" med syfte just på 23 och 25–27 §§ PUL.

I andra stycket har hänvisningen till 10 § datalagen ändrats till 26 § PUL som avser information till enskilda efter ansökan. Tredje och fjärde meningarna är nya. I korthet innebär regleringen att bestämmelserna om information till enskilda i 23 och 25–27 §§ PUL i och för sig är tillämp-

liga men att det i fråga om s.k. elektroniska akter ges särskilda bestämmelser som avviker från regleringen i PUL. Information enligt 26 § PUL, vad gäller handlingar i elektroniska akter som avses i 11 § SofrL, begränsas på härvid samma sätt som för närvarande gäller för registerutdrag enligt datalagen. Den enskilde ges emellertid möjlighet att få information även om uppgifter som behandlas i sådana handlingar om han eller hon särskilt begär det (se vidare avsnitt 5.4).

21 § Den som är personuppgiftsansvarig för ett socialförsäkringsregister skall se till att den som är eller avses bli registrerad på lämpligt sätt får information om registret.

Informationen skall innehålla en beskrivning av de uppgifter som registret får innehålla samt upplysning om

1. ändamålen med registret,

2. de sekretess- och säkerhetsbestämmelser som gäller för registret,

3. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),

4. rätten till rättelse enligt personuppgiftslagen och 21a § denna lag, samt

5. de begränsningar i fråga om direkt åtkomst, utlämnande av uppgifter på medium för automatiserad behandling, sökbegrepp och bevarande av uppgifter som gäller för registret.

I första stycket har begreppet registeransvarig ändrats till personuppgiftsansvarig.

I andra stycket punkten 3 har hänvisningen till registerutdrag enligt datalagen ändrats till en hänvisning till rätt att ta del av uppgifter enligt personuppgiftslagen. Dessutom har bestämmelsen om rättelse förts över till en ny punkt, punkten 4. Hänvisningen till rätten för en enskild att erhålla rättelse avser därvid nu rätt enligt PUL samt enligt 21 a § denna lag. I den nya punkten 5 har ”utlämnande av uppgifter på medium för automatisk databehandling” ändrats till ”utlämnande av uppgifter på medium för automatiserad behandling”.

Rättelse och skadestånd

21 a § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse

och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller anslutande författningar.

I 28 § personuppgiftslagen (1998:204), PUL finns bestämmelser om skyldighet för den som är personuppgiftsansvarig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med PUL eller föreskrifter som har utfärdats med stöd av lagen samt att underrätta tredje man därom. I förevarande paragraf, som är ny, anges att dessa bestämmelser också skall tillämpas om en personuppgift behandlats i strid med de mer preciserade reglerna i denna lag eller föreskrifter som har utfärdats med stöd av lagen.

I 48 § PUL regleras den personuppgiftsansvariges skyldighet att ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. I denna paragraf ges även motsvarande reglering vad avser skadeståndsansvar för en personuppgiftsansvarig för skada och kränkning orsakad av behandling av en personuppgift i strid med SofrL.

Överklagande

21 b § En myndighets beslut om rättelse och om information som skall

lämnas enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Många beslut som fattas inom socialförsäkringens administration och verksamhet och som gäller behandling av personuppgifter enligt denna lag är interna eller administrativa. Enskilda berörs dock direkt av myndigheternas beslut om rättelse och information. Talan mot sådana beslut förs vid allmän förvaltningsdomstol.

Övergångsbestämmelserna

1. Denna lag träder i kraft den 1 oktober 2001.

I denna punkt anges tidpunkten för lagens ikraftträdande. Lagen träder i kraft vid samma tidpunkt som datalagen fullt ut ersätts av PUL, dvs. när PUL:s regler även kommer att gälla behandling av personuppgifter som har påbörjats före den 24 oktober 1998.

2. Beträffande personregister som avses i 1 § andra stycket andra meningen skall, i fråga om sådan manuell behandling som avses i punkt 3 i övergångsbestämmelserna till personuppgiftslagen (1998:204), bestämmelserna i 7–11 §§ denna lag inte börja tillämpas förrän den 1 oktober 2007.

Av artikel 32 i dataskyddsdirektivet följer bl.a. att bestämmelser om grundläggande krav på behandling av personuppgifter och när sådan behandling är tillåten inte behöver tillämpas förrän senast den 24 oktober 2007 på sådana uppgifter som redan fanns i manuella register före den 24 oktober 1998. I PUL har därför införts en särskild övergångsbestämmelse (punkten 3) avseende manuell behandling av personuppgifter. Denna bestämmelse innebär att de bestämmelser i PUL som anger de grundläggande kraven på behandling av personuppgifter och när sådan behandling är tillåten respektive förbjuden, inte tillämpas förrän den 1 oktober 2007, i fråga om sådan manuell behandling som utförs för ett visst bestämt ändamål om manuella behandling för ändamålet påbörjats före den 24 oktober 1998. Den här föreslagna bestämmelsen i punkten 2 överensstämmer i stort sett med övergångsbestämmelsen i PUL. Detta innebär att övergångsbestämmelsen i förevarande lag gäller för manuella register som inrättats före den 24 oktober 1998. För sådana register som inrättats den 24 oktober 1998 eller senare gäller redan bestämmelserna i PUL vilket då också innebär att de begränsningar som gäller enligt övergångsbestämmelsen i punkten 3 i den lagen är inte tillämpliga på sådana register. Därför har inte heller här meddelats några undantag för sådana manuella register. Inte heller har de allmänna bestämmelserna i 6 § SofrL undantagits när det gäller äldre manuella register. Detta innebär att kravet att uppgifter om ekonomiska och personliga förhållanden får registreras endast om de har betydelse för handläggning av ärenden om socialförsäkringsförmåner m.m. även gäller äldre manuella register.

3. Bestämmelserna om skadestånd i 21 a § skall inte tillämpas om den omständighet som åberopas till grund för ersättningsanspråket har inträffat före lagens ikraftträdande.

I 21 a § har införts en skadeståndsbestämmelse. Av punkten 3 följer att den omständighet som åberopas till stöd för ett sådant skadeståndansvar inte får ha inträffat före lagens ikraftträdande den 1 oktober 2001. Detta hindrar emellertid inte att skadeståndsansvar enligt PUL kan ha uppkommit om behandling har skett i strid med den lagens bestämmelser efter ikraftträdandet den 24 oktober 1998.

4. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.

I punkten regleras vad som skall gälla om en begäran om registerutdrag enligt datalagen har gjorts före denna lags ikraftträdande, men utdrag inte har hunnit att expedierats före denna tidpunkt. Begäran om registerutdrag skall då i stället ses som en begäran om information enligt de nya bestämmelserna.

Departementspromemorians (Ds 2000:44) sammanfattning

Socialförsäkringsregisterlagen (1997:934), SofrL, trädde i kraft den 1 januari 1998. Samtidigt som den nya lagen ersatte regleringen i äldre lagar utvidgades också den nya lagens tillämpningsområde. Den nya lagen är inte begränsad till någon särskild del av Riksförsäkringsverkets och de allmänna försäkringskassornas hantering av socialförsäkringsförmåner och liknande. Efter införandet har den också utvidgats till att avse den nya Premiepensionsmyndighetens verksamhet.

SofrL är uppbyggd mot bakgrund av bestämmelserna i datalagen (1973:289). Datalagen har nu ersatts av personuppgiftslagen (1998:204), PUL, som till skillnad från SofrL och datalagen inte bara behandlar register som förs helt eller delvis med hjälp av automatisk databehandling utan i huvudsak all behandling av personuppgifter som helt eller delvis är automatiserad och även viss manuell hantering av sådana personuppgifter. Enligt övergångsbestämmelserna till PUL skall dock datalagen fortsätta att gälla för behandling av personuppgifter som utförs för ett visst bestämt ändamål om behandlingen påbörjats före PUL:s ikraftträdande den 24 oktober 1998. Efter den sista september 2001 upphör denna övergångsvisa reglering att gälla.

SofrL har som nyss sagts ett mer begränsat tillämpningsområde än PUL. I denna promemoria – som innehåller en begränsad översyn av SofrL i syfte att anpassa den till bl.a. PUL – föreslås att tillämpningsområdet anpassas till PUL såtillvida att den även skall gälla viss manuell hantering. Däremot förslås ingen ändring vad gäller registerbegreppet. Den anpassning till PUL:s tillämpningsområde som föreslås är alltså begränsad.

Vissa begrepp som definieras i PUL föreslås få motsvarande betydelse i SofrL. I samband därmed ersätts registeransvar med personuppgiftsansvar. Den personuppgiftsansvariges ansvar för rättelse m.m. och skadeståndsansvar mot den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med PUL har orsakat föreslås även gälla när personuppgifter behandlats i strid med de mer preciserade reglerna i SofrL.

I fråga om vilka uppgifter som får registreras i ett socialförsäkringsregister föreslås ingen ändring i SofrL:s systematik. Även fortsättningsvis skall alltså enligt förslaget vissa allmänna ärendeuppgifter och sådana särskilda ärendeuppgifter som har betydelse för handläggning av ärenden om socialförsäkringsförmåner m.m., och som inte är särskilt integritetskänsliga, få registreras.

När det gäller de särskilt integritetskänsliga uppgifterna föreslås en anpassning av vilka uppgifter som avses därmed till vad som gäller enligt PUL. Samma regler som föreslås gälla för sådana uppgifter, föreslås också gälla i fråga om sådana uppgifter om brott och frihetsberövanden m.m. som avses i 21 § PUL. Den s.k. undantagskatalog i SofrL som anger i vilken utsträckning särskilt integritetskänsliga uppgifter får registreras i ett socialförsäkringsregister anpassas därtill.

I fråga om uppgiftslämnande till enskild när information samlas in föreslås ingen särreglering. Detta innebär att den personupp-

giftsansvarige är skyldig att informera den enskilde om avsedd behandling av personuppgifter när dessa samlas in från den enskilde själv. I övrigt krävs ingen information vid insamlande av personuppgifter.

Information skall enligt PUL också lämnas till den enskilde efter ansökan av denne. I denna promemoria föreslås dock att sådan information – i likhet med vad som för närvarande gäller i fråga om registerutdrag enligt 10 § datalagen – inte behöver innehålla personuppgifter i sådana handlingar som avses i 11 § SofrL, dvs. i s.k. elektroniska akter. Av informationen skall dock framgå vilka handlingar som finns beträffande den registrerade. Vidare skall enligt förslaget information om uppgifter i sådana handlingar lämnas om den enskilde därefter, eller i samband med den första ansökan, preciserar vilken eller vilka handlingar som han eller hon vill ha information om. Detta gäller naturligtvis bara om uppgifterna inte är sekretessbelagda mot den enskilde själv.

I promemorian tas också upp vissa andra förändringar beträffande SofrL som är önskvärda. Vissa av dem behandlas i andra sammanhang. Det konstateras vidare att det i och för sig vore önskvärt att, liksom skett inom andra områden, frångå registerbegreppet även när det gäller behandling av personuppgifter inom socialförsäkringens administration. Förslag om detta förs dock inte fram i denna promemoria.De föreslagna ändringarna föreslås träda i kraft den 1 oktober 2001.

Promemorians lagförslag

Förslag till lag om ändring i socialförsäkringsregisterlagen (1997:934)

Härigenom föreskrivs i fråga om socialförsäkringsregisterlagen (1997:934)

dels att 1, 7, 13, 17, 18, 20 och 21 §§ samt rubrikerna närmast före 13, 17 och 20 §§ skall ha följande lydelse,

dels att rubrikerna närmast före 3, 4 och 21 §§ skall utgå.

Nuvarande lydelse Föreslagen lydelse

1 §

Denna lag gäller personregister för sådan verksamhet i fråga om socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen ankommer på de allmänna försäkringskassorna, Premiepensionsmyndigheten eller Riksförsäkringsverket (socialförsäkringsregister).

Med personregister förstås detsamma som i datalagen (1973:289).

Med personregister förstås register, förteckning eller andra anteckningar som förs helt eller delvis automatiserat och som innehåller uppgift som direkt eller indirekt kan hänföras till en fysisk person. Med personregister förstås också strukturerade samlingar av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som innehåller sådana uppgifter som avses i första meningen.

De begrepp som i övrigt används i denna lag har samma betydelse som i personuppgiftslagen (1998:204) .

7 §

Som särskilda ärendeuppgifter får inte registreras sådana uppgifter som avses i 4 § datalagen (1973:289) eller som utgör omdöme eller annan värderande upplysning om den registrerade.

Som särskilda ärendeuppgifter får inte registreras sådana uppgifter som avses i 13 och 21 §§personuppgiftslagen (1998:204).

Utan hinder av första stycket får följande uppgifter registreras:

1. förekomsten av ansökan eller anmälan i ärenden som omfattas av 1 § första stycket,

2. tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden som omfattas av 1 § första stycket,

3. grad av nedsatt arbetsförmåga,

4. förekomsten av intyg och utlåtande av läkare eller annan intygsgivare,

5. förekomsten av rehabiliteringsutredning eller annan utredning i rehabiliteringsärende samt av fastställd rehabiliteringsplan,

6. arten av och tidpunkter för föreslagna, planerade och vidtagna rehabiliteringsåtgärder,

7. förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 14 § tredje stycket och 17 § tredje stycket lagen (1993:737) om bostadsbidrag,

8. att vårdnadshavare är förordnad särskilt enligt föräldrabalken ,

9. om den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad,

10. om den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

11. om den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (1980:620) eller vistas eller bor på annat liknande sätt,

12. om fråga om återbetalningsskyldighet har uppkommit och i sådant fall kravåtgärder, exekutiva åtgärder, utmätningsbelopp, utmätningsfria belopp och beslut om skuldsanering enligt skuldsaneringslagen (1994:334) ,

13. vilken personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade som den bilstödsberättigade hör till,

14. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,

15. att en förälder på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

16. att den registrerade är berättigad till dagpenning enligt 3 § förordningen (1996:1100) om aktivitetsstöd,

17. att den registrerade har rätt till ersättning enligt 1319 §§ förordningen (1987:409) om bidrag till arbetshjälpmedel m.m.,

8. om den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad,

9. om den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

10. om den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (1980:620) eller vistas eller bor på annat liknande sätt,

11. vilken personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade som den bilstödsberättigade hör till,

12. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,

13. att en förälder på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

14. att den registrerade är berättigad till dagpenning enligt 3 § förordningen (1996:1100) om aktivitetsstöd,

15. att den registrerade har rätt till ersättning enligt 1319 §§ förordningen (1987:409) om bidrag till arbetshjälpmedel m.m.,

18. bevakningsanledning, samt 19. anledningen till att ett ärende avslutats.

16. bevakningsanledning, samt 17. anledningen till att ett ärende avslutats.

I socialförsäkringsregister som förs för handläggning av ärenden om ersättning för tandvård enligt 2 kap. 3 § lagen (1962:381) om allmän försäkring och förordningen (1998:1337) om tandvårdstaxa får dessutom, i fråga om vårdgivare, registreras uppgift om namn på praktik. I sådana register får vidare registreras uppgift om

1. förekomsten av begäran om förhandsprövning enligt förordningen om tandvårdstaxa samt kod för behandlingsförslag som begäran avser,

2. kod för behandling som avses i förordningen om tandvårdstaxa,

3. att den registrerade har rätt till ersättning enligt 9, 13 eller 14 § förordningen om tandvårdstaxa,

4. förhållanden som anges i 15 § andra stycket förordningen om tandvårdstaxa,

5. förekomsten av remiss, remitterande vårdgivares namn och namnet på den vårdgivare till vilken remiss har skett, samt

6. patientavgift och tandvårdsersättning.

Registeransvar Personuppgiftansvar

13 §

Registeransvariga för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna är verket samt varje försäkringskassa när det gäller behandling av uppgifter hos den försäkringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är försäkringskassan registeransvarig. Premiepensionsmyndigheten är registeransvarig för socialförsäkringsregister som förs särskilt för myndigheten. Riksförsäkringsverket är registeransvarigt för socialförsäkringsregister som förs särskilt för verket.

Personuppgiftsansvariga för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna är verket samt varje försäkringskassa när det gäller behandling av uppgifter hos den försäkringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är försäkringskassan personuppgiftsansvarig.

Premiepensionsmyndigheten är personuppgiftsansvarig för socialförsäkringsregister som förs särskilt för myndigheten. Riksförsäkringsverket är personuppgiftsansvarigt för socialförsäkringsregister som förs särskilt för verket.

Utlämnande av uppgifter

medium för automatisk databehandling

Automatiserat utlämnande av

uppgifter

17 §

Uppgifter i socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas på medium för automatisk databe-

Uppgifter i socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas med automatiserat hjälpmedel. I övrigt

handling. I övrigt får uppgifter lämnas ut på medium för automatisk databehandling endast om sådant utlämningssätt följer av lag eller förordning eller beslut av

Datainspektionen eller om uppgiften skall användas för forskning eller framställning av statistik.

får uppgifter i socialförsäkringsregister lämnas ut på sådant sätt endast om utlämningssättet följer av lag eller förordning eller beslut av Datainspektionen eller om uppgiften skall användas för forskning eller framställning av statistik.

18 §

Uppgifter i socialförsäkringsregister får användas som sökbegrepp endast om det behövs för

1. tillämpning av lag eller förordning eller särskilt beslut av regeringen,

2. rättelse,

3. tillsyn, uppföljning eller utvärdering, eller

4. urval för forskning eller framställning av statistik. Uppgifter som avses i 7 § andra stycket 9 och 10 får användas som sökbegrepp endast för rättelse och bara om felet inte kan rättas på annat sätt.

Uppgifter som avses i 7 § andra stycket 8 och 9 får användas som sökbegrepp endast för rättelse och bara om felet inte kan rättas på annat sätt.

I fråga om handlingar som avses i 11 § får endast ärendebeteckning och beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet regeringen bestämmer får föreskriva ytterligare begränsningar av användningen av uppgifter som sökbegrepp.

Registerutdrag Information

20 §

Registerutdrag beträffande register som förs gemensamt för

Riksförsäkringsverket och de allmänna försäkringskassorna skall lämnas av försäkringskassan.

Uppgifter i sådana handlingar som avses i 11 § behöver inte tas med i registerutdrag enligt 10 § datalagen (1973:289). Av utdraget skall dock framgå vilka handlingar avseende den registrerade som finns i registret.

Vid tillämpningen av denna lag gäller bestämmelserna i 23 och 25-27 §§personuppgiftslagen (1998:204) om information till den registrerade om inte annat följer av andra stycket. Beträffande register som förs gemensamt för

Riksförsäkringsverket och de allmänna försäkringskassorna skall sådan information lämnas av försäkringskassan.

Uppgifter i sådana handlingar som avses i 11 § behöver inte tas med i information enligt 26 § personuppgiftslagen. Av informationen skall dock framgå vilka handlingar avseende den registrerade som finns i registret. Vidare skall, om inte annat följer av bestämmelser om sekretess, information om uppgifter i sådana

handlingar lämnas om den enskilde anger vilken handling ansökan avser. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas en gång per kalenderår gälla var handling för sig.

21 §

Den som är registeransvarig för ett socialförsäkringsregister skall se till att den som är eller avses bli registrerad på lämpligt sätt får information om registret.

Den som är personuppgiftsansvarig för ett socialförsäkringsregister skall se till att den som är eller avses bli registrerad på lämpligt sätt får information om registret.

Informationen skall innehålla en beskrivning av de uppgifter som registret får innehålla samt upplysning om

1. ändamålen med registret,

2. de sekretess- och säkerhetsbestämmelser som gäller för registret,

3. rätten att få registerutdrag och rättelse enligt datalagen (1973:289), samt

4. de begränsningar i fråga om direkt åtkomst, automatiserat utlämnande av uppgifter, sökbegrepp och bevarande av uppgifter som gäller för registret.

3. rätten att få registerutdrag och rättelse enligt personuppgiftslagen (1998:204) och 21 a § denna lag, samt

4. de begränsningar i fråga om direkt åtkomst, automatiserat utlämnande av uppgifter, sökbegrepp och bevarande av uppgifter som gäller för registret.

Korrigering av uppgifter

21 a §

Bestämmelserna i personuppgiftslagen (1998:204) om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, skall gälla även då personuppgifter behandlats i strid med denna lag.

Skadestånd

21 b §

Bestämmelserna i personuppgiftslagen (1998:204) om skadestånd skall gälla även då personuppgifter behandlats i strid med denna lag.

1. Denna lag träder i kraft den 1 oktober 2001.

2. Beträffande personregister som avses i 1 § andra stycket andra meningen skall, i fråga om sådan manuell behandling som avses i punkt 3 i övergångsbestämmelserna till personuppgiftslagen (1998:204), bestämmelserna i 7–11 §§ denna lag inte börja tillämpas förrän den 1 oktober 2007.

3. Bestämmelserna i 21 b § skall inte tillämpas om den omständighet som åberopas till grund för ersättningsanspråket har inträffat före lagens ikraftträdande.

Förteckning över remissinstanser

Yttrande över departementspromemorian En begränsad översyn av socialförsäkringslagen (1997:934) har inkommit från Hovrätten för Västra Sverige, Kammarrätten i Jönköping, Länsrätten i Örebro län, Datainspektionen, Riksförsäkringsverket, Statens pensionsverk, Riksrevisionsverket, Riksskatteverket, Premiepensionsmyndigheten, Centrala studiestödsnämnden, Riksarkivet, Arbetsmarknadsstyrelsen, Försäkringskasseförbundet och KPA Pension AB.

Tjänstemännens Centralorganisation och Sveriges Akademikers Centralorganisation har i svar på remissen förklarat att de avstår från att yttra sig.

Svenska arbetsgivareföreningen och Försäkringsanställdas förbund har inte inkommit med svar på remissen.

Lagrådsremissens lagförslag 1 Förslag till lag om ändring i socialförsäkringsregisterlagen (1997:934)

Härigenom föreskrivs i fråga om socialförsäkringsregisterlagen (1997:934)

dels att rubrikerna närmast före 3, 4 och 21 §§ skall utgå,

dels att 1, 7, 12, 13, 17, 18, 20 och 21 §§ samt rubrikerna närmast före 13, 17 och 20 §§ skall ha följande lydelse,

dels att i lagen skall införas två nya paragrafer, 21 a och 21 b §§ samt närmast före 21 a och 21 b §§ nya rubriker av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

1

Denna lag gäller personregister för sådan verksamhet i fråga om socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen ankommer på de allmänna försäkringskassorna, Premiepensionsmyndigheten eller Riksförsäkringsverket (socialförsäkringsregister).

Med personregister förstås detsamma som i datalagen (1973:289).

Med personregister förstås register, förteckning eller andra anteckningar som förs helt eller delvis automatiserat och som innehåller uppgifter som direkt eller indirekt kan hänföras till en fysisk person. Med personregister förstås också strukturerade samlingar av uppgifter som inte förs automatiserat men som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som innehåller uppgifter som direkt eller indirekt kan hänföras till en fysisk person.

De benämningar som i övrigt används i denna lag har samma betydelse som i personuppgiftslagen (1998:204) .

7 § 2

Som särskilda ärendeuppgifter får inte registreras sådana uppgifter som avses i 4 § datalagen (1973:289) eller som utgör omdöme eller annan värderande upp-

Som särskilda ärendeuppgifter får inte registreras sådana uppgifter som avses i 13 och 21 §§personuppgiftslagen (1998:204).

1 Senaste lydelse 1998:687. 2 Senaste lydelse 2000:1408.

lysning om den registrerade.

Utan hinder av första stycket får följande uppgifter registreras:

1. förekomsten av ansökan eller anmälan i ärenden som omfattas av 1 § första stycket,

2. tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden som omfattas av 1 § första stycket,

3. grad av nedsatt arbetsförmåga,

4. förekomsten av intyg och utlåtande av läkare eller annan intygsgivare,

5. förekomsten av rehabiliteringsutredning eller annan utredning i rehabiliteringsärende samt av fastställd rehabiliteringsplan,

6. arten av och tidpunkter för föreslagna, planerade och vidtagna rehabiliteringsåtgärder,

7. förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 14 § tredje stycket och 17 § tredje stycket lagen (1993:737) om bostadsbidrag,

8. att vårdnadshavare är förordnad särskilt enligt föräldrabalken ,

9. om den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad,

10. om den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

11. om den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (1980:620) eller vistas eller bor på annat liknande sätt,

12. om fråga om återbetalningsskyldighet har uppkommit och i sådant fall kravåtgärder, exekutiva åtgärder, utmätningsbelopp, utmätningsfria belopp och beslut om skuldsanering enligt skuldsaneringslagen (1994:334),

13. vilken personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade som den bilstödsberättigade hör till,

14. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,

15. att en förälder på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

16. att den registrerade får

8. om den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad,

9. om den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

10. om den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (1980:620) eller vistas eller bor på annat liknande sätt,

11. om fråga om återbetalningsskyldighet har uppkommit,

12 . vilken personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade som den bilstödsberättigade hör till,

13. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,

14. att en förälder på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

15. att den registrerade får

aktivitetsstöd enligt 5 § tredje stycket förordningen (1996:1100) om aktivitetsstöd,

17. att den registrerade har rätt till ersättning enligt 16–22 §§ förordningen (1996:1100) om aktivitetsstöd,

18. bevakningsanledning, samt 19. anledningen till att ett ärende avslutats.

aktivitetsstöd enligt 5 § tredje stycket förordningen (1996:1100) om aktivitetsstöd,

16. att den registrerade har rätt till ersättning enligt 16–22 §§ förordningen om aktivitetsstöd,

17. bevakningsanledning, samt 18. anledningen till att ett ärende avslutats.

I socialförsäkringsregister som förs för handläggning av ärenden om ersättning för tandvård enligt 2 kap. 3 § lagen (1962:381) om allmän försäkring och förordningen (1998:1337) om tandvårdstaxa får dessutom, i fråga om vårdgivare, registreras uppgift om namn på praktik. I sådana register får vidare registreras uppgift om

1. förekomsten av begäran om förhandsprövning enligt förordningen om tandvårdstaxa samt kod för behandlingsförslag som begäran avser,

2. kod för behandling som avses i förordningen om tandvårdstaxa,

3. att den registrerade har rätt till ersättning enligt 9, 13 eller 14 § förordningen om tandvårdstaxa,

4. förhållanden som anges i 15 § andra stycket förordningen om tandvårdstaxa,

5. förekomsten av remiss, remitterande vårdgivares namn och namnet på den vårdgivare till vilken remiss har skett, samt

6. patientavgift och tandvårdsersättning.

12 §

3

Socialförsäkringsregister får genom sambearbetning tillföras

1. uppgifter från andra socialförsäkringsregister, och

2. uppgifter som lämnas till en allmän försäkringskassa, Premiepensionsmyndigheten eller Riksförsäkringsverket med stöd av en särskild bestämmelse i lag eller förordning om lämnande av uppgifter.

Av föreskrifter i lag eller förordning eller av beslut av Datainspektionen kan följa att socialförsäkringsregister genom sambearbetning får tillföras uppgifter utöver vad som anges i första stycket.

Av föreskrifter i lag eller förordning kan följa att socialförsäkringsregister genom sambearbetning får tillföras uppgifter utöver vad som anges i första stycket.

Registeransvar Personuppgiftsansvar

13 § 4

Registeransvariga för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna är verket samt varje försäk-

Personuppgiftsansvariga för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna är verket samt varje

3 Senaste lydelse 1998:687. 4 Senaste lydelse 1998:687.

ringskassa när det gäller behandling av uppgifter hos den försäkringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är försäkringskassan registeransvarig. Premiepensionsmyndigheten är registeransvarig för socialförsäkringsregister som förs särskilt för myndigheten. Riksförsäkringsverket är registeransvarigt för socialförsäkringsregister som förs särskilt för verket.

försäkringskassa när det gäller behandling av uppgifter hos den försäkringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är försäkringskassan personuppgiftsansvarig. Premiepensionsmyndigheten är personuppgiftsansvarig för socialförsäkringsregister som förs särskilt för myndigheten. Riksförsäkringsverket är personuppgiftsansvarigt för socialförsäkringsregister som förs särskilt för verket.

Utlämnande av uppgifter på medium för automatisk data-

behandling

Utlämnande av uppgifter på medium för automatiserad be-

handling

17 §

Uppgifter i socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas på medium för automatisk databehandling. I övrigt får uppgifter lämnas ut på medium för automatisk databehandling endast om sådant utlämningssätt följer av lag eller förordning eller beslut av Datainspektionen eller om uppgiften skall användas för forskning eller framställning av statistik.

Uppgifter i socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas på medium för automatiserad behandling. I övrigt får uppgifter lämnas ut på medium för automatiserad behandling endast om sådant utlämningssätt följer av lag eller förordning eller om uppgiften skall användas för forskning eller framställning av statistik.

18 §

Uppgifter i socialförsäkringsregister får användas som sökbegrepp endast om det behövs för

1. tillämpning av lag eller förordning eller särskilt beslut av regeringen,

2. rättelse,

3. tillsyn, uppföljning eller utvärdering, eller

4. urval för forskning eller framställning av statistik. Uppgifter som avses i 7 § andra stycket 9 och 10 får användas som sökbegrepp endast för rättelse och bara om felet inte kan rättas på annat sätt.

Uppgifter som avses i 7 § andra stycket 8 och 9 får användas som sökbegrepp endast för rättelse och bara om felet inte kan rättas på annat sätt.

I fråga om handlingar som avses i 11 § får endast ärendebeteckning och beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet regeringen bestämmer får föreskriva ytterligare begränsningar av användningen av uppgifter som sökbegrepp.

Registerutdrag Information

20 §

Registerutdrag beträffande register som förs gemensamt för

Riksförsäkringsverket och de allmänna försäkringskassorna skall lämnas av försäkringskassan.

Uppgifter i sådana handlingar som avses i 11 § behöver inte tas med i registerutdrag enligt 10 § datalagen (1973:289). Av utdraget skall dock framgå vilka handlingar avseende den registrerade som finns i registret.

Vid tillämpningen av denna lag gäller bestämmelserna i 23 och 2527 §§personuppgiftslagen (1998:204) om information till den registrerade om inte annat följer av andra stycket. Beträffande register som förs gemensamt för

Riksförsäkringsverket och de allmänna försäkringskassorna skall informationen lämnas av försäkringskassan.

Uppgifter i sådana handlingar som avses i 11 § behöver inte tas med i information enligt 26 § personuppgiftslagen. Av informationen skall dock framgå vilka handlingar avseende den registrerade som finns i registret. Om den enskilde begär det och anger vilken handling som avses skall emellertid, om inte annat följer av bestämmelser om sekretess, information lämnas även om uppgifter i sådana handlingar som avses i 11 §. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.

21 §

Den som är registeransvarig för ett socialförsäkringsregister skall se till att den som är eller avses bli registrerad på lämpligt sätt får information om registret.

Den som är personuppgiftsansvarig för ett socialförsäkringsregister skall se till att den som är eller avses bli registrerad på lämpligt sätt får information om registret.

Informationen skall innehålla en beskrivning av de uppgifter som registret får innehålla samt upplysning om

1. ändamålen med registret,

2. de sekretess- och säkerhetsbestämmelser som gäller för registret,

3. rätten att få registerutdrag och rättelse enligt datalagen

3. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen

(1973:289), samt

4. de begränsningar i fråga om direkt åtkomst, utlämnande av uppgifter på medium för automatisk databehandling, sökbegrepp och bevarande av uppgifter som gäller för registret.

( 1998:204 ),

4. rätten till rättelse enligt personuppgiftslagen och 21 a § denna lag, samt

5. de begränsningar i fråga om direkt åtkomst, utlämnande av uppgifter på medium för automatiserad behandling, sökbegrepp och bevarande av uppgifter som gäller för registret.

Rättelse och skadestånd

21 a §

Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller anslutande författningar.

Överklagande

21 b §

En myndighets beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

1. Denna lag träder i kraft den 1 oktober 2001.

2. Beträffande personregister som avses i 1 § andra stycket andra meningen skall, i fråga om sådan manuell behandling som avses i punkt 3 i övergångsbestämmelserna till personuppgiftslagen (1998:204), bestämmelserna i 7–11 §§ denna lag inte börja tillämpas förrän den 1 oktober 2007.

3. Bestämmelserna om skadestånd i 21 a § skall inte tillämpas om den omständighet som åberopas till grund för ersättningsanspråket har inträffat före lagens ikraftträdande.

4. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2001-02-13

Närvarande: f.d. justitierådet Staffan Vängby, justitierådet Leif

Thorsson, regeringsrådet Rune Lavin.

Enligt en lagrådsremiss den 8 februari 2001 (Socialdepartementet) har regeringen beslutat inhämta Lagrådets yttrande över förslag till lag om ändring i socialförsäkringsregisterlagen (1997:934).

Förslaget har inför Lagrådet föredragits av departementsrådet Marianne Jenryd.

Lagrådet lämnar förslaget utan erinran.

Socialdepartementet

Utdrag ur protokoll vid regeringssammanträde den 15 mars 2001

Närvarande: statsrådet Hjelm-Wallén, ordförande och statsråden Thalén, Winberg, Ulvskog, Sahlin, von Sydow, Pagrotsky, Östros, Messing, Engqvist, Rosengren, Larsson, Wärnersson, Lejon, Lövdén, Ringholm

Föredragande: Ingela Thalén

Regeringen beslutar proposition En begränsad översyn av socialförsäkringsregisterlagen